发布日期：2008-08-12
更新日期：2008-08-15

受影响系统：

Microsoft Windows XP SP3
Microsoft Windows XP SP2
Microsoft Windows Vista SP1
Microsoft Windows Vista
Microsoft Windows Server 2008
Microsoft Windows Server 2003 SP2
Microsoft Windows Server 2003 SP1
Microsoft Windows 2000SP4

描述：

---

BUGTRAQ  ID: 30584
CVE(CAN) ID: CVE-2008-1457

Microsoft Windows是微软发布的非常流行的操作系统。

Microsoft Windows事件系统在创建用户订阅时没有正确地验证订阅请求，导致权限提升漏洞。成功利用此漏洞的攻击者可以完全控制受影响的系统。攻击者随后可安装程序；查看、更改或删除数据；或者创建拥有完全管理权限的新帐户。

<*来源：Yamata Li
  
  链接：http://secunia.com/advisories/31417/
        http://www.microsoft.com/technet/security/bulletin/MS08-049.mspx?pf=true
        http://www.us-cert.gov/cas/techalerts/TA08-225A.html
*>

建议：

---

临时解决方法：

* 注销es.dll，请执行下列步骤：
    
    1. 以拥有管理特权的用户身份登录。
    2. 单击“开始”，单击“运行”，键入cmd，然后单击“确定”。
    3. 在命令提示符处键入以下命令：

regsvr32 /-u %WINDIR%\SYSTEM32\es.dll
  
* 停止和禁用系统事件通知和COM+事件系统服务
    
    交互式：
    
    1. 单击“开始”，然后单击“控制面板”。或者，指向“设置”，然后单击“控制面板”。
    2. 双击“管理工具”。或者，单击切换到“经典视图”，然后双击“管理工具”。
    3. 双击“服务”。
    4. 双击“系统事件通知”。
    5. 在“启动类型”列表中，单击“禁用”。
    6. 单击“停止”，然后单击“确定”。
    
    您也可以通过在命令提示符（Windows XP中及Microsoft Windows 2000的资源工
    具包中均有提供）处使用以下命令来停止和禁用系统事件通知服务：

sc stop sens & sc config sens start= disabled

    然后对COM+事件系统重复上述步骤。
    
    您也可以通过在命令提示符（Windows XP中及Windows 2000的资源工具包中均有
    提供）处使用以下命令来停止和禁用COM+事件系统服务：

sc stop eventsystem & sc config eventsystem start= disabled

* 修改es.dll上的访问控制列表
    
    在Windows XP和Windows Server 2003上：
    
    1. 以拥有管理员特权的用户身份登录。
    2. 单击“开始”，单击“运行”，键入cmd，然后单击“确定”。
    3. 记下文件上的当前 ACL（包括继承设置），以便将来必须撤消此修改时作为参
    考。要查看ACL，请键入以下内容：

cacls %WINDIR%\SYSTEM32\es.DLL

    4. 要拒绝“everyone”组访问该文件，请在命令提示符处键入以下内容：

echo y| cacls %WINDIR%\SYSTEM32\es.DLL /E /P everyone:N

    在Windows Vista上：
    
    1. 以拥有管理员特权的用户身份登录。
    2. 单击“开始”，单击“运行”，键入cmd，然后单击“确定”。
    3. 记下文件上的当前 ACL（包括继承设置），以便将来必须撤消此修改时作为参
    考。要查看ACL，请键入以下内容：

cacls %WINDIR%\SYSTEM32\es.DLL

    4. 要允许“everyone”组访问该文件，请在命令提示符处键入以下内容：

takeown.exe /f %WINDIR%\SYSTEM32\es.DLL
icacls.exe %WINDIR%\SYSTEM32\es.DLL /save %TEMP%\es_ACL.TXT
icacls.exe %WINDIR%\SYSTEM32\es.DLL /allow everyone:(F)

厂商补丁：

Microsoft
---------
Microsoft已经为此发布了一个安全公告（MS08-049）以及相应补丁:
MS08-049：Vulnerabilities in Event System Could Allow Remote Code Execution (950974)
链接：http://www.microsoft.com/technet/security/bulletin/MS08-049.mspx?pf=true

浏览次数：2637
严重程度：0（网友投票）