MS02-001: SID forjado poderia resultar em privilégios elevados no Windows 2000

IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.

Clique aqui para ver a versão em Inglês deste artigo: 289243
Este artigo foi arquivado. É oferecido "como está" e não será mais atualizado.
Sintomas
Microsoft Windows NT e Windows 2000 protegem recursos de sistema com listas de controle de acesso (ACLs). As ACLs são listas de identificadores de segurança (SIDs) e listas de direitos de acesso ou as permissões concedidas a esse objeto de segurança. Os SIDs são em relação a um domínio. O SID de um usuário ou grupo de um domínio sempre se baseia no SID do domínio e identifica exclusivamente o usuário ou grupo. ACLs são colocadas em um recurso para indicar quais usuários e grupos têm permissão para acessar o recurso e o nível de acesso os usuários e grupos têm permissão. Quando um usuário tenta acessar o recurso, o Windows compara a lista de SIDs na ACL à lista de SIDs que identificar o usuário e a própria participações de grupos, e concede ou nega acesso conforme apropriado.

Quando um usuário faz logon em um domínio, SID da conta do usuário e participação no grupo de SIDs são determinados por um controlador de domínio no domínio da conta do usuário. O SID do domínio confiável, o ID relativo (RID) da conta do usuário, o RID do grupo primário do usuário e os SIDs de todos os outros membros do grupo são combinadas em uma estrutura de dados de autorização e passado para o computador solicitante. Se o controlador de domínio de autenticação está executando o Windows 2000, ele também verifica para determinar se o usuário possui qualquer SIDs em seu atributo SIDHistory e inclui os SIDs nos dados de autorização.

Se o computador que está solicitando autenticação do usuário estiver em um domínio diferente da conta do usuário, a autenticação ocorre por meio de uma relação de confiança. Relação de confiança é criada entre domínios baseados no Windows NT ou baseado no Windows 2000 para simplificar a experiência do usuário autenticação--especialmente habilitando single sign-on. Quando um domínio confia no outro, isso significa que o domínio confiante permite que o domínio confiável autenticar os usuários (ou computadores) cujas contas ele gerencia. Durante a autenticação, o computador no domínio confiante aceita dados de autorização fornecidos pelo controlador de domínio confiável. Não é possível para o computador que está solicitando autenticação para determinar a validade das informações de autorização, portanto, ele aceita os dados como precisa com base na existência da relação de confiança.

Existe uma vulnerabilidade porque o domínio confiante não verifica se o domínio confiável é realmente autoritativo para todos os SIDs nos dados de autorização. Se um dos SIDs na lista identifica um usuário ou grupo de segurança que não esteja no domínio confiável, o domínio confiante aceita as informações e usa-o para decisões de controle de acesso subseqüentes. Se um invasor inserir SIDs em dados de autorização no domínio confiável, poderia elevar privilégios aos que estão associados com qualquer usuário ou grupo, inclusive o grupo Administradores de domínio para o domínio confiante. Isso permitiria ao invasor obter acesso completo de administrador de domínio em computadores no domínio confiante.

Exploração dessa vulnerabilidade poderia ser um desafio. No mínimo, um invasor precisaria privilégios administrativos no domínio confiável e a técnica wherewithal para modificar funções de sistema operacional de nível inferior e estruturas de dados. O Windows 2000 fornece um mecanismo para introduzir SIDs adicionais em dados de autorização, conhecidos como SIDHistory. No entanto, não existe nenhuma interface de programação que permitiria que um invasor--mesmo com direitos administrativos--apresentar um SID para as informações de histórico SID; em vez disso, um invasor precisaria executar uma edição das estruturas de dados que armazenam as informações de histórico SID binária. Para combater esses ataques possíveis, a Microsoft adicionou um recurso chamado filtragem de SID para Windows NT 4.0 e Windows 2000. Com a filtragem SID, um administrador pode causar os controladores de domínio em um determinado domínio para um domínio confiável "quarentena". Isso faria com que os controladores de domínio no domínio confiante para remover todos os SIDs que não estão em relação ao domínio confiável de quaisquer dados autorização são recebidos do domínio. Colocar em quarentena é executada do domínio confiante e é feita por domínio.

Filtragem de SID bloqueia confiança transitiva do Windows 2000. Se um domínio em quarentena estiver localizado no caminho de confiança entre dois domínios, os usuários de domínios do outro lado do domínio em quarentena não é possível acessar recursos no domínio de quarentena. Por esse motivo, domínios em quarentena devem ser folha domínios, os domínios filho devem ser somente domínios de recurso que não contêm nenhuma conta de usuário ou o domínio em quarentena deve ser em uma floresta separada.

Um administrador do Windows 2000 não deve usar o recurso de filtragem SID para criar um domínio de "acesso restrito" em uma floresta. O cenário de quarentena recomendada é colocar em quarentena somente os domínios em florestas separadas. Deve ser estabelecida uma relação de confiança do domínio que deve ser protegido para o domínio que deve ser colocado em quarentena e, em seguida, o domínio confiante deve ser configurado para filtrar os SIDs do domínio confiável.

Microsoft recomenda que você não use essa filtragem SID entre domínios na mesma floresta porque ele interrompe o comportamento de confiança e autenticação de padrão de uma floresta, incluindo a replicação entre florestas e é provável que levar a problemas com programas que podem ser difíceis de solucionar. Este artigo contém uma lista de programas e funcionalidades que são conhecidos por mau funcionamento em ambientes de filtragem SID. Não usar domínios de acesso restrito e siga as recomendações que estão listadas acima, se você precisar esses programas ou funcionalidade. Microsoft não pode fornecer soluções alternativas para esses problemas.
Resolução
Para resolver esse problema, obtenha o Windows 2000 Security Rollup Package 1 (SRP1). Para obter informações adicionais sobre o SRP1, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
311401Windows 2000 Security Rollup Package 1 (SRP1), janeiro de 2002
A versão em inglês dessa correção deve ter os seguintes atributos de arquivo ou posteriores:
   Date         Time   Version        Size     File name   -----------------------------------------------------------------   08-Oct-2001  19:13  5.0.2195.4472  123,664  Adsldp.dll   08-Oct-2001  19:13  5.0.2195.4308  130,832  Adsldpc.dll   08-Oct-2001  19:13  5.0.2195.4016   62,736  Adsmsext.dll   08-Oct-2001  19:13  5.0.2195.4384  364,816  Advapi32.dll   08-Oct-2001  19:13  5.0.2195.4141  133,904  Dnsapi.dll   08-Oct-2001  19:13  5.0.2195.4379   91,408  Dnsrslvr.dll   08-Oct-2001  19:19  5.0.2195.4411  529,168  Instlsa5.dll   08-Oct-2001  19:13  5.0.2195.4437  145,680  Kdcsvc.dll   04-Oct-2001  21:00  5.0.2195.4471  199,440  Kerberos.dll   04-Sep-2001  09:32  5.0.2195.4276   71,024  Ksecdd.sys   27-Sep-2001  15:58  5.0.2195.4411  511,248  Lsasrv.dll    128-bit   06-Sep-2001  18:31  5.0.2195.4301  507,152  Lsasrv.dll     56-bit   06-Sep-2001  18:31  5.0.2195.4301   33,552  Lsass.exe   27-Sep-2001  15:59  5.0.2195.4285  114,448  Msv1_0.dll   08-Oct-2001  19:14  5.0.2195.4153  312,080  Netapi32.dll   08-Oct-2001  19:13  5.0.2195.4357  370,448  Netlogon.dll   08-Oct-2001  19:13  5.0.2195.4464  912,656  Ntdsa.dll   08-Oct-2001  19:13  5.0.2195.4433  387,856  Samsrv.dll   08-Oct-2001  19:13  5.0.2195.4117  111,376  Scecli.dll   08-Oct-2001  19:13  5.0.2195.4476  299,792  Scesrv.dll   29-May-2001  07:41  5.0.2195.3649    5,632  Sp2res.dll   08-Oct-2001  19:13  5.0.2195.4025   50,960  W32time.dll   01-Aug-2001  21:44  5.0.2195.4025   56,592  W32tm.exe   08-Oct-2001  19:13  5.0.2195.4433  125,712  Wldap32.dll				
Observação : devido a dependências do arquivo, esse hotfix requer o Microsoft Windows 2000 Service Pack 2.
Situação
A Microsoft confirmou que esse problema pode causar um grau de vulnerabilidade de segurança no Microsoft Windows 2000.
Mais Informações
Para obter mais informações sobre essa vulnerabilidade, consulte o seguinte site:

Configurando a filtragem SID

Você pode configurar SID filtragem com a versão atualizada do Windows 2000 Service Pack 2 (SP2) do utilitário Netdom.exe em domínios baseados no Windows 2000. Para filtragem SID para funcionar corretamente, SP2 deve ser instalado em cada controlador de domínio no domínio confiante (o domínio que é colocar em quarentena outro domínio). A versão atualizada do Netdom.exe está incluída na pasta Support\Tools no CD-ROM do SP2, ou você pode baixar do site da Microsoft. A / filtersids opção foi adicionada para esta versão de Netdom.exe para configurar a filtragem SID.

Para os domínios baseados no Windows 2000, para colocar em quarentena um domínio, usar o comando a seguir uma vez em um controlador de domínio no domínio (neste exemplo, o domínio RESDOM estiver filtrando o domínio ACCDOM):
netdom confiar RESDOM /D:ACCDOM /UD:ACCDOM\Administrator /PD:adminpwd /UO:RESDOM\Administrator /PO: adminpwd /filtersids:yes
O comando relacionado para desabilitar a filtragem SID é:
confiança Netdom RESDOM /D:ACCDOM /UD:ACCDOM\Administrator /PD:adminpwd /UO:RESDOM\Administrator /PO:adminpwd /filtersids:no
Para verificar as configurações de filtragem SID em um domínio, use este comando:
netdom confiar RESDOM /D:ACCDOM /UD:ACCDOM\Administrator /PD: adminpwd /UO:RESDOM\Administrator /PO:adminpwd /filtersids
Replicação do Active Directory típica faz com que a configuração para ser propagada para todos os controladores de domínio no domínio.

Autenticação e auditoria de alterações

Consulte a Ajuda on-line no Windows 2000 para obter informações sobre como configurar a auditoria no Windows 2000.

Quando uma relação de confiança é estabelecida, o domínio confiante cria e armazena uma estrutura de dados chamada um objeto de domínio confiável (TDO) que contém o SID do domínio confiável e outras informações sobre a relação de confiança. Quando a filtragem SID é habilitado para um domínio confiável, autenticações ao domínio que não têm êxito se os dados de autorização apresenta um domínio SID que não coincide com o SID no TDO do domínio confiante para o domínio em quarentena. Essa circunstância pode ocorrer somente se os dados de autorização foi alterados. Se a autenticação não terá êxito na forma e no logon ou logoff de auditoria é ativada, um evento é gerado no log de eventos no controlador de domínio que está processando a solicitação de autenticação no domínio confiante.

SP2 inclui um novo evento de auditoria de segurança com evento ID 548 para a autenticação NTLM e adiciona uma nova falha (0xC000019B) de código ao evento ID 677 durante a autenticação Kerberos. Esses são eventos de falha de logon ou logoff que são gerados quando o SID do domínio é "falsa". As entradas de exemplo a seguir demonstram esses eventos.

Durante a NTLM autenticação:
   Event Type:     Failure Audit   Event Source:   Security   Event Category: Logon/Logoff   Event ID:       548   Date:           Event date   Time:           Event time   User:           NT AUTHORITY\SYSTEM   Computer:       Name of the computer where the event is logged   Description:     Logon Failure.     Reason:                 Domain sid inconsistent     User Name:              Name of the user being authenticated     Domain:                 Name of the Quarantined Domain     Logon Type:             3     Logon Process:          NtLmSsp     Authentication Package: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0     Workstation Name:       Name of the client computer				
durante a autenticação Kerberos:
   Event Type:     Failure Audit   Event Source:   Security   Event Category: Account Logon   Event ID:       677   Date:           Event date   Time:           Event time   User:           NT AUTHORITY\SYSTEM   Computer:       Name of the computer where the event is logged   Description:     Service Ticket Request Failed:     User Name:              Name of the user being authenticated     User Domain:            Name of the user's Domain     Service Name:           Full qualified name of the Quarantined Domain     Ticket Options:         0x0     Failure Code:           0xC000019B     Client Address:         127.0.0.1   Event Type:     Failure Audit   Event Source:   Security   Event Category: Logon/Logoff    Event ID:       537   Date:           Event date   Time:           Event time   User:           NT AUTHORITY\SYSTEM   Computer:       Name of the client computer   Description:     Logon Failure:     Reason:                 An unexpected error occurred during logon     User Name:              Name of the user being authenticated     Domain:                 Name of the user's Domain     Logon Type:             2     Logon Process:          User32       Authentication Package: Negotiate     Workstation Name:       Name of the client computer 				

Limitações da filtragem SID

Há três possíveis desvantagens associadas ao SID filtragem que potencialmente pode impedir que alguns usuários obtenham acesso a recursos para os quais eles estão autorizados:
  • Filtragem de SID e SIDHistory são mutuamente exclusivos mecanismos. Se a filtragem de SID está em efeito em um domínio, ela filtra as informações de histórico SID na entrada dados de autorização de domínios em quarentena.
  • Filtragem de SID pode bloquear os benefícios único sign-on de confiança transitiva no Windows 2000. Por exemplo, suponha que domínio que A confia no domínio B e o domínio B confia no domínio C. normalmente, no Windows 2000, um usuário de domínio C podem acessar os recursos no domínio porque o domínio A confia transitivamente no domínio C. No entanto, se domínio A tiver filtragem SID em vigor para o domínio B, ele não permitiria que B para comprovar para um usuário de domínio do domínio C, porque o domínio B não está autorizado para SIDs no domínio C.
  • Filtragem de SID filtra SIDs estão associados com membros de um usuário em grupos universais se os grupos não são mantidos no domínio da conta do usuário.

Programas e recursos incompatíveis

Os seguintes programas e recursos do Windows 2000 são conhecidos por ser incompatível com a filtragem SID:
  • Membros de grupos universais para todos os grupos universais que não estão no domínio de conta do usuário
  • Recursos do Microsoft Exchange 2000 que dependem de grupos universais
  • Histórico SID das contas migradas
  • Relação de confiança transitiva não funciona corretamente
  • A replicação do Active--para isso Directory motivo em particular, filtragem de SID não deve ser usado entre domínios na mesma floresta. Filtragem de SID deve ser usado somente para filtrar em relações de confiança externas.
Para obter informações adicionais sobre como obter um hotfix para Windows 2000 Datacenter Server, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
265173O Produto Datacenter Program e o Windows 2000 Datacenter Server
Para obter informações adicionais sobre como instalar diversos hotfixes com apenas uma reinicialização, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
296861Como instalar múltiplas atualizações do Windows ou hotfixes com apenas uma reinicialização
security_patch kbWin2000srp1

Aviso: este artigo foi traduzido automaticamente

Propriedades

ID do Artigo: 289243 - Última Revisão: 12/06/2015 00:35:27 - Revisão: 4.1

Microsoft Windows 2000 Server SP1, Microsoft Windows 2000 Server SP2, Microsoft Windows 2000 Advanced Server SP1, Microsoft Windows 2000 Advanced Server SP2

  • kbnosurvey kbarchive kbmt kbbug kbfix kbsecbulletin kbsechack kbsecurity kbsecvulnerability kbwin2000presp3fix kbwin2000sp3fix KB289243 KbMtpt
Comentários