SecHole 用于非管理用户增益调试级访问到系统进程

文章翻译 文章翻译
文章编号: 190288 - 查看本文应用于的产品
本文已归档。它按“原样”提供,并且不再更新。
展开全部 | 关闭全部

本文内容

症状

是被一个实用程序 Sechole.exe,circulated 执行非常复杂的一组步骤使非管理级用户可以获得系统进程调试级别访问权限在 Internet 上。使用此实用程序、 在非管理用户是能够在系统的安全上下文中运行某些代码,从而在系统上的本地管理权限授予自己或她自己。

原因

Sechole.exe 查找特定的 API 函数 (OpenProcess) 的内存地址,并修改漏洞攻击程序在本地系统上的正在运行的图像中的该地址处的说明。Sechole.exe 请求调试权限,使它提升权限。该请求是成功的因为此权限访问检查即将进行的修改成功利用此漏洞程序 API 中。Sechole.exe 现在可以添加调用为本地管理员组 Sechole.exe 的用户。

解决方案

Windows 4.0 NT

若要解决此问题,获得最新的 service pack,对于 Windows NT 4.0 版。有关详细的信息,请参阅下面 Microsoft 知识库中相应的文章。

文章 ID: 152734
TITLE: 如何获取最新的 Windows NT 4.0 服务包


Service Pack 4 中包含此修补程序时也是可用分别。此修补程序可确保向其授予任何权限访问检查通过服务器并不是客户端。此修复程序已过帐 Privfixi.exe (x86) 和 $ Privfixa.exe (字母)。为了方便您使用此 SP3 修复程序的英文版已过帐到以下的 Internet 位置。但是,Microsoft 建议您安装 Windows NT 4.0 Service Pack 4 来更正此问题。

ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/usa/NT40/hotfixes-postSP3/priv-fix/


Windows NT Server 4.0,终端服务器版版

若要解决此问题,获得最新的 service pack,对于 Windows NT Server 4.0,终端服务器版。有关更多的信息请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
152734如何获取最新的 Windows NT 4.0 服务包

此修补程序可确保向其授予任何权限访问检查通过服务器并不是客户端。此修复程序已过帐到以下的 Internet 位置,作为 Privfixi.exe (x86) 和 $ Privfixa.exe (字母):

ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/usa/NT40TSE/hotfixes-postSP3/priv-fix/

Windows 3.51 NT

Microsoft 已经确认此问题可能会导致一定程度的 Windows NT 3.51 的版本中的安全漏洞。完全支持的修补程序现,但它尚未完全回归测试,只应将其应用于系统确定存在攻击的风险。请评估您的系统的物理可访问性、 网络和 Internet 连接以及其他因素,以便确定您的系统的风险的程度。如果您的系统的风险程度较高,Microsoft 建议您下载此修补程序,如下所述,并应用此修复程序。

有关 Microsoft 技术支持电话号码和支持成本的信息的完整列表,请访问下面的地址在万维网上:

http://support.microsoft.com/default.aspx?scid=fh;EN-US;CNTACTMS
此修补程序应该具有以下文件属性:

收起该表格展开该表格
日期时间大小文件名称平台
07/31/9802: 47 p31,184Csrsrv.dllx86
07/31/9802: 48 p4,400Csrss.exex86
07/31/9805: 47 p48,400Csrsrv.dll字母
07/31/9805: 48 p5,904Csrss.exe字母


此修补程序可确保向其授予任何权限访问检查通过服务器并不是客户端。此修复程序已过帐到以下的 Internet 位置,作为 Privfixi.exe (x86) 和 $ Privfixa.exe (字母):

ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/usa/NT351/hotfixes-postSP5/priv-fix/

更多信息

此漏洞可以潜在地允许非管理用户获得对系统的本地管理访问权限,从而提升在系统上的他或她的权限。若要进行这种攻击用户必须具有一个有效的本地帐户,在系统上,并且具有能够物理访问计算机本地登录到系统。

例如,Windows NT 域控制器的敏感系统的非管理用户不具有任何本地日志上的权限默认情况下,不容易受到此威胁的影响。攻击不能用于通过网络获得远程域管理权限。

有关详细的信息,请参阅下面的 Microsoft 安全公告,在:

http://www.microsoft.com/technet/security/bulletin/ms98-009.mspx
有关 Microsoft 产品的其他与安全相关信息,请访问:

http://www.microsoft.com/security/

状态

4.0,终端服务器版的 Windows NT 4.0 和 Windows NT 服务器版本

Microsoft 已经确认此问题可能会导致一定程度的 Windows NT 4.0 版中的安全漏洞和 Windows NT Server 4.0,版终端服务器版。Windows NT 4.0 服务包 4.0 和 Windows NT Server 4.0,终端服务器版 Service Pack 4 中,第一次已得到纠正此问题。

Windows 3.51 NT

Microsoft 已经确认此问题可能会导致一定程度的 Windows NT 3.51 的版本中的安全漏洞。

属性

文章编号: 190288 - 最后修改: 2013年10月9日 - 修订: 1.3
这篇文章中的信息适用于:
  • Microsoft Windows NT Server 4.0 Terminal Server(终端服务器)
  • Microsoft Windows NT Server 3.51
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft Windows NT Workstation 3.51
  • Microsoft Windows NT Workstation 4.0 开发员版
  • Microsoft Windows NT Server 4.0 企业版
关键字:?
kbnosurvey kbarchive kbmt kbbug kbfix KB190288 KbMtzh
机器翻译
注意:这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇,语法或文法的问题,就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量,但是我们不保证机器翻译的正确度,也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。
点击这里察看该文章的英文版: 190288
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com