Windows Server2012 檢測 MS16-032（CVE-2016-0099）權(quán)限提升漏洞方法

MS16-032 修復(fù)補(bǔ)�。篕B3139914（Server2012 標(biāo)準(zhǔn)版 / 數(shù)據(jù)中心統(tǒng)一補(bǔ)丁號）Microsoft Support
原理：系統(tǒng)未安裝 KB3139914 = 存在 MS16-032 漏洞；已安裝 = 漏洞已修復(fù)
漏洞成因：Secondary Logon（輔助登錄）服務(wù)句柄泄露，普通用戶可提權(quán)至 SYSTEM 系統(tǒng)權(quán)限

1 命令行快速核查補(bǔ)丁

cmd
wmic qfe list brief | findstr KB3139914

有輸出內(nèi)容 → KB3139914 已裝，無漏洞
無任何返回 → 缺失補(bǔ)丁，存在 MS16-032 漏洞

2、PowerShell 命令（管理員打開 PS）

Get-HotFix -Id KB3139914 -ErrorAction SilentlyContinue

返回補(bǔ)丁信息 = 已修復(fù)；無返回 = 存在漏洞

3、systeminfo 導(dǎo)出全量補(bǔ)丁核對

systeminfo > systeminfo.txt

打開文件搜索KB3139914，找不到即漏補(bǔ)丁、有漏洞

4 漏洞自動(dòng)化掃描工具（批量 / 精準(zhǔn)漏洞探測）
方式 1：Sherlock (PowerShell 提權(quán)漏洞掃描腳本，最常用)
IEX(New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/rasta-mouse/Sherlock/master/Sherlock.ps1')
Find-AllVulns

結(jié)果出現(xiàn)MS16-032標(biāo)記 Vulnerable → 存在漏洞

方式 2：Windows-Exploit-Suggester（離線分析 systeminfo）

目標(biāo)服務(wù)器：systeminfo > systeminfo.txt

方式 3：商業(yè)漏洞掃描器

Nessus、綠盟 / 天珣等等保掃描器，CVE-2016-0099命中 = 存在漏洞

MS16-032 利用條件：CPU≥2 核、開啟 Secondary Logon 服務(wù)、PowerShell 可用
確認(rèn)服務(wù)：sc query seclogon（STATE:4 RUNNING 即開啟）
使用 MS16-032 EXP 腳本，普通用戶執(zhí)行可彈出 SYSTEM 權(quán)限 CMD = 漏洞真實(shí)可利用

備注：
Secondary Logon（二次登錄服務(wù)）‌ 是 Windows操作系統(tǒng)的內(nèi)置系統(tǒng)服務(wù)，核心作用是支持 ‌“ RunAs（以其他用戶身份運(yùn)行）”‌功能，具體用途如下：

核心能力‌ 允許用戶在當(dāng)前已登錄普通賬戶的會(huì)話中，使用其他賬戶（通常是管理員賬戶）的憑據(jù)臨時(shí)啟動(dòng)程序，無需注銷當(dāng)前賬戶重新登錄，解決普通賬戶權(quán)限不足的問題。
典型應(yīng)用場景‌ ：
系統(tǒng)維護(hù)‌ ：管理員用普通賬戶日常登錄，需要操作時(shí)臨時(shí)以管理員身份運(yùn)行維護(hù)工具；
應(yīng)用調(diào)試‌ ：開發(fā)人員用不同權(quán)限賬戶測試程序運(yùn)行行為；
安全審計(jì)‌ ：安全人員用不同賬戶登錄驗(yàn)證系統(tǒng)權(quán)限配置；
任務(wù)調(diào)度‌ ： 部分任務(wù)調(diào)度工具依賴該服務(wù)，以指定賬戶身份自動(dòng)執(zhí)行任務(wù)。
安全建議‌ ：該服務(wù)默認(rèn)自動(dòng)啟動(dòng)，但‌單用戶環(huán)境下建議設(shè)置為手動(dòng)或禁用‌——因?yàn)樗�存在過權(quán)限提升類安全漏洞（2016年CVE-2016-0099），不使用時(shí)關(guān)閉可降低安全風(fēng)險(xiǎn)；如果需要使用“以其他用戶身份運(yùn)行”功能，再手動(dòng)開啟即可。
依賴關(guān)系‌：若該服務(wù)被禁用，所有依賴它的功能都會(huì)無法使用，比如部分軟件更新異常時(shí)，需要手動(dòng)激活該服務(wù)才能恢復(fù)正常。

四、漏洞修復(fù)方案
下載對應(yīng)補(bǔ)�。篧indows8-RT-KB3139914-x64.msu（Server2012 x64），微軟更新目錄下載安裝后重啟服務(wù)器Microsoft Support
開啟 WSUS/Windows Update 自動(dòng)更新，全量安裝 2016 年 3 月安全月度補(bǔ)丁