首页
社区
课程
招聘
[分享] “画皮”漏洞
发表于: 2013-12-24 09:25 3477

[分享] “画皮”漏洞

2013-12-24 09:25
3477
全球首家发现“画皮”漏洞 金山毒霸获微软公开致谢
2013-12-16来源:金山安全中心

沿用了十多年的安全认证体系正面临前所未有的挑战。金山毒霸安全中心不久前全球率先发现了一个系统高危漏洞“画皮”,影响所有Windows系统。病毒木马等恶意程序利用该漏洞可轻松绕过99%的杀毒软件。微软今日发布了针对性的安全补丁,并对金山毒霸公开致谢。

微软在“补丁星期二”(美国时间)照例更新了12月份的安全补丁,今日共修复了11个系统漏洞,其中公告号为“MS13-098”的补丁尤其严重,影响到全球所有Windows版本,包括Windows XP/Server 2003/Vista/Server 2008/Windows 7/Server 2008/Windows 8//Windows 8.1/Server 2012,甚至Windows RT/Windows RT 8.1等。

该“画皮”漏洞之所以被定义为高危级别,是因为它突破了数字签名这一基础安全认定技术。传统认识上,杀毒软件对程序进行安全分析的一个非常重要的依据就是数字签名。它相当于软件程序在电脑系统中的身份证号码,每个合法程序都拥有唯一的签名信息,如果此文件被恶意篡改,签名信息就会失效。

拥有正常身份证信息的公民都是良民,基于这样的判定体系,杀毒软件将一些拥有数字签名的安全度较高的文件信息添加到白名单,比如QQ、迅雷等正规的、大型的软件公司的相关文件,杀毒软件扫描这些文件的时候就不会耗费太多的时间,分析速度就提高了。

但是,金山毒霸发现的此“画皮”漏洞颠覆了业界对程序安全验证的传统认识。利用此漏洞,病毒木马等恶意程序可以植入或者篡改合法程序而不改变其数字签名,从而绕过几乎所有杀毒软件的查杀。这就相当于“画皮”,她看起来是一个正常的人类,你让她进入自己的家门,但其实她内在是一只恶鬼!拿最常见的文件做例子更容易理解:

图:正常程序文件(上)被篡改为后(下),两个文件哈希值不同,签名完全正常

“画皮”漏洞会带来许多不确定的安全风险。由于能躲过杀毒软件的查杀,各种病毒均有可能溜进网民的系统,窃取网民隐私,盗取敏感商业文档,甚至记录网银账户和密码,直接将银行资产划走……给网民带来无法弥补的重大损失。

金山毒霸安全中心9月份发现了“画皮”漏洞后,立即向微软安全中心通报了“画皮”漏洞的全部细节,并对自己的防御查杀体系做了修正。由于影响面甚广,微软修复此漏洞花了大约3个月的时间。微软安全团队在漏洞公告中对金山毒霸安全中心的这一发现表达了谢意。

微软和金山毒霸安全中心建议网民尽快更新该漏洞补丁,防患于未然,避免不必要的损失。不愿更新系统补丁的网民可以安装金山毒霸,目前市场上只有金山毒霸对此漏洞可能引发的病毒威胁进行了专业防范。

金山毒霸拥有超过1.5亿用户,每天均能捕获海量的病毒样本,正是基于对此大规模的样本进行的专业分析,才能够在全球最早发现“画皮”漏洞。

附微软感谢金山毒霸安全中心页面链接及截图:
http://technet.microsoft.com/en-us/security/bulletin/ms13-098#section24

附与数字签名有关的安全漏洞被攻击者利用会引发严重后果:

2013年7月,有国外安全厂商曾发现99%的安卓系统存在一个类似Windows“画皮”漏洞的数字签名漏洞,攻击者可随意篡改安卓应用程序(.apk)而使文件的数字签名不变,漏洞细节公布不到两周,多家安全厂商就在多个国内安卓软件市场发现数以万计的安卓病毒利用数字签名漏洞传播。这个高危漏洞的严重危害引起全行业的普遍关注,相关新闻被大量媒体转载。

在2013年度最后一个月度安全更新中,IE漏洞再次被提及。相关漏洞可导致网页挂马攻击:根据漏洞定制特别的网页,通过电子邮件、社交网络发布攻击网址,存在漏洞的电脑点击攻击链接,就会偷偷安装木马。攻击者利用图形组件中的安全漏洞(公告号:MS13-096)可以构造特别的TIFF图片文件,在Office文档中嵌入这种图片文件,打开文档就会中毒。

附:微软2013年12月份补丁信息

1、Microsoft图形组件中的漏洞可能允许远程执行代码
安全公告:MS13-096
知识库编号:KB2901674\KB2850047\KB2817641
级别:严重
描述:此安全更新可解决Microsoft Windows , Microsoft Office和微软的Lync一个公开披露的漏洞。该漏洞可能允许远程执行代码,如果用户查看内容包含特制的TIFF文件。
影响系统:vista_32/64(SP2);Microsoft Office 2003 SP3;Microsoft Office 2007 SP3;

2、Internet Explorer累积安全更新
安全公告:MS13-097
知识库编号:KB2898785
级别:严重
描述:此安全更新可解决Internet Explorer中七个秘密报告的漏洞。如果用户使用Internet Explorer查看特制网页,最严重的漏洞可能允许远程执行代码。成功利用最严重的漏洞谁的攻击者可以获得相同的用户权限为当前用户。那些帐户被配置为在系统上拥有较少用户权限的用户比具有谁管理用户权限的用户可以影响较小。
影响系统:XP(SP3);vista_32/64(SP2);2003(SP2);win7_32/64(SP1);win8_32/64(SP0)

3、Windows数字签名漏洞可能允许远程执行代码
安全公告:MS13-098
知识库编号:KB2893294
级别:严重
描述:此安全更新解决了Microsoft Windows中一个秘密报告的漏洞。该漏洞可能允许远程执行代码,如果用户或应用程序运行或安装一个特制的签名移植可执行(PE )受影响的系统上的文件。
影响系统:XP(SP3);vista_32/64(SP2);2003(SP2);win7_32/64(SP1);win8_32/64(SP0)

4、Microsoft脚本运行时对象库中的漏洞可能允许远程执行代码
安全公告:MS13-099
知识库编号:KB2892074\KB2892075
级别:严重
描述:此安全更新解决了Microsoft Windows中一个秘密报告的漏洞。如果攻击者说服用户访问特制网站或承载特制内容的网站,该漏洞可能允许远程执行代码。成功利用此漏洞谁的攻击者可以获得相同的用户权限的本地用户。
影响系统:XP(SP3);vista_32/64(SP2);2003(SP2);win7_32/64(SP1);win8_32/64(SP0)

5、Windows内核模式驱动程序的漏洞可能允许特权提升
安全公告:MS13-101
知识库编号:KB2893984\KB2887069
级别:重要
描述:此安全更新可解决Microsoft Windows中五个秘密报告的漏洞。更严重的漏洞可能允许特权提升如果攻击者登录到系统并运行特制的应用程序。攻击者必须拥有有效的登录凭据并能本地登录才能利用此漏洞。
影响系统:XP(SP3);vista_32/64(SP2);2003(SP2);win7_32/64(SP1);win8_32/64(SP0)

6、LPC客户端或LPC服务器的漏洞可能允许特权提升
安全公告:MS13-102
知识库编号:KB2898715
级别:重要
描述:此安全更新可解决Windows中一个秘密报告的漏洞。该漏洞可能允许特权提升如果攻击者发送了特制的LPC端口信息,任何LPC消费者或服务器。成功利用此漏洞谁攻击者可随后安装程序,查看,更改或删除数据;或者创建新帐户拥有完全用户权限。攻击者必须拥有有效的登录凭据并能本地登录才能利用此漏洞。
影响系统:XP(SP3);2003(SP2)

7、Microsoft Office共享组件的漏洞可能允许绕过安全功能
安全公告:MS13-106
知识库编号:KB2850022
级别:重要
描述:此安全更新解决了一个公开披露的漏洞在Microsoft Office共享,目前正在开发的组件。如果用户查看特制的网页在Web浏览器能够实例化的COM组件,如Internet Explorer中的漏洞可能允许安全功能绕过。在网页浏览攻击情形中,成功利用此漏洞谁攻击者可以绕过地址空间布局随机化(ASLR )安全特性,这有助于保护用户从一个广泛的一类漏洞。本身的安全功能绕过不允许任意代码执行。然而,攻击者可以在与另一个漏洞,比如一个远程执行代码漏洞,该漏洞采取ASLR绕过的优势来运行任意代码一起使用ASLR绕过漏洞。
影响系统:Microsoft Office 2007 SP3

8、恶意软件删除工具
安全公告:无
知识库编号:890830-V67
级别:重要
描述:此工具可以检查您的计算机是否受到特殊流行恶意软件(包括 Blaster、Sasser 和 Mydoom)的感染,并在找到感染时帮助将其删除。
影响系统:XP(SP3);vista_32/64(SP2);2003(SP2);win7_32/64(SP0);win7_32/64(SP1);win8_32/64(SP0)

9、Adobe Flash Player 安全更新
安全公告:无
知识库编号:KB660030
级别:重要
描述:修复Flash Player 11.9.900.170或更早版本中的漏洞。
影响系统:XP(SP3);vista_32/64(SP2);2003(SP2);win7_32/64(SP1)

10、Windows 8 的 Internet Explorer Flash Player 的更新
安全公告:无
知识库编号:KB2907997
级别:重要
描述:Microsoft 宣布提供一个适用于 Windows 8、Windows Server 2012 和 Windows RT 所有受支持版本上的 Internet Explorer 10 中的 Adobe Flash Player 的更新。通过更新包含在 Internet Explorer 10 中的受影响的 Adobe Flash 库,此更新解决了 Adobe Flash Player 中的漏洞。
影响系统:win8_32/64(SP0)

更多详情,可参考微软安全公告摘要
(http://technet.microsoft.com/en-us/security/bulletin/ms13-dec)

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (7)
雪    币: 27
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
这尼玛打广告,都这么猖狂了
2013-12-24 12:28
0
雪    币: 2664
活跃值: (3401)
能力值: ( LV13,RANK:1760 )
在线值:
发帖
回帖
粉丝
3
这是间接给金山打广告吗?
2013-12-24 12:33
0
雪    币: 350
活跃值: (27)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
4
在windows上也发现了类似Android的漏洞,在电脑上使用网银很不安全啊
2013-12-24 13:24
0
雪    币: 272
活跃值: (16)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
有点打广告的协议。
2013-12-24 14:38
0
雪    币: 1
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
金山还是牛了一把、
2013-12-25 14:21
0
雪    币: 211
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
这说了半天,不就是数字签名的问题吗?了解PE结构的都知道,签名是可以移植的,那签名的移植也完全可以用程序来实现,没什么神秘的啊。
2013-12-25 14:39
0
雪    币: 544
活跃值: (264)
能力值: ( LV12,RANK:210 )
在线值:
发帖
回帖
粉丝
8
签名随便移,移了后你得通过验证才行。
2013-12-26 22:11
0
游客
登录 | 注册 方可回帖
返回
//