0
能潜伏的不只有生物学上的病毒,还有网络中的病毒。
近日,雷锋网宅客频道(微信公众号:letshome)从腾讯电脑管家官方微博看到一则消息:腾讯安全反病毒实验室在全球范围内捕获了一例病毒样本,并顺藤摸瓜扒出了一个潜伏 17 年之久的 0day 漏洞——该病毒利用 Office 公式编辑器中的 0day 漏洞发动攻击,与之前 CVE-2017-11882“高龄”漏洞如出一辙,潜伏期长达 17 年之久,威胁大量 Office 版本,一旦用户打开恶意文档,无需其他操作,就会被植入后门木马,被不法分子完全控制电脑。
0Day 漏洞(Zero Day 漏洞)即那些没有公开过,因而也没有补丁的漏洞。由于 0Day 漏洞的未公开特性,导致大量用户对此疏于防范,因此这种 0day 漏洞常常被不法黑客利用,发动恶意攻击。
为什么这一漏洞能暗戳戳潜伏 17 年之久?
腾讯电脑管家安全专家邓欣告诉雷锋网,这个漏洞存在于 Office 的公式编辑器组件中,由于不是一个很常用的组件,一直以来并未引起安全研究人员的注意;另外这个组件已经很久没有更新了,所以漏洞才潜伏了 17 年之久。直到今年 11 月国外安全研究机构曝光了公式编辑器中的一个漏洞(CVE-2017-11882),这一组件才引起了安全研究团队和黑客的关注,这个漏洞也随之被挖掘出来。
而对于这一漏洞的成因,邓欣认为主要源于编码的不严谨,没有对输入做校验,构造畸形输入导致栈溢出,如果精心构造的话,则可以控制程序的执行流程。另外由于公式编辑器这个组件缺乏一些基本的漏洞缓解机制,导致漏洞利用非常容易,这也大大降低了黑客的攻击成本。
雷锋网还了解到,该漏洞影响所有当前流行的 Office 版本,包括目前已停更的 Office2007,而由于这个漏洞存在于 PC 版本的公式编辑器组件中,所以目前来看 Office 手机版是不受影响的。值得注意的是,当前 PC 使用场景多为企业办公人群,而此漏洞一旦被不法分子利用面向企业发起攻击,将对企业安全造成极大危害。
听到此处,宅宅正要点开桌面上 Office2007 的手顿住了……
不过也莫慌,在微软发布的 11 月份安全补丁中,这一潜伏长达 17 年之久的 Office 远程代码执行漏洞(CVE-2017-11882)已被修复。但由于微软官方不再提供 Office2007 的安全更新,所以不能通过打补丁的方式来修复漏洞。用户能做的要么就是将安全软件的防御功能全部打开,要么就将这一带着炸弹的小妖精直接卸载。
而作为企业呢?
宅宅通过澎湃新闻了解到,有安全圈相关人士爆料台湾某博物院已经遭受到攻击。因此对使用 Office2007 的企业如何进行防御,邓欣也提出四点建议:
1)升级 Office 到更新的版本,目前微软已经停止支持 Office2007 及以下版本,不升级的用户无法获得安全保障;
2)评估企业目前的安全防护体系,是否会被最近的 0day 攻击绕过;
3)保证邮件,U 盘等传输介质的安全;
4)接入第三方的漏洞检测和防御能力,利用大数据和威胁情报主动发现 0day 漏洞和攻击行为,进行积极防御。
事实上,除了这一潜伏 17 年之久的漏洞,安全圈“老洞”也数不胜数,宅客这里就简单盘点几个。
11年:Linux内核提权漏洞(CVE-2017-6074)
今年 2 月,安全研究员 Andrey Konovalov 使用 Syzkaller fuzzing 工具,发现了 DCCP 协议实现中的 Linux 内核漏洞,漏洞潜伏11年。该 DCCP 双重释放漏洞可允许本地低权限用户修改 Linux 内核内存,导致拒绝服务(系统崩溃),或者提升权限,获得系统的管理访问权限。
攻击者使用某些内核堆喷射技术就能控制任意对象,并用任意数据重写其内容。如果重写过的对象中包含任何可触发的函数指针,攻击者便可在该内核中执行任意代码。
该漏洞可追溯至 2005 年,漏洞影响 Linux 操作系统主要发行版本,包括 Redhat、Debian、OpenSUSE 和 Ubuntu。利用该漏洞,攻击者可以从低权限进程中进行内核代码执行。目前已知受影响的最老版本是 2.6.18(2006 年 9 月),不过该漏洞可能在先前的版本中已经存在,或许从支持 DCCP 开始( 2005 年 10 月的 2.6.14)就已经存在问题了。
16年:“永恒之蓝”漏洞
今年 5 月 12 日晚,一款名为 Wannacry 的蠕虫勒索软件袭击全球网络,用户只要开机上网就可被攻击。五个小时内,包括英国、俄罗斯、整个欧洲以及国内多个高校校内网、大型企业内网和政府机构专网中招,被勒索支付高额赎金(有的需要比特币)才能解密恢复文件,这场攻击甚至造成了教学系统瘫痪,包括校园一卡通系统。
WannaCry 使用了美国国家安全局的“永恒之蓝”(EternalBlue)工具进行攻击。此前一个月,第四批 NSA 相关网络攻击工具及文档被 Shadow Brokers 组织公布,包含了涉及多个 Windows 系统服务(SMB、RDP、IIS)的远程命令执行工具,其中就包括“永恒之蓝”攻击程序。
恶意代码会扫描开放 445 文件共享端口的 Windows 机器,无需用户任何操作,只要开机上网,不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。
而永恒之蓝实际上也是一个隐匿很久的漏洞。它利用了 Windows 服务器消息块 1.0(SMBv1)的数个漏洞,这些漏洞在通用漏洞披露(CVE)网站中分别被列为 CVE-2017-0143 至 0148。而影响到的操作系统从 Windows XP 直到 Windows 8 的操作系统,微软在 2017 年 3 月 14 日推送了相关补丁。因此漏洞隐匿的时间可以说至少有 16 年。
19年:“WinShock”漏洞
2014 年 11 月,微软曝出“WinShock”漏洞,如果用户通过 IE 浏览恶意网页,名为“WinShock”的这一漏洞就可以被用来在计算机上远程执行代码。一旦计算机被感染,就会受到黑客远程控制。
“WinShock”影响自 Windows 95 以来的所有桌面版 Windows 操作系统。“WinShock”被发现表明,软件中的安全漏洞潜伏期可以长达数年,甚至更长时间。这也是 PC 技术存在的基本漏洞。尽管及时安装补丁软件有助于提高系统安全性,但是,有安全意识的用户也可能面临被攻击的风险,尤其是漏洞没有被发现、得到修正的情况下。
发现这一漏洞的 IBM 研究人员对“WinShock”危险等级的评分为 9.3 分(满分为10分,分数越高越危险),意味着它风险非常高。尽管已经潜伏 19 年,但 IBM 没有发现利用它兴风作浪的恶意代码。
22年:“Shellshock”漏洞
2014 年 9 月,Bash 曝出代号“ Shellshock”(中文名翻译为“破壳”)的高危漏洞,编号 CVE-2014-6271。其影响范围可以与同年 4 月份出现的“心脏出血/Heartbleed ”漏洞相比,但从时间来看,“心脏出血”漏洞潜伏了两年,而“破壳”潜伏了22年后才被发现,当属最长寿漏洞了。
Bash 这是一个比 OpenSSL 还要古老的开源程序,它正式诞生至今已有 25 年。“ Shellshock”利用了Bash 环境变量的不当处理漏洞,它可以引发恶意类型的远程执行代码。换句话说,借助这个漏洞,黑客可以非常隐蔽的在系统中执行命令,从而有可能获取最高权限。
参考文章:
详解|NSA “永恒之蓝”勒索蠕虫爆发,开机即可被勒索到底怎么回事(内附解决办法及预防措施)
雷峰网原创文章,未经授权禁止转载。详情见转载须知。