BUGTRAQ ID: 30584
CVE(CAN) ID: CVE-2008-1457
Microsoft Windows是微软发布的非常流行的操作系统。
Microsoft Windows事件系统在创建用户订阅时没有正确地验证订阅请求,导致权限提升漏洞。成功利用此漏洞的攻击者可以完全控制受影响的系统。攻击者随后可安装程序;查看、更改或删除数据;或者创建拥有完全管理权限的新帐户。
Microsoft Windows XP SP3
Microsoft Windows XP SP2
Microsoft Windows Vista SP1
Microsoft Windows Vista
Microsoft Windows Server 2008
Microsoft Windows Server 2003 SP2
Microsoft Windows Server 2003 SP1
Microsoft Windows 2000SP4
临时解决方法:
注销es.dll,请执行下列步骤:
regsvr32 /-u %WINDIR%\SYSTEM32\es.dll
停止和禁用系统事件通知和COM+事件系统服务
交互式:
您也可以通过在命令提示符(Windows XP中及Microsoft Windows 2000的资源工
具包中均有提供)处使用以下命令来停止和禁用系统事件通知服务:
sc stop sens & sc config sens start= disabled
然后对COM+事件系统重复上述步骤。
您也可以通过在命令提示符(Windows XP中及Windows 2000的资源工具包中均有
提供)处使用以下命令来停止和禁用COM+事件系统服务:
sc stop eventsystem & sc config eventsystem start= disabled
修改es.dll上的访问控制列表
在Windows XP和Windows Server 2003上:
cacls %WINDIR%\SYSTEM32\es.DLL
4. 要拒绝“everyone”组访问该文件,请在命令提示符处键入以下内容:
echo y| cacls %WINDIR%\SYSTEM32\es.DLL /E /P everyone:N
在Windows Vista上:
1. 以拥有管理员特权的用户身份登录。
2. 单击“开始”,单击“运行”,键入cmd,然后单击“确定”。
3. 记下文件上的当前 ACL(包括继承设置),以便将来必须撤消此修改时作为参
考。要查看ACL,请键入以下内容:
cacls %WINDIR%\SYSTEM32\es.DLL
4. 要允许“everyone”组访问该文件,请在命令提示符处键入以下内容:
takeown.exe /f %WINDIR%\SYSTEM32\es.DLL
icacls.exe %WINDIR%\SYSTEM32\es.DLL /save %TEMP%\es_ACL.TXT
icacls.exe %WINDIR%\SYSTEM32\es.DLL /allow everyone:(F)
厂商补丁:
Microsoft已经为此发布了一个安全公告(MS08-049)以及相应补丁:
MS08-049:Vulnerabilities in Event System Could Allow Remote Code Execution (950974)
链接:<a href=“http://www.microsoft.com/technet/security/bulletin/MS08-049.mspx?pf=true” target=“_blank”>http://www.microsoft.com/technet/security/bulletin/MS08-049.mspx?pf=true</a>