創建時間:2001-11-04
文章屬性:原創
文章來源:tombkeeper@126.com
文章提交:tombkeeper (tombkeeper_at_126.com)
drwtsn32.exe故障轉儲文件默認權限設置不當
發現者:tombkeeper@126.com
發現時間:2001.10.31
描述:
drwtsn32.exe故障轉儲文件默認權限設置不當,可能導致敏感信息泄漏。
影響系統:
當前所有Windows版本
詳細:
drwtsn32.exe(Dr. Watson)是壹個Windows系統內置的程序錯誤調試器。默認
狀態下,出現程序錯誤時,Dr. Watson 將自動啟動,除非系統上安裝了VC等其他具有
調試功能的軟件更改了默認值。註冊表項:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\AeDebug]
下的Debugger 項的值指定了調試器及使用的命令;Auto 項決定是否自動診斷錯誤,
並記錄相應的診斷信息。
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\AeDebug]
在Windows 2000中drwtsn32.exe默認會將故障轉儲文件user.dmp存放在目錄
“\Documents and Settings\All Users\Documents\DrWatson”下。權限為Everyone
完全控制。在Windows NT中被存儲在“\WINNT\”中,everyone組至少有讀取權限。
由於user.dmp中存儲的內容是當前用戶的部分內存鏡像,所以可能導致各種敏感信息
泄漏,例如帳號、口令、郵件、瀏覽過的網頁、正在編輯的文件等等,具體取決於崩潰的
應用程序和在此之前用戶進行了那些操作。
因為Windows程序是如此易於崩潰,所以不能排除惡意用戶利用此弱點獲取非授權信息
的可能。例如:利用IE5.0以上的畸形註釋漏洞就可以使瀏覽包含惡意代碼的iexplore.exe
和查看包含惡意代碼的郵件程序崩潰。(關於IE的畸形註釋漏洞請參見拙作《包含畸形註釋
的HTML文件可使IE 5.0以上版本崩潰》)
測試:
--->在administrator帳號下操作:
如果目前的默認調試器不是 Dr. Watson,請在命令提示符後鍵入命令:drwtsn32 -i
將 Dr. Watson 設為默認調試器。
先啟動壹個需要使用密碼的程序,這裏我們選擇Foxmail。
用任務管理器察看Foxmail的PID,假設是“886”。在命令提示符後鍵入命令:
drwtsn32 -p 886
--->在guest帳號下操作:
在\Documents and Settings\All Users\Documents\DrWatson\目錄下鍵入命令:
type user.dmp|find "youEmailPasswd"
就會發現妳的郵件密碼在user.dmp中,而且完全可以被guest用戶讀取。
解決方案:
微軟尚未對此做出反應。
在可用的補丁出來之前,采取以下任壹措施皆可解決此問題,
1、鍵入不帶參數的drwtsn32,更改故障轉儲文件到壹個特權路徑,如:
\Documents and Settings\Administrator\DrWatson\
或取消“建立故障轉儲文件”選項。
2、刪除註冊表項
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\AeDebug]
下的相關鍵值。
3、使用其它調試工具。並在註冊表中正確設置。
附錄:drwtsn32 參數
drwtsn32 [-i] [-g] [-p pid] [-e event] [-?]
-i 將 DrWtsn32 當作默認應用程序錯誤調試程序
-g 被忽略,但作為 WINDBG 和 NTSD 的兼容而被提供
-p pid 要調試的進程 id
-e event 表示進程附加完成的事件
-? 這個屏幕