微軟承認Windows存在提升權限安全漏洞

微軟承認Windows存在一個提升權限安全漏洞
    微軟發(fā)布安全警告稱，其大多數(shù)版本的Windows存在一個安全漏洞。但是，微軟沒有許諾要修復這個安全漏洞，也沒有說它是否要修復這個安全漏洞和什么時候發(fā)布一個補丁。微軟在三個星期前還拒絕承認這個問題是一個安全漏洞。
    微軟在安全公告中把這個安全漏洞歸類為提升權限的安全漏洞。利用這個安全漏洞能夠給攻擊者訪問被攻破的計算機的更大的權限。這個安全漏洞影響到Windows XP專業(yè)版SP2和所有版本的Windows Server 2003、Windows Vista和最新的Windows Server 2008。
    微軟稱，雖然這個安全漏洞存在于Windows操作系統(tǒng)中，但是，攻擊者能夠通過在微軟Web服務器“互聯(lián)網(wǎng)信息服務”上運行的客戶Web應用程序來利用這個安全漏洞。通過SQL服務器也能夠利用這個安全漏洞。
    nCircle網(wǎng)絡安全公司安全運營經(jīng)理Andrew Storms說，Web應用程序以較低的權限運行。利用這個安全漏洞能夠把這個權限提升到本地系統(tǒng)賬戶的權限，離管理員權限不遠了。你能夠使用本地系統(tǒng)賬戶做很多事情。
    阿根廷的一位研究人員和安全顧問Cesar Cerrudo幾個星期前說，他要在即將召開的一個會議上披露一個Windows安全漏洞。Cerrudo在3月末說，這個安全漏洞能夠繞過包括Windows Server 2008在內(nèi)的最新版本的Windows操作系統(tǒng)的安全措施。
    Cerrudo說，通過互聯(lián)網(wǎng)信息服務可以實施這個攻擊。通過在NetworkService(網(wǎng)絡服務)、LocalService(本地服務)和LocalSystem(本地系統(tǒng))等不同的賬戶下運行Web應用程序能夠緩解這個風險。
    微軟安全反應中心發(fā)言人Bill Sick當時說，Cerrudo披露的信息是一個軟件設計瑕疵，不是真正的安全漏洞。他還不重視這個安全漏洞，說Cerrudo的演示沒有說明攻擊者能夠獲得訪問這些可信賴的賬戶的方法。
    Cerrudo在阿聯(lián)酋迪拜舉行的“HITBSecConf2008”會議上演示了這個安全漏洞之后，微軟承認了這個安全漏洞并且向用戶發(fā)布了安全警告。