Несколько дней назад компания Microsoft заявила, что исследует новые публичные отчеты об уязвимости, которая может разрешить повышение привилегий сервисов до LocalSystem. Потенциально уязвимыми являются Windows XP Professional Service Pack 2 и все поддерживаемые версии и издания Windows Server 2003, Windows Vista, и Windows Server 2008.
Причиной уязвимости является ошибка, позволяющая коду, работающему в контексте аккаунтов NetworkService и LocalService, получать доступ к ресурсам другого процесса, работающего с теми же самыми привилегиями, но с возможностью поднятия собственных привилегий до LocalSystem. Успешное использование этой ошибки дает возможность некоторому коду работать с привилегиями LocalSystem, но требует способности выполнять код в аутентификационном контексте, например через IIS (когда код ASP.NET работает в режиме “полного доверия” или через расширения/фильтры ISAPI) и SQL Server (когда есть привилегии администратора на загрузку и работу кода).
По некоторым данным, эксплоит, который будет использовать данную уязвимость, будет очень сложным и вероятность вызова им повреждений будет небольшой. Однако если учесть, что в списке потенциально жертв находится целая куча операционных систем Microsoft, включая Windows XP SP2, Windows Vista и SP1, Windows Server 2003 и Windows Server, верится в это слабо.
Microsoft подтвердила, что SQL Server и Internet Information Services – два широко используемых сетевых сервиса – также находятся среди тех сервисов, привилегии которых потенциально могут быть “повышены” таким образом. Кроме того, ошибке подвержены все процессы с SeImpersonatePrivilege.
В настоящее время компания Microsoft не подтвердила наличия атак с использованием данной ошибки. Однако пообещала, что примет все необходимые меры для защиты потребителей. Пока же пользователям предлагается три метода решения данной проблемы, в основном касающиеся ее происхождения. Все методы используют IIS 6.0 или 7.0 и приказывают администраторам создавать рабочий идентификатор процесса WPI для пулов приложений с целью использования специально созданного привилегированного аккаунта – по всей видимости, единичного и не повышаемого. Затем предлагается, чтобы администраторы отключали Distributed Transaction Coordinator (MSDTC), что предположительно будет отключать сетевые транзакции от сервисов, не добавленных в пул. Однако Microsoft предупреждает, что такие действия, скорее всего, вызовут системные потери и замедлят выполнение.
Комментарии (0)