home *** CD-ROM | disk | FTP | other *** search
/ Tietokone-lehden Plus / Tietokone Plus CD 1998.iso / pc / ohjelmat / muut / hotfixes / postsp3 / getadmin / q146965.txt < prev    next >
Text File  |  1997-07-10  |  5KB  |  115 lines
  1. DOCUMENT:Q146965
  2. TITLE   :GetAdmin Utility Grants Users Administrative Rights
  3. PRODUCT :Microsoft Windows NT
  4. PROD/VER:4.0
  5. OPER/SYS:WINDOWS
  6. KEYWORDS:kbbug4.00 kbfile kbfix4.00 kbnetwork nt32ap ntsecurity NTSrvWkst
  7.  
  8. --------------------------------------------------------------------------
  9. The information in this article applies to:
  10.  
  11.  - Microsoft Windows NT Workstation version 4.0
  12.  - Microsoft Windows NT Server version 4.0
  13. --------------------------------------------------------------------------
  14.  
  15. SYMPTOMS
  16. ========
  17.  
  18. A utility, Getadmin.exe, is being circulated on the Internet that grants
  19. normal users administrative rights by adding them to the Administrators
  20. group. This utility can be run from any user context except Guest and
  21. grants a local user account administrative rights.
  22.  
  23. This problem does not occur on Windows NT 3.51.
  24.  
  25. CAUSE
  26. =====
  27.  
  28. Getadmin.exe works because of a problem in a low-level kernel routine that
  29. causes a global flag to be set which allows calls to NtOpenProcessToken to
  30. succeed regardless of the current users permissions. This in turn allows a
  31. user to attach to any process running on the system, including a process
  32. running in the system's security context, such as WinLogon. Once attached
  33. to such a process, a thread can be started in the security context of the
  34. process.
  35.  
  36. In the specific case of GetAdmin, it attaches to the WinLogon process,
  37. which is running in the system's security context, and makes standard API
  38. calls that add the specified user to the administrators group.
  39.  
  40. It is important to note that any account which has been granted the rights
  41. to "Debug Programs" will always be able to run Getadmin.exe successfully,
  42. even after the application of the hotfix. This is because the "Debug
  43. Programs" right allows a user to attach to any process. The "Debug
  44. Programs" right is initially granted to Administrators and should be only
  45. granted to fully trusted users.
  46.  
  47. Also, if Getadmin.exe is run with an account that is already a member of
  48. the administrators local group, it will still work (even after applying the
  49. hotfix). This is by design. Members of the administrators group always have
  50. the rights to make the calls GetAdmin needs in order to succeed.
  51.  
  52. RESOLUTION
  53. ==========
  54.  
  55. A fix to the Windows NT Kernel routine which was being used to set the
  56. global flag has been developed by Microsoft. This fix prevents an
  57. application, such as Getadmin.exe, from attaching to WinLogon (or any other
  58. process not owned by the user) and from granting administrative rights to
  59. users.
  60.  
  61. To resolve this problem, obtain the hotfix below, or wait for the next
  62. service pack.
  63.  
  64. This hotfix has been posted to the following Internet location:
  65.  
  66.    ftp://ftp.microsoft.com/bussys/winnt/winnt-public/fixes/usa/nt40/
  67.    hotfixes-postSP3/getadmin-fix
  68.  
  69. STATUS
  70. ======
  71.  
  72. Microsoft has confirmed this to be a problem in Windows NT version 4.0.
  73. A supported fix is now available, but has not been fully regression-tested
  74. and should be applied only to systems experiencing this specific problem.
  75. Unless you are severely impacted by this specific problem, Microsoft
  76. recommends that you wait for the next Service Pack that contains this fix.
  77. Contact Microsoft Technical Support for more information.
  78.  
  79. MORE INFORMATION
  80. ================
  81.  
  82. Getadmin.exe must be executed locally and works for accounts on a
  83. workstation or member server and for domain accounts on a primary domain
  84. controller (PDC). The utility does not function on a backup domain
  85. controller (BDC) because the account database on a BDC is read only. The
  86. only way to use GetAdmin to modify a domain account database is to log on
  87. to a primary domain controller and run the utility locally on the PDC.
  88.  
  89. For more information on Windows NT security, please see the following
  90. Internet sites:
  91.  
  92.  - http://www.microsoft.com/security/
  93.  - http://www.microsoft.com/ntserver/info/security.htm
  94.  
  95. NOTE: Because the Microsoft Web site is constantly updated, the site
  96. address may change without notice. If this occurs, link to the Microsoft
  97. home page at the following address:
  98.  
  99.    http://www.microsoft.com/
  100.  
  101. Additional query words: 4.00 prodnt security hole breach
  102.  
  103. ============================================================================
  104.  
  105. THE INFORMATION PROVIDED IN THE MICROSOFT KNOWLEDGE BASE IS
  106. PROVIDED "AS IS" WITHOUT WARRANTY OF ANY KIND.  MICROSOFT DISCLAIMS
  107. ALL WARRANTIES, EITHER EXPRESS OR IMPLIED, INCLUDING THE WARRANTIES
  108. OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE.  IN NO
  109. EVENT SHALL MICROSOFT CORPORATION OR ITS SUPPLIERS BE LIABLE FOR
  110. ANY DAMAGES WHATSOEVER INCLUDING DIRECT, INDIRECT, INCIDENTAL,
  111. CONSEQUENTIAL, LOSS OF BUSINESS PROFITS OR SPECIAL DAMAGES, EVEN IF
  112. MICROSOFT CORPORATION OR ITS SUPPLIERS HAVE BEEN ADVISED OF THE
  113. POSSIBILITY OF SUCH DAMAGES.  SOME STATES DO NOT ALLOW THE EXCLUSION
  114. OR LIMITATION OF LIABILITY FOR CONSEQUENTIAL OR INCIDENTAL DAMAGES
  115. SO THE FOREGOING LIMITATION MAY NOT APPLY.