北京时间3月13日晚间,微软发布了今年3月份的安全公告,共更新了6个漏洞。其中一个名为MS12-020的漏洞为超高危漏洞,这一漏洞是一个高危级别的远程代码执行缺陷,存在于远程桌面协议(RDP)之中,黑客可利用该漏洞特别构造RDP协议包来远程控制所有开放3389端口远程桌面的电脑服务器或造成蓝屏,可影响Windows XP、Vista、2003、win7和2008等主流操作系统。
安氏领信实验室发布预警 微软爆发RDP高危漏洞
微软公告表明MS12-020包含2个CVE漏洞,CVE-2012-0002和CVE-2012-0152。编号为CVE-2012-0002的这个漏洞允许通过RDP服务远程执行代码,属于高危漏洞。攻击者可能使用特别构造的一系列数据包获得对系统的完全访问。“随后攻击者能够安装程序,查看、修改、或是删除数据,或是创建拥有完全用户权限的新账号”。编号为CVE-2012-0152的漏洞是一个RDP拒绝服务漏洞,利用该漏洞可以是RDP服务停止响应。其中尤以CVE-2012-0002威胁最为严重。
因自身的特殊性,RDP 一般都是可以绕过防火墙的,而且该服务在几乎所有平台上都默认以 SYSTEM 身份运行于内核模式。其中的CVE-2012-0002漏洞可以直接允许远程攻击者很轻松地执行任意代码,进而获取主机和客户端系统的最高权限。微软表示,这个漏洞是秘密上报的,而且 RDP 在系统中默认关闭,所以目前还没有发现攻击现象,但因为问题严重,预计未来三十天内就会出现攻击代码。
随后,北京安氏领信科技发展有限公司网络安全实验室进行了深度测试,测试运行后直接导致系统蓝屏重新启动的结果。(测试机为Windows 2003系统)
据了解,以往同样级别的漏洞都造成了巨大的危害和损失。其中在2004年发现的MS04-011漏洞,攻击者通过远程对445端口进行入侵,获取客户管理权限并传播的“震荡波病毒”,致使全球众多用户电脑瘫痪;在2002年发现的Windows的RPC漏洞,攻击者通过135端口远程控制服务器传播的“冲击波病毒”导致全球大量电脑自动关机。由此可见CVE-2012-0002这一高危漏洞在这黑客攻击日益猖獗,无孔不入的全球互联网时代,将会带来更加巨大的负面影响,人人自危,亟需解决此漏洞的办法。
安氏领信网络安全专家提醒广大服务器管理员及用户,及时检查服务器是否存在此漏洞风险,并安装微软的漏洞补丁。据微软称,默认情况下,任何 Windows 操作系统都未启用远程桌面协议 (RDP)。没有启用 RDP 的系统不受威胁。大多数客户均启用了“自动更新”,他们不必采取任何操作,因为此安全更新将自动下载并安装。尚未启用“自动更新”的客户必须检查更新,并手动安装此更新。
安氏领信IPS与WEB盾为企业提供可靠防御保障
安氏领信安全专家告诉记者,目前除安装微软补丁可以防御漏洞外,企业网络使用的入侵防御系统亦是其中一种有效防御抵制攻击的手段。领信入侵检测防护系统(IPS)针对网络、主机系统及应用程序提供主动防护措施,无论是零日攻击和DDoS,或是间谍软件、恶意软件、蠕虫病毒及 Botnet的威胁,均能在其产生实际损害前终止它们。部署了领信入侵检测防护系统的用户即便服务器没有及时安装微软的漏洞补丁也无需担心,因为领信入侵检测防护系统中的攻击特征签名(Signature)包含了各种不同的操作系统和应用程序的攻击特征,检测引擎将利用签名库按照安全策略对所有会话过程进行检测,并对不符合安全策略的内容进行告警和适当的防御,为用户的信息安全提供最大的保障。
互联网提供WEB服务的主机有很大一部分采用的是Windows系统,且远程管理采用的基本上是远程桌面,这就为互联网WEB服务器的安全埋下隐患。企业网络使用的WAF(web防火墙)正是另一种有效防御抵制攻击的手段。安氏领信专门针对Web服务所面临的安全问题将网络防火墙、入侵防护系统、Web应用防火墙、DOS防护网关、页面防篡改等多种安全产品和技术进行高效的整合后设计了Web盾系统;部署了Web盾的用户,即便Web服务器没有及时更新微软的漏洞补丁,也无需担心会因此受到攻击,只要网络中的攻击行为匹配Web盾的签名库,系统就会对攻击行为进行防护,所以需要针对特定WEB服务防护的措施中增加RDP协议的漏洞识别与防护,由此实现有效应对已知的我们力所能防的入侵手段,给予充分的安全保障。
安氏领信作为国内网络安全行业的领先企业在自建的安全实验室第一时间获取了最直接的漏洞信息数据,并及时更新领信入侵检测防护系统与WEB盾签名库,添加防御MS12-020漏洞的规则,并紧急通知客户漏洞的相关事宜,指导更新升级领信入侵检测防护系统与WEB盾签名库,确保网络安全,将风险损失降低到最小。目前,安氏领信的漏洞挖掘能力已经达到国际领先水平,其安全实验室每月定期向CNVD提供所发现的最新漏洞,不断发挥着越来越重要的作用。
(新闻稿 2012-04-23)