微软补上一个漏洞 牵扯出一段间谍往事(震网三代病毒)

rubycon

       6月14日，每月的第二个周二是微软公司集中发布一批影响其产品安全漏洞的补丁日。从今日凌晨发布的情况看，有两个特殊漏洞值得关注，正在被利用的远程代码执行漏洞(CVE-2017-8543) Windows Search远程代码执行漏洞和(CVE-2017-8464)LNK文件（快捷方式）远程代码执行漏洞。

       其中，CVE-2017-8464被一些人称为“震网三代”。何为“震网三代”？为什么这两个漏洞连名字都要这么霸气，它们能造成什么影响？

1、高危漏洞对内网主机造成极大威胁

       这是一个微软Windows系统处理LNK文件过程中发生的远程代码执行漏洞。当存在漏洞的电脑被插上包含漏洞利用工具的U盘时，不需要任何额外操作，漏洞攻击程序就可以借此完全控制用户的电脑系统（该漏洞也可能由用户访问网络共享、从互联网下载、拷贝文件等操作被触发和利用攻击）。

       该漏洞可在电脑不联网、不做任何操作的情况下通过U盘、移动硬盘植入并利用，因此将会对一些隔离内网（例如公安、税务、电子政务等行业用户专网、工控网络等）中的主机造成极大的威胁。

       由于该漏洞属任意代码执行漏洞，攻击者可利用该漏洞向受害主机植入并执行病毒、木马等恶意程序，从而完全控制受害主机，可能导致受害主机被执行攻击、破坏、数据窃取等一系列恶意行为。

       雷锋网从“金山毒霸”的新浪官方微博今日发布的相关信息交叉确认了这两个漏洞的危险。金山毒霸称：“在企业场景中，远程未经身份验证的攻击者可以通过SMB连接远程触发漏洞，然后控制目标计算机，”根据公告。受影响的是Windows Server 2016，2012，2008以及Windows 10,7和8.1等桌面系统。”

       细分开来， “震网三代”漏洞影响从Win7到最新的Windows 10操作系统以及Windows Vista操作系统，但不影响Windows XP /2003 系统。

      “Windows搜索远程命令执行漏洞”影响Windows XP/2003/Vista/7/8/8.1/10，以及Windows Server2008/2010/2012/2016操作系统。

2、牵扯出一段间谍往事

       震网（Stuxnet）病毒于2010年6月首次被检测出来，是第一个专门定向攻击真实世界中基础（能源）设施的“蠕虫”病毒，比如核电站、水坝、国家电网。作为世界上首个网络“超级破坏性武器”，Stuxnet的计算机病毒已经感染了全球超过 45000个网络，伊朗遭到的攻击最为严重，60%的个人电脑感染了这种病毒。

      这中间也有个鬼畜的故事。2010年，间谍组织买通伊朗核工厂的技术人员，将含有漏洞（CVE-2010-2568 ）利用工具的U盘插入了核工厂工业控制系统的电脑，被利用漏洞控制后的电脑继续攻击了核设施中的离心机设备，导致设备出现大量损坏，影响了伊朗核计划的进程。此事件被曝光解密后，被业界称为“震网事件（Stuxnet）”。

      本次曝光的“LNK文件远程代码执行漏洞”同“震网事件”中所使用的、用于穿透核设施中隔离网络的Windows安全漏洞CVE-2010-2568 非常相似。它可以很容易地被黑客利用，并组装成用于攻击基础设施、核心数据系统等的网络武器。因此，被称之为“震网三代”。

      有了震网一代和震网三代，震网二代去哪里了？2011年，各大反病毒厂商均宣称发现了震网二代蠕虫病毒，又名Duqu。取此名的原因是该蠕虫会在临时目录下生成一些名为~DQ的随机文件名的文件，用于记录用户的敏感和某些特定信息。

3、处置建议

       若不能及时打补丁，建议禁用U盘、网络共享及关闭Webclient Service，并建议管理员关注是否有业务与上述服务相关并做好恢复准备未打补丁的机器，建议立即关闭Windows Search服务。

      目前微软已经针对除了Windows 8系统外的操作系统提供了官方补丁，微软官方补丁下载地址：
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2017-8464

      目前微软已经为“Windows搜索远程命令执行漏洞”提供了官方补丁，微软官方补丁下载地址：
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-8543
https://support.microsoft.com/en-us/help/4025687/microsoft-security-advisory-4025685-guidance-for-older-platforms

edexb008

弱弱的问问，这个补丁的话preview版本的产品似乎是没有更新的节奏，这.......

踏雪寻美

我的电脑里连大姐姐都没有，怕什么

theking988

很牛X的病毒

vista.

还没推送新的win测试版？

njwdtx

说不定是MS和FBI合伙搞的病毒

demiuruin

edexb008 发表于 2017-6-15 09:51
弱弱的问问，这个补丁的话preview版本的产品似乎是没有更新的节奏，这.......

预览版用户补丁都是集成在build里面的，你只要更新了最新的预览版，漏洞就已经被修复了。

gzdoudou

关于“震网事件“（Stuxnet），有一部电影，有兴趣的朋友可以找来看看

◎译　　名　零日/零日网路战(台)
◎片　　名　Zero Days
◎年　　代　2016
◎国　　家　美国
◎类　　别　纪录片
◎语　　言　英语/波斯语/德语/法语
◎上映日期　2016-02-17(柏林电影节)/2016-06-13(悉尼电影节)/2016-07-08(美国)
◎IMDb评分  7.8/10 from 1,503 users
◎IMDb链接  http://www.imdb.com/title/tt5446858/
◎豆瓣评分　8.3/10 from 260 users
◎豆瓣链接　https://movie.douban.com/subject/26684350/
◎片　　长　114分钟
◎导　　演　亚历克斯·吉布尼 Alex Gibney
◎主　　演　乔安妮·塔克 Joanne Tucker
马哈茂德·艾哈迈迪内贾德 Mahmoud Ahmadinejad
乔治·W· 布什 George W. Bush
希拉里·罗德姆·克林顿 Hillary Rodham Clinton
阿利森·科恩 Allison Cohn
米哈伊尔·戈尔巴乔夫 Mikhail Gorbachev
三井忠 Tadashi Mitsui
卡米洛基罗斯·巴斯克斯 Camilo Quiroz-Vazquez
南希·里根 Nancy Reagan
罗纳德·里根 Ronald Reagan
朱利安·塞尔策 Julian Seltzer

◎简　　介

一个全新型态的网路超级病毒，突然遍布全世界的电脑，一开始无伤大雅不受重视，直到随着时间累积，许多基础建设的系统都一一被攻击掌控，比过往任何一种病毒复杂几十倍，甚至可能全面瘫痪人们的生活。随着深入调查，揭露这个超级病毒Stuxnet，背后竟是美国与伊朗战争行动的阴谋，伊朗核武危机无法以政治手段解决，美国便对伊朗的网路展开攻击。无法回头的网路攻击逐渐失控，人们生活中各式控制系统都备受威胁，包括发电、交通、通讯、ATM、医院都将不堪一击，网路安全问题全球都可能遭到入侵，下一次的世界大战危机似乎也一触即发。

◎获奖情况

第66届柏林国际电影节  (2016)
金熊奖(提名) 亚历克斯·吉布尼

rubycon

njwdtx 发表于 2017-6-15 10:22
说不定是MS和FBI合伙搞的病毒

是以色列和美国联合开发的震网病毒，破坏了伊朗的核设施(离心机)

买定离手

就我看了金山毒霸吗？

bscc

一直补补还是这样，不过我们民用没问题

tegl

FBI的网络战武器的确厉害

powerfull

用美国生产的电脑就要付出安全代价，美国一直在排斥中国的电脑网络产品，但我们似乎对美国的东西全盘接受了。

edexb008

demiuruin 发表于 2017-6-15 10:48
预览版用户补丁都是集成在build里面的，你只要更新了最新的预览版，漏洞就已经被修复了。

目前有个问题，补丁是新发布的，可是16215是上周的预览版，这么一对比，就会担心这个。