Windows黑屏的风暴似乎还没有落下,一场更大的风暴就接踵而至,如同是微软带给所有盗版用户的另一次惩罚。但是,如果这真的是惩罚,那么它将会比黑屏更加可怕。根据微软最新发布的紧急安全公告显示,代号为MS08-67的Windows漏洞几乎同2003年引发“冲击波”病毒肆虐的RPC漏洞危险性相同,但是与冲击波不同的是,这个预言仅仅过了一天就成为了现实……
紧随黑屏的MS08-067 面对MS08-067漏洞,微软的“黑屏”行动简直善良的如同一个软件彩蛋一样。虽然我不相信像微软这样的软件霸主会依靠一个漏洞来威胁盗版用户购买正版Windows,但是又必须不得不承认,这个漏洞的威胁性足以值得让你打开钱包,掏出钞票购买正版Windows,以换取微软为正版用户提供的Update升级服务,确保你电脑中各种写着秘密字样的文件不会在下一刻成为人人可以下载的公共资源。 10月23日,就在微软黑屏行动的新闻在互联网上炒得沸沸扬扬的时候,微软突然发布了一个紧急的Windows安全更新补丁,这个更新补丁的说明称,新补丁解决了服务器服务中一个秘密报告的漏洞。如果用户在受影响的系统上收到特制伪造的RPC请求后,攻击者可以利用此漏洞无需通过认证的运行任意代码(对于Windows Vista和Server 2008,可能需要进行认证)。这个漏洞可能被用于制作蠕虫利用。此安全漏洞可以通过恶意构造的网络包直接发起攻击,并且攻击者可以获取完整的权限,因此该漏洞很可能会被用于制作蠕虫以进行大规模的攻击。 而在Microsoft Windows 2000、Windows XP 和 Windows Server 2003 系统上,发动攻击的黑客能够不通过任何身份验证即可利用此漏洞运行任意代码,执行一切他想执行的程序。根据国内反病毒机构安天实验室最新报告称,目前这个漏洞已经被黑客用于进行投放木马的网络攻击,这个名为“机密危(Gimmiv)”的攻击病毒会通过该漏洞向没有打MS08-067补丁的计算机植入木马程序,然后从被感染机器上盗窃敏感信息,并能够下载、运行其它的恶意程序。 重点提示!目前该漏洞能够影响 Microsoft Windows 2000、Windows XP 和 Windows Server 2003 的所有受支持版本,此安全更新的等级为“严重”;对于 Windows Vista、Windows Server 2008 和 Windows 7 Beta 的所有受支持版本,此安全更新的等级为“重要”。特别是Windows Server 2003等服务器级别的Windows操作系统,受到的影响最大。 值得注意的是,近年来随着补丁比较技术的发展,每当微软发布重要的软件更新之后,黑客都可以快速的通过更新前与更新后的系统比较,追踪出更新补丁修复系统的关键技术点,从而迅速发现具体的漏洞并开发出能够利用该漏洞的攻击工具。正是由于这种攻击速度的加快,缩短了用户更新补丁躲避病毒的时间,而此次漏洞的蠕虫也随时可能出现,成为“冲击波”病毒的替代者。
MS08-067漏洞解密 这一次微软紧急发布MS08-067更新补丁,是微软近一年半以来首次打破每月定期发布安全公告的惯例而紧急发布了该更新,从这一点来看,此次漏洞的威胁性相当巨大。这一次漏洞的主要问题仍然出现RPC协议中,而当年肆虐网络的冲击波病毒也是由于Windows中的RPC出现问题,爆出的重大漏洞。 远程过程调用(Remote Procedure Call,RPC)是一个计算机通信协议。该协议允许运行于一台计算机的程序调用另一台计算机的子程序,而程序员无需额外地为这个交互作用编程。如果涉及的软件采用面向对象编程,那么远程过程调用亦可称作远程调用或远程方法调用。远程过程调用是一个分布式计算的客户端-服务器(Client/Server)的例子,它简单而又广受欢迎。远程过程调用总是由客户端对服务器发出一个执行若干过程请求,并用客户端提供的参数。执行结果将返回给客户端。由于存在各式各样的变体和细节差异,对应地衍生了各式远程过程调用协议,而且它们并不互相兼容。 补充知识:有关RPC的想法至少可以追溯到1976年以“信使报”(Courier)的名义使用。RPC首次在UNIX平台上普及的执行工具程序是SUN公司的RPC(现在叫ONC RPC)。它被用作SUN的NFC的主要部件。ONC RPC今天仍在服务器上被广泛使用。另一个早期UNIX平台的工具是“阿波罗”计算机网络计算系统(NCS),它很快就用做OSF的分布计算环境(DCE)中的DCE/RPC的基础,并补充了DCOM。 此次MS08-067的造成的具体原因与之前微软的DNS漏洞很相似,都是出现在程序边界问题的差错。MS08-067的具体原因为Windows中的ConPathMacros函数中的wcscpy在拷贝含有\\..\\..的长字符串时出现溢出。ConPathMacros函数中wcscpy位置执行复制操作,正常的字符串复制后就向下继续执行了,但对于构造的畸形的字符串代码wcscpy位置被两次调用,对于构造的畸形的字符串..\第一次拷贝完成时会导致再次执行wcscpy,同时第二次拷贝的没有正确计算拷贝目标的地址,覆盖到wcscpy的返回地址,导致溢出。
实战入侵 MS08-067漏洞在微软推出补丁后的第一时间就被国外黑客组织公布PoC程序版本,这也是目前许多网站提供下载测试的最早一个版本,但是可能是开发过于匆忙,这个程序本身存在瑕疵,许多网络安全爱好者没有测试成功,而且PoC只是触发性的测试,并不具备利用价值,因此并没有收到太多的追捧。 但是,现在已经出现可以利用并实施网络攻击的有利用价值的Exp版本,因此相信今后几个月内,MS08-067将会是许多不勤于内网管理的公司的一场噩梦。而这场噩梦究竟有多恐怖哪?接下来我们就为大家实战演示MS08-067漏洞入侵的全部过程。
【入侵纪实】 攻击环境 发动进攻主机:Windows XP Sp3 被攻击目标主机:Windows Server 2003 (IP:192.168.3.76) 第一步:首先准备好MS08-067漏洞的Exp攻击程序,我们本次测试所使用的就是从互联网公开渠道下载的Exp程序。程序下载后解压缩放置到自己制定的文件夹中。 第二步:准备好攻击测试程序后,点击开始菜单中的“控制面板”,然后双击打开“管理工具”中的“服务”选项。在打开的“服务”窗口列表中,将描述为“支持此计算机通过网络的文件、打印、和命名管道共享。如果服务停止,这些功能不可用。如果服务被禁用,任何直接依赖于此服务的服务将无法启动。”的Server服务;描述为“维护网络上计算机的更新列表,并将列表提供给计算机指定浏览。如果服务停止,列表不会被更新或维护。如果服务被禁用,任何直接依赖于此服务的服务将无法启动。”的Computer Browser服务;描述为“创建和维护到远程服务的客户端网络连接。如果服务停止,这些连接将不可用。如果服务被禁用,任何直接依赖于此服务的服务将无法启动。”的Workstation服务全部启动。如果不将这三项服务启动,Exp攻击程序将无法发动成功的攻击。 此次MS08-067的造成的具体原因与之前微软的DNS漏洞很相似,都是出现在程序边界问题的差错。MS08-067的具体原因为Windows中的ConPathMacros函数中的wcscpy在拷贝含有\\..\\..的长字符串时出现溢出。ConPathMacros函数中wcscpy位置执行复制操作,正常的字符串复制后就向下继续执行了,但对于构造的畸形的字符串代码wcscpy位置被两次调用,对于构造的畸形的字符串..\第一次拷贝完成时会导致再次执行wcscpy,同时第二次拷贝的没有正确计算拷贝目标的地址,覆盖到wcscpy的返回地址,导致溢出。
实战入侵 MS08-067漏洞在微软推出补丁后的第一时间就被国外黑客组织公布PoC程序版本,这也是目前许多网站提供下载测试的最早一个版本,但是可能是开发过于匆忙,这个程序本身存在瑕疵,许多网络安全爱好者没有测试成功,而且PoC只是触发性的测试,并不具备利用价值,因此并没有收到太多的追捧。 但是,现在已经出现可以利用并实施网络攻击的有利用价值的Exp版本,因此相信今后几个月内,MS08-067将会是许多不勤于内网管理的公司的一场噩梦。而这场噩梦究竟有多恐怖哪?接下来我们就为大家实战演示MS08-067漏洞入侵的全部过程。
【入侵纪实】 攻击环境 发动进攻主机:Windows XP Sp3 被攻击目标主机:Windows Server 2003 (IP:192.168.3.76) 第一步:首先准备好MS08-067漏洞的Exp攻击程序,我们本次测试所使用的就是从互联网公开渠道下载的Exp程序。程序下载后解压缩放置到自己制定的文件夹中。 第二步:准备好攻击测试程序后,点击开始菜单中的“控制面板”,然后双击打开“管理工具”中的“服务”选项。在打开的“服务”窗口列表中,将描述为“支持此计算机通过网络的文件、打印、和命名管道共享。如果服务停止,这些功能不可用。如果服务被禁用,任何直接依赖于此服务的服务将无法启动。”的Server服务;描述为“维护网络上计算机的更新列表,并将列表提供给计算机指定浏览。如果服务停止,列表不会被更新或维护。如果服务被禁用,任何直接依赖于此服务的服务将无法启动。”的Computer Browser服务;描述为“创建和维护到远程服务的客户端网络连接。如果服务停止,这些连接将不可用。如果服务被禁用,任何直接依赖于此服务的服务将无法启动。”的Workstation服务全部启动。如果不将这三项服务启动,Exp攻击程序将无法发动成功的攻击。 |