笔者从微软安全公告编号914457得知,已经有公开的信息和概念验证代码,它们尝试过度的利用默认设置的WinXP SP1和其它第三方(非微软)的应用程序服务中的访问许可控制功能。这些代码也可以利用默认设置的Windows Servers 2003。一旦成功利用,拥有低权限的用户就可以得到扩大的本地或远程的认证。以下是微软在这个问题上的研究发现。
有报告称这个隐患也会对WinXP SP2构成潜在的威胁。但微软研究证实,运行WinXP SP2和Windows Server 2003 SP1的用户不会受到操作系统问题的影响,因为微软已经对这些service pack中安全相关的问题作出更改,微软一直致力于提高安全性。,如果用户安装了第三方的应用程序,而这些程序添加了过度访问控制服务的话,WinXP SP2和Windows Server 2003 SP1也有可能变得脆弱。
而运行WinXP SP1和Windows Server 2003 Gold的用户就可能比较危险了,不过Windows Server 2003 Gold的用户受到的威胁还是相当减少了很多。只有目标机器上网络操作员组的成员才可以对Windows Server 2003 Gold进行远程攻击,而这个组在默认情况下是没有任何用户的。
人们也关心在Win2000下运行服务的安全问题。不过目前Win2000上还没有用户组增加的问题被确认。用户可以联系需要安装服务的第三方的软件生产商,以确定是否任何非默认的Windows服务受到了影响。
微软目前还没有收到利用这个隐患进行攻击或者有用户受到影响的反馈。微软表示会继续研究,并在必要时为用户提供指引。
缓和因素:
1. 最新的操作系统如WinXP SP2和Windows Server 2003 SP1不受这个隐患的影响,所以用户要及时升级了。
2. 利用报告的隐患进行攻击的恶意用户最少需要对访问受感染的电脑的用户进行认证。默认情况下,通过认证的用户包括加入域的客户端的域用户。
3. 已证实的6个服务中的4个(NetBT,SCardSvr,DHCP,DnsCache)都要求攻击者已经运行在优先级的安全环境中。并且,那两个不允许通过授权的用户进行攻击的服务只在WinXP SP1中才是易受攻击的。
4. 最好运行防火墙,并且默认设置的防火墙有助于阻挡企业外的攻击。好的习惯还包括在网络内使用个人防火墙,并且链接到外网的系统尽量减少暴露的端口。(
