SecHole で管理者以外のユーザーが管理者権限を取得する

文書翻訳 文書翻訳
文書番号: 190288 - 対象製品
この記事は、以前は次の ID で公開されていました: JP190288
この資料は、アーカイブされました。これは "現状のまま" で提供され、更新されることはありません。
すべて展開する | すべて折りたたむ

目次

現象

Sechole.exe というユーティリティがインターネットで配布されています。このユーティリティは、非常に高度な手順を実行することにより、管理者権限のないユーザーからシステム プロセスにデバッグ レベルのアクセスができるようにします。このユーティリティを使うと、管理者権限のないユーザーがシステム セキュリティ コンテキストで何らかのコードを実行し、それによってシステムに対するローカル管理者権限を自分自身に与えることが可能になります。

原因

Sechole.exe は、特定の API 関数 (OpenProcess) のメモリ アドレスを見つけ出し、ローカル システム上の (この悪質な) プログラムの実行イメージ中のそのアドレスにある命令を変更します。その後 Sechole.exe は、権限を昇進させるデバッグ レベルの権限を要求します。 この権限に対するアクセス チェックは、API で行われるものと想定されています。しかしチェックを行う部分は、この悪質なプログラムによって変更されているため、この要求は成功します。こうして Sechole.exe を実行したユーザーは、このユーティリティを使って自分をローカル Administrators グループに加えることができるようになります。

解決方法

Windows NT 4.0

この問題を解決するためのモジュールは、Windows NT 4.0 日本語版サービスパック 4 以降に含まれております。最新のサービスパックについては、以下 Web サイトから入手できます。
http://www.microsoft.com/japan/products/ntupdate/nt4sp6/
152734 Windows NT 4.0 の最新の Service Pack を入手する方法

Windows NT Server Version 4.0, Terminal Server Edition

この問題を解決するためのモジュールは、Windows NT 4.0 Terminal Server Edition 日本語版サービスパック 4 以降に含まれております。Windows NT 4.0 Terminal Server Edition 日本語版の最新サービスパックについては、以下 Web サイトから入手できます。
http://www.microsoft.com/japan/products/ntupdate/tsesp6/
152734 Windows NT 4.0 の最新の Service Pack を入手する方法

Windows NT 3.51

Windows NT 3.51 につきましては、現在調査中です。詳細がわかり次第、サポート技術情報にてお知らせする予定です。

詳細

この悪質な操作によって、管理者権限を持たないユーザーが、システムに対するローカル管理者権限を取得し、それによってシステム上での自分自身の権限を昇格させる可能性があります。この攻撃を実行するには、ユーザーはシステム上で有効なローカル アカウントを持っている必要があります。また、そのシステムにローカル ログオンするために、直接コンピュータに触ることができなければなりません。

管理者権限を持たないユーザーにはデフォルトでローカル ログオンの権限が一切与えられない Windows NT のドメイン コントローラなど、注意して運用されているシステムは、この危険にさらされることはありません。ネットワーク越しにドメインの管理者権限をリモートで取得するために、この攻撃を使用することはできません。

関連情報については、次の Microsoft Security Bulletin にアクセスしてください。

http://www.microsoft.com/security/bulletins/ms98-009.asp
Microsoft 製品に関する詳しいセキュリティ関連情報については、下記にアクセスしてください。

http://www.microsoft.com/japan/technet/security/

状況

Windows NT 4.0 および Windows NT Server Version 4.0, Terminal Server Edition

弊社では、これが原因で Windows NT Version 4.0 および Windows NT Server version 4.0, Terminal Server Edition のセキュリティにある程度の脆弱性が生じる可能性があることを確認済みです。この問題は Windows NT 4.0 Service Pack 4.0 および Windows NT Server 4.0、Terminal Server Edition Service Pack 4 で解決済みです。

Windows NT 3.51

弊社では、これが原因で Windows NT Version 3.51 のセキュリティにある程度の脆弱性が生じる可能性があることを確認済みです。

詳細

この資料は米国 Microsoft Corporation から提供されている Knowledge Base の Article ID 190288 (最終更新日 2000-10-21) をもとに作成したものです。

プロパティ

文書番号: 190288 - 最終更新日: 2014年2月11日 - リビジョン: 1.0
この資料は以下の製品について記述したものです。
  • Microsoft Windows NT Server 3.51
  • Microsoft Windows NT Workstation 4.0 Developer Edition
  • Microsoft Windows NT Server 4.0 Enterprise Edition
  • Microsoft Windows NT Server 4.0 Terminal Server
キーワード:?
kbnosurvey kbarchive kbtshoot _ik KB190288
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com