|
Windows XP Professional系统恢复文件可被本地用户非法访问
涉及程序:
Windows XP Professional
描述:
Windows XP Professional系统恢复文件可被本地用户非法访问
详细:
Windows XP Professional(Gold)的系统恢复(System Restore)文件由于缺乏NTFS
ACL正确的保护,本地攻击者可利用此缺陷非法访问系统敏感信息。
Windows XP Professional(Gold)的系统恢复(System Restore)文件存储在"System Volume
Information"目录中,此目录由于受ACL保护,因此普通用户通常是不能访问系统恢复文件的。但是系统恢复目录自身和它下面的子目录却没有受到NTFS
ACL的保护,导致任何本地用户只要能够指定子目录的路径即可非法访问系统恢复文件,使系统的敏感信息泄露。
通常,用户如果执行下面的指令就能发现系统恢复目录路径:
c:\> reg query "HKLM\System\CurrentControlSet\Control\BackupRestore
\FilesNotToBackup" /v "System Restore"
然后使用CD指令进入该目录:
c:\> cd \System Volume Information\_restore{8716531F-212F-45F1-8BAA-
FB69F0C7FAEF}
这时在恢复目录中,你将能发现含有注册 hive 的叫做"snapshot"的目录:
_REGISTRY_MACHINE_SAM
_REGISTRY_MACHINE_SECURITY
_REGISTRY_MACHINE_SOFTWARE
_REGISTRY_MACHINE_SYSTEM
_REGISTRY_USER_.DEFAULT
_REGISTRY_USER_NTUSER_S-1-5-18
.....
这些 hive 文件可被每一个本地用户非法访问。恶意的本地用户将可能修改 SOFTWARE hive ,然后一旦管理员运行系统恢复文件,修改就会起作用。
安装了SP1的Windows XP不受此缺陷影响。
攻击方法:
通常,用户如果执行下面的指令就能发现系统恢复目录路径:
c:\> reg query "HKLM\System\CurrentControlSet\Control\BackupRestore
\FilesNotToBackup" /v "System Restore"
然后使用CD指令进入该目录:
c:\> cd \System Volume Information\_restore{8716531F-212F-45F1-8BAA-
FB69F0C7FAEF}
这时在恢复目录中,你将能发现含有注册 hive 的叫做"snapshot"的目录:
_REGISTRY_MACHINE_SAM
_REGISTRY_MACHINE_SECURITY
_REGISTRY_MACHINE_SOFTWARE
_REGISTRY_MACHINE_SYSTEM
_REGISTRY_USER_.DEFAULT
_REGISTRY_USER_NTUSER_S-1-5-18
.....
这些 hive 文件可被每一个本地用户非法访问。恶意的本地用户将可能修改 SOFTWARE hive ,然后一旦管理员运行系统恢复文件,修改就会起作用。
解决方案:
建议受此缺陷影响的Windows XP Professional用户立即下载并安装SP1
http://www.microsoft.com/WindowsXP/pro/downloads/servicepacks/sp1/default.asp |