严重漏洞潜伏达15年：影响所有Windows版本

微软刚刚修复了一个潜伏长达15年的严重漏洞，该漏洞可允许攻击者完全控制支持所有Windows版本的计算机。微软依然不会修复Windows Server 2003中的这个漏洞，虽然微软表示会在剩下的五个月中继续支持它。 微软将这一漏洞命名为MS15-011（第一个发现这个漏洞的研究员将其命名为Jasbug），且用了12个月予以修复，它影响使用Active Directory服务的商业、企业及政府网络的所有用户。该数据内置于Windows，担任流量警察及安保员的角色，为授权用户授予特定权限并映射到可获得多种资源的本地网络上。漏洞允许监控用户及Active Directory网络之间流量的攻击者发动中间人攻击，执行易受攻击机器上的恶意代码。 于2014年1月将漏洞报告给微软的公司JAS Global Advisors（JAS 全球顾问）在一个博客中警告称，“所有企业类活动目录（Active Directory）的成员计算机及设备都可能面临风险。这一漏洞可被远程利用并且授予攻击者在目标机器/设备拥有管理员级别的权限。漫游机器——也就是通过公共互联网（可能是VPN）连接到企业网络的Active Directory 成员设备面临的风险最大。” 微软博客举例说明了Jasbug如何在与咖啡店公共WiFi连接的机器上被利用： 1.在这个场景中，攻击者已经观察到经过转换器（switch）的流量，并且发现某一台具体机器正在尝试下载位于UNC路径的文件： \\10.0.0.100\Share\Login.bat 2.攻击者机器上建立了一个share，精确匹配受害者请求的文件UNC路径： \\*\Share\Login.bat 1.攻击者将会编造Login.bat内容在目标系统上执行任意的恶意代码。根据请求Login.bat的服务，它会在受害者机器上以本地用户或系统账户执行。 3.随后，攻击者修改本地交换机ARP表，以确保针对目标服务器10.0.0.100的流量现在发送到了攻击者机器上。 4.当受害者机器请求文件时，攻击者机器会返回恶意版本的Login.bat。这一场景同时说明这一攻击不会被互联网广泛使用——攻击者需要针对带有这个特定UNC请求文件的一个特定系统或系统组。 微软公布的详细介绍（中文）请见此处。活动目录组策略（Group Policy） 组件中的漏洞允许攻击者执行连接到域时收到的恶意代码。同时，一个单独的组策略漏洞能够导致其无法获取有效的安全策略，从而采用安全性较低的默认组策略。通过利用这些漏洞，攻击者能够禁用目标用户打算连接到的域正常执行的授权机制。 目前尚不清楚如何针对使用VPN通过加密隧道引导流量的人们发起攻击。从理论上来讲，VPN能够阻止中间人攻击者读取或篡改活动目录交易，除非攻击者原来就可解密数据。最有可能的情况是，所述咖啡店在本地执行域名查询，也就是说，通过分配到本地网络的域名系统服务器来执行。许多VPN以这种方式进行配置，这样用户连接更加迅速并且可缓解公司或政府网络上的堵塞情况。 这个Windows漏洞的修复并不像其他漏洞那样简单，因为它影响的是核心Windows功能的设计，而不是设计的实现。微软表示管理员应当检查这个连接以获取进一步的指导。该漏洞至少对继续使用Server 2003的组织机构带来了严重的理论性威胁，微软表示将在7月中旬前继续支持Server 2003。Server 2003将不可能连接至非信任网络，这让咖啡店场景的攻击不切实际。但攻击只会随着时间的流逝变得更加厉害，因为越来越多的人会发现新的利用方法。使用Server 2003的组织机构如果有能力停止使用Active Directory，强烈建议他们这样做。虽然未提及这个漏洞会给非活动目录网络成员带来风险，但所有Windows用户尽快安装这个修复的做法有益无害。

关注公众号：拾黑（shiheibook）了解更多

[广告]赞助链接：

四季很好，只要有你，文娱排行榜：https://www.yaopaiming.com/
让资讯触达的更精准有趣：https://www.0xu.cn/