CVE-2002-2132
CVSS2.1
发布时间 :2002-12-31 00:00:00
修订时间 :2008-09-05 16:32:24
NMCO    

[原文]Windows File Protection (WFP) in Windows 2000 and XP does not remove old security catalog .CAT files, which could allow local users to replace new files with vulnerable old files that have valid hash codes.


[CNNVD]Microsoft Windows文件保护数字签名文件替换漏洞(CNNVD-200212-472)

        
        微软的文件保护系统(WFP)是从Windows 2000开始提供的一种保护重要系统文件的机制,通过对文件数字签名的验证来确认文件未被改动。
        有人发现该机制在实现上存在一个安全问题,可被利用于在系统上放置不易发觉的后门。
        文件保护系统的原理就是为重要系统文件签名,并实时监控对这些文件的改动,如果发现文件被删除或者修改就会从备份的文件中恢复。在恢复前会使用数字签名对文件进行校验,如果发现备份文件也被删除、篡改弹出提示框要求插入Windows 安装光盘恢复原始文件。但如果我们用老版本的,存在安全漏洞的文件去替换系统文件,由于这些文件是已经签名的,所以系统认为文件是合法的。
        

- CVSS (基础分值)

CVSS分值: 2.1 [轻微(LOW)]
机密性影响: NONE [对系统的机密性无影响]
完整性影响: PARTIAL [可能会导致系统文件被修改]
可用性影响: NONE [对系统可用性无影响]
攻击复杂度: LOW [漏洞利用没有访问限制 ]
攻击向量: LOCAL [漏洞利用需要具有物理访问权限或本地帐户]
身份认证: NONE [漏洞利用无需身份认证]

- CPE (受影响的平台与产品)

cpe:/o:microsoft:windows_2000::sp1:professionalMicrosoft Windows 2000 Professional SP1
cpe:/o:microsoft:windows_2000:::datacenter_server
cpe:/o:microsoft:windows_2000::sp1:datacenter_serverMicrosoft Windows 2000 Datacenter Server SP1
cpe:/o:microsoft:windows_2000::sp3:professionalMicrosoft Windows 2000 Professional SP3
cpe:/o:microsoft:windows_xp:::home
cpe:/o:microsoft:windows_2000::sp1:serverMicrosoft Windows 2000 Server SP1
cpe:/o:microsoft:windows_2000::sp3:datacenter_serverMicrosoft Windows 2000 Datacenter Server SP3
cpe:/o:microsoft:windows_2000::sp3:advanced_serverMicrosoft Windows 2000 Advanced Server SP3
cpe:/o:microsoft:windows_xp:::64-bit
cpe:/o:microsoft:windows_xp::gold:professionalMicrosoft Windows XP Professional Gold
cpe:/o:microsoft:windows_2000::sp2:datacenter_serverMicrosoft Windows 2000 Datacenter Server SP2
cpe:/o:microsoft:windows_2000:::server
cpe:/o:microsoft:windows_2000::sp2:advanced_serverMicrosoft Windows 2000 Advanced Server SP2
cpe:/o:microsoft:windows_2000::sp1:advanced_serverMicrosoft Windows 2000 Advanced Server SP1
cpe:/o:microsoft:windows_2000::sp3:serverMicrosoft Windows 2000 Server SP3
cpe:/o:microsoft:windows_2000::sp2:professionalMicrosoft Windows 2000 Professional SP2
cpe:/o:microsoft:windows_2000:::server:jp
cpe:/o:microsoft:windows_2000::sp2:serverMicrosoft Windows 2000 Server SP2
cpe:/o:microsoft:windows_xp::sp1:64-bit
cpe:/o:microsoft:windows_2000:::professional
cpe:/o:microsoft:windows_xp::sp1:home

- OVAL (用于检测的技术细节)

未找到相关OVAL定义

- 官方数据库链接

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2002-2132
(官方数据源) MITRE
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2002-2132
(官方数据源) NVD
http://www.cnnvd.org.cn/vulnerability/show/cv_cnnvdid/CNNVD-200212-472
(官方数据源) CNNVD

- 其它链接及资源

http://www.securityfocus.com/bid/6483
(UNKNOWN)  BID  6483
http://www.iss.net/security_center/static/10957.php
(UNKNOWN)  XF  wfp-security-catalogs(10957)
http://archives.neohapsis.com/archives/bugtraq/2002-12/0250.html
(VENDOR_ADVISORY)  BUGTRAQ  20021226 Full Disclosure: Windows File Protection Old Security Catalog Vulnerability

- 漏洞信息

Microsoft Windows文件保护数字签名文件替换漏洞
低危 设计错误
2002-12-31 00:00:00 2006-04-24 00:00:00
本地  
        
        微软的文件保护系统(WFP)是从Windows 2000开始提供的一种保护重要系统文件的机制,通过对文件数字签名的验证来确认文件未被改动。
        有人发现该机制在实现上存在一个安全问题,可被利用于在系统上放置不易发觉的后门。
        文件保护系统的原理就是为重要系统文件签名,并实时监控对这些文件的改动,如果发现文件被删除或者修改就会从备份的文件中恢复。在恢复前会使用数字签名对文件进行校验,如果发现备份文件也被删除、篡改弹出提示框要求插入Windows 安装光盘恢复原始文件。但如果我们用老版本的,存在安全漏洞的文件去替换系统文件,由于这些文件是已经签名的,所以系统认为文件是合法的。
        

- 公告与补丁

        临时解决方法:
        如果您不能立刻安装补丁或者升级,CNNVD建议您采取以下措施以降低威胁:
        * 建议使用类似Tripwire的第三方文件完整性检查工具定期检查系统文件。
        厂商补丁:
        Microsoft
        ---------
        目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
        
        http://www.microsoft.com/technet/security/

- 漏洞信息

60057
Microsoft Windows File Protection (WFP) Catalog File (.CAT) Modification Hash Code Comparison Bypass
Local Access Required
Loss of Integrity Solution Unknown

- 漏洞描述

Unknown or Incomplete

- 时间线

2002-12-26 Unknow
Unknow Unknow

- 解决方案

Unknown or Incomplete

- 相关参考

- 漏洞作者

Unknown or Incomplete
 

 

关于SCAP中文社区

SCAP中文社区是国内第一个以SCAP为主题的中文开放社区。了解更多信息,请查阅[关于本站]

版权声明

CVE/CWE/OVAL均为MITRE公司的注册商标,它们的官方数据源均保存在MITRE公司的相关网站