绿盟安全月刊->第14期->最新漏洞 微软简体中文输入法(IME)状态判断错误安全漏洞

日期：2000-10-07

受影响的系统:  
- Microsoft Windows 2000
- Microsoft Windows 2000 with SP1
不受影响系统:  
- Microsoft Windows 98/95
- Microsoft Windows NT 4.0 with SP4/SP5/SP6
描述:
--------------------------------------------------------------------------------


输入法编辑器(IME)使得用户可以使用标准的101键盘输入中文等双字节语言。如果一个
IME在系统初始设置时被安装，缺省它也会出现在登录界面中。这时IME应当判断自身运
行在什么环境中（例如，是本地系统还是用户环境），然后提供不同的功能。然而，
Windows 2000提供的简体中文输入法(IME)没有正确的检查当前运行环境，错误的将一些
危险功能提供给了还处于登录界面的用户。因此，如果恶意用户可以通过物理键盘或者
终端服务会话访问到受影响系统，它就可以绕过登录机制，获得系统的管理权限。

这个漏洞缺省只影响Windows 2000简体中文版。对于其他版本的Windows 2000(例如英文
版),只有缺省设置时选择了安装简体中文IME, 才会受到影响。

NSFOCUS安全小组研究后发现，对于其他版本的Windows 2000(例如英文版),如果是在缺省
安装之后安装了简体中文IME或者其他第三方IME，在系统缺省登录界面不会受到影响，但
是处在"工作站锁定"状态的系统仍然受此问题的影响。恶意用户可以轻易突破锁定状态，
进入系统。

另见NSFOCUS紧急安全公告(Alert2000-ch-001)：

http://security.nsfocus.com/showQueryL.asp?libID=404


<*来源："fuu" (fuu@ynmail.com)
        Microsoft Security Bulletin (MS00-069)
*>


测试程序：
--------------------------------------------------------------------------------

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！



1. 在Windows 2000登陆界面将光标移至用户名输入框，按键盘上的Ctrl+Shift键，这时在缺
   省的安装状态下会出现输入法状态条(例如全拼，双拼，郑码等等)
   
2. 将鼠标移至输入法状态条点击鼠标右键，在出现的对话框中选择"帮助"，选择"操作指南"
   或"输入法入门"（微软拼音输入法和智能ABC没有这个选项），在出现的"操作指南"或"输
   入法入门"窗口中会出现几个按钮，在"选项"栏中可以对网络设置进行修改。
   
3. 在窗口的标题栏上右键，选择"跳至URL..."，在对话框中输入"c:\"等路径，就可以看到目
   录内容。尽管不能直接进入目录、打开文件、执行程序，但是可以进行更名、删除、共享等
   操作。
   
   也可以在帮助文件中查找链接，在链接上按Shift+鼠标左键，可以打开一个IE的窗口。在
   里面可以浏览本地硬盘以及网络邻居，访问控制面板等资源，也可以打开执行任意程序。
   
4. 对于安装了Service Pack 1的Windows 2000系统，在IE窗口中不能直接进入目录，打开文件
   也不能执行程序。但是仍然可以删除或者拷贝程序，攻击者也可以通过将重要目录/文件设置
   成共享来远程访问。


--------------------------------------------------------------------------------
建议:

临时解决方案：

鉴于此漏洞的严重性，NSFOCUS安全小组经过研究，提供了两种临时解决方法：

方法一：

Windows系统的输入法文件的后缀是*.ime ，在Windows2000系列中是放置在本身安装目
录（例如：C:\WINNT）中的system32文件夹中，一共有六个文件分别对应的是：

WINABC.IME    智能ABC输入法
PINTLGNT.IME  微软拼音输入法
WINGB.IME     内码输入法
WINPY.IME     全拼输入法
WINSP.IME     双拼输入法
WINZM.IME     郑码输入法

目前发现微软拼音输入法和智能ABC输入法不受此问题影响。

NSFOCUS安全小组建议您将其它输入法文件删除或者改名存放。

对于其它的的微软以及第三方输入法，也可能存在问题，建议用户根据测试步骤中的介绍
自行检查。

方法二：

因为这些操作是通过调用输入法的帮助文件来进行的。您也可以通过删除或者重命名输
入法的帮助文件来加以解决。经过搜索Windows2000有将近几百个帮助文件，其中输入法
分别对应的是安装目录(例如：C:\WINNT)中help文件夹中：

WINIME.CHM     输入法操作指南
WINSP.CHM      双拼输入法帮助
WINZM.CHM      郑码输入法帮助
WINPY.CHM      全拼输入法帮助
WINGB.CHM      内码输入法帮助

对于其它的的微软以及第三方输入法，也可能存在问题，建议用户根据测试步骤中的介绍
自行检查。

厂商补丁:
微软于2000年9月29日发布了新的安全公告 MS00-069:

http://www.microsoft.com/technet/security/bulletin/MS00-069.asp

并提供了补丁程序下载地址，

简体中文Windows 2000 : http://www.microsoft.com/Downloads/Release.asp?ReleaseID=24631
英文版Windows 2000 :   http://www.microsoft.com/Downloads/Release.asp?ReleaseID=24627

我们推荐使用Windows 2000系统的用户尽快下载并安装相应的补丁。