北京時間3月13日晚間,微軟發布了今年3月份的安全公告,共更新了6個漏洞。其中一個名為MS12-020的漏洞為超高危漏洞,這一漏洞是一個高危級別的遠程代碼執行缺陷,存在于遠程桌面協議(RDP)之中,黑客可利用該漏洞特別構造RDP協議包來遠程控制所有開放3389端口遠程桌面的電腦服務器或造成藍屏,可影響Windows XP、Vista、2003、win7和2008等主流操作系統。
安氏領信實驗室發布預警 微軟爆發RDP高危漏洞
微軟公告表明MS12-020包含2個CVE漏洞,CVE-2012-0002和CVE-2012-0152。編號為CVE-2012-0002的這個漏洞允許通過RDP服務遠程執行代碼,屬于高危漏洞。攻擊者可能使用特別構造的一系列數據包獲得對系統的完全訪問。“隨后攻擊者能夠安裝程序,查看、修改、或是刪除數據,或是創建擁有完全用戶權限的新賬號”。編號為CVE-2012-0152的漏洞是一個RDP拒絕服務漏洞,利用該漏洞可以是RDP服務停止響應。其中尤以CVE-2012-0002威脅最為嚴重。
因自身的特殊性,RDP 一般都是可以繞過防火墻的,而且該服務在幾乎所有平臺上都默認以 SYSTEM 身份運行于內核模式。其中的CVE-2012-0002漏洞可以直接允許遠程攻擊者很輕松地執行任意代碼,進而獲取主機和客戶端系統的最高權限。微軟表示,這個漏洞是秘密上報的,而且 RDP 在系統中默認關閉,所以目前還沒有發現攻擊現象,但因為問題嚴重,預計未來三十天內就會出現攻擊代碼。
隨后,北京安氏領信科技發展有限公司網絡安全實驗室進行了深度測試,測試運行后直接導致系統藍屏重新啟動的結果。(測試機為Windows 2003系統)
據了解,以往同樣級別的漏洞都造成了巨大的危害和損失。其中在2004年發現的MS04-011漏洞,攻擊者通過遠程對445端口進行入侵,獲取客戶管理權限并傳播的“震蕩波病毒”,致使全球眾多用戶電腦癱瘓;在2002年發現的Windows的RPC漏洞,攻擊者通過135端口遠程控制服務器傳播的“沖擊波病毒”導致全球大量電腦自動關機。由此可見CVE-2012-0002這一高危漏洞在這黑客攻擊日益猖獗,無孔不入的全球互聯網時代,將會帶來更加巨大的負面影響,人人自危,亟需解決此漏洞的辦法。
安氏領信網絡安全專家提醒廣大服務器管理員及用戶,及時檢查服務器是否存在此漏洞風險,并安裝微軟的漏洞補丁。據微軟稱,默認情況下,任何 Windows 操作系統都未啟用遠程桌面協議 (RDP)。沒有啟用 RDP 的系統不受威脅。大多數客戶均啟用了“自動更新”,他們不必采取任何操作,因為此安全更新將自動下載并安裝。尚未啟用“自動更新”的客戶必須檢查更新,并手動安裝此更新。
安氏領信IPS與WEB盾為企業提供可靠防御保障
安氏領信安全專家告訴記者,目前除安裝微軟補丁可以防御漏洞外,企業網絡使用的入侵防御系統亦是其中一種有效防御抵制攻擊的手段。領信入侵檢測防護系統(IPS)針對網絡、主機系統及應用程序提供主動防護措施,無論是零日攻擊和DDoS,或是間諜軟件、惡意軟件、蠕蟲病毒及 Botnet的威脅,均能在其產生實際損害前終止它們。部署了領信入侵檢測防護系統的用戶即便服務器沒有及時安裝微軟的漏洞補丁也無需擔心,因為領信入侵檢測防護系統中的攻擊特征簽名(Signature)包含了各種不同的操作系統和應用程序的攻擊特征,檢測引擎將利用簽名庫按照安全策略對所有會話過程進行檢測,并對不符合安全策略的內容進行告警和適當的防御,為用戶的信息安全提供最大的保障。
互聯網提供WEB服務的主機有很大一部分采用的是Windows系統,且遠程管理采用的基本上是遠程桌面,這就為互聯網WEB服務器的安全埋下隱患。企業網絡使用的WAF(web防火墻)正是另一種有效防御抵制攻擊的手段。安氏領信專門針對Web服務所面臨的安全問題將網絡防火墻、入侵防護系統、Web應用防火墻、DOS防護網關、頁面防篡改等多種安全產品和技術進行高效的整合后設計了Web盾系統;部署了Web盾的用戶,即便Web服務器沒有及時更新微軟的漏洞補丁,也無需擔心會因此受到攻擊,只要網絡中的攻擊行為匹配Web盾的簽名庫,系統就會對攻擊行為進行防護,所以需要針對特定WEB服務防護的措施中增加RDP協議的漏洞識別與防護,由此實現有效應對已知的我們力所能防的入侵手段,給予充分的安全保障。
安氏領信作為國內網絡安全行業的領先企業在自建的安全實驗室第一時間獲取了最直接的漏洞信息數據,并及時更新領信入侵檢測防護系統與WEB盾簽名庫,添加防御MS12-020漏洞的規則,并緊急通知客戶漏洞的相關事宜,指導更新升級領信入侵檢測防護系統與WEB盾簽名庫,確保網絡安全,將風險損失降低到最小。目前,安氏領信的漏洞挖掘能力已經達到國際領先水平,其安全實驗室每月定期向CNVD提供所發現的最新漏洞,不斷發揮著越來越重要的作用。
(新聞稿 2012-04-23)