Windows Vista SP1 подвержен уязвимости, приводящей к повышению прав
В четверг компания Microsoft опубликовала бюллетень безопасности с описанием уязвимости, приводящей к повышению прав непривилегированной службы. Данный факт огорчает, особенно в свете того, что новое ядро Windows Vista было разработано специально, чтобы препятствовать такой возможности.
В недавнем бюллетене безопасности, выпущенном 17 апреля, компания Microsoft признала, что вредоносные программы, работающие как локальные или сетевые службы, могут использовать другие локальные или сетевые службы, работающие в той же системе, чтобы повысить свои права, и вызвать потенциальную угрозу.
По состоянию на прошлую пятницу данных о существовании эскплойта не было. Тем временем, компания Secunia присвоила уязвимости рейтинг ниже критического. В бюллетене Microsoft говорится о том, что какой-то неупоминаемый в статье инженер создал доказательство концепции, однако, сам эксплойт, по информации от Microsoft, не существует.
Это был бы очень сложный эксплойт и если бы он тестировался в активной зоне, вероятность нанесения им вреда была бы низкой, если бы только не было создано отдельное вредоносное ПО для удостоверения рабочего статуса сетевой службы, для того чтобы с помощью нее повысить собственные права в системе, а потом для использования этих прав для исполнения другого элемента. К сожалению, бюллетень Microsoft предполагает, что SQL Server и Internet Information Services - две широко используемые сетевые службы - тоже попали в перечень служб, которые могут быть использованы в таких манипуляциях.
Еще более прискорбная новость состоит в том, что Windows Server 2008, причем как x86, так и x64-версии, а также Itanium-редакции восприимчивы к такой атаке, как и Windows Server 2003 SP2 - серверные системы, в которых чаще всего реализованы две вышеуказанные службы. Также в списке были Windows Vista с Service Pack 1 и Windows XP Professional с Service Pack 2.
Три предложенных решения проблемы предлагают более глубокое понимание самой сути проблемы. Они включают в себя IIS 6.0 и 7.0 и инструкции для администраторов по созданию идентификатора рабочего процесса (WPI) для пула приложений для использования специальной созданной учетной записи, которая, очевидно, не сможет быть использована для повышения прав. После чего предполагается, что администраторы отключат Distributed Transaction Coordinator, что запретит передачу сетевых данных от приложений, не подключенных к пулу. Microsoft предупреждает, что такой шаг, вероятно, увеличит нагрузку на систему и снизит ее производительность.
