微软日前发布了最新安全补丁,修复内容包括谷歌90天前提交的0day漏洞(微软本计划2月修复,但迫于谷歌不愿违背其90天公布漏洞详情的策略只好提前发布补丁)等8个安全漏洞。其中Windows Telnet服务远程代码执行漏洞被微软标记为了高危级别,其余7个都是重要级别。
TS WebProxy Windows组件目录追踪漏洞
微软指出MS15-004修复的是TS WebProxy Windows组件上的目录追踪漏洞,它须结合其他安全漏洞才能远程执行代码。
如果攻击者利用其他的一些漏洞通过IE浏览器运行任意代码,由于受到IE浏览器环境限制,代码会被限制运行(因为诚信度等级太低,受访问限制);但是,如果攻击者利用Windows漏洞并借用当前用户的权限就可运行任意代码。
该漏洞是由于Windows没有慎重审查文件路径才导致的,攻击者会利用该漏洞在当前用户的权限下远程安装恶意程序、操纵数据或者创建新账户。攻击者会诱使用户下载利用该漏洞开发的恶意应用程序,或者运行一个利用该漏洞的网站。
该漏洞最好的解决办法就是从IE Elevation策略中移除TSWbPrxy。
Windows Telnet服务远程代码执行漏洞
MS15-002(CVE-2015-0014)是唯一一个被标记为高危的漏洞,它影响的是Windows Telnet服务。Telnet服务默认安装在Windows 2003系统上,之后的版本都未默认安装。
该漏洞属于缓冲区溢出漏洞,其出现原因是由于远程登录服务器没有慎重审查用户输入凭证而造成,攻击者会尝试利用该漏洞向Windows服务器发送特定的远程数据包,如果发送成功,攻击者就可在服务器上运行任意代码。
微软官方描述:
此安全更新可解决 Microsoft Windows中一个私下报告的漏洞。 如果攻击者向受影响的 Windows Server 发送特殊设计的数据包,此漏洞可能允许远程执行代码。 默认情况下,Telnet 不会安装在任何受影响的操作系统版本上。 仅手动安装此服务的客户可能容易受到攻击。
对于 Microsoft Windows 所有受支持的版本,此安全更新的等级为“严重”。
缓冲区溢出漏洞存在于可能允许远程执行代码的 Windows Telnet 服务中。 当 Telnet 服务未正确验证用户输入时,会导致该漏洞。 攻击者通过尝试将经过特殊设计的 telnet 数据包发送到 Windows Server 来利用此漏洞,如果成功的话,便可以在服务器上运行任意代码。此更新通过更正 Telnet 验证用户输入的方法来解决漏洞。
Microsoft 通过协调漏洞披露渠道了解到有关此漏洞的信息。 在最初发布此安全公告时,Microsoft 未收到任何表明此漏洞已公开用于攻击用户的信息。
此次补丁修复日还修复了另外3个特权提升漏洞,2个安全功能绕过漏洞,一个拒绝服务漏洞。