Microsoft Windows线程池ACL本地权限提升漏洞（MS09-012）

BUGTRAQ ID: 34444
CVE(CAN) ID: CVE-2009-0080

Microsoft Windows是微软发布的非常流行的操作系统。

Windows对当前ThreadPool中的线程设置了错误的ACL，本地攻击者可以利用令牌劫持的方式获得权限提升。成功利用此漏洞的攻击者可以完全控制受影响的系统，攻击者可随后安装程序；查看、更改或删除数据；或者创建拥有完全用户权限的新帐户。

Microsoft Windows Vista SP1
Microsoft Windows Vista
Microsoft Windows Server 2008
临时解决方法：

• IIS 6.0 - 对IIS中的应用程序池配置WPI以使用IIS管理器中创建的账号并禁用MSDTC。

  1. 在IIS管理器中，展开本地电脑、应用程序池，右击应用程序池并选择“属性”。
  2. 点击“身份”标签并点击“可配置”。在“用户名”和“口令”框中，键入希望worker进程运行所在帐号的用户名和口令。
  3. 向IIS_WPG组添加所选择的用户账号。

  禁用分布式事件处理协调器可帮助受影响系统防范利用这个漏洞的尝试。请执行以下步骤：

  1. 点击“开始”、“控制面板”，或者找到“设置”，然后点击“控制面板”。
  2. 双击“管理工具”，或者切换到经典视图然后双击“管理工具”。
  3. 双击“服务”。
  4. 双击“Distributed Transaction Coordinator”。
  5. 在“启动类型”列表中，点击“已禁用”。
  6. 如果已经启动的话点击“停止”，然后点击“确定”。

  还可在命令行使用以下命令停止并禁用MSDTC服务：
  sc stop MSDTC & sc config MSDTC start= disabled

• IIS 7.0 - 对IIS管理器中的应用程序池指定WPI。

  1. 在IIS管理器中，展开服务器节点，点击“应用程序池”，右击应用程序池并点击“高级设置”。
  2. 找到“身份”项，点击“…”键打开“应用程序池身份”对话框。
  3. 选择“自定义帐号”选项并点击“设置”打开“设置凭据”对话框。在用户名和口令文本框中键入所选择的账号名称和口令，在“确认口令”文本框中重新键入口令，然后点击“确定”。

• IIS 7.0 - 使用APPCMD.exe命令行工具对应用程序池指定WPI。

  1. 从提升的命令提示符中更改到%systemroot%\system32\inetsrv目录。
  2. 使用以下句法执行APPCMD.exe命令，这里string是应用程序池的名称，userName:string是分配给应用程序池帐号的用户名，password:string是帐号口令。

appcmd set config /section:applicationPools /
[name=‘string’].processModel.identityType:SpecificUser /
[name=‘string’].processModel.userName:string /
[name=‘string’].processModel.password:string

厂商补丁：

Microsoft

Microsoft已经为此发布了一个安全公告（MS09-012）以及相应补丁:
MS09-012：Vulnerabilities in Windows Could Allow Elevation of Privilege (959454)
链接：<a href=“http://www.microsoft.com/technet/security/bulletin/MS09-012.mspx?pf=true” target=“_blank”>http://www.microsoft.com/technet/security/bulletin/MS09-012.mspx?pf=true</a>