严重漏洞潜伏达15年:影响所有Windows版本

  • A+
所属分类:漏洞分享

微软刚刚修复了一个潜伏长达15年的严重漏洞,该漏洞可允许攻击者完全控制支持所有Windows版本的计算机。微软依然不会修复Windows Server 2003中的这个漏洞,虽然微软表示会在剩下的五个月中继续支持它。

t018827d2a31c8c1e4e.jpg

微软将这一漏洞命名为MS15-011(第一个发现这个漏洞的研究员将其命名为Jasbug),且用了12个月予以修复,它影响使用Active Directory服务的商业、企业及政府网络的所有用户。该数据内置于Windows,担任流量警察及安保员的角色,为授权用户授予特定权限并映射到可获得多种资源的本地网络上。漏洞允许监控用户及Active Directory网络之间流量的攻击者发动中间人攻击,执行易受攻击机器上的恶意代码。

于2014年1月将漏洞报告给微软的公司JAS Global Advisors(JAS 全球顾问)在一个博客中警告称,“所有企业类活动目录(Active Directory)的成员计算机及设备都可能面临风险。这一漏洞可被远程利用并且授予攻击者在目标机器/设备拥有管理员级别的权限。漫游机器——也就是通过公共互联网(可能是VPN)连接到企业网络的Active Directory 成员设备面临的风险最大。”

微软博客举例说明了Jasbug如何在与咖啡店公共WiFi连接的机器上被利用:

1.在这个场景中,攻击者已经观察到经过转换器(switch)的流量,并且发现某一台具体机器正在尝试下载位于UNC路径的文件:

\\10.0.0.100\Share\Login.bat

2.攻击者机器上建立了一个share,精确匹配受害者请求的文件UNC路径:

\\*\Share\Login.bat

1.攻击者将会编造Login.bat内容在目标系统上执行任意的恶意代码。根据请求Login.bat的服务,它会在受害者机器上以本地用户或系统账户执行。

3.随后,攻击者修改本地交换机ARP表,以确保针对目标服务器10.0.0.100的流量现在发送到了攻击者机器上。

4.当受害者机器请求文件时,攻击者机器会返回恶意版本的Login.bat。这一场景同时说明这一攻击不会被互联网广泛使用——攻击者需要针对带有这个特定UNC请求文件的一个特定系统或系统组。

微软公布的详细介绍(中文)请见此处。活动目录组策略(Group Policy)

组件中的漏洞允许攻击者执行连接到域时收到的恶意代码。同时,一个单独的组策略漏洞能够导致其无法获取有效的安全策略,从而采用安全性较低的默认组策略。通过利用这些漏洞,攻击者能够禁用目标用户打算连接到的域正常执行的授权机制。

目前尚不清楚如何针对使用VPN通过加密隧道引导流量的人们发起攻击。从理论上来讲,VPN能够阻止中间人攻击者读取或篡改活动目录交易,除非攻击者原来就可解密数据。最有可能的情况是,所述咖啡店在本地执行域名查询,也就是说,通过分配到本地网络的域名系统服务器来执行。许多VPN以这种方式进行配置,这样用户连接更加迅速并且可缓解公司或政府网络上的堵塞情况。

这个Windows漏洞的修复并不像其他漏洞那样简单,因为它影响的是核心Windows功能的设计,而不是设计的实现。微软表示管理员应当检查这个连接以获取进一步的指导。该漏洞至少对继续使用Server 2003的组织机构带来了严重的理论性威胁,微软表示将在7月中旬前继续支持Server 2003。Server 2003将不可能连接至非信任网络,这让咖啡店场景的攻击不切实际。但攻击只会随着时间的流逝变得更加厉害,因为越来越多的人会发现新的利用方法。使用Server 2003的组织机构如果有能力停止使用Active Directory,强烈建议他们这样做。虽然未提及这个漏洞会给非活动目录网络成员带来风险,但所有Windows用户尽快安装这个修复的做法有益无害。

  • 我的微信
  • 这是我的微信扫一扫
  • weinxin
  • 我的微信公众号
  • 我的微信公众号扫一扫
  • weinxin