Неправильный аудит NTFS Hard Link в Microsoft Windows 2000
| Дата публикации: | 19.08.2002 |
| Всего просмотров: | 1169 |
| Опасность: | |
| Наличие исправления: | |
| Количество уязвимостей: | 1 |
| CVE ID: | Нет данных |
| Вектор эксплуатации: | |
| Воздействие: | |
| CWE ID: | Нет данных |
| Наличие эксплоита: | Нет данных |
| Уязвимые продукты: | |
| Описание: | Файловая система NTFS поддерживает жесткие ссылки (“hard link ”). Жесткая ссылка – другой вход каталога, который указывает на тот же файл на диске. Т.е. вы можете создавать разные пути к одному файлу на том же самом разделе. В Windows NT 3.51 и NT 4.0 для создания hard link используется функция BackupWrite (). В Windows 2000 введена новая, более простая Win32 функция CreateHardLink() (подробнее можно узнать http://support.microsoft.com/support/kb/articles/Q234/7/27.ASP). При создании жесткой ссылки или доступа к файлам через hard link, в журнале событий при полном аудите создается только событие “ReadAttributes”. Т.е. локальный пользователь может оперировать с файлами через жесткие ссылки без риска быть обнаруженным (событие “ReadAttributes” при аудите обычно не регистрируют). уязвимость обнаружена в Microsoft Windows 2000 |
| Ссылки: | TFS Hard Links Subvert Auditing (A081602-1) Release Date: 08/16/2002 |