Опрос
Вы участвуете в программе Windows Insider?
Популярные новости
Обсуждаемые новости

22.02.2007 12:49 | Cliff Parker

Недавно была обнаружена серьезная ошибка безопасности в новом инструменте Microsoft для удаленной установки, который называется Windows Deployment Service (WDS).

Вот в чем заключается уязвимость: можно получить полный доступ к командной строке (CMD) и к локальному жесткому диску. И все это можно осуществить без специальной аутентификации и прочих требований, вроде имени пользователя и пароля, цифровых ключей и т.д.

Только подумайте о последствиях: пользователь может получить доступ к важной информации, скопировать конфиденциальные документы, изменить настройки и прочее.

Подробности уязвимости:

  • Перезагрузите ваш компьютер, который подключен к сети (с PXE карточкой, конечно).
  • Загрузитесь с PXE на локальный WDS сервер.
  • PXE получит адрес и ответ от локального сервера WDS, и от пользователя потребуется нажать F12.
  • Пользователь нажимает на клавишу F12.
  • WDS сервер отвечает компьютеру, закачивая загрузочный образ (Windows PE).
  • Когда пользователь дойдет до диалога авторизации, где нужно выбрать его специфический установочный образ, нужно нажать вместо авторизации Shift+F10.
  • Вы обратите внимание на показавшуюся командную строку, и будете перенаправлены в диск X:\ (Win PE RAM диск).
  • Измените текущий путь на C:\
  • Вот и все. Теперь вы находитесь на локальном диске.



Примечание: Возможность нажатия F10 поддерживается в операционных системах, начиная с Windows 2000.


Источник: http://bink.nu
Перевод: Cliff Parker

Комментарии

Комментариев нет...
Для возможности комментировать войдите в 1 клик через

По теме

Акции MSFT
420.55 0.00
Акции торгуются с 17:30 до 00:00 по Москве
Все права принадлежат © ms insider @thevista.ru, 2022
Сайт является источником уникальной информации о семействе операционных систем Windows и других продуктах Microsoft. Перепечатка материалов возможна только с разрешения редакции.
Работает на WMS 2.34 (Страница создана за 0.125 секунд (Общее время SQL: 0.111 секунд - SQL запросов: 53 - Среднее время SQL: 0.0021 секунд))
Top.Mail.Ru