Windows Server2012 检测 MS16-032（CVE-2016-0099）权限提升漏洞方法

Windows Server2012 检测 MS16-032（CVE-2016-0099）权限提升漏洞方法

MS16-032 修复补丁：KB3139914（Server2012 标准版 / 数据中心统一补丁号）Microsoft Support
原理：系统未安装 KB3139914 = 存在 MS16-032 漏洞；已安装 = 漏洞已修复
漏洞成因：Secondary Logon（辅助登录）服务句柄泄露，普通用户可提权至 SYSTEM 系统权限

1 命令行快速核查补丁

cmd
wmic qfe list brief | findstr KB3139914

有输出内容 → KB3139914 已装，无漏洞
无任何返回 → 缺失补丁，存在 MS16-032 漏洞

2、PowerShell 命令（管理员打开 PS）

Get-HotFix -Id KB3139914 -ErrorAction SilentlyContinue

返回补丁信息 = 已修复；无返回 = 存在漏洞

3、systeminfo 导出全量补丁核对

systeminfo > systeminfo.txt

打开文件搜索KB3139914，找不到即漏补丁、有漏洞

4 漏洞自动化扫描工具（批量 / 精准漏洞探测）
方式 1：Sherlock (PowerShell 提权漏洞扫描脚本，最常用)
IEX(New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/rasta-mouse/Sherlock/master/Sherlock.ps1')
Find-AllVulns

结果出现MS16-032标记 Vulnerable → 存在漏洞

方式 2：Windows-Exploit-Suggester（离线分析 systeminfo）

目标服务器：systeminfo > systeminfo.txt

方式 3：商业漏洞扫描器

Nessus、绿盟 / 天珣等等保扫描器，CVE-2016-0099命中 = 存在漏洞

MS16-032 利用条件：CPU≥2 核、开启 Secondary Logon 服务、PowerShell 可用
确认服务：sc query seclogon（STATE:4 RUNNING 即开启）
使用 MS16-032 EXP 脚本，普通用户执行可弹出 SYSTEM 权限 CMD = 漏洞真实可利用

备注：
Secondary Logon（二次登录服务）‌ 是 Windows操作系统的内置系统服务，核心作用是支持 ‌“ RunAs（以其他用户身份运行）”‌功能，具体用途如下：

核心能力‌ 允许用户在当前已登录普通账户的会话中，使用其他账户（通常是管理员账户）的凭据临时启动程序，无需注销当前账户重新登录，解决普通账户权限不足的问题。
典型应用场景‌ ：
系统维护‌ ：管理员用普通账户日常登录，需要操作时临时以管理员身份运行维护工具；
应用调试‌ ：开发人员用不同权限账户测试程序运行行为；
安全审计‌ ：安全人员用不同账户登录验证系统权限配置；
任务调度‌ ： 部分任务调度工具依赖该服务，以指定账户身份自动执行任务。
安全建议‌ ：该服务默认自动启动，但‌单用户环境下建议设置为手动或禁用‌——因为它存在过权限提升类安全漏洞（2016年CVE-2016-0099），不使用时关闭可降低安全风险；如果需要使用“以其他用户身份运行”功能，再手动开启即可。
依赖关系‌：若该服务被禁用，所有依赖它的功能都会无法使用，比如部分软件更新异常时，需要手动激活该服务才能恢复正常。

四、漏洞修复方案
下载对应补丁：Windows8-RT-KB3139914-x64.msu（Server2012 x64），微软更新目录下载安装后重启服务器Microsoft Support
开启 WSUS/Windows Update 自动更新，全量安装 2016 年 3 月安全月度补丁