【51CTO.com綜合消息】“極光”IE漏洞引發(fā)的大規(guī)模攻擊剛開始，Windows又曝出一個名為“本地提權(quán)”的高危0day漏洞。一周內(nèi)微軟產(chǎn)品的兩大高危漏洞，都與谷歌有關(guān)。前者導(dǎo)致谷歌遭受嚴重入侵，后者的披露人就是谷歌工程師，而該漏洞竟已存在17年！安全專家今日警告說，針對這一漏洞的利用代碼已在網(wǎng)上流傳。

據(jù)國外一家名為“注冊者研究圖書館”的媒體報道，Windows“本地提權(quán)”0day漏洞是由Google工程師Tavis Ormandy發(fā)現(xiàn)并披露的。該漏洞存在于Windows系統(tǒng)中DOS虛擬機部件，涉及Windows XP、Vista、Windows7、Server 2003以及Server 2008等主要操作系統(tǒng)的32位版本。

　　報道稱，所有自1993年以來發(fā)布的32位版操作系統(tǒng)中均存在這一漏洞。換句話說，該漏洞已經(jīng)存在了17年！Ormandy去年6月就已將漏洞信息提交給微軟公司，但至今未看到微軟采取相應(yīng)措施，于是就將這些信息公布于眾。鑒于該漏洞危害嚴重，Ormandy建議相關(guān)用戶關(guān)閉MSDOS及WOWEXEC子系統(tǒng)功能，就可免受此漏洞的影響。

　　安全專家驗證后發(fā)現(xiàn)，“本地提權(quán)”0day漏洞可使黑客實施網(wǎng)絡(luò)攻擊時獲得系統(tǒng)最高權(quán)限，從而取得對網(wǎng)站服務(wù)器的控制權(quán)，并進一步通過政府和企業(yè)官網(wǎng)滲透到相應(yīng)內(nèi)網(wǎng)中。此外，黑客利用該漏洞能輕松突破國內(nèi)網(wǎng)吧常用的驅(qū)動防火墻，并繞過絕大多數(shù)主動防御軟件，直接威脅到政府、企業(yè)、網(wǎng)吧以及個人電腦用戶的信息安全。

　　“這個漏洞對網(wǎng)吧用戶的影響也是非常大的。去年出現(xiàn)的幾個WINDOWS本地權(quán)限0DAY漏洞經(jīng)證實，都被用于了對網(wǎng)吧的攻擊?！?60安全專家說，“國內(nèi)網(wǎng)吧通常使用驅(qū)動防火墻防御‘機器狗’等木馬病毒，利用‘本地提權(quán)’漏洞的攻擊恰恰是驅(qū)動防火墻的克星，攻擊者可在最低權(quán)限直接攻破幾乎所有內(nèi)核防御系統(tǒng)，包括主動防御、驅(qū)動防火墻、自我保護、沙箱等等。”

　　安全專家進一步表示，個人電腦同樣會受到“本地提權(quán)”0day漏洞的威脅。由于該漏洞可使黑客從最低權(quán)限直接攻擊到系統(tǒng)內(nèi)核中，能輕松突破絕大多數(shù)殺毒軟件的主動防御功能，甚至繞過Vista/Win7系統(tǒng)的UAC（用戶權(quán)限控制）。而此前，外界普遍認為UAC和IE低權(quán)限控制是“無法穿透”的，但如果黑客把掛馬網(wǎng)頁攻擊和“本地權(quán)限”0day漏洞攻擊結(jié)合使用，Vista/Win7系統(tǒng)的用戶也難保安全。

　　據(jù)悉，此前谷歌因IE瀏覽器的“極光”漏洞遭黑客攻擊，進而導(dǎo)致德、法、澳等國政府建議民眾暫緩使用IE瀏覽器。微軟已于北京時間1月22日凌晨緊急發(fā)布了“極光”漏洞補丁，但Windows“本地提權(quán)”0day漏洞補丁的推出時間還是個未知數(shù)。不過，安全專家發(fā)現(xiàn)，針對這一漏洞的利用代碼已出現(xiàn)在國內(nèi)網(wǎng)絡(luò)安全論壇和一些博客上。

　　　　圖中是某安全軟件對exp的抑制狀態(tài)

　　微軟在其近日公布的安全建議中，提供了一個應(yīng)急方案，即通過組策略禁用VDM虛擬機。但安全專家表示，這一建議方案僅能確保user權(quán)限或非高完整性administrator(即UAC下運行的普通程序）權(quán)限下的程序無法利用這一漏洞，但并不能徹底保證用戶不受針對該漏洞的攻擊。

　　“木馬在高完整性administrator(例如UAC下提權(quán)運行程序）權(quán)限下，或在默認administrator權(quán)限(例如2000\XP\2003的用戶）下，仍然可以實現(xiàn)攻擊，使HIPS、沙箱、驅(qū)動防火墻等內(nèi)核防御無效。”安全專家分析說，“此外，該方案顯然還會造成很多安裝程序、16位游戲等無法運行?！?/SPAN>

　　360表示，為了防止可能到來的新一輪掛馬攻擊，360安全衛(wèi)士已于1月22日啟動大規(guī)模升級到6.1.5.1008版本，可對針對該漏洞的攻擊進行攔截，成為國內(nèi)目前獨具防御該漏洞攻擊能力的安全軟件?！澳壳?，國內(nèi)只有360的臨時補丁可完美攔截針對該漏洞的攻擊。”360專家最后強調(diào)說。

　　附：微軟關(guān)于Windows“本地權(quán)限”漏洞的安全建議

　　http://www.microsoft.com/technet/security/advisory/979682.mspx