|
2002年 微软发布今年第16号安全公告
公告页面
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS02-016.asp
公告所提及的补丁程序页面
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=36844
补丁的绝对地址
http://download.microsoft.com/download/win2000platform/Patch/Q318593/NT5/CN/Q318593_W2K_SP3_X86_CN.exe
公告的翻译文章
开放的组策略文件会妨碍策略应用(MS02-016)
2002年04月05日 11:01:32
发布日期:2002-4-4
安全威胁:中等
安全影响:攻击者能妨碍组策略应用
CVE CAN ID:CAN-2002-0051
受影响系统:
Microsoft Windows 2000 Server
Microsoft Windows 2000 Advanced Server
Microsoft Windows 2000 Datacenter Server
漏洞描述:
Windows 2000中的组策略是存储在活动目录中和域控制器的系统卷中。这种存储单元位置被称为组策略对象(GPO)。当机器或者用户登陆到域的时候,就读取GPO并把这些设置应用起来。默认情况下,每90分钟就会刷新多数设置。然而比如多数操作系统,Windows2000提供几种读方式,包括exclusive-read,但是这种方式会锁定组策略文件。因此会让用户能够阻止组策略从GPO应用到用户上。
攻击者首先需要正常登陆到域种,然后用排外读(exclusive read)方式读取组策略文件。然后再次登录到域中。因为组策略被锁定了,第二次登录不会提供组策略。这样的会造成的结果是,尽管先前应用的则策略都被保留下来,但是新的策略设置不会提供。攻击者的第二次会话就只采用那些最近被提供的组策略。
这只会影响到攻击者,任何其他的用户是不会被影响的。然而,与攻击无关的用户组是不会终止被锁定的策略。组策略应用是透明过程,因此用户是不会察觉到有已定策略没有被提供。
缓解因素:
1、这个漏洞只会锁定新的组策略设置,但是先前提供的策略都会被保留下来。
2、只有那么拥有帐号的用户才能利用该漏洞。
3、攻击者能够获得的特殊权限依靠管理员自定义的组策略。
4、这个漏洞不会让攻击者修改则策略或者获得组信任。
5、管理员能够使用MMC中的共享文件夹查看是否有组策略文件被打开。
解决方案:
微软已经为此发布了一个安全公告(MS02-016)以及相应补丁程序:
http://www.microsoft.com/technet/security/bulletin/MS02-016.asp
补丁下载:
http://www.microsoft.com/Downloads/Release.asp?ReleaseID=36844
|
