0天,一个失败的补丁,一个后门威胁。周二更新亮点

2020-08-12 22:27:27

周二,微软修补了120个漏洞,其中两个值得注意,因为它们受到了积极的攻击,第三个漏洞是因为它修复了之前的一个安全漏洞补丁,该漏洞允许攻击者获得一个即使在机器更新后仍然存在的后门。

零日漏洞之所以得名,是因为受影响的开发人员在安全漏洞受到攻击之前有零天的时间发布补丁。零日漏洞攻击可能是最有效的攻击之一,因为它们通常不会被防病毒、入侵防御系统和其他安全保护检测到。这些类型的攻击通常表示威胁行为者的手段高于平均水平,因为识别未知漏洞和开发可靠利用所需的工作和技能。增加了难度:这些漏洞必须绕过开发人员花费大量资源实现的防御。

第一个零日出现在所有支持的Windows版本中,包括Windows 10和Server 2019,安全专业人士认为这两个操作系统是世界上最安全的两个操作系统。CVE-2020-1464是Microsoft所称的Windows Authenticode签名欺骗漏洞。利用它的黑客可以通过绕过使用数字签名来证明软件值得信任的恶意软件防御,将其恶意软件偷偷潜入目标系统。

Authenticode是微软内部的代码签名技术,用于确保应用程序或驱动程序来自已知和可信的来源,并且没有被其他任何人篡改。因为它们修改了操作系统内核,所以只有当驱动程序带有这些加密签名之一时,它们才能安装在Windows 10和Server 2019上。在较早的Windows版本中,数字签名在帮助反病毒和其他保护检测恶意软件方面仍然发挥着重要作用。

攻击者绕过此保护的典型途径是使用从合法提供商窃取的有效证书对其恶意软件进行签名。对Stuxnet的调查是研究人员第一次发现这种策略被使用。Stuxnet被广泛认为是十年前针对伊朗核计划的蠕虫病毒。

然而,从那时起,研究人员发现,这种做法至少可以追溯到2003年,而且比之前认为的要广泛得多。证书被盗仍然是经常发生的事情,最近的一起事件是使用2018年从无限游戏(Nfinity Games)窃取的证书签署恶意软件,该恶意软件在今年早些时候感染了几家大型多人在线游戏制造商。

CVE-2020-1464使黑客能够实现相同的绕过,而无需窃取有效证书或担心证书可能被吊销。受影响的Windows版本主机表明该漏洞已存在多年。微软没有提供关于该漏洞的原因、如何利用它、由谁或谁是目标的详细信息。

微软通常会表扬报告它修复了缺陷的研究人员,但微软本月周二更新的确认页面完全没有提到CVE-2020-1464。微软的一名代表表示,这一发现是微软内部通过研究得出的。

当目标使用Internet Explorer查看恶意内容时,另一个零日受到攻击的浏览器可以安装攻击者选择的恶意软件。Internet Explorer是一种古老的浏览器,其代码库过时,容易受到各种攻击。

根据安全公司Sophos的说法,CVE-2020-1380源于一种释放后使用的漏洞类别,该漏洞允许攻击者将恶意代码加载到内存位置,一旦以前的内容不再使用,该位置就会被释放。该漏洞存在于IE JavaScript引擎的实时编译器中。

攻击者利用该漏洞的一种方式是在目标访问的网站上植入诱杀代码。另一种方法是在使用IE呈现引擎的应用程序或Microsoft Office文档中嵌入恶意ActiveX控件。尽管有害,Windows将显示ActiveX控件“对于初始化是安全的”。

毫无疑问,野外的攻击行为会给受到攻击的人或组织敲响警钟。但总而言之,CVE-2020-1380对整个互联网的关注度较低,因为受到威胁的用户基数很小。随着Chrome、Firefox和Edge高级保护的兴起,IE已经从一个几乎垄断使用的浏览器变成了市场占有率不到6%的浏览器。任何还在使用它的人都应该放弃它,换一种更好的防御性的东西。

周二发布的第三个修复是CVE-2020-1337。它的数字1337是一个值得注意的特征,黑客经常用它来拼写“leet”,就像在“精英”中一样。更重要的区别是,它是针对CVE-2020-1048的补丁,这是微软在5月份发布的更新。

5月份的补丁本应修复Windows打印假脱机程序中的权限提升漏洞,Windows打印假脱机程序是一项管理打印过程的服务,包括定位打印机驱动程序并加载它们,以及安排打印作业。

简而言之,该漏洞使得能够执行低权限代码的攻击者能够在易受攻击的计算机上建立后门。攻击者可以在此之后的任何时间返回,以升级对所有强大系统权限的访问。该漏洞是由于后台打印程序导致的,该后台打印程序允许攻击者使用系统权限将任意数据写入计算机上的任何文件。这使得删除恶意DLL并使其由以系统权限运行的进程执行成为可能。

研究人员Yarden Shafir&;Alex Ionescu在这篇文章中提供了该漏洞的详细技术描述。他们指出,尽管打印假脱机程序是一些仍在Windows上运行的最古老的代码,但它几乎没有受到研究人员的关注。

在微软发布补丁不到两周后,一名名为math1as的研究人员向漏洞赏金服务机构Zero Day Initiative提交了一份报告,报告显示更新未能修复该漏洞。这一发现要求微软开发新的补丁。结果就是周二公布的那个结果。ZDI在这里提供了失败补丁的完整分类。

总而言之,本月的周二更新修补了近30个被评为严重的漏洞,还有更多评级较低的漏洞。在发布一天左右的时间内,Windows会自动下载补丁,并在电脑不使用的时候安装补丁。

对于大多数人来说,这个自动更新系统是不错的,但如果你像我一样想要立即安装它们,那也很容易。在Windows 10中,转到开始>;设置>;更新&;安全>;Windows Update,然后单击检查更新。在Windows 7中,转到开始&>控制面板&>系统和安全&>Windows Update,然后单击检查更新。需要重新启动。