发布日期：2002-12-27
更新日期：2003-01-02

受影响系统：

Microsoft Windows 2000 XP Professional SP1
Microsoft Windows 2000 XP Professional
Microsoft Windows 2000 XP Home SP1
Microsoft Windows 2000 XP Home
Microsoft Windows 2000 Terminal Services SP3
Microsoft Windows 2000 Terminal Services SP2
Microsoft Windows 2000 Terminal Services SP1
Microsoft Windows 2000 Terminal Services
Microsoft Windows 2000 Server SP3
Microsoft Windows 2000 Server SP2
Microsoft Windows 2000 Server SP1
Microsoft Windows 2000 Server
Microsoft Windows 2000 Professional SP3
Microsoft Windows 2000 Professional SP2
Microsoft Windows 2000 Professional SP1
Microsoft Windows 2000 Professional
Microsoft Windows 2000 Datacenter Server SP3
Microsoft Windows 2000 Datacenter Server SP2
Microsoft Windows 2000 Datacenter Server SP1
Microsoft Windows 2000 Datacenter Server
Microsoft Windows 2000 Advanced Server SP3
Microsoft Windows 2000 Advanced Server SP2
Microsoft Windows 2000 Advanced Server SP1
Microsoft Windows 2000 Advanced Server

描述：

---

BUGTRAQ  ID: 6483

微软的文件保护系统（WFP）是从Windows 2000开始提供的一种保护重要系统文件的机制，通过对文件数字签名的验证来确认文件未被改动。

有人发现该机制在实现上存在一个安全问题，可被利用于在系统上放置不易发觉的后门。

文件保护系统的原理就是为重要系统文件签名，并实时监控对这些文件的改动，如果发现文件被删除或者修改就会从备份的文件中恢复。在恢复前会使用数字签名对文件进行校验，如果发现备份文件也被删除、篡改弹出提示框要求插入Windows 安装光盘恢复原始文件。但如果我们用老版本的，存在安全漏洞的文件去替换系统文件，由于这些文件是已经签名的，所以系统认为文件是合法的。

<*来源：Jason Coombs （jasonc@science.org）
  *>

建议：

---

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

* 建议使用类似Tripwire的第三方文件完整性检查工具定期检查系统文件。

厂商补丁：

Microsoft
---------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.microsoft.com/technet/security/

浏览次数：3069
严重程度：0（网友投票）