SecHole 可讓非系統管理使用者在偵錯系統處理序層級存取

文章翻譯 文章翻譯
文章編號: 190288 - 檢視此文章適用的產品。
本文已封存。本文係以「現狀」提供且不會再更新。
全部展開 | 全部摺疊

在此頁中

徵狀

公用程式 Sechole.exe,是正在執行,讓非系統管理使用者能夠取得系統處理序的偵錯層級存取一非常複雜的組的步驟在網際網路上發行。使用此公用程式、 非-系統管理使用者是能夠系統安全性內容中執行某些程式碼,並藉此給予本人或自己在系統上的本機系統管理權限。

發生的原因

Sechole.exe 找出特定 API 函式 (OpenProcess) 的記憶體位址,然後修改該位址執行影像中指示的惡意程式在本機系統上。Sechole.exe 要求偵錯權限該讓它更高的權限。要求是成功的因為預期這個權限,存取檢查會在被惡意程式成功地修改的 API 中完成。Sechole.exe 現在可以新增 Sechole.exe 叫用本機系統管理員群組的使用者。

解決方案

Windows NT 4.0

如果要解決這個問題,取得最新的 Service Pack 的 Windows NT 4.0 版。如需詳細資訊請參閱下列文章 「 Microsoft 知識庫 」 中。

發行項識別碼: 152734
TITLE: 如何取得最新的 Windows NT 4.0 Service Pack


當此 Hotfix 隨附服務套件 4 時也是可以使用個別。此 Hotfix 可確保伺服器,並不在用戶端,即可完成存取檢查,以授與任何權限。此修正程式已發佈為 Privfixi.exe (x86) 和 Privfixa.exe (Alpha)。為了您的方便此張貼 SP3 Hotfix 的英文版已發佈至下列網際網路位置。不過,Microsoft 建議您安裝 Windows NT 4.0 服務套件 4 以更正此問題。

ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/usa/NT40/hotfixes-postSP3/priv-fix/


Windows NT Server 4.0 終端機伺服器版版

如果要解決這個問題,取得最新的 Service Pack,終端機伺服器版 Windows NT Server 4.0。如需詳細資訊按一下 [下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項]:
152734如何取得最新的 Windows NT 4.0 Service Pack

此 Hotfix 可確保伺服器,並不在用戶端,即可完成存取檢查,以授與任何權限。此修正程式張貼至下列網際網路位置為 Privfixi.exe (x86) 和 Privfixa.exe (Alpha):

ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/usa/NT40TSE/hotfixes-postSP3/priv-fix/

Windows NT 3.51

Microsoft 已確認此問題可能會導致某種程度的 Windows NT 3.51 的版本中的安全性弱點。完全支援的修正您現在可以取得,但它有未經完整的迴歸測試,應該只套用到系統判定為攻擊風險。請評估您的系統實體存取設定、 網路及網際網路連線能力以及其他因素,以判斷您的系統的風險程度。如果您的系統是夠風險,Microsoft 建議您下載此修正程式,如下所述,套用此修正程式。

如需 Microsoft 技術的支援電話號碼] 和 [資訊] 支援費用的完整清單,請到下列地址在全球資訊網上:

http://support.microsoft.com/default.aspx?scid=fh;EN-US;CNTACTMS
此修正程式應該具有下列檔案屬性:

摺疊此表格展開此表格
日期時間大小檔案名稱平台
07/31/9802: 47 p31,184Csrsrv.dllx86
07/31/9802: 48 p4,400Csrss.exex86
07/31/9805: 47 p48,400Csrsrv.dllAlpha
07/31/9805: 48 p5,904Csrss.exeAlpha


此 Hotfix 可確保伺服器,並不在用戶端,即可完成存取檢查,以授與任何權限。此修正程式張貼至下列網際網路位置為 Privfixi.exe (x86) 和 Privfixa.exe (Alpha):

ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/usa/NT351/hotfixes-postSP5/priv-fix/

其他相關資訊

這個削弱點可能可以讓非系統管理使用者存取本機系統管理系統並藉此提升系統上的 [他或她的權限。若要進行這項攻擊使用者必須有一個有效的本機帳戶,在系統上,而且必須有實體存取電腦,以從本機登入系統。

例如 Windows NT 網域控制站的機密系統其中非-系統管理使用者在本機的任何記錄檔上沒有權限依預設,並不容易受到這項威脅的影響。攻擊無法在網路上用來從遠端取得網域系統管理權限。

如需詳細資訊,請參閱下列 Microsoft 安全性公告,在:

http://www.microsoft.com/technet/security/bulletin/ms98-009.mspx
如需安全性相關有關的詳細資訊的 Microsoft 產品,請至:

http://www.microsoft.com/security/

狀況說明

Windows NT 4.0 和 Windows NT Server 版本 4.0 終端機伺服器版本

Microsoft 已確認此問題可能會導致某種程度的 Windows NT 4.0 版中的安全性弱點和 Windows NT Server 4.0,版終端機伺服器版本。這個問題已經先在 Windows NT 4.0 服務套件 4.0 和 Windows NT Server 4.0 終端機伺服器版服務套件 4 中獲得修正。

Windows NT 3.51

Microsoft 已確認此問題可能會導致某種程度的 Windows NT 3.51 的版本中的安全性弱點。

屬性

文章編號: 190288 - 上次校閱: 2013年10月9日 - 版次: 1.3
這篇文章中的資訊適用於:
  • Microsoft Windows NT Server 4.0, Terminal Server Edition
  • Microsoft Windows NT Server 3.51
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft Windows NT Workstation 3.51
  • Microsoft Windows NT Workstation 4.0 Developer Edition
  • Microsoft Windows NT Server 4.0 Enterprise Edition
關鍵字:?
kbnosurvey kbarchive kbmt kbbug kbfix KB190288 KbMtzh
機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:190288
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com