Windows应急响应和系统加固(6)——Windows历年高危漏洞介绍和分析

Windows历年高危漏洞介绍和分析

一、漏洞介绍:

  1.漏洞:

    <1>.漏洞:是影响网络安全的重要因素;

    <2>.漏洞利用:成为恶意攻击的最常用手段;

    <3>.漏洞攻击:产业化、低成本化、手段多样化、低门槛趋势;

    <4>.信息化时代:无论个人/企业,都面临严峻的漏洞威胁;

    <5>.Windows、Office、IE、Edge、Flash等高危漏洞频繁曝光。

  2.Windows漏洞:

    <1>.MS08-067 RCE漏洞;

    <2>.MS12-020 DoS/蓝屏/RCE漏洞;

    <3>.MS15-034 HTTP sys RCE漏洞;

    <4>.MS16-114 SMB RCE;

    <5>.2017年:WannaCry勒索病毒、MS17-010 Eternal Blue永恒之蓝漏洞、Meltdown/Spectre CPU特性漏洞、黑客奥斯卡神洞、公式编辑器漏洞、CVE-2017-7269 IIS RCE漏洞;

    <6>.2018年:幽灵、CPU熔断、震网3、412挂马风暴;

    <7>.2019年:CVE-2019-0708 Remote Desktop RCE漏洞;

二、图表查看漏洞走势

  1.近几年,Windows漏洞提交数量呈现逐年上涨趋势。2018年、2019年,爆发期,对网络安全行业极其考验的年份。

  2.Microsoft产品漏洞分类统计:

  3.Windows漏洞攻击和利用:病毒分布&被利用的漏洞分布:非PE(邮件钓鱼Office宏病毒、脚本类),更难被检测,占比66%:

三、Windows历年著名高危漏洞

  Windows每一次被披露公开,爆发的高危漏洞,在整个社会都会引起轩然大波,影响各个行业,皆因Windows视窗系统应用与各个生产服务领域。

  1.MS08-067(CVE-2008-4250):

    <1>.漏洞信息:

     MS08-067(CVE-2008-4250),具有里程碑意义的一个Windows SMB漏洞,影响深远,是最经典的漏洞之一。在2017年Shadow Brokers泄露的黑客利用程序里,就有MS08-067漏洞,MS08-067(CVE-2008-4250)是典型的

Windows缓冲区溢出漏洞。那时候,Windows的内存堆栈保护(ASLR技术)还没成熟。

    漏洞是通过MS RPC over SMB通道(PIPE)调用Server服务程序中的NetPathCanonicalize函数触发造成的。NetPathCanonicalize函数在远程访问其他主机时,会调用NetpwPathCanonicalize函数,对远程访问的路径进行规范

化,而在NetpwPathCanonicalize函数中存在的逻辑错误,造成栈缓冲区可被溢出,最终RCE(remote command/code execute)。

    造成大面积影响,可取得SYSTEM权限,完全控制Windows,制造蠕虫病毒、勒索病毒、远控木马等恶意攻击。

      <2>影响的组件:svchost.exe netapi32.dll。

    <3>.官方公告:

      https://docs.microsoft.com/en-us/security-updates/SecurityBulletins/2008/ms08-067

      https://query.prod.cms.rt.microsoft.com/cms/api/am/binary/RE2GDlB

    <4>.检查补丁:

      wmic qfe GET hotfixid | findstr /C:"KB958644"

  2.MS17-010(KB4012212):

    <1>.漏洞信息:

      多个Windows SMB远程执行代码(RCE)漏洞,当 Microsoft服务器消息块 1.0 (SMBv1,文件共享协议漏洞)服务器处理某些请求时,存在多个远程执行代码漏洞。成功利用这些漏洞的攻击者可以获取在目标系统上执行代

码的能力。为了利用此漏洞,在多数情况下,未经身份验证的攻击者可能向目标SMBv1服务器发送经特殊设计的数据包。

      近两年来, “永恒之蓝”漏洞已经成为被利用程度最高的安全漏洞之一 ! 恶意攻击利用“永恒之蓝”漏洞,主动传播蠕虫式勒索病毒,“永恒之蓝”(WannaCry)开启了勒索病毒的新时代。

      注:WannaCry勒索病毒,恶意攻击者利用The Shadow Brokers释放的永恒之蓝漏洞进行勒索病

毒、蠕虫传播,在全世界范围内超过23万台主机感染。目前还存在变种病毒。    、

    <2>.影响范围:

      Windows XP、2003、Windows7、Windows Server 2008 R2、Windows8.1、Windows Server2012、Windows10、Windows Server 2016

    <3>.表现:感染勒索病毒,文件损毁。

    <4>.官方公告:

      https://docs.microsoft.com/en-us/security-updates/SecurityBulletins/2017/ms17-010

    <5>.检查补丁:

      wmic qfe GET hotfixid | findstr /C:"KB4012212"

  3.CVE-2018-8174/CVE-2018-8893:IE双杀0day,高危漏洞:

    <1>.漏洞信息:

      Word文档通过CVE-2017-0199的OLE Autolink漏洞利用方式嵌入恶意网页,所有的漏洞利用代码和恶意载荷都通过远程的服务器加载;中招用户点击打开诱饵文档后,首先Word进程将访问远程的IE vbscript 0day(CVE-

2018-8174)网页,漏洞触发后将执行Shellcode,然后再发起多个请求从远程的服务器获取payload数据解密执行;Payload在执行的过程中word进程会在本地释放3个DLL后门程序,通过powershell命令和rundll32命令分别执行安装后门

程序,后门的执行过程使用了公开的UAC绕过技术,并利用了文件隐写技术和内存反射加载的方式来避免流量监测和实现无文件落地加载。

      利用该0day漏洞,对IE内核浏览器和Office进行APT攻击(e.g. APT-C-06组织,针对中国政府、科研、外贸领域,长期蛰伏,监控);最新版本的IE浏览器及使用了IE内核的应用程序。用户在浏览网页或打开Office文档时都

可能中招,最终被黑客植入后门木马完全控制电脑。

      利用多次UAF(Use After Free 释放重引用漏洞)来完成类型混淆,通过伪造数组对象完成任意地址读写,最终通过构造对象后释放来获取代码执行。代码执行并没有使用传统的ROP(Return orientedProgramming(面向返回的

编程))或者GodMode(NT6系统中隐藏的一个简单的文件夹窗口包含了几乎所有系统的设置),而是通过脚本布局Shellcode来稳定利用。

    <2>.官方介绍:

      https://support.microsoft.com/en-us/help/4134651/description-of-the-security-update-for-vulnerabilities-in-windows

    <3>.检查补丁:

      wmic qfe GET hotfixid | findstr /C:"KB4134651"

    <4>.因一代补丁并未完全解决问题,衍生的新漏洞:

      CVE-2018-8242,IE双杀,二代0day漏洞;

      CVE-2018-8373,IE双杀,三代0day漏洞;

  4.CVE-2019-0708:

    <1>.漏洞信息:

      2019年5月14日,Windows远程桌面服务(Remote Desktop Services,TCP/UDP 3389 RDP)存在严重安全漏洞(破坏力巨大),利用预身份验证,无需用户授权,执行任意代码(RCE),安装后门,查看、篡改隐私数

据,创建拥有完全用户权限的新账户等攻击行为,可完全控制目标的计算机。可利用该漏洞制作堪比2017年席卷全球的WannaCry类蠕虫病毒,进行大规模传播、破坏;

    <2>.影响系统版本:

      Windows XP(KB4500331)、Windows 2003(KB4500331)、Vista(KB4499180)、2008/2008 R2( KB4499180)、Windows 7(KB4499175)。

    <3>.官方信息:

      https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708

    <4>.免费检测工具:

      https://free.360totalsecurity.com/CVE-2019-0708/detector_release.zip

    <5>.漏洞检测:

      wmic qfe GET hotfixid | findstr /C:"KB4499175"

  注:打开Windwos命令行界面,输入"regedit"打开注册表 -->按照如下两种方式即可查看和修改端口号:

注:文中所有的检测补丁是否存在的指令 :wmic qfe GET hotfixid | findstr /C:"X",若指令存在则会反弹补丁"X",否则不显示。

(0)

相关推荐

  • 微软2021年2月份于周二补丁日针对56个漏洞发布安全补丁

    2021年的2月份,微软发布的漏洞数量,较之2020年2月补丁数量约为一半,微软周二针对其旗下产品发布了56个漏洞的修复程序(补丁),其中包括一个众所周知的可以在野外积极利用的严重漏洞. 唐韩滉五牛图 ...

  • Google推出Chrome更新修复多个漏洞包括一个零日漏洞

    Google今天针对Windows.Mac以及Linux系统发布了Chrome 86.0.4240. 183更新.这次的更新可以解决不少的安全性问题,包括一个已经被人利用,可以让攻击者执行任意代码的零 ...

  • Tomcat AJP协议漏洞分析与利用

    0x01 漏洞基本信息 漏洞名称:Tomcat AJP协议漏洞 CVE编号:CVE-2020-1938 漏洞简介:2020年2月4日,Apache Tomcat官方发布了新的版本,该版本修复了一个影响 ...

  • 微软发布针对主动利用的 Windows 零日漏洞的补丁

    在苹果和谷歌推出紧急安全更新的第二天,作为每月补丁星期二发布周期的一部分,Microsoft 微软已经推送了软件修复程序,以堵住 66 个影响 Windows 和其他组件(如 Azure.Office ...

  • 东方联盟:Linux 系统的 15 大漏洞

    近 1400 万个基于 Linux 的系统直接暴露在互联网上,使它们成为一系列现实世界攻击的有利目标,这些攻击可能会导致部署恶意 Web 外壳.硬币挖掘器.勒索软件和其他木马. 这是根据知名网络安全组 ...

  • Win10新更新提高安全性:微软建议都要升级!附下载地址

    今天微软又针对所有Windows 10版本,推送了新的更新,由于是修复了不少重要安全漏洞,所以其建议用户都去升级.在今天的更新中,微软共计修复了108处漏洞,其中 9个标记为"关键漏洞&qu ...

  • 黑客针对Windows漏洞CVE-2021-31166发布PoC

    最近安全研究人员针对修补的Windows漏洞发布了概念验证(PoC),漏洞可能允许远程执行代码,Microsoft将该漏洞描述为可蠕虫化的.该漏洞编号为CVE-2021-31166,严重等级为严重,M ...

  • 微软发布例行安全性更新,修复众多漏洞

    微软在刚刚过去的"补丁星期二"发布了用于修补113个新漏洞的安全性更新,这些漏洞当中有17个漏洞是"致命性"的,并且总共有96个漏洞的严重性是被评为" ...

  • 微软补丁星期二修补123个漏洞,包括两个高危漏洞

    微软在刚刚七月份的补丁星期二中放出了含有123个修复的更新,其中包括一个本t3严重的DNS漏洞以及一个众所周知的权限提升漏洞.这个以远程执行代码的DNS漏洞在截止现在为止可以说是今年发现的最严重漏洞, ...

  • 微软发布8月安全更新:共修复120个漏洞,當中17个为高危

    在最新一期的补丁星期二中,微软发布了针对120个安全漏洞的修复.这里面有17个为高危漏洞,其他的则是严重漏洞.当中更有2个漏洞是已经有不法分子利用来作入侵Windows系统的. 第一个是代号为CVE- ...

  • 2021年CISA和MITRE漏洞列表回顾

    去年夏天,美国联邦调查局 (FBI) 和网络安全与基础设施安全局 (CISA) 与英国和澳大利亚的部队合作,发布了 2020 年最常被利用的 30 个漏洞列表(以及一些在 2021 年被利用的漏洞). ...