微点交流论坛

标题: Microsoft Windows权限扩大的漏洞 [打印本页]

作者: pioneer 时间: 2008-4-28 17:11 标题: Microsoft Windows权限扩大的漏洞

来源

secunia.com

操作系统

Microsoft Windows Server 2008
Microsoft Windows Server 2003 Datacenter Edition
Microsoft Windows Server 2003 Enterprise Edition
Microsoft Windows Server 2003 Standard Edition
Microsoft Windows Server 2003 Web Edition
Microsoft Windows XP Professional
Microsoft Windows Storage Server 2003
Microsoft Windows Vista

描述

这个错误允许代码运行NetworkService的文本和LocalService帐户访问运行相同权限下的其它进程资源，但是需要提高他们的权限为LocalSystem

执行成功后可执行任意localsystem权限的代码，但是需要通过IIS (ASP.NET代码在完全可信或通过ISAPI扩展/过滤器)和
SQL Server (当以管理权限读取和运行代码时)来在上下文运行验证

解决方案

Microsoft已经为应用程序池执行了WPI(Worker Process Identity)

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn