據國外媒體報道，近日一安全專家對微軟新的服務器操作系統WindowsServer 2008的安全模式提出了嚴厲的批評，并表示已經發現了嚴重

　　的設計缺陷，可以讓該操作系統的某些新安全防護功能變得毫無價值。位于阿根廷巴拉那城的信息安全公司Argeniss的創始人兼首席執行官Cesar Cerrudo表示，這個弱點可以被一個有經驗的黑客利用來提升權限，進而完全控制操作系統。

　　Cerrudo表示，“我們發現，在安全開發階段微軟工程師沒有發現一些設計問題，一些被Windows服務所使用的帳號可以繞過新的Windows服務保護機制來提升權限，例如網絡服務和本地服務。”

　　他表示，微軟的新版Web服務器IIS7.0在默認配置下同樣存在這個安全缺陷，可以允許ASP.NET應用程序完全控制操作系統安全。

　　Cerrudo是一個在數據庫安全方面頗有成就的一個安全專家，他表示這個問題同時還影響微軟的Windows Vista、XP和2003。

　　他補充說，“在Windows XP和Windows 2003上這個安全缺陷尤其嚴重，因為任何Windows服務都可以攻克這個安全保護而完全控制操作系統，哪怕這些服務是在低級權限帳號下運行的。這其中包含部署在IIS6上的所有Web應用。”

　　Cerrudo拒絕對外提供這種攻擊應用的技術細節。他計劃在即將在阿聯酋迪拜召開的Hack in the Box黑客大會上討論這一問題。

　　Cerrudo表示，他將在這次黑客大會上做題目為令牌劫持的演講，他將介紹如何利用具有假冒權限的任何進程來在Windows XP和Windows 2003中提升對本地系統的權限。

　　對于Windows Vista和Windows 2008，他計劃演示如何提升以網絡服務和本地服務帳號運行的進程對本地系統的權限。

　　Cerrudo還表示，他將在Hack in the Box大會上演示如何利用零日代碼來提升在SQL Server和微軟的IIS中的權限。

　　盡管Cerrudo對Windows Server 2008的設計缺陷大潑冷水，但是他同時也表示Windows Server 2008要比微軟以前的操作系統安全很多。

　　微軟一直宣揚Windows Server 2008是其迄今為止最安全的服務器操作系統，具有類似Windows Vista的安全架構和深度防護。