SecHole permet non administratifs utilisateurs Debug niveau accéder à un processus système

Traductions disponibles Traductions disponibles
Numéro d'article: 190288 - Voir les produits auxquels s'applique cet article
Cet article a été archivé. Il est proposé « en l'état » et ne sera plus mis à jour.
Agrandir tout | Réduire tout

Sommaire

Symptômes

Un utilitaire, sechole.exe, est en cours diffusé sur Internet qui effectue un ensemble d'étapes très sophistiqué qui permet à un utilisateur non administratif obtenir l'accès de niveau de débogage sur un processus système. À l'aide de cet utilitaire, la non - administration utilisateur est capable de s'exécuter du code dans le contexte de sécurité système et donc attribuer lui-même des privilèges d'administration locales sur le système.

Cause

Sechole.exe localise l'adresse mémoire d'une fonction API particulière (OpenProcess) et modifie les instructions figurant sur cette adresse dans une image en cours d'exécution du programme d'exploitation sur le système local. Sechole.exe demandes débogage des droits que donne il de privilèges élevés. La demande aboutit, car le contrôle d'accès pour ce droit devrait le faire dans l'API a été modifié correctement par le programme d'exploitation. Sechole.exe pouvez maintenant ajouter l'utilisateur qui a appelé sechole.exe pour le groupe Administrateurs local.

Résolution

Windows NT 4.0

Pour résoudre ce problème, procurez-vous le dernier service pack Windows NT version 4.0. Pour plus d'informations, consultez l'article suivant dans la base de connaissances Microsoft.

N° d'ARTICLE : 152734
TITLE : Comment obtenir le dernier Service Pack Windows NT 4.0


Bien que ce correctif est inclu avec le Service Pack 4, il est également disponible individuellement. Ce correctif garantit que le contrôle d'accès pour accorder des droits est effectué par le serveur et pas le client. Ce correctif a été validé comme Privfixi.exe (x 86) et Privfixa.exe (alpha). Pour des raisons de commodité, la version anglaise de ce correctif post-SP3 soit comptabilisée dans le site Internet suivant. Toutefois, Microsoft vous recommande d'installer Windows NT 4.0 Service Pack 4 pour corriger ce problème.

ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/usa/NT40/hotfixes-postSP3/priv-fix/


Windows NT Server version 4.0, Édition Terminal Server

Pour résoudre ce problème, procurez-vous le dernier service pack Windows NT Server 4.0, Édition Terminal Server. Pour plus d'informations, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la base de connaissances Microsoft :
152734Comment faire pour obtenir le dernier Pack de Service Windows NT 4.0

Ce correctif garantit que le contrôle d'accès pour accorder des droits est effectué par le serveur et pas le client. Ce correctif a été publié sur le site Internet suivant que Privfixi.exe (x 86) et Privfixa.exe (alpha) :

ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/usa/NT40TSE/hotfixes-postSP3/priv-fix/

Windows NT 3.51

Microsoft a confirmé que ce problème pouvait entraîner une certaine faille de sécurité dans Windows NT version 3.51. Un correctif entièrement pris en charge est désormais disponible, mais il n'a pas été entièrement testé les tests de régression et doit être appliquée uniquement aux systèmes reconnus comme étant risque d'attaque. Évaluez l'accessibilité physique de votre système, réseau et connectivité Internet et autres facteurs afin de déterminer le degré de risque pour votre système. Si votre système est réellement exposé, Microsoft vous recommande de vous télécharger le correctif comme décrit ci-dessous et appliquer ce correctif.

Pour obtenir une liste complète des numéros de téléphone du support technique Microsoft et des informations sur les coûts de support, accédez à l'adresse suivante sur le site Web :

http://support.microsoft.com/default.aspx?scid=fh;EN-US;CNTACTMS
Ce correctif doit comporter les attributs de fichier suivants :

Réduire ce tableauAgrandir ce tableau
DateHeureTailleNom de fichierPlate-forme
31/07/9802 : 47 p31,184Csrsrv.dllx 86
31/07/9802 : 48 p4,400CSRSS.exex 86
31/07/9805 : 47 p48,400Csrsrv.dllAlpha
31/07/9805 : 48 p5,904CSRSS.exeAlpha


Ce correctif garantit que le contrôle d'accès pour accorder des droits est effectué par le serveur et pas le client. Ce correctif a été publié sur le site Internet suivant que Privfixi.exe (x 86) et Privfixa.exe (alpha) :

ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/usa/NT351/hotfixes-postSP5/priv-fix/

Plus d'informations

Cette vulnérabilité peut éventuellement permettre à un utilisateur non administratif à obtenir un accès administratif local au système et ainsi élever ses privilèges sur le système. Pour effectuer cette attaque, l'utilisateur doit disposer d'un compte local valide sur le système et doit avoir un accès physique à l'ordinateur pour ouvrir une session en local sur le système.

Systèmes sensibles, tels que les contrôleurs de domaine Windows NT en cas de non - administratives aux utilisateurs n'ont pas de n'importe quel journal local sur les droits par défaut, ne sont pas sujets à cette menace. L'attaque ne peut pas servir à obtenir des privilèges d'administrateur domaine à distance via le réseau.

Pour plus d'informations, consultez le bulletin de sécurité Microsoft suivants à :

http://www.microsoft.com/technet/security/bulletin/ms98-009.mspx
Pour plus d'informations sur les produits Microsoft liés à la sécurité, rendezvous sur :

http://www.microsoft.com/security/

Statut

Version de Windows NT 4.0 et Windows NT Server 4.0, Édition Terminal Server

Microsoft a confirmé que ce problème pouvait entraîner une certaine faille de sécurité dans Windows NT version 4.0 et Windows NT Server version 4.0, Édition Terminal Server. Ce problème a été corrigé dans Windows NT 4.0 Service Pack 4.0 et Windows NT Server 4.0, Édition Terminal Server Service Pack 4.

Windows NT 3.51

Microsoft a confirmé que ce problème pouvait entraîner une certaine faille de sécurité dans Windows NT version 3.51.

Propriétés

Numéro d'article: 190288 - Dernière mise à jour: vendredi 14 février 2014 - Version: 1.3
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows NT Server 4.0, Terminal Server Edition
  • Microsoft Windows NT Server 3.51
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft Windows NT Workstation 3.51
  • Microsoft Windows NT Workstation 4.0 Édition Développeur
  • Microsoft Windows NT Server 4.0 Édition Entreprise
Mots-clés : 
kbnosurvey kbarchive kbmt kbbug kbfix KB190288 KbMtfr
Traduction automatique
IMPORTANT : Cet article est issu du système de traduction automatique mis au point par Microsoft (http://support.microsoft.com/gp/mtdetails). Un certain nombre d?articles obtenus par traduction automatique sont en effet mis à votre disposition en complément des articles traduits en langue française par des traducteurs professionnels. Cela vous permet d?avoir accès, dans votre propre langue, à l?ensemble des articles de la base de connaissances rédigés originellement en langue anglaise. Les articles traduits automatiquement ne sont pas toujours parfaits et peuvent comporter des erreurs de vocabulaire, de syntaxe ou de grammaire (probablement semblables aux erreurs que ferait une personne étrangère s?exprimant dans votre langue !). Néanmoins, mis à part ces imperfections, ces articles devraient suffire à vous orienter et à vous aider à résoudre votre problème. Microsoft s?efforce aussi continuellement de faire évoluer son système de traduction automatique.
La version anglaise de cet article est la suivante: 190288
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com