Windows NT/2000中不充分的默认注册许可

/ns/ld/win/data/20010108042646.htm

Windows NT/2000中不充分的默认注册许可
(远程进入系统 )
信息来源:苏樱
是否远程:是 是否本地:是
受影响的操作系统:
--------------------------------------------------------------------------
------

发布日期:2000-12-9

摘要:
一些Windows注册键被置为错误的默认允许值. 这些松散的注册许可能够使攻击者改
变系统设置,甚至可能远程控制主机.

细节:
受影响系统:
Microsoft Windows NT 4.0 Server
Microsoft Windows NT 4.0 Server, Enterprise Edition
Microsoft Windows NT 4.0 Server, Terminal Server Edition
Microsoft Windows NT 2000 Professional, Server, Advanced Server (只影响
SNMP注册问题)

RAS管理注册键值 Administration Registry Key
Windows NT 4.0中控制管理远程访问服务(RAS)第三方工具的注册键没有正确配置为
拒绝无特权用户的写操作.
指派到这个特殊注册表键值的如此松懈的许可权将允许能够本地登录到一个安装了
RAS的服务器系统的任何用户修改这个键值到
在RAS启动之上执行的一个任意DLL文件. RAS注册表键值中的DLL运行于LocalSystem
特权之下. 因此, 恶意用户将能够在
LocalSystem安全范围能进行任意活动,导致最后完全控制本地主机. RAS注册表键值
的位置是HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RAS.

如果Winreg键被激活允许远程访问注册表(Winreg默认是激活状态),这个漏洞能够被
远程开发利用.

注意: RAS默认不安装在Windows NT 4.0中.

MTS信息包管理注册表键
Microsoft Transaction Server (MTS)是Microsoft Windows NT使用的机制用来控制
传输或者MTS信息包,
它是形成事务处理的系列软件模块.

这个键值没有正确配置为拒绝非特权用户的写访问. 只有管理员有修改这个特殊键值
的权限. 然而, 任何能登录到安装了MTS的系统的
用户能够改变这个键值及其子键值,它位于
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Transaction Server\Packages.

存储在MTS注册表键值中的信息是每个MTS信息包的管理列表. 通过修改MTS注册表键
值,在管理列表中加入他的用户ID,恶意用户能够
重新配置或在系统中增加新的MTS信息包.

如果Winreg键被激活允许远程访问注册表(Winreg默认是激活状态),这个键值能够被
远程修改.

注意: MTS默认不安装在Windows NT 4.0中. MTS是Windows NT 4.0可选工具包中的一
部分.

SNMP注册表键值修改
Windows NT 4.0和2000中的SNMP服务能够远程管理计算机. 对Loose permissions in
the registry key
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SNMP\Parameters这个键
值不可靠的许可权允许能访问注册表的恶意用户
读取存储在ValidCommunities键值中的SNMP组名. 这允许恶意用户通过SNMP管理计算
机.

恶意用户也可以通过修改注册表键值来改变组名,这样将拒绝授权用户通过SNMP访问
主机.

解决方案
Microsoft已经发布了一个补丁来加固这些注册表许可权.

Microsoft Windows NT 4.0 Intel: http://download.microsoft.com/download/winntsp/Patch/Q266794/NT4/EN-US/Q26
5714i.EXE

Microsoft Windows NT 2000 Intel: http://download.microsoft.com/download/win2000platform/Patch/Q266794/NT5/E
N-US/Q266794_W2K_SP2_x86_en.EXE

为什么这个补丁中指出了三个漏洞?
这三个漏洞下的问题是相同的 - 默认许可配置太过松散. 同样地, 这三个漏洞的修
复是重新将它们设置为一个适当的值.
为了最小化客户需要的补丁数, 我们提供了一个补丁来重置这三个键的许可权.

那三个注册表键值是什么?
它们是:
* The "SNMP Management" key.
* The "RAS Administration" key.
* The "MTS Package Administration" key.

与"SNMP Management"键值关联的漏洞的影响范围是什么?
这个漏洞能够允许恶意用户管理或配置网络上的设备. 她能够获得的特殊权限根据网
络的不同而不同, 并且将依赖于网络使用
Simple Network Management Protocol(SNMP)的范围. 然而, 最坏的情况是该漏洞能
够允许她错误配置路由器和防火墙、
改变web服务器和数据库服务器的内容、停止或启动本地主机上的服务,等等.
SNMP本身就不是一种安全的协议. 即使在没有不适当注册表许可权的情况下, 恶意用
户仍然可以监控网络获得管理网络上SNMP设备所需的
所有信息. SNMP默认不安装在Windows NT 4.0系统中.

该工具能设置什么许可?
该工具对下列键及其子键设置以下许可: Hive Key Permission
Hive: HKEY_LOCAL_MACHINE\SYSTEMKey: CurrentControlSet
Services\SNMP\ParametersPermission: PermittedManagers Administrators,
System, Creator Owner: Full

Hive: HKEY_LOCAL_MACHINE\SYSTEMKey: CurrentControlSet
Services\SNMP\ParametersPermission: ValidCommunities Administrators,
System, Creator Owner: Full

Hive: HKEY_LOCAL_MACHINE\SOFTWARE
Key: \Microsoft\RAS
Permission: Administrators, System, Creator Owner: Full

Hive: HKEY_LOCAL_MACHINE\SOFTWARE
Key: \Microsoft\Transaction Server\Packages
Permission: Administrators, System, Creator Owner: Full

Hive: HKEY_LOCAL_MACHINE\SOFTWARE
Key: Microsoft\Cryptography\OffloadPermission: Authenticated Users: Read
Administrators, System, Creator Owner: Full

Hive: HKEY_LOCAL_MACHINE\SOFTWARE
Key: Microsoft\Windows NT\CurrentVersion\AeDebug
Permission: Authenticated Users: Read Administrators, System, Creator
Owner: Full

Hive: HKEY_LOCAL_MACHINE\SOFTWARE
Key: Microsoft\Windows\CurrentVersionExplorer\User Shell Folders
Permission: Authenticated Users: Read Administrators, System, Creator
Owner: Full

Hive: HKEY_LOCAL_MACHINE\SOFTWARE Microsoft\DataFactory
Permission: Authenticated Users: Read Administrators, System, Creator
Owner: Full

Hive: HKEY_LOCAL_MACHINE\SOFTWARE
Key: CurrentControlSet\Services\W3SVCParameters\ADCLaunch Authenticated
Users: Read
Permission: Administrators, System, Creator Owner: Full

Hive: HKEY_LOCAL_MACHINE\SOFTWARE
Key: CurrentControlSet\Control\SecurePipe ServersPermission: winreg
Administrators: FullBackup Operators: Read