Windows PC可以被一個網頁干掉 惡意軟件也可以從Hyper-V中逃脫
責編:gltian |2018-05-18 10:49:37從Edge和Office到內核代碼再到Adobe Flash,數十個漏洞亟待修復。
最近一期的更新日微軟和Adobe修復了各自產品中大堆安全漏洞,這些漏洞可被黑客用于強占計算機資源、抽取用戶個人信息等。
僅微軟就放出了68個補丁,其中21個是關鍵更新,至少2個有在野活躍漏洞利用。首先應關注的是瀏覽器和內核補丁,然后應檢查未解決的 Office 365 電子郵件過濾繞過問題;如果使用虛擬機,Hyper-V虛擬機管理程序補丁是你接下來需要查看的,然后才是其他的。
基本上,這次的補丁涵蓋了IE、Edge、Windows、Office及Office服務和 Web App、ChakraCore、Adobe Flash 播放器、.NET Framework、Exchange Server、Windows主機計算服務Shim庫等等。
Hyper-V
微軟Hyper-V客戶虛擬機中執行的應用程序可逃逸至宿主機上執行惡意代碼。也就是說,客戶虛擬機上運行的軟件和登錄的用戶可以控制其他虛擬機和底層服務器。該漏洞編號為 CVE-2018-0959 和 CVE-2018-0961,后者涉及vSMB。這對虛擬機管理程序開發人員和管理員來說不啻為噩夢般的場景。
Edge、IE和 Windows VBScript 引擎
通過內存崩潰漏洞CVE-2018-8174,惡意網頁可利用VBScript引擎在目標系統上執行任意惡意代碼,掃清惡意軟件安裝的障礙。
民族國家黑客已經在用該編程漏洞入侵計算機并對目標實施監視。卡巴斯基實驗室和奇虎360核心安全團隊均發現并報告了此漏洞。
微軟稱:“基于Web的攻擊場景中,攻擊者可精心構筑專門通過IE利用該漏洞的網站,然后引誘用戶瀏覽該站點。”
攻擊者也可在應用或有IE渲染引擎的Office文檔中嵌入標記為“可安全初始化”的ActiveX控件。被入侵網站和接受或托管用戶提供內容或廣告的站點也可成為攻擊者利用的工具。這些網站可包含能利用該漏洞的特別構造的內容。
攻擊者還可通過CVE-2018-0943漏洞利用Edge中的Chakra腳本引擎,在訪問了惡意網頁的主機上執行代碼的惡意軟件。Edge的Chakra和IE的腳本引擎還有以下漏洞:
CVE-2018-0945、CVE-2018-0946、CVE-2018-0951、CVE-2018-0953、CVE-2018-0954、CVE-2018-0955、CVE-2018-1022、CVE-2018-8114、CVE-2018-8122、CVE-2018-8128、CVE-2018-8130、CVE-2018-8133、CVE-2018-8137、CVE-2018-8139、CVE-2018-8177和CVE-2018-8178。
Windows內核
Windows內核漏洞CVE-2018-8120可被黑客用于執行惡意軟件,獲取管理員權限,進而完全劫持主機。該漏洞僅影響 Windows 7 和 Server 2008。
ESET的安全研究人員發現并報告了該漏洞。
影響 Windows 10 的漏洞是CVE-2018-8170,這是一個Windows鏡像處理系統提權漏洞,應用程序向內核拋出可疑快照即可獲得該主機的管理權限。
Windows多個版本中都存在內核級提權漏洞,比如CVE-2018-8134和CVE-2018-8124,可被應用程序和登錄用戶用以獲取管理員權限。
Exchange 和 Office 365
微軟Exchange漏洞CVE-2018-8153可使攻擊者利用 Outlook Web 對象將用戶導向偽裝成合法站點的可疑網站,盜取用戶的登錄口令和其他信息。要實現該漏洞利用,攻擊者得向受害者發送含可疑鏈接的電子郵件,或在聊天中發送消息引誘他們點擊。
微軟解釋稱:“成功利用該漏洞的攻擊者可進行腳本或內容注入攻擊,嘗試誘騙用戶泄露敏感信息。攻擊者還可重定向用戶到假冒站點或可被用于進一步攻擊的樞紐惡意站點。
攻擊者會向用戶發送內含惡意鏈接的釣魚郵件,也可利用聊天軟件對用戶實施社會工程攻擊,誘騙用戶點擊惡意鏈接。但想要成功利用該漏洞,目標用戶都必須點擊該惡意鏈接。
URL過濾器
上述補丁都沒有解決本月Avanan報告的 Office 365 消息過濾繞過漏洞,攻擊者在HTML消息里使用<base>標簽就能構造實際指向惡意站點的“干凈”URL,躲過URL過濾器的檢測。目前尚無已知緩解措施根治利用該 Office 365 漏洞的電子郵件。
如果你依賴微軟云套裝封鎖內含惡意網站鏈接的郵件,得注意已有利用該過濾器繞過漏洞的在野攻擊。微軟如今已意識到了這一問題,建議用戶不要點擊來自陌生人的鏈接。
微軟發言人說:“我們鼓勵客戶養成安全計算機使用習慣,避免打開發自陌生人的郵件中的鏈接。”
Office 和 Excel
在有漏洞的主機上打開惡意Office文檔,包括Excel電子表格,有可能觸發執行惡意軟件和間諜軟件。比如說,Excel漏洞 CVE-2018-8162和Office漏洞CVE-2018-8158及CVE-2018-8161,就可被誘餌文件利用來在打開了該文件的系統上運行間諜軟件或勒索軟件。
類似的,Windows上的微軟COM組件也能被利用,攻擊者可通過CVE-2018-0824漏洞執行電子郵件或網頁中夾帶的任意代碼。
容器
如果能誘使管理員導入誘餌容器鏡像,就可利用 Windows主機計算服務(HCS)Shim庫漏洞CVE-2018-8115在宿主服務器上執行惡意代碼。
賬戶及其他
內網中域賬戶可利用CVE-2018-8136漏洞獲得管理員權限。其他提權漏洞還包括SharePoint中的CVE-2018-8168、Windows通用日志文件系統驅動漏洞CVE-2018-8167,以及DirectX漏洞CVE-2018-8165。利用這些漏洞,普通用戶權限可提升至完全的管理員權限。
Azure驅動的物聯網
Azure的IoT設備配置高級消息隊列協議(AMQP)傳輸庫——IoT設備上運行的軟件工具包,并未恰當驗證其云后端發來的安全證書。該漏洞編號為CVE-2018-8119,可供黑客進行中間人攻擊,偽裝成網絡上的Azure服務器,劫持并監聽配置過程中本應安全的IoT設備連接。
Adobe
一如既往,Adobe的Flash播放器繼續更新,Windows、Mac和Linux系統上都需要更新,否則惡意Flash文件就會劫持你的系統。各操作系統平臺上的 Adobe Connect 同樣需要修復,以防泄露敏感信息,而Windows和macOS上的創意云桌面應用則應打上挫敗提權嘗試的補丁。
總結
微軟周二更新日的大體內容如上所述,Adobe的也列出來了。請盡快測試并應用上述補丁,以免失去對自家主機和數據的控制。這些遠程執行和提權漏洞可被濫用在攻擊鏈中,從通過社交媒體或郵件附件誘騙用戶打開某個網頁開始,直至攻擊者完全掌控目標主機。
補漏需謹慎
微軟5月更新中的警告應謹記在心。Windows 10 version 1607 上,應用這批補丁可能會影響之前功能升級的部署。Windows 10 version 1709 上,某些非英文版本可能會在查看計劃任務時顯示錯誤信息。運行 Windows 7 Service Pack 1 或 Windows Server 2008 R2 Service Pack 1 的機器,若處理器不支持2001年引入的SSE2(單指令多數據(SIMD)流技術擴展2),可能會藍屏崩潰——這是得多老的機器才會受影響?