Windows NT 4.0 SP6a以下(含SP6a)
描述:
本地或远程攻击者能利用Windows NT本地安全认证子系统 (Local Security Authority,简称LSA) 存在的一个漏洞使安全信息进程中断,造成主机必须重新启动。
本地安全认证(LSA)是Windows NT安全子系统的核心。LSASS.EXE(LSA客户程序)是用于维护名为"本地安全策略"的安全信息系统。存放在系统注册表中的本地安全策略包含了诸如允许或禁止何人访问系统、用户权限、安全审核等信息。大多数的安全子系统组件的运行都需要依赖LSASS进程,包括安全帐号管理器(Security Accounts Manager,简称SAM),和用于验证用户名和口令是否与保存在SAM库中的信息相符的缺省认证包(MSV1_0.DLL)。另外,某些与用户交互的服务也需要LSA,如本地登录进程(WINLOGON.EXE)和网络登录服务(SERVICES.EXE)。
Windows NT提供了一组API接口,用于打开和处理LSA。从编程角度来说,就是通过建立与"本地安全认证系统"的会话来管理本地或远程主机的"本地安全策略"。如果该会话建立成功,则返回一个LSA Policy句柄,供其它API函数调用。
LSA API中的LsaLookupSids()函数用于映射一个或多个用户帐号/组帐号/别名帐号/域名的SID。如果传递给该API的参数不正确,可以导致LSA进程因无效内存访问而出错。
因此本地安全认证子系统的中断将导致所有交互式安全认证无法进行,Windows NT主机必须重新启动。
建议:
Microsoft公司已发布这个漏洞的安全补丁,可从以下网址得到:
x86: http://www.microsoft.com/downloads/release.asp?ReleaseID=16798 Alpha:http://www.microsoft.com/downloads/release.asp?ReleaseID=16799
本文来源:不详 作者:佚名