微软操作系统面临安全威胁
10月24日晚,金山毒霸全球反病毒应急处理中心再次发布红色安全预警。这是金山在发布有关该漏洞危害的信息不到12个小时后,第2次发布紧急预警。金山毒霸反病毒工程师针对微软MS08-067漏洞进行了详细的攻击原型模拟演示,其结果让人瞠目结舌。结果证实,黑客完全有机会利用微软MS08-067漏洞发起远程攻击,微软操作系统面临大面积崩溃威胁。
曾几何时,“冲击波”曾在一周内至少攻击了全球80%的Windows用户,使他们的计算机无法工作并反复重启。而今微软MS08-067漏洞带来的危害有可能赶超“冲击波”。
金山毒霸反病毒工程师表示,微软MS08-067漏洞让微软操作系统面临着四年来最大安全威胁。首先,该漏洞的影响范围非常广泛,几乎所有的Windows操作系统用户都面临被攻击的威胁;其次,黑客一旦发起攻击,不但可以远程控制用户电脑,展开一系列的非法行为,如盗取用户的机密文件,盗取用户的网游、网银帐号密码等信息,更严重的是该攻击可导致用户程序崩溃,甚至系统崩溃。
金山毒霸反病毒工程师对微软MS08-067漏洞的攻击原理做了详细的解释,“一个未授权的攻击者可以远程触发该漏洞,可以执行Windows Server 2000、Windows XP和 Windows 2003机器上的代码。一般情况下,Windows Vista和Windows Server 2008系统都需要认证。然而,攻击者必定是接触到RPC界面来利用该漏洞进行攻击。在默认的情况下,攻击者是接触不到界面的,因为Windows XP SP2、Windows Vista、Windows Server 2008系统中防火墙是默认开启的。但当防火墙关闭、防火墙开启但文件、打印机共享开启任意一种情况下都可以暴露RPC界面。”
近日,大量盗版用户为了躲避微软的正版验证,关闭了系统自动更新功能,这无疑给黑客利用MS08-067漏洞进行攻击提供了可乘之机。
以下是金山毒霸反病毒工程师利用微软MS08-067漏洞的攻击原型模拟实例:
1、黑客在自己的机器上与被害人的机器建立远程联接
2、黑客运行一个事先编写好的,利用此漏洞传播的攻击程序die.exe之后,此恶意程序开始攻击用户的机器。
恶意程序的内容示例:
3、通过执行此恶意程序,可以造成攻击目标程序的崩溃,甚至系统崩溃。
设想一下,此示例中的恶意代码仅只是造成目标程序的崩溃,实际上,黑客已经通过此类恶意软件获得了目标用户系统的控制权,基本可以为所欲为。也就是将图3中的攻击内容稍微更改一下,他就可以执行用户机器上的任意程序,进行任意的操作。
微软MS08-067漏洞官方描述
Microsoft 安全公告 MS08-067 - 严重
服务器服务中的漏洞可能允许远程执行代码 (958644)
发布日期: 十月 23, 2008
版本: 1.0
摘要
此安全更新解决了服务器服务中一个秘密报告的漏洞。如果用户在受影响的系统上收到特制的 RPC 请求,则该漏洞可能允许远程执行代码。在 Microsoft Windows 2000、Windows XP 和 Windows Server 2003 系统上,攻击者可能未经身份验证即可利用此漏洞运行任意代码。此漏洞可能用于进行蠕虫攻击。防火墙最佳做法和标准的默认防火墙配置有助于保护网络资源免受从企业外部发起的攻击。
对于 Microsoft Windows 2000、Windows XP 和 Windows Server 2003 的所有受支持版本,此安全更新的等级为“严重”;对于 Windows Vista、Windows Server 2008 和 Windows 7 Beta 的所有受支持版本,此安全更新的等级为“重要”。
该安全更新通过更正服务器服务处理 RPC 请求的方式来解决该漏洞。
建议
Microsoft建议用户立即应用此更新。
受影响和不受影响的软件
已对下列软件进行测试,以确定受到影响的版本。其他版本的支持生命周期已结束或者不受影响。
受影响的软件
*Windows Server 2008 服务器核心安装受到影响。此更新适用于 Windows Server 2008 的受支持版本,严重等级相同,无论安装 Windows Server 2008 时是否使用“服务器核心”安装选项。有关该安装选项的详细信息,请参阅服务器核心。注意,“服务器核心”安装选项不适用于某些 Windows Server 2008 版本;请参阅比较“服务器核心”安装选项。
微软各受影响操作系统漏洞补丁官方下载地址:
http://www.microsoft.com/china/technet/security/bulletin/MS08-067.mspx
