发布日期：2001-04-03
更新日期：2001-04-03

受影响系统：

ScanMail for Exchange 3.5评估版(可能包含其他版本)

描述：

---

在安装Trend Micro的ScanMail for Exchange (version 3.5)过程中，将创建几个注
册表项，用于保存最后登录用户的身份验证信息。这些身份验证信息至少在本机是有
效的，根据相应用户权限不同，很可能在全NT域内有效。遗憾的是，本机所有用户都
可以读取这几个注册表项。

此外，从管理控制台使用该产品时，也会创建这种不安全的注册表项。由于安装和管
理都需要管理员权限，事实上注册表项中记录的将是一个特权用户的身份验证信息。

注册表项中包含用户名和口令的简单加密形式。用户名和口令循环右移几次后与一个
固定的值(0xB15A0E707EEDEB80F70FB78F1399)异或。比如，管理员的口令是"test"，
下列值之一将保存在注册表项中，C53F7D04、3F7D04C5、7D04C53F、04C53F7D。

这个漏洞潜在导致整个域的安全性被损坏。

<* 来源：Jon Maucher (jmaucher@harris.com) *>


测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

参看漏洞描述

建议：

---

Trend Micro推荐了一个临时修补办法，针对下列两个注册表项做权限限制，只允许
Administrators 和 SYSTEM 完全控制它们，删除其他权限设置。

HKLM\Software\TrendMicro\ScanMail for Exchange\RemoteManagement
HKLM\Software\TrendMicro\ScanMail for Exchange\UserInfo

厂商将在ScanMail for Exchange version 5.1中提供新的加密机制。

浏览次数：3727
严重程度：0（网友投票）