windows系统历年⾼危漏洞
⼀、漏洞介绍:
1.漏洞:
<1>.漏洞:是影响⽹络安全的重要因素;
<2>.漏洞利⽤:成为恶意攻击的最常⽤⼿段;
<3>.漏洞攻击:产业化、低成本化、⼿段多样化、低门槛趋势;
<4>.信息化时代:⽆论个⼈/企业,都⾯临严峻的漏洞威胁;
<5>.Windows、Office、IE、Edge、Flash等⾼危漏洞频繁曝光。
2.Windows漏洞:
<1>.MS08-067 RCE漏洞;
<2>.MS12-020 DoS/蓝屏/RCE漏洞;
<3>.MS15-034 HTTP sys RCE漏洞;
<4>.MS16-114 SMB RCE;
<5>.2017年:WannaCry病毒、MS17-010 Eternal Blue永恒之蓝漏洞、Meltdown/Spectre CPU特性漏洞、⿊客奥斯卡神洞、公式编辑器漏洞、CVE-2017-7269 IIS RCE漏洞;
<6>.2018年:幽灵、CPU熔断、震⽹3、412挂马风暴;
<7>.2019年:CVE-2019-0708 Remote Desktop RCE漏洞;
⼆、图表查看漏洞⾛势
1.近⼏年,Windows漏洞提交数量呈现逐年上涨趋势。2018年、2019年,爆发期,对⽹络安全⾏业极其考验的年份。
2.Microsoft产品漏洞分类统计:
3.Windows漏洞攻击和利⽤:病毒分布&被利⽤的漏洞分布:⾮PE(邮件钓鱼Office宏病毒、脚本类),更难被检测,占⽐66%:
三、Windows历年著名⾼危漏洞
Windows每⼀次被披露公开,爆发的⾼危漏洞,在整个社会都会引起轩然⼤波,影响各个⾏业,皆因Windows视窗系统应⽤与各个⽣产服务领域。
1.MS08-067(CVE-2008-4250):
<1>.漏洞信息:
MS08-067(CVE-2008-4250),具有⾥程碑意义的⼀个Windows SMB漏洞,影响深远,是最经典的漏洞之⼀。在2017年Shadow Brokers泄露的⿊客利⽤程序⾥,就有MS08-067漏洞,MS08-067(CVE-2008-4250)是典型的
Windows缓冲区溢出漏洞。那时候,Windows的内存堆栈保护(ASLR技术)还没成熟。
漏洞是通过MS RPC over SMB通道(PIPE)调⽤Server服务程序中的NetPathCanonicalize函数触发造成的。NetPathCanonicalize函数在远程访问其他主机时,会调⽤NetpwPathCanonicalize函数,对远程访问的路径进⾏规范
化,⽽在NetpwPathCanonicalize函数中存在的逻辑错误,造成栈缓冲区可被溢出,最终RCE(remote command/code execute)。
造成⼤⾯积影响,可取得SYSTEM权限,完全控制Windows,制造蠕⾍病毒、病毒、远控⽊马等恶意攻击。
<2>影响的组件: netapi32.dll。
<3>.官⽅公告:
<4>.检查补丁:
wmic qfe GET hotfixid | findstr /C:"KB958644"
2.MS17-010(KB4012212):
<1>.漏洞信息:
多个Windows SMB远程执⾏代码(RCE)漏洞,当 Microsoft服务器消息块 1.0 (SMBv1,⽂件共享协议漏洞)服务器处理某些请求时,存在多个远程执⾏代码漏洞。成功利⽤这些漏洞的攻击者可以获取在⽬标系统上执⾏代
码的能⼒。为了利⽤此漏洞,在多数情况下,未经⾝份验证的攻击者可能向⽬标SMBv1服务器发送经特殊设计的数据包。
近两年来, “永恒之蓝”漏洞已经成为被利⽤程度最⾼的安全漏洞之⼀ ! 恶意攻击利⽤“永恒之蓝”漏洞,主动传播蠕⾍式病毒,“永恒之蓝”(WannaCry)开启了病毒的新时代。
注:WannaCry病毒,恶意攻击者利⽤The Shadow Brokers释放的永恒之蓝漏洞进⾏病
毒、蠕⾍传播,在全世界范围内超过23万台主机感染。⽬前还存在变种病毒。 、
<2>.影响范围:
Windows XP、2003、Windows7、Windows Server 2008 R2、Windows8.1、Windows Server2012、Windows10、Windows Server 2016
<3>.表现:感染病毒,⽂件损毁。
<4>.官⽅公告:
<5>.检查补丁:
wmic qfe GET hotfixid | findstr /C:"KB4012212"
3.CVE-2018-8174/CVE-2018-8893:IE双杀0day,⾼危漏洞:
<1>.漏洞信息:
Word⽂档通过CVE-2017-0199的OLE Autolink漏洞利⽤⽅式嵌⼊恶意⽹页,所有的漏洞利⽤代码和恶意载荷都通过远程的服务器加载;中招⽤户点击打开诱饵⽂档后,⾸先Word进程将访问远程的IE vbscript 0day(CVE-
2018-8174)⽹页,漏洞触发后将执⾏Shellcode,然后再发起多个请求从远程的服务器获取payload数据解密执⾏;Payload在执⾏的过程中word进程会在本地释放3个DLL后门程序,通过powershell命令和rundll32命令分别执⾏安装后门
程序,后门的执⾏过程使⽤了公开的UAC绕过技术,并利⽤了⽂件隐写技术和内存反射加载的⽅式来避免流量监测和实现⽆⽂件落地加载。
利⽤该0day漏洞,对IE内核浏览器和Office进⾏APT攻击(e.g. APT-C-06组织,针对中国政府、科研、外贸领域,长期蛰伏,监控);最新版本的IE浏览器及使⽤了IE内核的应⽤程序。⽤户在浏览⽹页或打开Office⽂档时都
可能中招,最终被⿊客植⼊后门⽊马完全控制电脑。
利⽤多次UAF(Use After Free 释放重引⽤漏洞)来完成类型混淆,通过伪造数组对象完成任意地址读
写,最终通过构造对象后释放来获取代码执⾏。代码执⾏并没有使⽤传统的ROP(Return orientedProgramming(⾯向返回的
编程))或者GodMode(NT6系统中隐藏的⼀个简单的⽂件夹窗⼝包含了⼏乎所有系统的设置),⽽是通过脚本布局Shellcode来稳定利⽤。
<2>.官⽅介绍:
<3>.检查补丁:
wmic qfe GET hotfixid | findstr /C:"KB4134651"
<4>.因⼀代补丁并未完全解决问题,衍⽣的新漏洞:
CVE-2018-8242,IE双杀,⼆代0day漏洞;
CVE-2018-8373,IE双杀,三代0day漏洞;
4.CVE-2019-0708:
<1>.漏洞信息:
2019年5⽉14⽇,Windows远程桌⾯服务(Remote Desktop Services,TCP/UDP 3389 RDP)存在严重安全漏洞(破坏⼒巨windows server 2012是什么系统
⼤),利⽤预⾝份验证,⽆需⽤户授权,执⾏任意代码(RCE),安装后门,查看、篡改隐私数
据,创建拥有完全⽤户权限的新账户等攻击⾏为,可完全控制⽬标的计算机。可利⽤该漏洞制作堪⽐2017年席卷全球的WannaCry类蠕⾍病毒,进⾏⼤规模传播、破坏;
<2>.影响系统版本:
Windows XP(KB4500331)、Windows 2003(KB4500331)、Vista(KB4499180)、2008/2008 R2( KB4499180)、Windows 7(KB4499175)。
<3>.官⽅信息:
<4>.免费检测⼯具:
<5>.漏洞检测:
wmic qfe GET hotfixid | findstr /C:"KB4499175"
注:打开Windwos命令⾏界⾯,输⼊"regedit"打开注册表 -->按照如下两种⽅式即可查看和修改端⼝号:
注:⽂中所有的检测补丁是否存在的指令:wmic qfe GET hotfixid | findstr /C:"X",若指令存在则会反弹补丁"X",否则不显⽰。
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论