Connexion

Select the product you need help with

MS99-041 : descripteur de s�curit� permet � une �l�vation des privil�ges sur les ordinateurs distants

Num�ro d'article: 242294 - Voir les produits auxquels s'applique cet article

ATTENTION : Cet article est issu du syst�me de traduction automatique

Cliquez ici si vous souhaitez afficher en c�te � c�te l?article anglais et sa traduction automatique en fran�ais

Agrandir tout | R�duire tout

Un utilisateur malveillant peut pouvoir d�clencher un autre programme � ex�cuter � la place de rasman. Consid�rablement, ce programme s'ex�cuter dans le contexte syst�me et que le programme puisse effectuer presque n'importe quelle action sur l'ordinateur.

Retour au d�but | Envoyer des commentaires

Cause

Ce probl�me se produit car le descripteur de s�curit� qui s�curise le fichier rasman.exe contient inappropri� Access entr�es de contr�le (ACE) dans sa discr�tionnaire Access le liste (DACL). L'ACE incorrect pourrait autoriser un utilisateur sans privil�ge � modifier rasman param�tres d'op�ration (y compris l'emplacement du fichier ex�cutable rasman) utilise Gestionnaire de contr�le des services.

Retour au d�but | Envoyer des commentaires

R�solution

Microsoft a publi� un outil pour r�initialiser les autorisations sur la valeur appropri�e.

Windows NT 4.0

Un correctif qui r�sout ce probl�me est d�sormais disponible aupr�s de Microsoft, mais n'a pas �t� enti�rement r�gression test� et doit �tre appliqu�e uniquement aux syst�mes d�termin�s au risque d'attaque. Veuillez V�rifiez Accessibilit� physique de votre syst�me, un r�seau et un connectivit� Internet, ainsi que d'autres facteurs pour d�terminer le niveau de risque � votre syst�me. Si votre syst�me est r�ellement expos�, Microsoft vous recommande d'appliquer ce correctif. Dans le cas contraire, attendre le prochain service pack Windows NT 4.0 qui comprendra ce correctif pour.

Pour r�soudre ce probl�me imm�diatement, contactez le support technique de Microsoft Services pour obtenir le correctif. Pour une liste compl�te des num�ros de t�l�phone des services de support technique Microsoft et des informations des co�ts de prise en charge, acc�dez � l'adresse suivante sur le World Wide Web :

http://support.microsoft.com/default.aspx?scid=fh;EN-US;CNTACTMS

(http://support.microsoft.com/default.aspx?scid=fh;en-us;cntactms)

Ce correctif a �t� valid� dans l'emplacement Internet suivant que Fixrasi.exe (x 86) et Fixrasa.exe (Alpha) :

ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/usa/nt40/hotfixes-postsp6/security/rasman-fix/

(ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/usa/nt40/Hotfixes-PostSP6/Security/Rasman-fix/)

Remarque : Si vous ex�cutez ce fichier sur un ordinateur qui ne peut pas se connecter au partage IPC $ sur l'ordinateur distant ou si informations d'identification de l'utilisateur connect� ne disposez pas des privil�ges d'administrateur sur l'ordinateur distant, vous pouvez recevoir un message d'erreur indiquant que RasMan n'a pas r�solu.

Terminal Server Edition

Pour r�soudre ce probl�me, soit procurez-vous le correctif r�f�renc� dans cette section ou le Windows NT Server 4.0, �dition Terminal Server, Security Rollup Package (SRP). Pour plus d'informations sur le Security Rollup Package, cliquez sur le num�ro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :

317636

(http://support.microsoft.com/kb/317636/EN-US/ )

Windows NT Server 4.0, �dition Terminal Server, Security Rollup Package

Un correctif est d�sormais disponible aupr�s de Microsoft, mais il ne vise qu'� corriger le probl�me d�crit dans cet article. Il s'appliquent uniquement aux syst�mes qui vous d�terminer sont de subir une attaque. V�rifiez Accessibilit� physique de l'ordinateur, un r�seau et un connexion � Internet, ainsi que d'autres facteurs pour d�terminer le niveau de risque � l'ordinateur. Reportez-vous au associ� Microsoft Security Bulletin

(http://www.microsoft.com/technet/security/bulletin/MS99-041.mspx)

pour aider � d�terminer le niveau de risque. Ce correctif peut subir des tests suppl�mentaires. Si l'ordinateur est r�ellement expos�, nous vous recommandons d'utiliser ce correctif d�s � pr�sent.

Pour r�soudre ce probl�me imm�diatement, t�l�chargez le correctif en suivant les instructions fournies plus loin dans cet article ou contactez le support technique Microsoft afin d'obtenir le correctif logiciel. Pour une liste compl�te des num�ros de t�l�phone des services de support technique Microsoft et des informations sur les frais de support technique, reportez-vous au site de Web Microsoft suivant :

http://support.microsoft.com/contactus/?ws=support

(http://support.microsoft.com/contactus/?ws=support)

note Dans certains cas, frais aucuns de support peuvent �tre factur�s si un technicien du support technique Microsoft d�termine qu'une mise � jour sp�cifique peut r�soudre votre probl�me. Les co�ts habituels du support technique s'appliqueront aux autres questions et probl�mes non trait�s par la mise � jour en question. Ce correctif a �t� valid� dans l'emplacement Internet suivant que Fixrasi.exe (x 86) et Fixrasa.exe (Alpha) :

ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/usa/nt40/hotfixes-postsp6/security/rasman-fix/

(ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/usa/nt40/Hotfixes-PostSP6/Security/Rasman-fix/)

Remarque : les fichiers dans le dossier ci-dessus, ex�cutez sur Windows NT Server 4.0, �dition Terminal Server, trop.

Remarque : Si vous ex�cutez ce fichier sur un ordinateur qui ne peut pas se connecter au partage IPC $ sur l'ordinateur distant ou si informations d'identification de l'utilisateur connect� ne disposez pas des privil�ges d'administrateur sur l'ordinateur distant, vous pouvez recevoir un message d'erreur indiquant que RasMan n'a pas r�solu.

Retour au d�but | Envoyer des commentaires

Statut

Microsoft a confirm� que c'est un probl�me dans les produits Microsoft r�pertori�s au d�but de cet article.

Retour au d�but | Envoyer des commentaires

Plus d'informations

Vous pouvez utiliser l'outil rasman pour g�rer les connexions d'acc�s � distance. Ce probl�me a rien � faire avec rasman lui-m�me ; ce probl�me se produit car il est une opportunit� pour un utilisateur malveillant pour que tout autre code pour ex�cuter � la place de rasman.

Vous pouvez utiliser Gestionnaire de contr�le des services (SCM) pour cr�er ou modifier des services syst�me. Descripteurs de s�curit� contr�le l'acc�s aux objets syst�me d'exploitation. Services (y compris rasman) sont entre les objets pour la s�curit� descripteurs appliquent. Un descripteur de s�curit� inclut une liste DACL. Une liste DACL est une liste d'entr�es de contr�le d'acc�s. Chaque ACE sp�cifie la particulier droits, un utilisateur ou groupe a par rapport � l'objet. Le DACL comprend donc la liste compl�te des droits tous les utilisateurs et groupes par rapport � l'objet.

Comme les d'autres services, rasman DACL doit autoriser uniquement les administrateurs � g�rer rasman. Toutefois, il existe un ACE erron� dans la DACL pour rasman, qui permet � n'importe quel utilisateur de g�rer rasman � l'aide Gestionnaire contr�le des services. Un utilisateur malveillant pourrait exploiter ce probl�me.

Un utilisateur malveillant peut demander une modification de l'emplacement et le nom du programme pour le service. En proc�dant ainsi, un utilisateur malveillant peut remplacer n'importe quel programme arbitraire pour le service l�gitime, qui a pu �tre ex�cut� dans un contexte syst�me. Ce probl�me de s�curit� est exploitable � distance et ce probl�me ne se produit pas accidentellement.

Les privil�ges qu'un utilisateur pourrait obtenir d�pendent de l'ordinateur qui est compromis. Si une station de travail est compromise, les gains utilisateur mal intentionn� contr�le de la station de travail total, mais ne peut pas utiliser directement cette faille de s�curit� pour �tendre le contr�le pour les autres ordinateurs. Toutefois, si un ordinateur critique (par exemple, un contr�leur de domaine) est attaqu�, l'utilisateur malveillant pourrait obtenir un contr�le de l'ensemble du r�seau.

Il n'existe aucun probl�me de fonctionnalit� du service d'acc�s distant (RAS). Ce probl�me est provoqu� because of inappropri�es d'autorisations sur une cl� de Registre ; il s'agit coincidental que la cl� du Registre est associ�e au service RAS. RAS lui-m�me, y compris ses fonctionnalit�s de s�curit� n'est pas affect� par ce probl�me.

Reportez-vous pour des informations connexes sur ce probl�me, reportez-vous � la Microsoft adresse suivante :

http://www.microsoft.com/technet/security/bulletin/MS99-041.mspx

(http://www.microsoft.com/technet/security/bulletin/MS99-041.mspx)

Pour plus li�s � la s�curit� savoir produits Microsoft, reportez-vous au Veuillez adresse site Web de Microsoft � l'adresse suivante :

http://www.microsoft.com/security/

(http://www.microsoft.com/security/)

Retour au d�but | Envoyer des commentaires

Propri�t�s

Num�ro d'article: 242294 - Derni�re mise � jour: mercredi 1 novembre 2006 - Version: 6.1

Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):

Microsoft Windows NT Server 4.0, Terminal Server Edition
Microsoft Windows NT Workstation 4.0 �dition D�veloppeur
Microsoft Windows NT Server 4.0 Standard Edition
Microsoft Windows NT Server 4.0 �dition Entreprise

kbmt kbhotfixserver kbqfe kbbug kbfix kbsectools kbsecurity KB242294 KbMtfr

Traduction automatique

IMPORTANT : Cet article est issu du syst�me de traduction automatique mis au point par Microsoft (http://support.microsoft.com/gp/mtdetails). Un certain nombre d?articles obtenus par traduction automatique sont en effet mis � votre disposition en compl�ment des articles traduits en langue fran�aise par des traducteurs professionnels. Cela vous permet d?avoir acc�s, dans votre propre langue, � l?ensemble des articles de la base de connaissances r�dig�s originellement en langue anglaise. Les articles traduits automatiquement ne sont pas toujours parfaits et peuvent comporter des erreurs de vocabulaire, de syntaxe ou de grammaire (probablement semblables aux erreurs que ferait une personne �trang�re s?exprimant dans votre langue !). N�anmoins, mis � part ces imperfections, ces articles devraient suffire � vous orienter et � vous aider � r�soudre votre probl�me. Microsoft s?efforce aussi continuellement de faire �voluer son syst�me de traduction automatique.

La version anglaise de cet article est la suivante: 242294

(http://support.microsoft.com/kb/242294/en-us/ )

L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Retour au d�but | Envoyer des commentaires