Microsoft Windows WMI服务隔离本地权限提升漏洞（MS09-012）

BUGTRAQ ID: 34442
CVE(CAN) ID: CVE-2009-0078

Microsoft Windows是微软发布的非常流行的操作系统。

Windows管理规范（WMI）提供程序没有正确地隔离NetworkService或LocalService帐号下运行的进程，同一帐号下运行的两个独立进程可以完全访问对方的文件句柄、注册表项等资源。WMI提供程序主机进程在某些情况下会持有SYSTEM令牌，如果攻击者可以以 NetworkService或LocalService帐号访问计算机，攻击者就可以执行代码探索SYSTEM令牌的WMI提供程序主机进程。一旦找到了SYSTEM令牌，就可以获得SYSTEM级的权限提升。

Microsoft Windows XP x64 SP2
Microsoft Windows XP x64
Microsoft Windows XP SP3
Microsoft Windows Vista SP1
Microsoft Windows Vista
Microsoft Windows Server 2008
Microsoft Windows Server 2003 SP2
Microsoft Windows Server 2003 SP1
临时解决方法：

• IIS 6.0 - 对IIS中的应用程序池配置WPI以使用IIS管理器中创建的账号并禁用MSDTC。

  执行以下步骤：

  1. 在IIS管理器中，展开本地电脑、应用程序池，右击应用程序池并选择“属性”。
  2. 点击“身份”标签并点击“可配置”。在“用户名”和“口令”框中，键入希望worker进程运行所在帐号的用户名和口令。
  3. 向IIS_WPG组添加所选择的用户账号。

  禁用分布式事件处理协调器可帮助受影响系统防范利用这个漏洞的尝试。请执行以下步骤：

  1. 点击“开始”、“控制面板”，或者找到“设置”，然后点击“控制面板”。
  2. 双击“管理工具”，或者切换到经典视图然后双击“管理工具”。
  3. 双击“服务”。
  4. 双击“Distributed Transaction Coordinator”。
  5. 在“启动类型”列表中，点击“已禁用”。
  6. 如果已经启动的话点击“停止”，然后点击“确定”。

  还可在命令行使用以下命令停止并禁用MSDTC服务：
  sc stop MSDTC & sc config MSDTC start= disabled

• IIS 7.0 - 对IIS管理器中的应用程序池指定WPI。

  1. 在IIS管理器中，展开服务器节点，点击“应用程序池”，右击应用程序池并点击“高级设置”。
  2. 找到“身份”项，点击“…”键打开“应用程序池身份”对话框。
  3. 选择“自定义帐号”选项并点击“设置”打开“设置凭据”对话框。在用户名和口令文本框中键入所选择的账号名称和口令，在“确认口令”文本框中重新键入口令，然后点击“确定”。

• IIS 7.0 - 使用APPCMD.exe命令行工具对应用程序池指定WPI。

  1. 从提升的命令提示符中更改到%systemroot%\system32\inetsrv目录。
  2. 使用以下句法执行APPCMD.exe命令，这里string是应用程序池的名称，userName:string是分配给应用程序池帐号的用户名，password:string是帐号口令。

appcmd set config /section:applicationPools /
[name=‘string’].processModel.identityType:SpecificUser /
[name=‘string’].processModel.userName:string /
[name=‘string’].processModel.password:string

厂商补丁：

Microsoft

Microsoft已经为此发布了一个安全公告（MS09-012）以及相应补丁:
MS09-012：Vulnerabilities in Windows Could Allow Elevation of Privilege (959454)
链接：<a href=“http://www.microsoft.com/technet/security/bulletin/MS09-012.mspx?pf=true” target=“_blank”>http://www.microsoft.com/technet/security/bulletin/MS09-012.mspx?pf=true</a>