Artikel-ID: 190288 - Geändert am: Mittwoch, 1. November 2006 - Version: 1.3

SecHole kann nicht administrative Benutzer Debuggen auf Zugriff auf einen Systemprozess

Deutsch und Englisch nebeneinanderMaschinell-übersetzte und englische Version des Artikels nebenander anzeigen
Maschinell übersetzter ArtikelHinweis: Dies ist ein maschinell übersetzter Artikel.
Produkte anzeigen, auf die sich dieser Artikel bezieht
SystemtippDieser Artikel bezieht sich auf ein anderes Betriebssystem als das von Ihnen verwendete. Für Sie möglicherweise nicht relevante Artikelinhalte wurden deaktiviert.

Auf dieser Seite

Alles erweitern | Alles schließen

Problembeschreibung

Umlauf gebracht, ein Dienstprogramm, Sechole.exe, ist im Internet Datums wird, die eine komplexe Reihe von Schritten durchführt, die ein nicht-administrativen Benutzer Debug-Ebene ein System-Prozess zugreifen kann. Verwenden dieses Dienstprogramm, das nicht - administrativen Benutzer kann zum Ausführen von einigen Codes im Sicherheitskontext Systems und somit erteilen sich selbst oder selbst lokale Administratorrechte auf dem System.
Zum Anfang

Ursache

Sechole.exe sucht die Speicheradresse der eine bestimmte API-Funktion (OpenProcess) und die Anweisungen auf die Adresse in ein ausgeführtes Speicherabbild des Programms Exploit auf dem lokalen System ändert. Sechole.exe Anforderungen Debug, bietet es erhöhten Rechte. Die Anforderung ist erfolgreich, da die Zugriffsüberprüfung für dieses Recht in der API erfolgen, die durch das Programm erfolgreich geändert wurde erwartet wird. Sechole.exe können nun den Benutzer hinzufügen, der Sechole.exe, der lokalen Gruppe Administratoren aufgerufen.
Zum Anfang

Lösung

Windows NT 4.0

Installieren Sie das neueste Servicepack für Windows NT, Version 4.0, um dieses Problem zu beheben. Weitere Informationen finden Sie im folgenden Artikel der Microsoft Knowledge Base.

Artikel-ID: 152734  (http://support.microsoft.com/kb/152734/EN-US/ )
Titel: So das neueste Windows NT 4.0 Service Pack erhalten


Während dieses Update in Service Pack 4 enthalten ist, steht es auch einzeln. Garantiert dieser Hotfix vom Server und nicht auf dem Client erfolgt die Zugriffsüberprüfung, alle Rechte gewähren. Dieses Update wurde als Privfixi.exe (X 86) und Privfixa.exe (Alpha) gebucht. Die englische Version dieses auf SP3 folgenden Hotfix wurde unter folgender Webadresse bereitgestellt. Microsoft empfiehlt jedoch, Windows NT 4.0 Service Pack 4 zu installieren und auf diese Weise das Problem zu lösen.

ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/usa/NT40/hotfixes-postSP3/priv-fix/ (ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/usa/NT40/hotfixes-postSP3/priv-fix/)


Zum Anfang

Windows NT Server, Version 4.0, Terminal Server Edition

Installieren Sie das neueste Service Pack für Windows NT Server 4.0, Terminal Server Edition, um dieses Problem zu beheben. Weitere Informationen finden Sie die folgende KB-Artikelnummer:
152734  (http://support.microsoft.com/kb/152734/EN-US/ ) So erhalten Sie das neueste Windows NT 4.0 Service Pack

Garantiert dieser Hotfix vom Server und nicht auf dem Client erfolgt die Zugriffsüberprüfung, alle Rechte gewähren. Dieses Update wurde der folgende Internetstandort als Privfixi.exe (X 86) und Privfixa.exe (Alpha) gebucht:

ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/usa/NT40TSE/hotfixes-postSP3/priv-fix/ (ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/usa/NT40TSE/hotfixes-postSP3/priv-fix/)
Zum Anfang

Windows NT 3.51

Microsoft hat bestätigt, dass dieses Problem in einem gewissen Umfang zu einer Sicherheitsanfälligkeit in Windows NT 3.51 führen kann. Eine vollständig unterstützte Lösung ist jetzt verfügbar, aber es wurde nicht vollständig Regression getestet und sollten nur auf Systeme festgestellt, dass Risiko eines Angriffs angewendet werden. Bitte überprüfen Sie Ihr System hinsichtlich physischer Verfügbarkeit, Netzwerk- und Internetverbindungen sowie weiterer Faktoren, um den Risikograd für Ihr System zu bestimmen. Wenn Ihr System ausreichend gefährdet ist, empfiehlt Microsoft das Update wie nachstehend beschrieben downloaden und Anwenden dieses Updates.

Eine vollständige Liste der Telefonnummern Microsoft Technical Support und Informationen zu Servicegebühren finden Sie die folgende Adresse im World Wide Web:

http://support.microsoft.com/default.aspx?scid=fh;EN-US;CNTACTMS (http://support.microsoft.com/default.aspx?scid=fh;en-us;cntactms)
Dieses Update sollte die folgenden Dateiattribute aufweisen:

Tabelle minimierenTabelle vergrößern
DatumUhrzeitGrößeDateinamePlattform
31/07/9802: 47 p31,184Csrsrv.dllX 86
31/07/9802: 48 p4,400CSRSS.exeX 86
31/07/9805: 47 p48,400Csrsrv.dllAlpha
31/07/9805: 48 p5,904CSRSS.exeAlpha


Garantiert dieser Hotfix vom Server und nicht auf dem Client erfolgt die Zugriffsüberprüfung, alle Rechte gewähren. Dieses Update wurde der folgende Internetstandort als Privfixi.exe (X 86) und Privfixa.exe (Alpha) gebucht:

ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/usa/NT351/hotfixes-postSP5/priv-fix/ (ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/usa/NT351/hotfixes-postSP5/priv-fix/)
Zum Anfang

Weitere Informationen

Ausnutzung kann potenziell ermöglichen einen nicht administrativen Benutzer lokalen administrativen Zugriff auf das System erlangen und somit seine Berechtigungen erhöhen, auf dem System. Um diesen Angriff auszuführen, wird der Benutzer hat auf ein gültiges lokales Konto auf dem System und hat den physikalischen Zugriff auf den Computer, sich lokal am System anzumelden.

Vertrauliche Systemen, wie Windows NT-Domänencontrollern, nicht - administrativen Benutzer verfügen nicht über alle lokalen Protokoll auf Rechte in der Standardeinstellung, nicht anfällig für diese Bedrohung. Der Angriff kann nicht über Administratorrechte für Domäne Remote zu über das Netzwerk verwendet werden.

Weitere Informationen finden Sie im folgenden Microsoft-Sicherheitsbulletin an:

http://www.microsoft.com/technet/security/bulletin/ms98-009.mspx (http://www.microsoft.com/technet/security/bulletin/ms98-009.mspx)
Zusätzliche sicherheitsrelevante Informationen über Microsoft-Produkte finden Sie:

http://www.microsoft.com/security/ (http://www.microsoft.com/security/)
Zum Anfang

Status

Windows NT 4.0 und Windows NT Server, Version 4.0, Terminal Server Edition

Microsoft hat bestätigt, dieses Problem in gewisses Sicherheitsanfälligkeit in Windows NT, Version 4.0 und Windows NT Server 4.0, Terminal Server Edition führen kann. Dieses Problem wurde erstmals in Windows NT 4.0, Service Pack 4.0 und Windows NT Server 4.0, Terminal Server Edition, Service Pack 4 behoben.
Zum Anfang

Windows NT 3.51

Microsoft hat bestätigt, dass dieses Problem in einem gewissen Umfang zu einer Sicherheitsanfälligkeit in Windows NT 3.51 führen kann.
Zum Anfang
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows NT Server 4.0, Terminal Server Edition
  • Microsoft Windows NT Server 3.51
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft Windows NT Workstation 3.51
  • Microsoft Windows NT Workstation 4.0 Developer Edition
  • Microsoft Windows NT Server 4.0 Enterprise Edition
Zum Anfang
Keywords: 
kbmt kbbug kbfix KB190288 KbMtde
Zum Anfang
Maschinell übersetzter ArtikelMaschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell und nicht von einem Menschen übersetzt. Die Microsoft Knowledge Base ist sehr umfangreich und ihre Inhalte werden ständig ergänzt beziehungsweise überarbeitet. Um Ihnen dennoch alle Inhalte auf Deutsch anbieten zu können, werden viele Artikel nicht von Menschen, sondern von Übersetzungsprogrammen übersetzt, die kontinuierlich optimiert werden. Doch noch sind maschinell übersetzte Texte in der Regel nicht perfekt, insbesondere hinsichtlich Grammatik und des Einsatzes von Fremdwörtern sowie Fachbegriffen. Microsoft übernimmt keine Gewähr für die sprachliche Qualität oder die technische Richtigkeit der Übersetzungen und ist nicht für Probleme haftbar, die direkt oder indirekt durch Übersetzungsfehler oder die Verwendung der übersetzten Inhalte durch Kunden entstehen könnten.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 190288  (http://support.microsoft.com/kb/190288/en-us/ )
Zum Anfang
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.