涉及程序:
Windows XP Professional
描述:
Windows XP Professional系統恢復文件可被本地用戶非法訪問
詳細:
Windows XP Professional(Gold)的系統恢復(System Restore)文件由於缺乏NTFS ACL正確的保護,本地攻擊者可利用此缺陷非法訪問系統敏感信息。
Windows XP Professional(Gold)的系統恢復(System Restore)文件存儲在"System Volume Information"目錄中,此目錄由於受ACL保護,因此普通用戶通常是不能訪問系統恢復文件的。但是系統恢復目錄自身和它下面的子目錄卻沒有受到NTFS ACL的保護,導致任何本地用戶只要能夠指定子目錄的路徑即可非法訪問系統恢復文件,使系統的敏感信息洩露。
通常,用戶如果執行下面的指令就能發現系統恢復目錄路徑:
c:\> reg query "HKLM\System\CurrentControlSet\Control\BackupRestore
\FilesNotToBackup" /v "System Restore"
然後使用CD指令進入該目錄:
c:\> cd \System Volume Information\_restore{8716531F-212F-45F1-8BAA-
FB69F0C7FAEF}
這時在恢復目錄中,你將能發現含有注冊 hive 的叫做"snapshot"的目錄:
_REGISTRY_MacHINE_SAM
_REGISTRY_MacHINE_SECURITY
_REGISTRY_MacHINE_SOFTWARE
_REGISTRY_MacHINE_SYSTEM
_REGISTRY_USER_.DEFAULT
_REGISTRY_USER_NTUSER_S-1-5-18
.....
這些 hive 文件可被每一個本地用戶非法訪問。惡意的本地用戶將可能修改 SOFTWARE hive ,然後一旦管理員運行系統恢復文件,修改就會起作用。
安裝了SP1的Windows XP不受此缺陷影響。
攻擊方法:
通常,用戶如果執行下面的指令就能發現系統恢復目錄路徑:
c:\> reg query "HKLM\System\CurrentControlSet\Control\BackupRestore
\FilesNotToBackup" /v "System Restore"
然後使用CD指令進入該目錄:
c:\> cd \System Volume Information\_restore{8716531F-212F-45F1-8BAA-
FB69F0C7FAEF}
這時在恢復目錄中,你將能發現含有注冊 hive 的叫做"snapshot"的目錄:
_REGISTRY_MacHINE_SAM
_REGISTRY_MacHINE_SECURITY
_REGISTRY_MacHINE_SOFTWARE
_REGISTRY_MacHINE_SYSTEM
_REGISTRY_USER_.DEFAULT
_REGISTRY_USER_NTUSER_S-1-5-18
.....
這些 hive 文件可被每一個本地用戶非法訪問。惡意的本地用戶將可能修改 SOFTWARE hive ,然後一旦管理員運行系統恢復文件,修改就會起作用。
解決方案:
建議受此缺陷影響的Windows XP Professional用戶立即下載並安裝SP1
http://www.microsoft.com/WindowsXP/pro/downloads/servicepacks/sp1/default.ASP
附加信息:
無
