據(jù)稱Windows COM結(jié)構(gòu)存在安全問(wèn)題，本地或遠(yuǎn)程攻擊者可以利用這個(gè)漏洞提升特權(quán)或執(zhí)行任意指令。受影響的操作系統(tǒng)和程序在處理COM結(jié)構(gòu)化存儲(chǔ)文件時(shí)，在訪問(wèn)共享內(nèi)存的方式中存在權(quán)限提升漏洞，一個(gè)已登錄的用戶可利用此漏洞完全控制系統(tǒng)。

安全公告牌

　　這是一個(gè)權(quán)限提升漏洞。 成功利用此漏洞的攻擊者可以完全控制受影響的系統(tǒng)。 攻擊者可隨后安裝程序；查看、更改或刪除數(shù)據(jù)；或者創(chuàng)建擁有完全用戶權(quán)限的新賬戶。 要利用此漏洞，攻擊者必須能夠本地登錄到系統(tǒng)并運(yùn)行程序。

　　受影響的系統(tǒng)包括：Windows 2000（SP3、SP4），Windows XP（SP1、SP2），Windows 2003，以及Windows 98等操作系統(tǒng)。使用了Windows OLE組件的Office XP、Office 2003等辦公軟件也會(huì)受到影響。

漏洞的形成原理

　　Webfldrs.msi是Windows系統(tǒng)Web文件夾中的修復(fù)工具，Webfldrs.msi組件在卸載的時(shí)候由于權(quán)限的問(wèn)題而出錯(cuò)，從而彈出一個(gè)提示窗口。這時(shí)線程被掛起，新線程創(chuàng)建初期會(huì)創(chuàng)建一個(gè)堆對(duì)象，而正好這個(gè)對(duì)象可以被寫(xiě)入，攻擊者正是利用這個(gè)寫(xiě)入的機(jī)會(huì)將已經(jīng)準(zhǔn)備好的ShellCode寫(xiě)入到這個(gè)對(duì)象中，從而執(zhí)行自己的ShellCode。

　　提示：ShellCode是一組可以完成我們想要的功能的機(jī)器代碼，這些代碼通常都是以十六進(jìn)制的數(shù)組形式存在的。

實(shí)戰(zhàn)提升權(quán)限

　　我們將會(huì)利用這一漏洞進(jìn)行本地權(quán)限的提升實(shí)驗(yàn)和遠(yuǎn)程權(quán)限的提升實(shí)驗(yàn)。

　　首先打開(kāi)一個(gè)命令提示符窗口，運(yùn)行漏洞利用工具并查看該工具的使用說(shuō)明（圖1）。從圖中我們可以看到該漏洞利用工具的使用說(shuō)明非常詳細(xì)，該工具可以根據(jù)不同的操作系統(tǒng)來(lái)執(zhí)行不同的命令。

　　在Windows 2000（SP4）系統(tǒng)中，我們通過(guò)工具可以得到一個(gè)交互式的Shell，而在其他受影響的系統(tǒng)中只能執(zhí)行非交互式的命令。在圖1中所示的兩段執(zhí)行命令中，前面的參數(shù)是Webfldrs.msi組件的安裝路徑（每個(gè)操作系統(tǒng)的安裝路徑有所不同），后面的參數(shù)則是要執(zhí)行的命令。

　　1.本地權(quán)限提升操作

　　我們首先來(lái)看看利用COM遠(yuǎn)程緩沖區(qū)溢出漏洞在本地的操作使用。

　　在很多特定環(huán)境下的電腦（如學(xué)校機(jī)房、公共場(chǎng)所里的電腦），為了防止使用者進(jìn)行某些操作，電腦的管理者都會(huì)對(duì)電腦的使用權(quán)限加以限制，如只能讀取已有的文件、不能創(chuàng)建新的文件等。然而，通過(guò)這個(gè)漏洞，我們可以將有功能限制的賬戶的權(quán)限提升到最高的管理員權(quán)限。

　　首先用一個(gè)普通用戶的身份進(jìn)行登錄（非管理員）。

　　今天，我們進(jìn)行本地提升權(quán)限的系統(tǒng)是Windows 2000，下面我們就來(lái)進(jìn)行操作。運(yùn)行“cmd”命令打開(kāi)一個(gè)命令提示符窗口。執(zhí)行“c:ms05012.exe "c:windowss
ystem32webfldrs.msi" "cmd.exe"”命令，工具提示命令執(zhí)行成功以后就會(huì)彈出一個(gè)新的命令提示符窗口（圖2）。在這個(gè)窗口中，我們就可以執(zhí)行所有的命令。

　　既然我們的賬戶權(quán)限已經(jīng)得到了提升，現(xiàn)在我們就可以執(zhí)行管理員所能執(zhí)行的所有命令了，包括安裝程序，查看、更改或刪除數(shù)據(jù)，或者創(chuàng)建擁有完全用戶權(quán)限的新賬戶等等。