隐藏15年的JasBug漏洞影响所有版本的windows系统

前几天微软刚刚发布了一个重要补丁来修复一个长达15年的漏洞，黑客利用该漏洞可以远程劫持用户的电脑，不管该电脑运行的是任何版本的windows系统。

这个严重的漏洞名为“JASBUG”，该名字由报告该漏洞的研究人员所取。该漏洞的产生主要因为windows系统设计中的缺陷，针对该漏洞的补丁花费了微软超过12个月来才开发出来。然而，仍旧未发布Windows server 2003系统的漏洞补丁，使得该版本的windows系统在接下来的5个月中仍旧暴露在黑客的攻击之下。

黑客可以很容易就劫持你的windows电脑

该漏洞（CVE-2015-0008）允许攻击者很容易地劫持一个域配置的windows系统，如果它连接到了一个恶意的有线或无线网络，造成攻击者可以对你的电脑做任何事情，包括安装程序、删除程序、改变或查看用户数据，或者创建新的拥有所有权限的账户。

然而，Jasbug漏洞并不影响家庭用户，因为它们不是域配置的，但是对于IT工作者来说，因为他们经常要使用Active Directory服务连接工作、公司或者政府网络，所以对他们来说该漏洞是一个巨大的危险。

该漏洞被归类为MS15-011，它允许黑客监视用户和Active Directory网络直接传输的流量，所以黑客为了在受影响的系统中执行恶意代码，很可能会利用这一点来发起中间人攻击。

受影响的windows系统版本

• Windows Vista
• Windows 7
• Windows 8
• Windows RT
• Windows 8.1
• Windows RT 8.1
• Windows Server 2003
• Windows Server 2008
• Windows Server 2008 R2
• Windows Server 2012
• Windows Server 2012 R2

JasBug工作原理

微软在它的博文中提供了下面的例子，以此来讲述恶意黑客是如何利用JasBug漏洞来攻击一个连接到咖啡店开放WiFi的windows电脑的：

• 这是一个例子来演示咖啡店攻击场景，在这里攻击者将试图改变公共场所的一个共享网络的交换机，使得它可以将连接该网络的客户端流量定向到一个攻击者控制的系统上。
• 在这种场景下，攻击者在交换机上观察到用户流量，并发现一个特定的电脑在试图下载一个文件，该文文件的位置为UNC路径: \\10.0.0.100\Share\Login.bat。
• 在攻击者的电脑上，攻击者设定一个分享文件，该文件完全匹配用户所请求的UNC路径的文件：\\*\Share\Login.bat。
• 攻击者已经精心设计了bat文件的内容，以此实现在目标系统上执行任意的恶意文件。依赖于服务请求login.bat，这可以在受害者电脑上以本地用户或者系统账户身份得到执行。
• 然后，攻击者在本地交换机上修改ARP表，以此来确保本来要到达目标服务器0.0.100的流量现在被路由到了攻击者的电脑上。
• 当受害者的电脑再次请求文件时，攻击者的机器将返回恶意版本的bat文件。这种场景表明这种攻击方式不能用来通过因特网来实现，因为攻击者需要瞄向一个特定的系统或一组系统，并且这些系统需要请求特定UNC路径上的文件。

其他补丁情况

除了Jasbug漏洞之外，微软还发布了另外两个相当重要的安全更新，因为它们都有可能被利用来在受影响的电脑上进行远程代码执行操作。

• MS15-009：这次更新修复了报告的41个漏洞，包括一个公开报告的漏洞和40个私下报告的漏洞。它影响所有操作系统上IE6及以上所有版本的浏览器。
• MS15-010：这次安全更新修复了6个漏洞，一个公开报告的漏洞和其他几个私下提交的漏洞，这些漏洞影响windows7及以上系统、windows server 2008 R2及后来版本的服务器软件，漏洞由一个windows内核级组件在处理TrueType字体时不当的方式所导致。

在微软二月份发布的升级补丁中的其他6个都被Redmond标记为“重要”。在微软Office中的两个漏洞可以导致RCE和安全特性绕过，而且windows中的漏洞可导致权限提升、安全特性绕过和信息泄露。此外，虚拟机管理器（VMM）中的一个漏洞可导致攻击者进行权限提升。

【原文：jasbug-windows-vulnerability   PulseO0O整理发布】

本文作者：PulseO0O

本文为安全脉搏专栏作者发布，转载请注明：https://www.secpulse.com/archives/4826.html