Win2000 NetDDE消息权限提升漏洞

QQ空间 新浪微博 微信 QQ facebook twitter
漏洞ID 1206000 漏洞类型 访问验证错误
发布时间 2001-02-07 更新时间 2005-10-12
CVE编号 CVE-2001-0015 CNNVD-ID CNNVD-200103-072
漏洞平台 N/A CVSS评分 7.2
|漏洞来源
http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-200103-072
|漏洞详情
CVE(CAN)ID:CVE-2001-0015网络动态数据交换(NetworkDynamicDataExchange)是一种在不同的Windows机器上的应用程序之间动态共享数据的技术。这种共享是通过名为受信任共享(trustedshares)的通信通道来完成的,受信任共享由网络DDE代理服务来管理。本地机器上的进程可以向网络DDE代理发出请求,包括指定针对某个特定的受信任共享应该运行什么应用程序。但是由于网络DDE代理运行在本地系统用户的安全上下文中并在此安全上下文中处理所有请求,因此攻击者就有机会让网络DDE代理在本地系统用户的安全上下文中执行其指定的代码,从而提升权限并完全控制本地机器。细节描述如下:NetworkDDEDSDM(DDEShareDatabaseManager)服务负责维护所有活动的网络DDE共享的一个列表并管理NetDDE连接。当该服务启动时,在当前登录用户的桌面上将创建一个隐藏的IPC窗口,用来与打开了DDE特性的应用程序进行通信。该窗口所处理的消息及其格式未在正式文档中描述。窗口的名字是"NetDDEAgent",类名是"NDDEAgent"。由于窗口是由WINLOGON创建的,窗口过程将运行在WINLOGON的进程空间中,它以SYSTEM的权限来处理消息。该窗口所处理的消息之一是"WM_COPYDATA"消息,DDE用该消息将一块内存从一个进程传递给另一个进程。绝大多数窗口间通信通常是由PostMessage()来完成的,但WM_COPYDATA消息却是由SendMessage()函数来发送的,并由底层的消息子系统(CSRSS)作为一种特殊情况进行处理。通过该消息发送给隐藏窗口的结构具有如下格式:4字节-E1DDE1DD(魔数:0xDDE1DDE1)4字节-01000000(未知:0x00000001)4字节-01000000(未知:0x00000001)8字节-0500000900000001(DDEShareModId)4bytes-CCCCCCCC(未知:未使用?)ASCIIZ-"SHARENAME$"(以NULL结尾的串:DDE受信任的共享名)ASCIIZ-"cmd.exe"(以NULL结尾的串:DDE服务器启动命令)当上述缓冲区传递给窗口过程时,它将首先检查3个魔数(即前12个字节)的值,如果与上述的值不同,则消息处理过程将
|参考资料

来源:MS
名称:MS01-007
链接:http://www.microsoft.com/technet/security/bulletin/MS01-007.asp
来源:ATSTAKE
名称:A020501-1
链接:http://www.atstake.com/research/advisories/2001/a020501-1.txt
来源:XF
名称:win-dde-elevate-privileges(6062)
链接:http://xforce.iss.net/xforce/xfdb/6062
来源:BID
名称:2341
链接:http://www.securityfocus.com/bid/2341