2013年是0-day的高發(fā)期，也是安全工程師和黑客之間的博弈最為激烈的一年，微軟在這一年推出了很多新的安全機制，黑客們也在嘗試很多新穎的攻擊思路，下面就來看在2013年對弈雙方如何妙招迭出。

[[109342]]

正文：

在過去的一年里，Micrsoft修復了大量的漏洞，其中包括操作系統(tǒng)上的漏洞，和一些捆綁軟件上的漏洞，比如Office ，IE。在補丁發(fā)出之前，這些漏洞被稱作0-day 漏洞，他們可以協(xié)助攻擊者入侵他們的目標。而在這些漏洞中IE瀏覽器的漏洞，是最被關注的一種。

我們可以說，2013年是0-day漏洞的高發(fā)期，海量的漏洞被用于APT攻擊。在下面這個表中你可以看到在2013年微軟修復的漏洞。

標紅的漏洞，是被用于真實入侵的漏洞。

下面是這些漏洞的詳細信息。

我們可以看到，攻擊者為了繞過ASLR，在一些沒有經(jīng)過ASLR保護的文件中搜尋可以被ROP利用的代碼片段(我對溢出不算是很在行 ：-()，其中一個例子是，Microsoft Office 2007-2010 庫中的沒有被ASLR保護的 hxds.dll，這個編號為MS13-106的繞過漏洞 (called Security Feature Bypass)，在十二月周二的補丁中被修復。

下面的內容是2013年的安全通告(security advisories SA)

下面的柱狀圖，展示了windows組件的補丁數(shù)量。目前windows支持的版本范圍桌面系統(tǒng)從windows xp sp3 到 windows 8.1，服務器系統(tǒng)從Windows Server 2003 到 2012 R2.

下圖是加上了Office (2003 – 2013 for Windows)的情況。

下圖是這些漏洞的利用方式以及所造成的影響。

Drive-by download 路過試下載：就是偷偷在你的電腦里面裝東西。

Local Privilege Escalation (LPE, Elevation of Privilege) 本地權限提升：這是一種獲得本地最高權限的方法。通常他會利用內核態(tài)代碼逃過用戶態(tài)的一些限制。

Remote Code Execution (RCE)：攻擊者可以通過頁面，E-mail，即時消息等方式，遠程激活代碼。

從上面的圖中我們看到，IE瀏覽器，.Net 框架，Silverlight 插件，等這些產(chǎn)品都出現(xiàn)過遠程代碼執(zhí)行漏洞。這些漏洞大多都是通過IE瀏覽器觸發(fā)的。攻擊者會用一個精心構造的頁面來觸發(fā)上述軟件中的漏洞。用戶可以通過，IE瀏覽器中的一些選項來防止自己被攻擊。 Enhanced Protection Mode (EPM) 或者 sandbox mode都可以達到這種效果。

IE 11 在 Win8 64 位下的截圖

默認情況下，windows 8 以及以后版本，IE標簽欄使用32位的進程來運行，因為32位進程的內存地址比64位小很多，這使他們更容易被堆噴射攻擊。堆噴射也經(jīng)常被用于繞過ASLR，Office 的漏洞經(jīng)常被用作于釣魚攻擊的輔助手段，通過一封誘惑性的郵件，讓你下載并點擊其中的一個DOC文檔，一旦你打開DOC文檔，惡意代碼就會成功運行。

現(xiàn)在最新版的 Microsoft Word 2013 和 OutLook 2013 已經(jīng)包含了特殊的安全選項。這些安全選項會禁止一些不安全的機制。舉個例子說，Outlook會使用低權限來運行Word進程，這種做法可以有效地防止shellcode執(zhí)行功能。

一些運行在內核態(tài)的組件也可以幫助入侵者提升權限或者繞過用戶態(tài)的一些限制，比如圖形界面子系統(tǒng)驅動(Windows GUI-subsystem driver)，win32k.sys ，一些系統(tǒng)驅動 和 ntoskrnl (OS內核)。其中win32k.sys 這個驅動程序是問題最多的，下圖是2013年和2012年的漏洞情況。灰色的條條是2012年的數(shù)據(jù)。

我們看到2013年的漏洞數(shù)呈壓倒性優(yōu)勢，其中圖形界面子系統(tǒng)驅動(Windows GUI-subsystem driver)，win32k.sys 和IE瀏覽器做了很大的貢獻。

下圖是0-day漏洞被使用的時間，和使用的組織?？梢哉f，2013年是APT和水坑攻擊泛濫的一年。水坑攻擊越來越被入侵者青睞，他攻擊你常去的網(wǎng)站，間接地讓你中招。在2014年，水坑攻擊也將會是最熱門的攻擊手法之一。

對于2013年的漏洞頻發(fā)，微軟也作出了相應的對策。主要的改動集中在它的內存分配機制，去除了SharedUserDat 中ntdll函數(shù)的很多指針(防ASRL繞過)，禁止向不信任的程序提供內核對象指針信息(防KASLR繞過)。

另一個比較有趣的在windows 8 上的改進是，所有微軟編輯的文件都包含一個加強版的ASLR選項(High Entropy ASLR, HEASLR)。所有windows 8 及其以上版本，都支持了High Entropy ASLR, HEASLR選項，在一定程度上防止了漏洞被利用(/HIGHENTROPYVA linker flag).

你也可以使用 ProcExp tool這款工具檢查，High Entropy ASLR, HEASLR，是否被使用。

原文地址：http://www.welivesecurity.com/2014/02/11/windows-exploitation-in-2013/