BUGTRAQ ID: 34442
CVE(CAN) ID: CVE-2009-0078
Microsoft Windows是微软发布的非常流行的操作系统。
Windows管理规范(WMI)提供程序没有正确地隔离NetworkService或LocalService帐号下运行的进程,同一帐号下运行的两个独立进程可以完全访问对方的文件句柄、注册表项等资源。WMI提供程序主机进程在某些情况下会持有SYSTEM令牌,如果攻击者可以以 NetworkService或LocalService帐号访问计算机,攻击者就可以执行代码探索SYSTEM令牌的WMI提供程序主机进程。一旦找到了SYSTEM令牌,就可以获得SYSTEM级的权限提升。
Microsoft Windows XP x64 SP2
Microsoft Windows XP x64
Microsoft Windows XP SP3
Microsoft Windows Vista SP1
Microsoft Windows Vista
Microsoft Windows Server 2008
Microsoft Windows Server 2003 SP2
Microsoft Windows Server 2003 SP1
临时解决方法:
IIS 6.0 - 对IIS中的应用程序池配置WPI以使用IIS管理器中创建的账号并禁用MSDTC。
执行以下步骤:
禁用分布式事件处理协调器可帮助受影响系统防范利用这个漏洞的尝试。请执行以下步骤:
还可在命令行使用以下命令停止并禁用MSDTC服务:
sc stop MSDTC & sc config MSDTC start= disabled
IIS 7.0 - 对IIS管理器中的应用程序池指定WPI。
IIS 7.0 - 使用APPCMD.exe命令行工具对应用程序池指定WPI。
appcmd set config /section:applicationPools /
[name=‘string’].processModel.identityType:SpecificUser /
[name=‘string’].processModel.userName:string /
[name=‘string’].processModel.password:string
厂商补丁:
Microsoft已经为此发布了一个安全公告(MS09-012)以及相应补丁:
MS09-012:Vulnerabilities in Windows Could Allow Elevation of Privilege (959454)
链接:<a href=“http://www.microsoft.com/technet/security/bulletin/MS09-012.mspx?pf=true” target=“_blank”>http://www.microsoft.com/technet/security/bulletin/MS09-012.mspx?pf=true</a>