CVE-2002-0367

Суть уязвимости

Уязвимость в отладочном подсистеме smss.exe (Session Manager Subsystem) позволяет локальному пользователю подключиться к отладчику другого процесса без должной аутентификации. Это может быть использовано для перехвата управления процессом, работающим с повышенными привилегиями (например, от имени SYSTEM или администратора), что в итоге приводит к полному повышению привилегий злоумышленника в системе.

Как исправить

Установите официальный патч от Microsoft. Для разных версий Windows требуются разные обновления:

• Windows NT 4.0: Установите пакет обновления SP6a.
• Windows 2000: Установите пакет обновления SP3 или более поздний. Конкретное исправление содержится в накопительном пакете обновления безопасности MS02-032 (выпущен в июне 2002 года).
• Windows XP: Установите пакет обновления SP1 или более поздний. Конкретное исправление также входит в MS02-032.

Рекомендуемое действие: Убедитесь, что на всех уязвимых системах установлены последние доступные пакеты обновления (Service Packs) и все критические обновления безопасности через Центр обновления Windows.

Временное решение

Поскольку уязвимость локальная и затрагивает базовый механизм отладки, эффективных временных решений на уровне сетевых настроек или WAF не существует. Единственная временная мера — строгое ограничение физического и логического доступа к уязвимым серверам.

1. Минимизация прав пользователей: Убедитесь, что на сервере нет локальных пользователей с ненужными привилегиями. Все пользователи должны работать с минимально необходимыми правами.
2. Аудит учетных записей: Регулярно проверяйте список локальных пользователей и групп (особенно с правами администратора) на наличие несанкционированных записей.
3. Изоляция систем: Ограничьте доступ к уязвимым системам по сети и физически. Они не должны быть доступны для широкого круга пользователей до момента установки патча.

Важно: Данные меры лишь снижают риск эксплуатации, но не устраняют саму уязвимость. Установка патча обязательна.