[转载] Microsoft Windows Server 2003 WFP 工作异常漏洞

受影响系统：
Microsoft Windows Server 2003
Microsoft Windows Server 2003 sp1
不受影响系统：
Microsoft Windows 2000
Microsoft Windows Server 2000
Microsoft Windows xp
描述：


WFP被设计用来保护Windows文件夹的内容。WFP保护特定的文件类型，比如SYS、EXE、DLL、OCX、FON和TTF，而不是阻止对整个文件夹的任何修改。注册表键值决定WFP保护的文件类型。
当用户重复替换系统文件时,部分文件不能被WFP（Windows File Protection，Windows 文件保护）还原。攻击者可利用此漏洞，在未登录（包含远程登录）状态下执行被替换的程序。

测试方法：
将一由包含"net user administrator cncert"命令的程序test.exe（1kb）改名为目标文件名"osk.exe"（208kb）复制到c:\windows\system32\ 目录下，几秒后被WFP还原，重复粘贴几次，osk.exe将不被还原。锁定计算机，按"win＋u"键打开"用户辅助管理器"来运行屏幕键盘。此时管理员密码被osk设定为"cncert"，使用该密码登录成功。
注：osk.exe 为屏幕键盘程序，未登陆用户可通过"win＋u"键打开"用户辅助管理器"来运行屏幕键盘既被替换程序osk.exe，权限为system。

临时解决方法：

cncert.net建议采取如下措施以降低威胁：

* 使用第三方文件保护软件

漏洞发布：www.cncert.net