Security Lab

Неправильный аудит NTFS Hard Link в Microsoft Windows 2000

Дата публикации:19.08.2002
Всего просмотров:1220
Опасность:
Наличие исправления:
Количество уязвимостей:1
CVE ID: Нет данных
Вектор эксплуатации:
Воздействие:
CWE ID: Нет данных
Наличие эксплоита: Нет данных
Уязвимые продукты:
Описание: Файловая система NTFS поддерживает жесткие ссылки (“hard link ”). Жесткая ссылка – другой вход каталога, который указывает на тот же файл на диске. Т.е. вы можете создавать разные пути к одному файлу на том же самом разделе.

В Windows NT 3.51 и NT 4.0 для создания hard link используется функция BackupWrite (). В Windows 2000 введена новая, более простая Win32 функция CreateHardLink() (подробнее можно узнать http://support.microsoft.com/support/kb/articles/Q234/7/27.ASP). При создании жесткой ссылки или доступа к файлам через hard link, в журнале событий при полном аудите создается только событие “ReadAttributes”. Т.е. локальный пользователь может оперировать с файлами через жесткие ссылки без риска быть обнаруженным (событие “ReadAttributes” при аудите обычно не регистрируют).

уязвимость обнаружена в Microsoft Windows 2000

Ссылки: TFS Hard Links Subvert Auditing (A081602-1) Release Date: 08/16/2002