微软Windows 2000登录验证机制可被绕过

发布日期：2000-09-26


受影响的软件及系统：
====================
- Microsoft Windows 2000
- Microsoft Windows 2000 with SP1

未受影响的软件及系统：
======================
- Microsoft Windows 98/95
- Microsoft Windows NT 4.0 with SP4/SP5/SP6

综述：
======
近日国内人士发现了Windows 2000系统的一个严重安全漏洞。任何能够物理访问Windows 2000系统控制台或者通过终端服务器登录的用户都可能获得对系统的完全控制权。

分析：
======
这个问题影响所有使用简体中文输入法的Windows 2000系统。很多微软自带的简体中文输入法中的帮助栏包含了一些选项可以打开浏览器窗口或者进行一些设置。正常情况下，在用户未登录进系统时，用户不应该被允许访问这些选项。但是，在Windows 2000进行登录验证的提示界面下，用户可以打开各种输入法的帮助栏，并可以利用其中的一些功能访问文件系统。这也就绕过了Windows 2000的登录验证机制，并能以管理员权限访问系统。

通常攻击者只有获得对系统的物理访问权限才可以利用此漏洞进行攻击，但是，如果系统安装了Terminal Service (终端服务)，攻击者也可能通过网络进行远程攻击。

根据我们得到的消息，"fuu" 于2000年6月份独立发现了此漏洞，并于8月在凯利(kali)的"有问有答"中发布了这个漏洞。

(如果哪位网友知道其他的消息，请通知我们(mailto:security@nsfocus.com)。我们会在公告中注明。谢谢。)

测试方法：
==========
1. 在Windows 2000登陆界面将光标移至用户名输入框，按键盘上的Ctrl+Shift键，这时在缺省的安装状态下会出现输入法状态条(例如全拼，双拼，郑码等等)
  
2. 将鼠标移至输入法状态条点击鼠标右键，在出现的对话框中选择"帮助"，选择"操作指南"或"输入法入门"（微软拼音输入法和智能ABC没有这个选项），在出现的"操作指南"或"输入法入门"窗口中会出现几个按钮，在"选项"栏中可以对网络设置进行修改。
  
3. 在窗口的标题栏上右键，选择"跳至URL..."，在对话框中输入"c:\"等路径，就可以看到目录内容。尽管不能直接进入目录、打开文件、执行程序，但是可以进行更名、删除、共享等操作。
  
   也可以在帮助文件中查找链接，在链接上按Shift+鼠标左键，可以打开一个IE的窗口。在里面可以浏览本地硬盘以及网络邻居，访问控制面板等资源，也可以打开执行任意程序。
  
4. 对于安装了Service Pack 1的Windows 2000系统，在IE窗口中不能直接进入目录，打开文件也不能执行程序。但是仍然可以删除或者拷贝程序，攻击者也可以通过将重要目录/文件设置成共享来远程访问。

解决方法：
==========
鉴于此漏洞的严重性，NSFOCUS安全小组经过研究，提供了两种临时解决方法：

方法一：

Windows系统的输入法文件的后缀是*.ime ，在Windows2000系列中是放置在本身安装目录（例如：C:\WINNT）中的system32文件夹中，一共有六个文件分别对应的是：

WINABC.IME    智能ABC输入法
PINTLGNT.IME  微软拼音输入法
WINGB.IME     内码输入法
WINPY.IME     全拼输入法
WINSP.IME     双拼输入法
WINZM.IME     郑码输入法

目前发现微软拼音输入法和智能ABC输入法不受此问题影响。

NSFOCUS安全小组建议您将其它输入法文件删除或者改名存放。

对于其它的的微软以及第三方输入法，也可能存在问题，建议用户根据测试步骤中的介绍自行检查。

方法二：

因为这些操作是通过调用输入法的帮助文件来进行的。您也可以通过删除或者重命名输入法的帮助文件来加以解决。经过搜索Windows2000有将近几百个帮助文件，其中输入法分别对应的是安装目录(例如：C:\WINNT)中help文件夹中：

WINIME.CHM     输入法操作指南
WINSP.CHM      双拼输入法帮助
WINZM.CHM      郑码输入法帮助
WINPY.CHM      全拼输入法帮助
WINGB.CHM      内码输入法帮助

对于其它的的微软以及第三方输入法，也可能存在问题，建议用户根据测试步骤中的介绍自行检查。

厂商状态：
==========
微软于2000年9月29日发布了新的安全公告 MS00-069:

http://www.microsoft.com/technet/security/bulletin/MS00-069.asp

并提供了补丁程序下载地址，

简体中文Windows 2000 : http://www.microsoft.com/Downloads/Release.asp?ReleaseID=24631
英文版Windows 2000 :   http://www.microsoft.com/Downloads/Release.asp?ReleaseID=24627

我们推荐使用Windows 2000系统的用户尽快下载并安装相应的补丁。

声 明
==========

本安全公告仅用来描述可能存在的安全问题，绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告，必须保证此安全公告的完整性，包括版权声明等全部内容。未经绿盟科技允许，不得任意修改或者增减此安全公告内容，不得以任何方式将其用于商业目的。

关于绿盟科技
============

绿盟科技（NSFOCUS Co., Ltd.）是中国网络安全领域的领导企业，致力于网络和系统安全问题的研究、高端网络安全产品的研发、销售与网络安全服务，在入侵检测/保护、远程评估、 DDoS攻击防护等方面提供具有国际竞争能力的先进产品，是国内最具安全服务经验的专业公司。有关绿盟科技的详情请参见： http://www.nsfocus.com

© 2024 绿盟科技