影响Win95到Win10的“超级漏洞”
近日,微软发布了一个高危漏洞的补丁,该漏洞由腾讯玄武实验室创建者于旸(中国安全圈人称TK教主)发现,并将其命名为“BadTunnel”,是目前Windows历史上影响最广泛的漏洞,从Win95到Win10都受影响。尤其对于微软已不支持的版本(如WinXP),其用户将面临被秘密监控的危险。因此,微软的漏洞奖励计划为其授予50000美金的奖金。
于旸称,该漏洞为原始设计问题。当用户打开一个 URL,或者打开任意一种Office 文件、PDF文件或者某些其他格式的文件,或者插上一个 U 盘——甚至不需要用户打开 U盘里的任何东西,攻击者都可以完成利用,其成功率极高。最终的结果是,攻击者可以劫持整个目标网络,获取权限提升。
“即使安全软件开启了主动防御机制,仍然无法检测到攻击。攻击者还可以利用该漏洞在目标系统中执行恶意代码。”
攻击者可通过Edge、Internet Explorer、MicrosoftOffice或在Windows中的许多第三方软件利用该漏洞,也可以通过网络服务器或者拇指驱动器——将拇指驱动器插入到系统的一个端口,利用就完成了。
攻击原理
该漏洞主要是一系列各自单独设计的协议和特性协同工作导致的。一个成功的漏洞利用需要伪造NetBIOS(最初由IBM开发)连接,使不同设备上的软件通过局域网进行通信。即使攻击者不在目标网络中,仍然可以绕过防火墙和NAT设备,通过猜出正确的网络设备标识符(也就是事务ID),在网络中建立可信的交互,将网络流量全部重定向到攻击者的计算机。
攻击者可将计算机伪装成网络设备,例如本地打印机服务器或文件服务器。他们不仅可以监听未加密流量,也可以拦截和篡改Windows更新下载。另外,还可以在受害者访问的网页中实施进一步攻击,例如,他们可以通过向浏览器缓存的页面中插入代码,使攻击者和目标之间的通道保持开放状态。
漏洞缓解
对于微软支持的Windows版本,用户需要尽快升级,需要注意的是,用户需要结合MS16-063和MS16-077才能完全修复漏洞。
对于微软已不支持的Windows版本,如XP,专家建议禁用NetBIOSoverTCP/IP,微软官方已给出操作步骤。或者阻断NetBIOS 137端口的出站连接也可以起到类似的效果。
常见网络安全漏洞
一、跨站脚本(XSS)
XSS漏洞是最普遍和最致命的网络应用软件安全漏洞,当一款应用软件将用户数据发送到不带认证或者不对内容进行编码的网络浏览器时容易发生。黑客可以利用浏览器中的恶意脚本获得用户的数据,破坏网站,插入有害内容,以及展开钓鱼式攻击和恶意攻击。
二、注入漏洞
当用户提供的数据被作为指令的一部分发送到转换器(将文本指令转换成可执行的机器指令)的时候,黑客会欺骗转换器。攻击者可以利用注入漏洞创建、读取、更新或者删除应用软件上的任意数据。在最坏的情况下,攻击者可以利用这些漏洞完全控制应用软件和底层系统,甚至绕过系统底层的防火墙。
三、恶意文件执行
黑客们可以远程执行代码、远程安装rootkits工具或者完全攻破一个系统。任何一款接受来自用户的文件名或者文件的网络应用软件都是存在漏洞的。漏洞可能是用PHP语言写的,PHP是网络开发过程中应用最普遍的一种脚本语言。
四、不安全的直接对象参照物
攻击者可以利用直接对象参照物而越权存取其他对象。当网站地址或者其他参数包含了文件、目录、数据库记录或者关键字等参照物对象时就可能发生这种攻击。银行网站通常使用用户的账号作为主关键字,这样就可能在网络接口中暴露用户的账号。
五、跨站指令伪造
这种攻击简单但破坏性强,它可以控制受害人的浏览器然后发送恶意指令到网络应用软件上。这种网站是很容易被攻击的,部分原因是因为它们是根据会话cookie或者“自动记忆”功能来授权指令的。各银行就是潜在的被攻击目标。
六、信息泄露和错误处理不当
各种应用软件产生并显示给用户看的错误信息对于黑客们来说也是有用的,那些信息可能将用户的隐私信息、软件的配置或者其他内部资料泄露出去。
七、不安全的认证和会话管理
如果应用软件不能自始至终地保护认证证书和会话标识,用户的管理员账户就会被攻破。应注意隐私侵犯和认证系统的基础原理并进行有效监控。
八、不安全的加密存储设备
虽然加密本身也是大部分网络应用软件中的一个重要组成部分,但是许多网络开发员没有对存储中的敏感数据进行加密。即便是现有的加密技术,其设计也是粗制滥造的。
九、不安全的通信
与第8种漏洞类似,这种漏洞出现的原因是因为在需要对包含敏感信息的通信进行保护时没有将网络流通的数据进行加密。攻击者们可以获得包括证书和敏感信息的传送在内的各种不受保护的会话内容。因此,PCI标准要求对网络上传输的信用卡信息进行加密。
十、未对网站地址的访问进行限制
有些网页的访问应该是受限于一小部分特权用户,比如管理员。然而这些网页通常并不具备真正的保护系统,黑客们可以通过猜测的方式找出这些地址。
>> 未知攻,焉知防 <<
北京易霖博信息技术有限公司(51ELAB)是国内领先的信息安全综合实训平台解决方案提供商,是国内拥有自主品牌和知识产权的专业信息安全公司。易霖博2013年进入国内信息安全实训市场,秉承“安全实训、虚实结合、课程丰富、人才培养”的理念,立足自主研发与持续创新,为用户提供智能、安全、内容丰富的实训产品、解决方案和优质的服务。
红客学院:希望能为推动信息安全技术的发展作出贡献,探索和涉足信息安全的未来,培养一批富有正义感的信息安全力量,打造成中国信息安全的预备役人才培养基地。
