发布日期：2002-08-06
更新日期：2002-08-12

受影响系统：

Microsoft Windows XP Professional
Microsoft Windows XP Home
Microsoft Windows NT 4.0SP6a
Microsoft Windows NT 4.0SP6
Microsoft Windows NT 4.0SP5
Microsoft Windows NT 4.0SP4
Microsoft Windows NT 4.0SP3
Microsoft Windows NT 4.0SP2
Microsoft Windows NT 4.0SP1
Microsoft Windows NT 4.0 Terminal Server Edition
Microsoft Windows NT 4.0
Microsoft Windows 2000SP3
Microsoft Windows 2000SP2
Microsoft Windows 2000SP1
Microsoft Windows 2000

描述：

---

BUGTRAQ  ID: 5408

Microsoft Windows是由Microsoft公司开发的流行的操作系统。其中Windows中的应用程序通过使用消息来完全控制。

Microsoft Windows消息(Message)子系统在控制这些消息时缺少验证，本地攻击者可以利用这个漏洞进行权限提升。

Windows中的应用程序通过使用消息来完全控制操作，当一个键按下的时候，消息会发送当前激活窗口当键被按下时候的状态，当窗口判断应用程序需要重画客户端区域时，它会发送消息给应用程序。事实上，当任意事件发生的时候应用程序需要捕获并发送消息，这些消息被放置到队列中，并由应用程序处理。

Win32机制在控制这些消息时存在缺陷，任意桌面上的应用程序可以发送消息给相同桌面中任意窗口，而不需要判断窗口是否属于发送的应用程序，也不管目标应用程序是否想要接收这些消息。Win32中对消息的出处没有任何验证机制，一个由恶意引用程序发送的消息和一个由Windows内核发送的消息无从判断。攻击者可以利用这个漏洞，控制消息来操作其他特权桌面应用程序中的窗口，并由特权应用程序进行处理。

<*来源：Chris Paget （ivegotta@tombom.co.uk）
  
  链接：http://security.tombom.co.uk/shatter.html
*>

测试方法：

---

警 告

以下程序(方法)可能带有攻击性，仅供安全研究与教学之用。使用者风险自负！

Chris Paget （ivegotta@tombom.co.uk）提供了如下测试方法：

利用Windows 2000专业版的Network Associates VirusScan v4.5.1程序进行举例，VirusScan控制台在桌面中以LocalSystem权限运行，作者以Guest用户登录，通过如下的操作进行攻击：

1、使用一编辑工具搜索VirusScan中的合适窗口，并获得一窗口进行处理。
2、在编辑工具中去掉任意长度限制，使的攻击者可以输入任何数量的数据。
3、粘贴一些二进制执行代码。
4、迫使VirusScan以LocalSystem权限执行。

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 限制本地访问有漏洞的系统。

厂商补丁：

Microsoft
---------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.microsoft.com/technet/security/

浏览次数：3763
严重程度：0（网友投票）