SecHole permite não administrativas utilizadores obter Debug nível acesso para um processo do sistema

Traduções de Artigos Traduções de Artigos
Artigo: 190288 - Ver produtos para os quais este artigo se aplica.
Este artigo foi arquivado. Este artigo é oferecido "tal como está" e deixará de ser actualizado.
Expandir tudo | Reduzir tudo

Nesta página

Sintomas

Um utilitário, Sechole.exe, está a ser circulam na Internet que executa um conjunto muito sofisticado dos passos que permite a um utilizador sem direitos administrativos ter acesso de nível de depuração num processo de sistema. Utilizar este utilitário, a não - administrativos utilizador é capaz de executar alguns código no contexto de segurança do sistema e assim conceder própria ou herself privilégios administrativos locais no sistema.

Causa

Sechole.exe localiza o endereço de memória de uma determinada função da API (OpenProcess) e modifica as instruções nesse endereço numa imagem em execução do programa exploração no sistema local. Sechole.exe pedidos de depuração direitos que permite que privilégios elevados. O pedido é efectuada com êxito porque a verificação de acesso para este direito deve ser efectuado na API que foi modificado com êxito pelo programa exploração. Sechole.exe agora pode adicionar o utilizador chamado Sechole.exe para o grupo de administradores local.

Resolução

Windows NT 4.0

Para resolver este problema, obtenha o service pack mais recente do Windows NT versão 4.0. Para mais informações, consulte o seguinte artigo na base de dados de conhecimento da Microsoft.

ID artigo: 152734
TÍTULO: Como obter o Service Pack mais recente do Windows NT 4.0


Enquanto esta correcção está incluída no Service Pack 4, também está disponível individualmente. Esta correcção assegura que a verificação de acesso conceder os direitos é efectuada através do servidor e não no cliente. Esta correcção já foi registada como Privfixi.exe (x 86) e Privfixa.exe (Alpha). Para sua conveniência, a versão inglesa desta correcção pós-SP3 foi registada a seguinte localização na Internet. No entanto, a Microsoft recomenda que instale o Windows NT 4.0 Service Pack 4 para corrigir este problema.

ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/usa/NT40/hotfixes-postSP3/priv-fix/


Windows NT Server versão 4.0, Terminal Server Edition

Para resolver este problema, obtenha o service pack mais recente para o Windows NT Server 4.0, Terminal Server Edition. Para obter informações adicionais, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
152734Como obter o Service Pack mais recente do Windows NT 4.0

Esta correcção assegura que a verificação de acesso conceder os direitos é efectuada através do servidor e não no cliente. Esta correcção foi registada na seguinte localização de Internet que Privfixi.exe (x 86) e Privfixa.exe (Alpha):

ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/usa/NT40TSE/hotfixes-postSP3/priv-fix/

Windows NT 3.51

A Microsoft confirmou que este problema pode resultar num certo grau de vulnerabilidade da segurança no Windows NT versão 3.51. Está agora disponível uma correcção suportada totalmente; no entanto,-não tem foi totalmente regressão testado e só deve ser aplicada a sistemas determinados para correrem o risco de ataque. Avalie Consulte acessibilidade física do sistema, rede e conectividade da Internet e outros factores para determinar o grau de risco para o sistema. Se o sistema for suficientemente susceptíveis, a Microsoft recomenda que transfira a correcção conforme descrito abaixo e aplica esta correcção.

Para obter uma lista completa dos números de telefone de suporte técnico da Microsoft e informações sobre os custos de suporte, visite o seguinte endereço na World Wide Web:

http://support.microsoft.com/default.aspx?scid=fh;EN-US;CNTACTMS
Esta correcção deve ter os seguintes atributos de ficheiro:

Reduzir esta tabelaExpandir esta tabela
DataTempoTamanhoNome do ficheiroPlataforma
07/31/9802: 47 p31,184Csrsrv.dllx 86
07/31/9802: 48 p4,400CSRSS.exex 86
07/31/9805: 47 p48,400Csrsrv.dllAlfa
07/31/9805: 48 p5,904CSRSS.exeAlfa


Esta correcção assegura que a verificação de acesso conceder os direitos é efectuada através do servidor e não no cliente. Esta correcção foi registada na seguinte localização de Internet que Privfixi.exe (x 86) e Privfixa.exe (Alpha):

ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/usa/NT351/hotfixes-postSP5/priv-fix/

Mais Informação

Esta exploração pode permitir potencialmente a um utilizador sem direitos administrativos obter acesso administrativo local para o efeito ao sistema e assim elevar respectivo privilégios no sistema. Para executar este ataque, o utilizador tem de ter uma conta local válida no sistema e tem de ter acesso físico ao computador iniciar sessão localmente para o efeito ao sistema.

Sistemas sensíveis, tais como os controladores de domínio do Windows NT onde não - administrativos os utilizadores não tem qualquer registo local nos direitos por predefinição, não são susceptíveis a esta ameaça. O ataque não pode ser utilizado através da rede para obter privilégios administrativos de domínio remotamente.

Para mais informações, consulte o seguinte boletim de segurança da Microsoft em:

http://www.microsoft.com/technet/security/bulletin/ms98-009.mspx
Para obter relacionadas com segurança informações adicionais sobre produtos da Microsoft, vá para:

http://www.microsoft.com/security/

Ponto Da Situação

Versão do Windows NT 4.0 e Windows NT Server 4.0, Terminal Server Edition

A Microsoft confirmou que este problema pode provocar um certo grau de vulnerabilidade de segurança no Windows NT versão 4.0 e Windows NT Server versão 4.0, Terminal Server Edition. Este problema foi corrigido pela primeira vez no Windows NT 4.0 Service Pack 4.0 e Windows NT Server 4.0, Terminal Server Edition Service Pack 4.

Windows NT 3.51

A Microsoft confirmou que este problema pode resultar num certo grau de vulnerabilidade da segurança no Windows NT versão 3.51.

Propriedades

Artigo: 190288 - Última revisão: 9 de fevereiro de 2014 - Revisão: 1.3
A informação contida neste artigo aplica-se a:
  • Microsoft Windows NT Server 4.0 Terminal Server
  • Microsoft Windows NT Server 3.51
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft Windows NT Workstation 3.51
  • Microsoft Windows NT Workstation 4.0 Developer Edition
  • Microsoft Windows NT Server 4.0 Enterprise Edition
Palavras-chave: 
kbnosurvey kbarchive kbmt kbbug kbfix KB190288 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática? erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 190288

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com