"брешь" названа "чрезвычайно трудной в эксплуатации", но уровень ее опасности - "высоким". Ошибка связана с системой доверительных отношений между сетевыми доменами Windows 2000 и NT 4.0. Доверяющий домен оказывается слишком "доверчивым" при проверке SID-идентификаторов, предоставляемых доверяемым доменом в процессе авторизации. Атакующий - например, администратор доверяемого домена с правами "только чтение" в доверяющем домене, - имеет возможность добавить к данным авторизации SID-идентификатор, представляющий его администратором доверяющего домена. Уязвимость может быть устранена при помощи предлагаемого Microsoft инструмента SID Filtering, который проверяет данные авторизации и удаляет SID- идентификаторы, не принадлежащие к вызывающему домену. Установка SID Filtering может иметь побочные эффекты: действительные SID-идентификаторы, не принадлежащие к вызывающему домену, тоже удаляются. Это может создать трудности для пользователей в средах, переводимых с NT 4.0 на 2000 с применением функции SIDHistory.

Служба новостей IDG, Амстердам

Поделитесь материалом с коллегами и друзьями