2014SyScan360--微软Fix It 补丁机制原理及攻击利用

  12年微软IE上发现存在一个可以传播 “毒常青藤”后门木马程序的安全漏洞,这会导致IE用户访问一个恶意网站,此后德国政府和安全专家建议人们在该漏洞得到修复之前不要使用IE。同年年末,微软发布了一款名为“Fix It”的修复补丁,可将该漏洞永久修复。今天,来自商业网络情报公司–Isight的Jon Erickson,在会上分享了这个从未公开的Fix It补丁工作原理及攻击利用。

  Fix It是应用兼容补丁的一部分,微软一些网站群都是这样的技术,可解决兼容问题、通用的方法等等问题。另外它还有一个用途,就是有一些老的软件的发行,比如Windows2000这样的,到2007您有很多防火墙的使用过程当中可以通过它来进行修补,进行重新的定向,做很多其他的工作。

  与其他只报告出函数的补丁不同,Fix It在5秒钟之后可以运行工具告诉你两个变化,以及形式是怎么样的,因此我们就很快的通过它就可以确定微软到底是不是修补了补丁。

  我们进行Fix It的探讨之前,你先运行其他补丁,如果出现跳转,再看它有一些什么样的东西,在一个具体情况下,一个跳转调用一个函数,这是可参考的帐户,再跳回到现有的代码上,微软做这些,它不是免费的,当然不用可以删掉,不用进行转储。他们也意识到内存的泄露,在被利用之后,再利用下一个周期进行修理。

  我们如何能够通过补丁保持它的持久性呢?

  其实每次登陆的时候,都可以打补丁,然后跳转到另外的额外的代码,然后可以再跳回到最开始的地方。一个完整的配置,它可以支持Win7、X86等等。

  Jon Erickson表示不推荐进入引擎,“如果做的话要通过这个路径来完成。同时,你也要知道,你可以搜索你的注册表和文件的系统,我认为对于微软来说增加签名到SDB的文件是必要的,你在运行这个SDB文件的时候,应该获得微软,或者你信任的那一方说你运行SDB的文件是合法的,这样的特性是不会让你容易受到攻击,你必须拥有管理员的权限,这样你才能注册安装SDB的文件到系统当中。”

  我们认为补丁能够提供非常独特的机会,能确定这个漏洞的一个根本的原因。这样的话,微软就可以修复最根本的导致漏洞的原因,然后避免漏洞的攻击。

 

上一篇:智能无惧挑战 山石网科轰动RSA2015

下一篇:2014SyScan360--盘古如何实现完美越狱