摘自:bobao.360.cn
昨天,微软公司发布了一份更新公告(MS15-085),并在公告中表示CVE-2015-1769漏洞已经被修复了。CVE-2015-1769漏洞是一个存在于Mount Manager组件之中的严重安全问题。它会影响所有版本的Windows系统,包括客户版和服务器版在内。研究人员撰写这篇文章的目的就是为了向网络防御人员提供漏洞检测的指导信息,并帮助他们检测针对CVE-2015-1769漏洞的攻击行为。
作为此次更新的一个重要组成部分,我们为研究人员提供了一个事件日志,这个事件日志可以帮助网络防御人员在他们的系统中检测针对CVE-2015-1769漏洞的攻击行为。当一个基于这个漏洞的恶意USB设备插入目标系统之后,便会触发事件记录。如果系统记录下了一个事件,这也就意味着系统成功地阻止了一次针对此漏洞的攻击行为。所以,当用户安装了这个更新补丁之后,公司将会对这些事件日志进行安全审计,并将其作为一种攻击检测机制。这些事件日志会记录在”system”分栏中,并会以系统错误的形式报告给用户。
在用户安装了这个更新补丁之后,系统事件日志的详细信息将会如下:针对CVE-2015-1769漏洞的攻击行为的Event ID为100,漏洞来源会显示为MountMgr或Microsoft-Windows-MountMgr。漏洞的CVE编号同样会被系统记录下来。但需要研究人员注意的是,这些错误代码还有可能在其他极为罕见的情形下出现。因此,此类事件日志是有可能在非恶意的系统环境下生成的,但这样的几率是非常小的。相比前者,几率更高的情况就是有攻击者恶意利用这个漏洞来对目标系统进行攻击。
微软公司在其周二的官方公告中写到:当Mount Manager组件无法正确地处理符号链接的时候,便会出现权限提升漏洞。如果攻击者能够成功地利用这个漏洞,便可以向目标设备的硬盘中写入并执行任意的恶意代码。如果要利用这个漏洞,攻击者需要将一个受感染的USB设备插入目标设备中。微软公司所发布的更新补丁移除了存在于该组件中的漏洞代码,从而修复了这个漏洞。微软公司通过协调漏洞披露计划收到了有关这个漏洞的详细信息。当微软公司发布了这个安全公告的时候,就意味着他们有理由相信,目前已经有黑客利用这个漏洞去攻击他们的客户了。
这个漏洞让人想起了2008年,有一个与美国国家安全局有着密切联系的黑客组织(人称Equation Group)曾利用过的一个非常严重的漏洞,该组织后来被认定为震网病毒的幕后操作者。Stuxnet“震网”蠕虫病毒(超级工厂病毒)是世界上首个专门针对工业控制系统编写的破坏性病毒,该病毒主要通过U盘和局域网进行传播,曾造成伊朗核电站推迟发电,于2010年9月25日进入中国。这个漏洞驻留在.LNK文件的函数中,当USB设备插入系统之后,Windows操作系统会使用这个函数来显示设备的图标,攻击者可以利用这个漏洞来释放一个超级电脑 病毒,而且这种病毒可以在计算机与计算机之间进行传播。
2010年,微软公司修复了这个LNK漏洞,具体信息可以查看MS10-046。微软官方将这个漏洞定义为“高危漏洞”,这个等级是微软公司所定义的危险程度最高的漏洞等级了。由于.LNK漏洞可以允许攻击者成功地感染大量的空气间隙计算机,那么这样的分类看起来也就比较恰当了。但令人费解的是,在公司周二所发表的官方公告中,他们对这个漏洞的评定等级为“重要漏洞”,而这个等级是微软公司定义的第二严重的漏洞等级。正如病毒公告研究人员Martijn Grooten所指出的,.LNK漏洞可以被黑客远程利用,而且允许攻击者感染数百万的计算机。相比之下,公司在周二所修复的这个漏洞是需要USB设备为 载体的,这样的条件会在很大程度上限制这种攻击的作用范围。
除了修复这个漏洞,微软公司还发布了一款软件,这款软件可以帮助用户的计算机记录针对此漏洞的攻击行为。这样一来,用户就可以更加清楚地了解到他们是否被黑客攻击了。除此之外,还需要注意的是:如果需要为设备安装Windows语言包,那么将需要重新安装这个发布于本周二的更新补丁。因此,在部署这个更新补丁之前,用户需要提前安装好他们将来需要用到的所有语言包。
本周二,微软公司发布了14个漏洞修复公告,而这个USB漏洞修复补丁只是其中之一。通常情况下,微软公司会在安全公告中注明提供漏洞信息的人或者组织的名字。但是在这个公告中,公司并没有提到任何的个人或组织,而是仅仅标注了一句”来源于协调漏洞披露计划”。