Windows应急响应和系统加固(6)——Windows历年高危漏洞介绍和分析

Windows历年高危漏洞介绍和分析

一、漏洞介绍:

  1.漏洞:

    <1>.漏洞:是影响网络安全的重要因素;

    <2>.漏洞利用:成为恶意攻击的最常用手段;

    <3>.漏洞攻击:产业化、低成本化、手段多样化、低门槛趋势;

    <4>.信息化时代:无论个人/企业,都面临严峻的漏洞威胁;

    <5>.Windows、Office、IE、Edge、Flash等高危漏洞频繁曝光。

  2.Windows漏洞:

    <1>.MS08-067 RCE漏洞;

    <2>.MS12-020 DoS/蓝屏/RCE漏洞;

    <3>.MS15-034 HTTP sys RCE漏洞;

    <4>.MS16-114 SMB RCE;

    <5>.2017年:WannaCry勒索病毒、MS17-010 Eternal Blue永恒之蓝漏洞、Meltdown/Spectre CPU特性漏洞、黑客奥斯卡神洞、公式编辑器漏洞、CVE-2017-7269 IIS RCE漏洞;

    <6>.2018年:幽灵、CPU熔断、震网3、412挂马风暴;

    <7>.2019年:CVE-2019-0708 Remote Desktop RCE漏洞;

二、图表查看漏洞走势

  1.近几年,Windows漏洞提交数量呈现逐年上涨趋势。2018年、2019年,爆发期,对网络安全行业极其考验的年份。

  2.Microsoft产品漏洞分类统计:

  3.Windows漏洞攻击和利用:病毒分布&被利用的漏洞分布:非PE(邮件钓鱼Office宏病毒、脚本类),更难被检测,占比66%:

三、Windows历年著名高危漏洞

  Windows每一次被披露公开,爆发的高危漏洞,在整个社会都会引起轩然大波,影响各个行业,皆因Windows视窗系统应用与各个生产服务领域。

  1.MS08-067(CVE-2008-4250):

    <1>.漏洞信息:

     MS08-067(CVE-2008-4250),具有里程碑意义的一个Windows SMB漏洞,影响深远,是最经典的漏洞之一。在2017年Shadow Brokers泄露的黑客利用程序里,就有MS08-067漏洞,MS08-067(CVE-2008-4250)是典型的

Windows缓冲区溢出漏洞。那时候,Windows的内存堆栈保护(ASLR技术)还没成熟。

    漏洞是通过MS RPC over SMB通道(PIPE)调用Server服务程序中的NetPathCanonicalize函数触发造成的。NetPathCanonicalize函数在远程访问其他主机时,会调用NetpwPathCanonicalize函数,对远程访问的路径进行规范

化,而在NetpwPathCanonicalize函数中存在的逻辑错误,造成栈缓冲区可被溢出,最终RCE(remote command/code execute)。

    造成大面积影响,可取得SYSTEM权限,完全控制Windows,制造蠕虫病毒、勒索病毒、远控木马等恶意攻击。

      <2>影响的组件:svchost.exe netapi32.dll。

    <3>.官方公告:

      https://docs.microsoft.com/en-us/security-updates/SecurityBulletins/2008/ms08-067

      https://query.prod.cms.rt.microsoft.com/cms/api/am/binary/RE2GDlB

    <4>.检查补丁:

      wmic qfe GET hotfixid | findstr /C:"KB958644"

  2.MS17-010(KB4012212):

    <1>.漏洞信息:

      多个Windows SMB远程执行代码(RCE)漏洞,当 Microsoft服务器消息块 1.0 (SMBv1,文件共享协议漏洞)服务器处理某些请求时,存在多个远程执行代码漏洞。成功利用这些漏洞的攻击者可以获取在目标系统上执行代

码的能力。为了利用此漏洞,在多数情况下,未经身份验证的攻击者可能向目标SMBv1服务器发送经特殊设计的数据包。

      近两年来, “永恒之蓝”漏洞已经成为被利用程度最高的安全漏洞之一 ! 恶意攻击利用“永恒之蓝”漏洞,主动传播蠕虫式勒索病毒,“永恒之蓝”(WannaCry)开启了勒索病毒的新时代。

      注:WannaCry勒索病毒,恶意攻击者利用The Shadow Brokers释放的永恒之蓝漏洞进行勒索病

毒、蠕虫传播,在全世界范围内超过23万台主机感染。目前还存在变种病毒。    、

    <2>.影响范围:

      Windows XP、2003、Windows7、Windows Server 2008 R2、Windows8.1、Windows Server2012、Windows10、Windows Server 2016

    <3>.表现:感染勒索病毒,文件损毁。

    <4>.官方公告:

      https://docs.microsoft.com/en-us/security-updates/SecurityBulletins/2017/ms17-010

    <5>.检查补丁:

      wmic qfe GET hotfixid | findstr /C:"KB4012212"

  3.CVE-2018-8174/CVE-2018-8893:IE双杀0day,高危漏洞:

    <1>.漏洞信息:

      Word文档通过CVE-2017-0199的OLE Autolink漏洞利用方式嵌入恶意网页,所有的漏洞利用代码和恶意载荷都通过远程的服务器加载;中招用户点击打开诱饵文档后,首先Word进程将访问远程的IE vbscript 0day(CVE-

2018-8174)网页,漏洞触发后将执行Shellcode,然后再发起多个请求从远程的服务器获取payload数据解密执行;Payload在执行的过程中word进程会在本地释放3个DLL后门程序,通过powershell命令和rundll32命令分别执行安装后门

程序,后门的执行过程使用了公开的UAC绕过技术,并利用了文件隐写技术和内存反射加载的方式来避免流量监测和实现无文件落地加载。

      利用该0day漏洞,对IE内核浏览器和Office进行APT攻击(e.g. APT-C-06组织,针对中国政府、科研、外贸领域,长期蛰伏,监控);最新版本的IE浏览器及使用了IE内核的应用程序。用户在浏览网页或打开Office文档时都

可能中招,最终被黑客植入后门木马完全控制电脑。

      利用多次UAF(Use After Free 释放重引用漏洞)来完成类型混淆,通过伪造数组对象完成任意地址读写,最终通过构造对象后释放来获取代码执行。代码执行并没有使用传统的ROP(Return orientedProgramming(面向返回的

编程))或者GodMode(NT6系统中隐藏的一个简单的文件夹窗口包含了几乎所有系统的设置),而是通过脚本布局Shellcode来稳定利用。

    <2>.官方介绍:

      https://support.microsoft.com/en-us/help/4134651/description-of-the-security-update-for-vulnerabilities-in-windows

    <3>.检查补丁:

      wmic qfe GET hotfixid | findstr /C:"KB4134651"

    <4>.因一代补丁并未完全解决问题,衍生的新漏洞:

      CVE-2018-8242,IE双杀,二代0day漏洞;

      CVE-2018-8373,IE双杀,三代0day漏洞;

  4.CVE-2019-0708:

    <1>.漏洞信息:

      2019年5月14日,Windows远程桌面服务(Remote Desktop Services,TCP/UDP 3389 RDP)存在严重安全漏洞(破坏力巨大),利用预身份验证,无需用户授权,执行任意代码(RCE),安装后门,查看、篡改隐私数

据,创建拥有完全用户权限的新账户等攻击行为,可完全控制目标的计算机。可利用该漏洞制作堪比2017年席卷全球的WannaCry类蠕虫病毒,进行大规模传播、破坏;

    <2>.影响系统版本:

      Windows XP(KB4500331)、Windows 2003(KB4500331)、Vista(KB4499180)、2008/2008 R2( KB4499180)、Windows 7(KB4499175)。

    <3>.官方信息:

      https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708

    <4>.免费检测工具:

      https://free.360totalsecurity.com/CVE-2019-0708/detector_release.zip

    <5>.漏洞检测:

      wmic qfe GET hotfixid | findstr /C:"KB4499175"

  注:打开Windwos命令行界面,输入"regedit"打开注册表 -->按照如下两种方式即可查看和修改端口号:

注:文中所有的检测补丁是否存在的指令 :wmic qfe GET hotfixid | findstr /C:"X",若指令存在则会反弹补丁"X",否则不显示。

原文地址:https://www.cnblogs.com/catt1e/p/12400575.html

时间: 2024-10-07 17:58:27

Windows应急响应和系统加固(6)——Windows历年高危漏洞介绍和分析的相关文章

Windows应急响应和系统加固(2)——Windows应急响应的命令使用和安全检查分析

Windows应急响应的命令使用和安全检查分析 1.获取IP地址: ·ipconfig /all,获取Windows主机IP地址信息: ·ipconfig /release,释放网络IP位置: ·ipconfig /flushdns,更新网络IP位置: ·ipconfig /renew,更新网络IP等消息获取DNS服务器的IP地址等. 2.获取端口信息: ·neystat -an,获取主机所有端口的开放情况和网络连接情况: ·-o,显示与每个连接相关的所属进程ID: ·netstat -ano

Windows应急响应常识

Windows 应急响应 常见事件ID 1102 清理审计日志 4624 账号登陆成功 4625 账号登陆失败 4672 授予特殊权限 4720 创建用户 4726 删除用户 4728 将成员添加到启用安全的全局组中 4729 将成员从安全组移除 4732 将成员添加到启用安全的本地组中 4733 将成员从启用安全的本地组移除 4756 将成员添加到启用安全的通用组中 4757 将成员从启用安全的通用组中移除 4719 系统审计策略修改 常见登陆类型 2 交互式登陆(用户从控制台登陆) 3 网络

安装Windows 和linux双系统失败导致Windows无法引导的解决方法

笔记本电脑原来的系统是windows 7系统.想在此基础上安装一个ubuntu系统,但是安装了一半突然没电停止了,再次开机发现windows系统也无法引导了,尝试重新安装Ubuntu系统,安装完成依然没有windows系统的引导信息. 开始尝试各种解决方法: 1.在linux 的grub中添加win的引导信息,重启选择win的菜单,有引导但是无法进入系统一个光标在屏幕左上角闪.失败! 2.使用winpe工具里的引导修复工具修复,多个工具都尝试了,依旧失败. 3.因为原来的win7系统有好多工作中

windows应急响应入侵排查思路

0x00 前言 ? 当企业发生黑客入侵.系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失. 常见的应急响应事件分类: web入侵:网页挂马.主页篡改.Webshell 系统入侵:病毒木马.勒索软件.远控后门 网络攻击:DDOS攻击.DNS劫持.ARP欺骗 针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些Window服务器入

3.Windows应急响应:蠕虫病毒

0x00 前言 蠕虫病毒是一种十分古老的计算机病毒,它是一种自包含的程序(或是一套程序),通常通过网络途径传播, 每入侵到一台新的计算机,它就在这台计算机上复制自己,并自动执行它自身的程序.常见的蠕虫病毒:熊猫烧香 病毒 .冲击波/震荡波病毒.conficker病毒等. 0x01 应急场景 某天早上,管理员在出口防火墙发现内网服务器不断向境外IP发起主动连接,内网环境,无法连通外网,无图脑补. 0x02 事件分析 在出口防火墙看到的服务器内网IP,首先将中病毒的主机从内网断开,然后登录该服务器,

系统架构设计师2009-2018历年综合知识、案例分析、论文真题及答案详细解析

https://blog.csdn.net/xxlllq/article/details/85049295 ??系统架构设计师复习资料当您看了这篇文章有何疑问,可先看最后的评论,有可能您遇到的问题其他人已经提出我已回复. 2018/12/14查询成绩后知道自己通过了系统架构设计师的考试(每科满分75,及格45分),特地记录一下.最终的成绩如下: 我是在9月份决定报名参加系统架构设计师考试,主要是想借此机会督促自己学习些除工作外的知识.准备了2个月,复习时间为周末,复习方式为看教学视频和真题练习.

windows 用户变量和系统变量的区别

点击"我的电脑→属性→高级系统设置"标签的"环境变量"按钮,出现"环境变量"对话框,如果当前是以Administrator登录系统的用户,对话框的上面为Administrator的用户变量,对话框的下面为系统变量(即相当于系统中所有用户的用户变量).有的时候我们会看到在用户变量和系统变量中都存在某一个环境变量,比如path,那么path的值到底是用户变量中的值还是系统变量中的值,或者两者都不是呢?答案是两者都不是.path变量的值是用户变量中的值

应急响应

一.应急响应基础 流程:事件状态判断-临时处置-信息收集分析-事件处置-事件防御 1.事件状态判断 了解现状.发生时间.系统架构.确认感染主机 2.临时处置 被感染主机:网络隔离.禁止使用U盘和移动硬盘 未感染主机:ACL隔离.关闭SSH.RDP等协议.禁用U盘和移动硬盘 3.信息收集分析 windows系统:文件排查.进程排查.系统信息排查.日志排查 linux系统:文件排查.进程排查.日志排查 4.事件处置 已感染主机:断网隔离.等待解密进展 未感染主机 补丁修复:在线补丁.离线补丁 事件加

【应急响应】windows入侵排查思路

海峡信息白帽子id:Bypass 当企业发生黑客入侵.系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失. 0×00 前言 常见的应急响应事件分类: web入侵:网页挂马.主页篡改.Webshell 系统入侵:病毒木马.勒索软件.远控后门 网络攻击:DDOS攻击.DNS劫持.ARP欺骗 海峡信息白帽子id:Bypass 针对常见的攻击事件,结合工