Partager via

Security Advisory 951306 - haavoittuvuus Windowsissa

  • Article

Microsoft on julkaissut uuden Security Advisoryn numeroltaan 951306 ja otsikoltaan Vulnerability in Windows Could Allow Elevation of Privilege. Advisory koskee Windowsissa ja siinä suoritettavissa palveluissa raportoitua haavoittuvuutta. Haavoittuvuus on parhaillaan Microsoft Security Response Centerin tutkinnassa ja siihen tehdään ja julkaistaan korjaus, mikäli tutkimuksen tulos sille antaa aihetta. 

Tämän hetkisen tiedon mukaan haavoittuvuus koskee kaikkia tällä hetkellä tuettuja Windowsin versioita: 

- Windows XP Professional Service Pack 2

- Windows Server 2003 Service Pack 1 and Windows Server 2003 Service Pack 2

- Windows Server 2003 x64 Edition and Windows Server 2003 x64 Edition Service Pack 2

- Windows Server 2003 with SP1 for Itanium-based Systems and Windows Server 2003 with SP2 for Itanium based Systems

- Windows Vista and Windows Vista Service Pack 1

- Windows Vista x64 Edition and Windows Vista x64 Edition Service Pack 1

- Windows Server 2008 for 32-bit Systems

- Windows Server 2008 for x64-based Systems

- Windows Server 2008 for Itanium-based Systems

Haavoittuvuus littyy em. Windowsin versioissa suoritettaviin palveluihin, joita suoritetaan NetworkService- tai LocalService-tunnusten turvin. Jos ulkopuolinen hyökkääjä pääsee lisäämään omaa ohjelmakoodiaan tällaisiin palveluihin, esimerkiksi Internet Information Service -palveluun, on sitä kauttaa mahdollisuus päästä käsiksi muiden saman käyttäjätunnuksen turvin suoritettvien palvelujen resursseihin, ja sitä kauttaa mahdollisesti päästä korottamaan käyttöoikeuksia aina LocalSystem-tasolle. 

Haavoittuvuuteen ei siis ole korjausta vielä olemassa - mitä voin tehdä haavoittuvuuden aiheuttaman riskin pienentämiseksi?
Advisoryssä on ohjeita esim. IIS-palvelujen muuttamisesta niin, että niitä ei enää suoriteta oletuksena käytettävän NetworkService-tunnuksen turvin, vaan palvelua varten määritetään jokin toinen käyttäjätunnus. Kannattaa myös tarkistaa muut palvelut, joihin on mahdollisuus lisätä suoritettavaa ohjelmakoodia ja joita suoritetaan joko NetworkService- tai LocalService-tunnuksen turvin, ja tutkia, onko mahdollista muuttaa käyttäjätunnus, jonka turvin palvelua suoritetaan, joksikin muuksi tunnukseksi.