首页 -> 安全研究

安全研究

安全漏洞
微软简体中文输入法(IME)状态判断错误安全漏洞(MS00-069)

发布日期:2000-09-29
更新日期:2000-09-29

受影响系统:
Microsoft Windows IME
    - Microsoft Windows 2000 Server SP1
    - Microsoft Windows 2000 Server
    - Microsoft Windows 2000 Professional SP1
    - Microsoft Windows 2000 Professional
不受影响系统:
Microsoft Windows IME
    - Microsoft Windows NT 4.0 SP6
Microsoft Windows IME
    - Microsoft Windows NT 4.0 SP5
Microsoft Windows IME
    - Microsoft Windows NT 4.0 SP4
Microsoft Windows IME
    - Microsoft Windows NT 4.0
Microsoft Windows IME
    - Microsoft Windows 98
Microsoft Windows IME
    - Microsoft Windows 95
描述:
BUGTRAQ  ID: 1729
CVE(CAN) ID: CVE-2000-0933

输入法编辑器(IME)使得用户可以使用标准的101键盘输入中文等双字节语言。

Windows 2000提供的简体中文输入法(IME)实现上存在漏洞,能物理接触计算机或通过终端服务访问的攻击者可以利用此漏洞直接获得主机的管理员权限。

如果一个IME在系统初始设置时被安装,缺省它也会出现在登录界面中。这时IME应当判断自身运行在什么环境中(例如,是本地系统还是用户环境),然后提供不同的功能。然而,Windows 2000提供的简体中文输入法(IME)没有正确的检查当前运行环境,错误的将一些危险功能提供给了还处于登录界面的用户。因此,如果恶意用户可以通过物理键盘或者终端服务会话访问到受影响系统,它就可以绕过登录机制,获得系统的管理权限。

这个漏洞缺省只影响Windows 2000简体中文版。对于其他版本的Windows 2000(例如英文版),只有默认设置时选择了安装简体中文IME, 才会受到影响。

NSFOCUS安全小组研究后发现,对于其他版本的Windows 2000(例如英文版),如果是在默认安装之后安装了简体中文IME或者其他第三方IME,在系统默认登录界面不会受到影响,但是处在"工作站锁定"状态的系统仍然受此问题的影响。恶意用户可以轻易突破锁定状态,进入系统。

另见NSFOCUS紧急安全公告(Alert2000-ch-001):

http://www.nsfocus.net/index.php?act=advisory&do=view&adv_id=3

<*来源:fuu (fuu@ynmail.com
  
  链接:http://www.nsfocus.net/index.php?act=advisory&do=view&adv_id=3
        http://www.microsoft.com/technet/security/bulletin/MS00-069.asp
*>

测试方法:

警 告

以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!

1. 在Windows 2000登陆界面将光标移至用户名输入框,按键盘上的Ctrl+Shift键,这时在缺省的安装状态下会出现输入法状态条(例如全拼,双拼,郑码等等)
  
2. 将鼠标移至输入法状态条点击鼠标右键,在出现的对话框中选择"帮助",选择"操作指南" 或"输入法入门"(微软拼音输入法和智能ABC没有这个选项),在出现的"操作指南"或"输入法入门"窗口中会出现几个按钮,在"选项"栏中可以对网络设置进行修改。
  
3. 在窗口的标题栏上右键,选择"跳至URL...",在对话框中输入"c:\"等路径,就可以看到目录内容。尽管不能直接进入目录、打开文件、执行程序,但是可以进行更名、删除、共享等操作。也可以在帮助文件中查找链接,在链接上按Shift+鼠标左键,可以打开一个IE的窗口。在里面可以浏览本地硬盘以及网络邻居,访问控制面板等资源,也可以打开执行任意程序。
  
4. 对于安装了Service Pack 1的Windows 2000系统,在IE窗口中不能直接进入目录,打开文件也不能执行程序。但是仍然可以删除或者拷贝程序,攻击者也可以通过将重要目录/文件设置成共享来远程访问。

建议:
临时解决方法:

鉴于此漏洞的严重性,NSFOCUS安全小组经过研究,提供了两种临时解决方法:

方法一:

Windows系统的输入法文件的后缀是*.ime ,在Windows2000系列中是放置在本身安装目录(例如:C:\WINNT)中的system32文件夹中,一共有六个文件分别对应的是:

WINABC.IME    智能ABC输入法
PINTLGNT.IME  微软拼音输入法
WINGB.IME     内码输入法
WINPY.IME     全拼输入法
WINSP.IME     双拼输入法
WINZM.IME     郑码输入法

目前发现微软拼音输入法和智能ABC输入法不受此问题影响。

NSFOCUS安全小组建议您将其它输入法文件删除或者改名存放。

对于其它的的微软以及第三方输入法,也可能存在问题,建议用户根据测试步骤中的介绍自行检查。

方法二:

因为这些操作是通过调用输入法的帮助文件来进行的。您也可以通过删除或者重命名输入法的帮助文件来加以解决。经过搜索Windows2000有将近几百个帮助文件,其中输入法分别对应的是安装目录(例如:C:\WINNT)中help文件夹中:

WINIME.CHM     输入法操作指南
WINSP.CHM      双拼输入法帮助
WINZM.CHM      郑码输入法帮助
WINPY.CHM      全拼输入法帮助
WINGB.CHM      内码输入法帮助

对于其它的的微软以及第三方输入法,也可能存在问题,建议用户根据测试步骤中的介绍自行检查。

厂商补丁:

Microsoft
---------
Microsoft已经为此发布了一个安全公告(MS00-069)以及相应补丁:
MS00-069:Patch Available for "Simplified Chinese IME State Recognition" Vulnerability
链接:http://www.microsoft.com/technet/security/bulletin/MS00-069.asp

补丁下载:

- Microsoft Windows 2000, Simplified Chinese version:
   http://www.microsoft.com/Downloads/Release.asp?ReleaseID=24631
- Microsoft Windows 2000, English version:
   http://www.microsoft.com/Downloads/Release.asp?ReleaseID=24627

浏览次数:7000
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障