21便民:[知识] [切换城市]

...

震网病毒利用了多少漏洞攻击计算机?

震网病毒利用了微软操作系统中至少5个漏洞和2个西门子公司的SIMATIC Wincc系统漏洞,另外还有2个有效的数字证书。
z7Z21便民网

震网病毒利用的微软Windows操作系统的漏洞有:
z7Z21便民网

RPC远程执行漏洞(MS08—067)
z7Z21便民网

快捷方式文件解析漏洞(MSIO一046)
z7Z21便民网

打印机后台程序服务漏洞(MSl0—061)
z7Z21便民网

内核模式驱动程序权限提升漏洞(MSl0—073)
z7Z21便民网

任务计划程序权限提升漏洞(MSIO一092)z7Z21便民网

在这几个漏洞中,除了第1个是早已被发现的漏洞外,后4个漏洞都是在震网病毒中首次被使用,是真正的零日漏洞。z7Z21便民网

所谓“零日漏洞”,指的是软件开发者(比如:微软)和反病毒公司尚未发现的漏洞。也就是说,这种漏洞只有病毒开发者一人知道。没人知道它的存在,意味着没人会去防备它,所以是黑客世界中最牛的东西,也是一个稀罕玩意。每年有超过1200万种恶意代码出现,但“零日漏洞”大概只有10来个。震网病毒一次性利用了4个漏洞,不可谓不强大,所以背景也绝对不简单。z7Z21便民网

所利用的2个WinCC漏洞包括:
z7Z21便民网

1)系统保存了访问数据库的默认账户名和密码,“震网”病毒利用这一漏洞尝试访问系统的SQL数据库。
z7Z21便民网

2)在打开Step7工程文件时,存在DLL加载策略上的缺陷,从而导致一种类似于DLL预加载攻击的漏洞利用方式。
z7Z21便民网

震网病毒在运行后,释放两个驱动文件(即,数字证书):z7Z21便民网

%System32%\drivers\mrxcls.sysz7Z21便民网

%System32%\drivers\mrxnet.sysz7Z21便民网

这两个驱动文件伪装RealTek的数字签名以躲避杀毒软件的查杀。目前,这一签名的数字证书已经被颁发机构吊销,无法再通过在线验证,但目前反病毒产品大多使用静态方法判定可执行文件是否带有数字签名,因此有可能被欺骗。z7Z21便民网

针对这些漏洞,微软和西门子先后提供了相应的补丁修复:z7Z21便民网

微软提供的补丁文件下载地址如下:z7Z21便民网

--RPC远程执行漏洞(MS08-067)z7Z21便民网

http://www.microsoft.com/technet/security/bulletin/MS08-067.mspxz7Z21便民网

--快捷方式文件解析漏洞(MS10-046)z7Z21便民网

http://www.microsoft.com/technet/security/bulletin/MS10-046.mspxz7Z21便民网

--打印机后台程序服务漏洞(MS10-061)z7Z21便民网

http://www.microsoft.com/technet/security/bulletin/MS10-061.mspxz7Z21便民网

西门子公司给出的WinCC系统安全更新补丁的下载地址:z7Z21便民网

http://support.automation.siemens.com/z7Z21便民网

WW/llisapi.dll/csfetch/43876783/z7Z21便民网

SIMATIC_Security_Update_V1_0_0_11.exe?func=cslib.csFetch&nodeid=44473682z7Z21便民网


(浏览:)