MS08-049 : 需要哪种认证类型？

MS08-049是针对Windows事件系统服务的更新，修复了一个经过认证的权限提升漏洞（CVE-2008-1456）。我们昨天通过电子邮件收到了一个关于利用该漏洞所需认证类型的问题。我们的安全公告在提及“登录凭据”和“域凭据”时有些模糊。该问题来自一位IT安全经理，他想知道其加固的服务器是否可能被远程攻破。他已禁止普通用户进行本地登录。

事件系统服务在具有默认svchost COM访问权限的共享svchost.exe进程中运行。该服务ACL授予所有认证用户本地或远程访问权限。认证用户组包括所有域用户和目标计算机上的所有本地工作站账户。然而，来宾账户即使启用，也不会被认证，因此COM会阻止调用，无论是本地还是远程进行。MSRC已更新公告以更精确地描述。

我们希望这能澄清该漏洞的风险。由于其影响是经过认证的权限提升，因此仅被评为“重要”。然而，经过认证的攻击者可以远程攻破您网络中任何未打补丁的加入域的Windows机器，包括域控制器或Exchange服务器。这是那些“重要”漏洞中非常需要解决的一个，因此我们强烈建议您应用此更新。

• SVRD博客作者
  发布内容“按原样”提供，不提供任何担保，也不授予任何权利。