2014SyScan360--微軟Fix It 補丁機制原理及攻擊利用
責編:admin |2014-07-17 19:11:1912年微軟IE上發現存在一個可以傳播 “毒常青藤”后門木馬程序的安全漏洞,這會導致IE用戶訪問一個惡意網站,此后德國政府和安全專家建議人們在該漏洞得到修復之前不要使用IE。同年年末,微軟發布了一款名為“Fix It”的修復補丁,可將該漏洞永久修復。今天,來自商業網絡情報公司–Isight的Jon Erickson,在會上分享了這個從未公開的Fix It補丁工作原理及攻擊利用。
Fix It是應用兼容補丁的一部分,微軟一些網站群都是這樣的技術,可解決兼容問題、通用的方法等等問題。另外它還有一個用途,就是有一些老的軟件的發行,比如Windows2000這樣的,到2007您有很多防火墻的使用過程當中可以通過它來進行修補,進行重新的定向,做很多其他的工作。
與其他只報告出函數的補丁不同,Fix It在5秒鐘之后可以運行工具告訴你兩個變化,以及形式是怎么樣的,因此我們就很快的通過它就可以確定微軟到底是不是修補了補丁。
我們進行Fix It的探討之前,你先運行其他補丁,如果出現跳轉,再看它有一些什么樣的東西,在一個具體情況下,一個跳轉調用一個函數,這是可參考的帳戶,再跳回到現有的代碼上,微軟做這些,它不是免費的,當然不用可以刪掉,不用進行轉儲。他們也意識到內存的泄露,在被利用之后,再利用下一個周期進行修理。
我們如何能夠通過補丁保持它的持久性呢?
其實每次登陸的時候,都可以打補丁,然后跳轉到另外的額外的代碼,然后可以再跳回到最開始的地方。一個完整的配置,它可以支持Win7、X86等等。
Jon Erickson表示不推薦進入引擎,“如果做的話要通過這個路徑來完成。同時,你也要知道,你可以搜索你的注冊表和文件的系統,我認為對于微軟來說增加簽名到SDB的文件是必要的,你在運行這個SDB文件的時候,應該獲得微軟,或者你信任的那一方說你運行SDB的文件是合法的,這樣的特性是不會讓你容易受到攻擊,你必須擁有管理員的權限,這樣你才能注冊安裝SDB的文件到系統當中。”
我們認為補丁能夠提供非常獨特的機會,能確定這個漏洞的一個根本的原因。這樣的話,微軟就可以修復最根本的導致漏洞的原因,然后避免漏洞的攻擊。