您现在的位置: 华盟网 >> Hack >> 病毒知识 >> 正文

[图文]震网病毒补丁绕过

2015/3/11 作者:佚名 来源: 360安全播报
导读 德国计算机科学技术的学生Michael Heerklotz用了整个圣诞节假期来阅读《深入零日漏洞》,这是一本叙述震网病毒的发现和其产生的影响的书籍,计算机蠕虫病毒被认为是一种首选的网络攻击武器,它被指

t01353522fa6e1db0f1.jpg

仅仅花费了10个小时就找到了别人用五年都未找到的漏洞。

德国计算机科学技术的学生Michael Heerklotz用了整个圣诞节假期来阅读《深入零日漏洞》,这是一本叙述震网病毒的发现和其产生的影响的书籍,计算机蠕虫病毒被认为是一种首选的网络攻击武器,它被指责为导致伊朗核武器研发产生严重缺陷的罪魁祸首。

这本书激发了奥格斯堡大学的学生去研究测试震网病毒,尤其是被利用于攻击纳坦兹的铀浓缩设施所使用的Windows shell LNK漏洞。

微软公司在2010年8月时为此漏洞做了补丁更新,并且近四年以来没有再听到有关于这个问题和任何遗留影响的公开报道。我们可以据此假设Windows操作系统已经CVE-2010-2568(Windows Shell LNK文件处理漏洞)做了安全修复。

Heerklotz在一封寄给Threatpost网站的电子邮件中说道:“我想通过在旧版本的Windows XP平台上测试LNK漏洞以便于可以更加深入地了解这个漏洞,然后尝试去弄清楚到底是哪个版本的Windows修复了此漏洞。” 令人惊讶的是,大约过了10个小时,我发现了一个绕过此修复的方法,即通过混淆LNK代码的其它部分来实现,微软公司大概不会对他们做的补丁检查得非常仔细。

Heerklotz在一月份声称他发现了惠普的0day漏洞,在惠普了解到这个漏洞的相关信息之前,是由TippingPoint入侵防御系统最先发现的。系统程序审查了漏洞,产生了概念验证代码,并且最终将这个发现反映给了厂商,厂商商奖赏了发现问题的研究人员并把修复补丁提供给用户更新。

就在昨日,惠普公司披露了Heerklotz的发现的一些细节,数小时之后微软公司也更新了一个补丁来修复震网的漏洞。

Heerklotz说道:“这虽然会有一点棘手,但并不是非常的复杂,使我困惑的是之前并没有人发现(并且公布)它。其他的研究人员同样也已经看过了这个补丁,但是我猜没人投入过多的时间来研究补丁,因为所有的一切表面上都是正常的。”

LNK文件漏洞曾是震网攻击工具的一部分,随着伊朗核计划,美国利用一连串0day漏洞去攻击伊朗的Windows系统设施,这里面就包含有西门子公司负责操作纳坦兹内部离心机的可编程逻辑控制器的缺陷漏洞。

一位名叫Brian Gorenc的零日漏洞研究计划的管理者说道:“这份补丁并没有完全解决Windows shell中link文件的问题,并且仍有遗留的问题。”Gorenc认为,跑Windows将机器漏洞贯穿于WindowsXP时代到如今的Windows 8.1,例如Heerklotz开发利用的概念验证与0day漏洞研究计划作出调整以便跳过验证检测,在这点上微软公司安全公告做得很到位。

从一个更高的层次来看,在USB驱动器被插入一个空气间隙结构的设备之后,震网病毒将会被启动,这是一种装载了利用Windows系统漏洞的设备,并且当用户访问一个含有LNK文件漏洞的目录或者文件夹时就会启动震网病毒

惠普公司在他的公告文档中说道:“Windows操作系统支持LNK文件,LNK文件定义了一个快捷方式,可以直接访问其他文件或者目录,并且可以从CPL文件(控制面板文件)获取自定义的图标。问题就在于在Windows系统中,图标是从模块(可执行文件或者动态链接库)中载入的。实际上CPL文件其实是DLL文件。”因为一个攻击者可以自定义选择载入哪一个可执行的模块,他还可以使用LNK文件去执行Windows shell中任意的一段代码并且攻击者的权限可以与当前设备的用户一模一样。

在2010年8月发布的补丁中,微软公司的解决方案是将CPL文件能够载入非标准模式的图标作为链接这一功能加入到白名单。

惠普公司在他的公告文档中说出了补丁绕过的细节,并且将其添加到解决内存崩溃的缓解措施上,惠普公司认为这是必须做的。微软公司因为这次事件付出了代价,通过在运行中加载可执行模块来载入这种快捷方式图标,这种决定就像一个十岁小孩所做的决定一样幼稚。

惠普公司称:“Windows操作系统本身可以处理ASLR(缓冲区溢出的安全保护技术)的问题并且将攻击代码加载到可执行内存中。正是因为如此,攻击将会是稳定的,可靠的,并且可以轻松地Windows任何版本中运行。微软公司已经付出了大量的努力去增加利用内存奔溃这一bug的难度。”“这是防御者陷入困境的一个典型例子,防御者必须在任何一方面都足够强大,否则攻击者仅仅需要去找到他的一个漏洞就可以进行攻击了。”


扩展阅读

360安全卫士 http://weibo.com/p/1001603819243010427266

2010年震网病毒(Stuxnet)曝光,该病毒利用“看一眼就中招”的Windows快捷方式超级漏洞传播,当时微软紧急发布了补丁,但漏洞并未得到彻底修复。在过去5年时间里,此漏洞很可能仍在被“方程式”黑客组织秘密利用。

北京时间今天凌晨,微软3月补丁再次出手力图彻底终结震网漏洞(安全公告:MS15-020)。微软方面表示:随着技术的发展,网络犯罪分子所采用的手法已发生变化,因此补丁也需要进行更新。

值得警惕的是,尽管微软已经为Vista-Win8.1以及Windows Server各版本操作系统推出补丁,但国内用户量最大的XP系统仍受到震网漏洞影响。而此漏洞最新的攻击细节也已公开!

目前在国内政府单位和大型企业内网中,Windows XP系统仍占据重要地位,该漏洞对国内的政企XP用户、甚至是隔离网用户都会形成严重威胁。要知道,在震网入侵伊朗核电站的过程中,病毒就是利用U盘中的恶意快捷方式实施入侵,只要预览图标即使不双击文件也会感染。

对此,360安全卫士“XP盾甲”已经集成了震网漏洞的热补丁防护措施,能够全面拦截针对该漏洞的黑客攻击,确保XP用户的系统安全。

如果您的XP系统没有开启360XP盾甲,建议参考微软安全公告,通过禁用快捷方式的图标显示、禁用 WebClient服务来降低此漏洞的风险,但副作用是大多数图标显示为白色默认对象图标,而且系统无法传输 WebDAV请求,所有明确依赖于 Web 客户端服务的任何服务将不会启动,并且会在系统日志中记录错误消息,例如无法从客户端计算机访问 WebDAV 共享。

                  微信群名称:华盟黑白之道二群     华盟-黑白之道⑦QQ群: 9430885

  • 上一篇Hack:

  • 下一篇Hack:
  • 网友评论
      验证码
     

    关注

    分享

    0

    讨论

    2

    猜你喜欢

    论坛最新贴