前微软员工,现在是补丁管理公司的CTO说更新通过微软23日公布关闭已开发了近七年,他首先确定该公司工作,而一个漏洞。
埃里克·舒尔茨,谁担任可信赖计算团队在微软的创始成员,并为供应商安全主管说,MS08-068补丁,微软发布了其每月周二补丁公告的一部分关闭,他第一次在微软测试了漏洞在2001年。
“重要的是要获得这一个补丁的时候了,因为开发工具都一应俱全重要的是,”舒尔茨,即使补丁被评级为“重要”,而不是说“是至关重要的。”(比较补丁管理工具)
“早在2001年有一个利用工具发布了名为SMBRelay和绅士锡尔·迪斯蒂克的名义写的,说:”舒尔茨,为CTO的Shavlik技术。“我在微软(Microsoft)工作时测试了它,然后说‘天哪,这个还能用。我向微软提出了这个问题,但他们拒不承认。但看起来他们终于修好了。”
周二,舒尔茨再次测试该漏洞,并确定了“MS08-068修补程序地址SMBRelay攻击”,在2001年3月被黑客锡尔·迪斯蒂克写的,从死牛崇拜。
他指责微软离职的孔开了这么久的操作系统这么多版本。
“这意味着自2001年以来,微软已经知道这个问题的,是不能够(或选择不)修复它到现在为止,”舒尔茨在一封电子邮件后续早先的采访中这样写道。“这也意味着工作的攻击代码已可用于所有操作系统,包括Windows NT 4,Windows 2000中,Windows XP,Windows Server 2003中,Vista和Windows Server 2008”。他接着说,“虽然微软正确地指出,剥削严重的Vista和Windows Server 2008的减轻”
舒尔茨承认,自从公司开始调整他们的防火墙后,MS08-068中所解决的服务器消息块(SMB)缺陷的威胁已经减小。但他说,这个漏洞可能让攻击者接管用户的硬盘驱动器,在公司的防火墙内仍然是一个威胁。
一个操作系统,该漏洞影响的Windows XP SP2中,仍然广泛在企业网络上使用。
利用补丁的关键是攻击者的机器和目标机器都在运行NetBios,它允许在不同计算机上运行的应用程序通过LAN进行通信,目前通常被公司防火墙阻止。机器还需要Windows服务器服务运行,在XP和其他Windows版本中默认打开,但在in中默认关闭远景和Windows Server 2008。
攻击者可以发送HTML电子邮件或直接受害者到网站,其中任何一个都会有一个特殊构造的网页,在源代码中引用一个小的图像文件。源代码将指向恶意服务器,而不是使用一个文件的图像文件://命令,一个操作系统的NetBios状命令是基本操作系统的一部分。
恶意服务器将要求受害者的系统进行身份验证,当它进行身份验证时,恶意服务器将获取信息并在网络上重播,以访问受害者的机器和硬盘驱动器。在获得访问权限后,攻击者将拥有与用户相同的权限。如果这些是管理权限,则攻击者将拥有对计算机的完全访问权。
Schultze说,使用SMB包签名的网络可以立即识别出这种恶意行为是中间人攻击。
舒尔茨说:“这在公司网络上可能是相当恶劣的。”他说:“在企业内部网络上,如果NetBios完全开放或服务器服务完全开放,一般不会对这些机器设置防火墙,但在整个Internet上,它会被屏蔽。”
早在2001年,然而,人们不知道在防火墙来阻止的NetBios。
“XP的防火墙会阻止这个技巧,但许多公司将其配置为关闭,”舒尔茨说。
MS08-068去手在手补丁和ms08 - 067,微软发布了10月23日,影响所有版本的Windows,因为Windows 2000的补丁,为严重级别,地址相同SMBRelay漏洞和被释放掉个月的发布周期的正常第二个星期二。
十月周二补丁日:微软揭示了在Active Directory中,主机网关关键孔
至于为什么这个洞是开了这么久,舒尔茨说,这是在这样一个低级别的操作系统,微软决定要忘记它,如果用户抱怨“他们会告诉他们打开SMB数据包签名。”
“黑客这些都是凉爽的漏洞。这是他们期待的人,”他说。
除了MS08-068,这是仅有的两个在周二的补丁之一,微软还发布了关闭一个XML解析漏洞的一个关键补丁。该漏洞,解决了与补丁MS08-069,允许黑客接管的机器。
“它看起来像一个畸形XML语句将允许内存损坏,可以让黑客在目标机器上执行任意代码,”唐利瑟姆,在Lumension解决方案高级总监和战略说。