可用于零日Windows攻擊的臨時(shí)Micropatch

admin

公開(kāi)披露的Windows零日漏洞允許攻擊者在危害低權(quán)限帳戶時(shí)完全控制系統(tǒng)。這是一個(gè)解決辦法。

微軟本月在Windows中留下了兩個(gè)眾所周知的漏洞，但研究人員已經(jīng)介入并創(chuàng)建了臨時(shí)補(bǔ)丁，這些補(bǔ)丁可以很容易地應(yīng)用于保護(hù)系統(tǒng)，直到有正式的補(bǔ)丁可用為止。
在12月的最后兩周，一個(gè)使用在線處理沙盒的安全愛(ài)好者發(fā)布了詳細(xì)信息和概念驗(yàn)證，利用代碼在Windows中發(fā)現(xiàn)了兩個(gè)特權(quán)升級(jí)漏洞。Acros Security的研究人員已經(jīng)通過(guò)0patch發(fā)布了一個(gè)臨時(shí)的“Micropatch”，這是一個(gè)為零天缺陷提供內(nèi)存二進(jìn)制修補(bǔ)的服務(wù)，他們目前也在測(cè)試第二個(gè)問(wèn)題的修補(bǔ)程序。
沙盒攻擊者的漏洞之一允許低權(quán)限用戶讀取系統(tǒng)上的任何文件，包括屬于其他用戶的文件。該漏洞利用了名為msiAdvertiseProduct的Windows功能，該功能使用系統(tǒng)權(quán)限執(zhí)行操作，因此可能導(dǎo)致信息泄漏，特別是如果攻擊者知道他們可以公開(kāi)的潛在敏感文件的路徑。
第二個(gè)漏洞更為嚴(yán)重，允許低權(quán)限用戶將任意文件覆蓋為系統(tǒng)，可能導(dǎo)致以最高權(quán)限執(zhí)行任意代碼。這個(gè)缺陷被稱為angrypolarbearbug，是0patch.com發(fā)布的一個(gè)micropatch。
權(quán)限提升漏洞不允許黑客在沒(méi)有用戶交互的情況下遠(yuǎn)程闖入計(jì)算機(jī)。然而，一旦攻擊者通過(guò)其他方法（如通過(guò)電子郵件發(fā)送的惡意軟件）破壞低權(quán)限帳戶，他們就可以利用此類漏洞完全控制系統(tǒng)。Sandboxescaper自8月份以來(lái)已經(jīng)披露了四個(gè)Windows權(quán)限提升缺陷，第一個(gè)缺陷位于Windows任務(wù)調(diào)度程序中，在微軟發(fā)布補(bǔ)丁之前，黑客很快就利用了這一缺陷進(jìn)行攻擊。
幸運(yùn)的是，AngryPolarBearbug不像Windows任務(wù)調(diào)度程序那么容易被攻擊，因?yàn)樗�是一個(gè)爭(zhēng)用條件，所以需要多次重試才能成功，而且攻擊者無(wú)法完全控制覆蓋文件的數(shù)據(jù)。沙盒scaper發(fā)布的概念驗(yàn)證覆蓋了Windows啟動(dòng)過(guò)程中所需的關(guān)鍵系統(tǒng)文件，導(dǎo)致拒絕服務(wù)條件，而不是任意代碼執(zhí)行。然而，這并不意味著實(shí)現(xiàn)代碼執(zhí)行是不可能的。
“我們的Micropatch是針對(duì)Windows 10版本1803 64位的，”Acros Security的首席執(zhí)行官兼0patch.com服務(wù)的聯(lián)合創(chuàng)始人Mitja Kolsek說(shuō)。我們通常只為一個(gè)或多個(gè)最流行的版本制作一個(gè)Micropatch，并等待用戶根據(jù)需要表達(dá)對(duì)移植到其他版本的興趣�！�

如何應(yīng)用微探針
應(yīng)用臨時(shí)補(bǔ)丁需要從0patch.com安裝一個(gè)小型的軟件代理，然后它將直接在內(nèi)存中修補(bǔ)易受攻擊的Windows進(jìn)程，而不必觸摸磁盤(pán)上的文件。這個(gè)過(guò)程稱為微補(bǔ)丁，不需要重新啟動(dòng)操作系統(tǒng)，甚至不需要脆弱的過(guò)程。當(dāng)正式的Microsoft更新準(zhǔn)備好應(yīng)用時(shí)，只需單擊一個(gè)按鈕就可以刪除補(bǔ)丁，而不會(huì)留下任何痕跡。
微貼裝在多種情況下都很有用。除了消除不存在官方補(bǔ)丁的零日缺陷外，它還可以用來(lái)修復(fù)軟件或操作系統(tǒng)版本中新發(fā)現(xiàn)的缺陷，這些缺陷已不再受開(kāi)發(fā)人員的支持。在應(yīng)用正式補(bǔ)丁需要重新啟動(dòng)受影響的系統(tǒng)或執(zhí)行關(guān)鍵任務(wù)的應(yīng)用程序的情況下，它也可以用作臨時(shí)解決方案。
微軟在每個(gè)月的第二個(gè)星期二發(fā)布補(bǔ)丁，這一天在軟件行業(yè)被稱為補(bǔ)丁星期二。它很少打破這個(gè)周期，通常只有在廣泛的攻擊中利用關(guān)鍵的零日漏洞時(shí)才會(huì)發(fā)布帶外安全補(bǔ)丁。這意味著至少在2月12日之前，該公司不太可能修復(fù)沙盒垃圾箱的AngryPolarBearbug和任意文件讀取缺陷。