操作系统（C2级）自主访问控制下的安全风险

• 操作
• 系统
• 自主
• 访问
• 控制下
• 安全
• 风险
• 今年
• 8月
• 中旬

今年8月中旬，微软发布了9个安全补丁，解决操作系统自身及应用软件漏洞带来的安全隐患，这些漏洞的危害程度包括“严重”、“重要”两个级别，涉及Windows XP、Windows Sever 2003、Windows Sever 2008等操作系统版本，一旦被攻击者成功利用，将会给操作系统及系统上关键应用、重要数据等造成难以估量的损失。事实上，无论是Windows系统，还是UNIX、Solaris、Linux等其他商用服务器操作系统，都无法规避安全漏洞给系统正常运行带来的冲击，究其缘由，现有操作系统(C2级)的自主访问控制机制的脆弱性是其中一个非常重要的原因。

自主访问控制是操作系统中应用范围较为广泛的一种访问控制机制，它允许合法用户以用户或用户组的身份访问策略规定的客体，同时阻止非授权用户访问客体，某些用户还可以自主地把自己所拥有的客体的访问权限授予其他用户。根据实现方式的不同，自主访问控制分为自由型、等级型、宿主型三个类型。其中，等级型自主访问控制在主流商业服务器操作系统中普遍存在，它按照等级将不同的主体排列成树型结构，高等级主体自动获得下级低等级客体的控制权限，其优点是可以选择值得信任的人担任各级领导，从而实现对客体的分级控制，缺点是同时有多个主体有能力修改某一客体的访问权限，权力的多次转授无意间就可能泄露信息。

目前主流的C2级操作系统，如UNIX、Linux和Windows等都提供自主访问控制功能，而现有操作系统中自主访问控制存在着一个致命的缺陷，即超级管理员拥有无上的权限，一旦被攻击者获取，系统的安全性将无从谈起。以微软8月份安全公告中披露的“特权提升”漏洞(即Windows 内核模式驱动程序处理内存中对象的方式)为例，成功利用此漏洞的攻击者可以通过运行一个针对此漏洞特制的应用程序，创建出一个拥有完全管理权限的新账户，进而实施更改、删除数据等攻击行为。此外，对于8月份安全公告中的远程桌面协议漏洞、Windows 常用控件漏洞等等，在现有操作系统脆弱的访问控制机制下，也难以有效应对。

在此之前，在微软2012年度首个安全公告中，国内信息安全厂商椒图科技的一名安全人员发现Windows客户端/服务器运行时子系统(CSRSS)存在一个本地提权漏洞，通过此漏洞，攻击者可以对数据进行查看、更改、删除等操作，或者创建拥有完全用户权限的新账户。在这过程中，传统的自主访问控制机制仍然无法判断修改权限的操作是来自合法用户还是恶意攻击者，从而使操作系统上的关键应用与数据完全呈现在攻击者面前。值得庆幸的是，椒图科技安全人员及时将漏洞信息提供给微软，并协助其推出相应的安全补丁，避免了由于漏洞而给用户造成的损失。

“系统漏洞是无法完全杜绝的，如果仅仅依靠补丁来应对安全威胁，其结果只能是‘治标不治本’。”这名安全人员不无担忧地表示，“并且，从发现漏洞，到推出安全补丁，再到用户装上补丁，在这段安全的真空期里，用户系统的安全谁来负责?通常用户保护信息系统的传统手段是运用安全防护软件和硬件，譬如防火墙、IPS、IDS、杀毒软件等在系统外围进行围堵检查。但攻击技术不断发展，系统漏洞层出不穷，传统的安全手段越来越多地暴露出它们的局限性。实际上，现有操作系统(C2级)安全保护机制的不完善和不健全才是安全问题的关键所在。当务之急，还是通过改善现有操作系统的访问控制机制等方式，增强操作系统自身应对安全风险的能力!”