微软发布紧急补丁:Win XP/7用户尽快安装,易被恶意攻击

by admin on 2020年2月27日

来自 IDC 机房的公告:

图片 1

图片 2

5月14日
微软发布了针对远程桌面服务(以前称为终端服务)的关键远程执行代码漏洞CVE-2019-0708的修复程序,该漏洞  影响了某些旧版本的Windows。远程桌面协议(RDP)本身不容易受到攻击。此漏洞是预身份验证,无需用户交互。换句话说,该漏洞是“可疑的”,这意味着利用此漏洞的任何未来恶意软件都可能以与 2017年WannaCry恶意软件遍布全球的类似方式从易受攻击的计算机传播到易受攻击的计算机  。虽然我们观察到没有利用在此漏洞中,恶意攻击者极有可能为此漏洞编写漏洞并将其合并到恶意软件中。 

微软在例行的周二安全更新中修复了四个远程桌面服高危漏洞,漏洞允许恶意程序像蠕虫一样传播,整个过程无需用户操作。编号为
CVE-2019-1181、CVE-2019-1182、CVE-2019-1222 和 CVE-2019-1226,漏洞影响
Win…

近日,微软紧急发布安全补丁,主要针对Win
XP/7等旧系统的用户,这个漏洞可能导致类似Wanna
Cry恶意软件的大面积恶劣影响,Win8/10暂时不受影响。本文约544字,需1分钟阅读近日,微软紧急发布了针对远程桌面服务的关键远程执行代码漏洞CVE-2019-0708的修复程序,该漏洞影响了某些旧版本的Windows系统,比如Windows
XP、Windows Server 2003、Windows 7、Windows Server 2008等。

图片 3

微软在例行的周二安全更新中修复了四个远程桌面服高危漏洞,漏洞允许恶意程序像蠕虫一样传播,整个过程无需用户操作。编号为
CVE-2019-1181、CVE-2019-1182、CVE-2019-1222 和 CVE-2019-1226,漏洞影响
Windows 7、8 和 10,以及 Server 2008、2012、2016 和 2019。同时Gooogle
Project Zero安全团队的研究员Tavis
Ormandy报告了一个微软CTF协议的漏洞,影响XP以来的所有Windows版本。

虽然微软的安全响应中心暂时没有发现有利用此漏洞的恶意攻击,但同时也表示:“远程桌面协议本身不容易受到攻击。此漏洞是预身份验证,无需用户交互。换句话说,该漏洞是“可疑的”,这意味着利用此漏洞的任何恶意软件都可能以与2017年Wanna
Cry恶意软件遍布全球的类似方式造成大面积的恶性感染”。

现在已经引起了您的注意,重要的是尽可能快地修补受影响的系统以防止这种情况发生。作为回应,我们正在采取不寻常的步骤,为所有客户提供安全更新,以保护Windows平台,包括一些不支持的Windows版本。 

图源:Unsplash

在启用了网络级别身份验证的受影响系统上可能可以部分缓解可能利用此漏洞的“可疑”恶意软件或高级恶意软件的威胁,因为NLA在触发漏洞之前需要进行身份验证。但是,如果攻击者具有可用于成功进行身份验证的有效凭据,则受影响的系统仍然容易受到远程执行代码执行的攻击。

易受攻击的支持系统包括Windows 7,Windows Server 2008 R2和Windows Server 2008.可以在Microsoft安全更新指南中找到支持Windows版本的下载  。使用支持版本的Windows并启用自动更新的客户将自动受到保护。  

编号为CVE-2019-1181、CVE-2019-1182、CVE-2019-1222
和CVE-2019-1226的漏洞允许未经授权的攻击者通过发送特制信息执行任意代码。它们可以利用它们的特性将恶意软件从一台易受攻击的计算机传播到另一台,而无需任何用户操作,就像2017年自我复制的WannaCry和NotPetya爆发一样。漏洞影
Windows 7、8和10,以及Server 2008、2012、2016和2019。

所以,微软紧急发布了安全修复补丁,强烈建议仍在使用上文提到的系统的用户安装这些补丁。Windows
XP系列的补丁序列号为KB4500331,需要用户手动去微软官网下载安装;Windows
7系列的补丁序列号为KB4499175,用户可以通过Windows
Update检查更新并安装或到微软官网自行下载安装。

不支持的系统包括Windows 2003和Windows XP。如果您使用的是不支持的版本,则解决此漏洞的最佳方法是升级到最新版本的Windows。即便如此,我们还是在KB4500705中为这些不支持的Windows版本提供了修复程序  。 

未经身份验证的攻击者可以通过在已知保护时发送特制邮件来执行恶意代码正如在大型组织中经常进行的那样,关闭网络级别身份验证,类似于微软在5月份修补的所谓BlueKeep漏洞,但这些漏洞能够影响最新的Windows系统,而不仅仅像BlueKeep影响旧版本的系统。一个缓解措施是“启用NLA并为所有外部和内部系统启用它”,但启用NLA并不能完全防御攻击,打开NLA显着增加了需求,设法获取网络凭据的攻击者仍然可以利用这些漏洞来执行他们选择的代码,因为漏洞可以完全绕过RDS本身内置的身份验证机制。

虽然暂时Windows 8和10不受到影响,但微软连已经停止支持的Windows
XP提供了漏洞补丁,这次的漏洞看起来还是挺严重的。

运行Windows 8和Windows 10的客户不受此漏洞的影响,并且后续版本的Windows不受影响并非巧合。微软通常通过主要的架构改进投入大量资金来加强其产品的安全性,而这些改进无法向后端版本推送到早期版本的Windows。  

而Google Project Zero安全团队的研究员Tavis
Ormandy报告,微软鲜为人知的CTF协议存在漏洞,很被容易利用,已在受害者计算机获得立足之地的黑客或恶意程序可以利用该漏洞劫持任何Windows的普通权限或高权限应用,从而接管整个操作系统。

Windows XP补丁下载:微软安全支持Windows 7补丁下载:微软安全支持

在 启用了网络级别身份验证(NLA)的受影响系统上进行部分缓解  。受影响的系统可以缓解可能利用此漏洞的“可疑”恶意软件或高级恶意软件威胁,因为NLA在触发漏洞之前需要进行身份验证。但是,如果攻击者具有可用于成功进行身份验证的有效凭据,则受影响的系统仍然容易受到远程执行代码执行(RCE)的攻击。 

图源:ArsTechnica

赞赏

出于这些原因,我们强烈建议所有受影响的系统 – 无论NLA是否启用 – 都应尽快更新。  

CTF代表什么,Ormandy和发现错误协议的人没有查到,它是Windows Text
Services Framework (Windows文本服务框架,TSF)
的一部分,用于管理Windows或Windows应用程序内的文本展示。当用户启动一个应用,Windows会启动一个CTF客户端,这个客户端会从一个CTF服务器接收有关操作系统语言和键盘输入方法的指令。如果操作系统输入法从一种语言切换到另一种语言,
CTF服务器会通知所有CTF客户端,实时改变每个Windows应用程序中的语言。

资源:
Links to downloads for Windows 7, Windows 2008 R2, and Windows 2008
Links to downloads for Windows 2003 and Windows XP  
Simon Pope, Director of Incident Response, Microsoft Security Response Center (MSRC)

漏洞在于CTF服务器和客户端之间通信是不安全的,没有正确的身份验证和恰当的保护,没有访问控制。攻击者可以劫持另一个应用的CTF会话,伪装成服务器向客户端发送命令。攻击者可以使用此漏洞从其他应用程序窃取数据,或者他们可以使用它来发布这些应用程序名称中的命令。如果应用运行在高权限上,攻击者可以控制整个操作系统。根据Ormandy的说法,任何应用程序或Windows进程都可以争夺。由于CTF的作用

补丁地址:

  • 在任何应用程序或服务中显示文本 –
    Windows操作系统上的所有内容和每个用户界面元素都有一个CTF会话。

 

图源:ZDnet

(文/开源中国)    

漏洞影响到XP以来的所有Windows版本,微软告诉ZDNet网站,他们已经把CTF协议漏洞和修复程序跟踪为CVE-2019-1162,目前不清楚微软是否或何时会释出补丁。

发表评论

电子邮件地址不会被公开。 必填项已用*标注

网站地图xml地图