微軟剛修復了一個存在了15年之久的bug，這個bug允許攻擊者在某些情況下完全控制運行著各版本W(wǎng)indows系統(tǒng)的電腦。這個致命的漏洞以后依然會存在于Windows Server 2003中，除開這個問題，微軟承諾會在最后的5個月時間里繼續(xù)對其進行技術(shù)支持。

這個系統(tǒng)缺陷，微軟已經(jīng)耗費了超過12個月的時間進行修復，影響的范圍包含所有連接到商業(yè)貿(mào)易、企業(yè)組織和政府機關(guān)網(wǎng)絡并使用了活動目錄服務（Active Directory service）的用戶。內(nèi)置于Windows的數(shù)據(jù)庫扮演著交通警察和安保人員的角色，它為滿足授權(quán)要求的用戶頒發(fā)特定授權(quán)并對在本地網(wǎng)絡上的可用資源進行映射。而這個bug（微軟稱其為MS15-011，研究者稱其為Jasbug）可以讓那些能夠監(jiān)控用戶與活動目錄之間網(wǎng)絡傳遞的攻擊者在這中間設置惡意代碼來操控這些脆弱的機器。

“所有使用活動目錄服務的電腦和設備都處于危險之中。”JAS全球顧問在周二的一篇博客上警告道——正是該公司在2014年1月發(fā)現(xiàn)了這一bug并將它報告給了微軟。該漏洞可被遠程利用，能夠讓攻擊者獲取到攻擊目標的管理員權(quán)限。那些使用公共wifi或者VPN的漫游設備正處于高度危險之中。

微軟在自己的上提供了Jasbug是如何利用連接到咖啡店公共wifi某臺機器的例子：

1. 在這個場景中，攻擊者會全面觀察交換機的通信并找到某個正準備嘗試在UNC路徑： \\10.0.0.100\Share\Login.bat.下載文件的機器。
2. 在攻擊者的機器上會設置一份與受害者請求下載文件的UNC路徑完全相符的共享：\\*\Share\Login.bat。（攻擊者通過精心制作的Login.bat內(nèi)容，在目標系統(tǒng)隨心所欲的運行惡意代碼。通過Login.bat的登錄服務請求，這些惡意的代碼就可以在受害者的機器上以本地用戶或者系統(tǒng)賬戶的形式運行了。）
3. 然后攻擊者會修改本地交換機上的ARP映射表以確保用于目標服務器10.0.0.100的通信路徑能夠通過攻擊者的機器。
4. 當受害者的機器接下來發(fā)出文件的請求時，攻擊者的機器會返回帶有惡意的Login.bat給受害者。這個場景也說明了這種攻擊無法在互聯(lián)網(wǎng)上廣泛的使用——攻擊者的目標只針對對特定的UNC發(fā)出文件請求的某個或某系列特定系統(tǒng)。

來自于微軟的更多細節(jié)可以點擊。活動目錄的組策略組件漏洞允許攻擊者在連接到一個區(qū)域后遠程實施所接受到的惡意代碼。與此同時，單獨的組策略漏洞可能導致其無法獲取有效的安全策略而使用安全性較差的默認組策略進行代替。通過對這些bug綜合利用，攻擊者可通過目標用戶想要連接的地址來禁用平時執(zhí)行的授權(quán)機制。

現(xiàn)在還無法準確的知道針對通過加密通道使用漏斗形傳輸?shù)奶摂M專用網(wǎng)絡（VPN）用戶的攻擊是如何進行的。從理論上看，VPN可以預防那些能夠讀取或篡改活動目錄事務的充當中間人的攻擊者，除非首先攻擊者能解密數(shù)據(jù)。最有可能的是，上面所提到的咖啡店針對可對本地域名進行查詢的VPNs，使用了自動分配給本地網(wǎng)絡的DNS服務器。許多VPNs都是使用的這種配置方式，這能夠使用戶更加快捷方便的連接到公司或政府的網(wǎng)絡。

這個Windows漏洞的修復工作并不象平時的那么簡單，因為它影響到了Windows內(nèi)核功能的設計而非設計的實現(xiàn)。微軟表示管理員將會檢查這個環(huán)節(jié)并作出進一步的引導。該漏洞給那些還在使用Server 2003的用戶群帶來了一個嚴重的威脅，因為微軟對于Server 2003的技術(shù)支持在7月中旬就會到期了。運行Server 2003的機器不太可能會連接到非可信網(wǎng)絡，造成咖啡館那樣的攻擊是不現(xiàn)實的。不過，攻擊的技術(shù)會隨著時間的推移變得越來越厲害，越來越多的人會找到攻擊的新方法。那些有能力不使用活動目錄的Server 2003用戶群應當充分考慮到這個問題，雖然沒有提到在非活動目錄網(wǎng)絡下的系統(tǒng)漏洞，但是Windows用戶最好的選擇還是及時的安裝系統(tǒng)補丁。

本文翻譯自

本文由 回憶和感動 翻譯，轉(zhuǎn)載請注明：本文轉(zhuǎn)載自慧都控件網(wǎng)