歡迎來到上海木辰信息科技有限公司!我司專業做企業郵箱、網站建設、網站設計、云服務器、域名注冊等互聯網業務。

Win10出現高危漏洞,遭黑產攻擊 騰訊安全緊急攔截

作者:騰訊企業郵箱    發布時間:2020-01-19 10:21:03  訪問量:593  

  2020年1月14日,微軟已經全面停止了對Windows 7系統的外延支持。而在近日,微軟發布CVE-2020-0601漏洞公告,修補了Windows加密庫中的CryptoAPI欺騙漏洞。

  該漏洞可被利用對惡意程序簽名,從而騙過操作系統或安全軟件的安全機制,使Windows終端面臨被攻擊的巨大風險,主要影響Windows 10以及Windows Server 2016和2019,Win10以下版本不受影響。

企業郵箱

  經騰訊安全技術專家檢測發現,該漏洞的POC和在野利用已先后出現,影響范圍包括HTTPS連接,文件簽名和電子郵件簽名,以用戶模式啟動的簽名可執行程序等。

  目前,騰訊電腦管家、T-Sec 終端安全管理系統均可修復該漏洞,騰訊安全也已率先發布漏洞利用惡意程序專殺工具,可快速檢測可疑程序是否利用CVE-2020-0601漏洞偽造證書,用戶可運行此工具掃描本地硬盤或特定目錄,將危險程序清除。

  騰訊安全團隊對該漏洞利用的POC進行深入分析后,確認該POC為CVE-2020-0601漏洞利用的一個典型偽造簽名場景,即通過該POC可輕松偽造出正常公鑰對應的第二可用私鑰,相當于黑客可以用自己的私鑰欺騙微軟系統,隨便制造一個簽名,系統都以為是合法的;而在無漏洞的情況下達到該效果需要消耗極大算力。

  與此同時,騰訊安全團隊還檢測到已有國內黑產組織利用該漏洞構造多個惡意程序,說明該漏洞的利用方法已被部分病毒木馬黑產所掌握。雖然該漏洞不能直接導致蠕蟲式的利用,但可以在多種欺騙場景中運用。

  在野利用樣本1:ghost變種遠程控制木馬。

企業郵箱

(圖:利用該漏洞構造的惡意程序一)

  該樣本利用漏洞構造了看似正常的數字簽名,極具迷惑性。用戶一旦中招,電腦將會被黑客遠程控制。攻擊者可以進行提權、添加用戶、獲取系統信息、注冊表管理、文件管理、鍵盤記錄、竊聽音頻等操作,還可以控制肉雞電腦進行DDoS攻擊。

  在野漏洞利用樣本2:horsedeal勒索病毒。

企業郵箱

  該樣本具有看似正常的數字簽名,攻擊者誘使受害者運行該惡意程序后,會導致受害者硬盤數據被加密。

  在野利用場景3:利用漏洞騙取瀏覽器對擁有偽造證書的網站的信任,如通過偽造類相似域名進行釣魚攻擊,在瀏覽器識別為“可信”網站下注入惡意腳本。

企業郵箱

  此外,騰訊安全研究人員指出,在任意受影響的機器中,任意PE文件只要用這個偽造的證書進行簽名,都能通過windows的證書檢驗。

  現有安全體系很大程度依賴證書簽名,如果通過漏洞偽造簽名欺騙系統,成功繞過安全防御及查殺機制,攻擊者便可為所欲為,造成嚴重后果。

企業郵箱

(圖:漏洞可以給任意PE文件偽造簽名欺騙系統)

  僅在微軟發布安全公告后不到一天的時間里,已經發現漏洞利用代碼公開,及眾多在野利用樣本。

  通過對攻擊樣本進行深入分析,騰訊安全技術專家認為,該漏洞的相關代碼已通過網絡擴散,被黑灰產業利用的可能性正在增加。如2017年4月,黑客攻擊NSA,釋放出NSA核武級漏洞攻擊包就是永恒之藍系列工具包,該工具包至今仍是網絡黑產最常使用的絕佳攻擊武器。

  值得一提的是,該漏洞主要影響Windows 10以及Windows Server 2016和2019。而Windows 8.1和更低版本以及Server 2012 R2和更低版本不支持帶有參數的ECC密鑰,因此,較早的Windows版本會直接不信任嘗試利用此漏洞的此類證書,不受該漏洞影響。

  鑒于該漏洞具有極高的利用價值,而且在很短時間內漏洞利用方法已被黑產所掌握,騰訊安全專家建議廣大企業網絡管理員,可參考以下方法運行專殺工具清除危險程序。使用方式如下:

  1、手動掃描(個人模式)

  a、根據提示輸入需要掃描的目錄,然后按Enter鍵,如果是全盤掃描,則輸入root后按Enter鍵

  b、發現病毒的情況下,輸入Y,然后按Enter鍵,則開始刪除。該操作請謹慎,刪除后無法還原

  2、命令行模式(企業模式)

  a、將exe以命令行啟動,比如掃描C盤test目錄(##dir=C:\test;autodel=N),如果要全盤掃描(##dir=root;autodel=N)

  b、如果要自動刪除則設置autodel=Y

  產品截圖:如下

企業郵箱

  與此同時,騰訊安全建議企業用戶立即升級補丁盡快修復該漏洞,或使用T-Sec 終端安全管理系統(騰訊御點)統一檢測修復所有終端系統存在的安全漏洞。此外,企業用戶還可使用T-Sec 高級威脅檢測系統(騰訊御界),檢測利用CVE-2020-0601漏洞的攻擊活動,全方位保障企業自身的網絡安全。

企業郵箱

(圖:T-Sec 高級威脅檢測系統沙箱檢測到危險程序)

  而對于普通個人用戶來說,騰訊安全則推薦使用騰訊電腦管家的漏洞修復功能,或Windows Update安裝補丁,攔截危險程序,全面保護系統安全。

企業郵箱

(圖:騰訊電腦管家發現漏洞風險)





聲明:本文由收集整理的《Win10出現高危漏洞,遭黑產攻擊 騰訊安全緊急攔截》,如轉載請保留鏈接:http://m.www49t49.com/news_in/1110

點贊  0  來源:foxmail客戶端

上一篇:你還在和同事分享電子郵件密碼嗎?

下一篇:網站建設網站優化的內容更新頻率怎么把握?

相關搜索:

QQ咨詢

微信咨詢

主站蜘蛛池模板: 精品无码成人片一区二区98| 国产成人精品免费午夜app| 欧美成人午夜视频| 91成人在线免费观看| 久久成人综合网| 青青青国产成人久久111网站| 亚洲av成人一区二区三区| 亚洲国产成人久久精品影视| 成人精品免费视频在线观看| 天天在线天天看成人免费视频| 国产精成人品日日拍夜夜免费| 国产成人一级片| 欧美成人免费在线观看| 成人免费视频国产| 免费看成人aa片无码视频吃奶 | 中文国产成人精品久久96| 欧美成人aa久久狼窝动画| 国产激情一区二区三区成人91| 四虎精品成人免费视频| 69堂国产成人精品视频不卡| 国产成人免费a在线资源| 日本成人免费在线| 麻豆国产成人AV在线| 免费在线观看成人| 国产成人精品久久| 成人免费无码大片a毛片软件| 国产v片成人影院在线观看| 婷婷国产成人精品视频| 成人影片一区免费观看| 久久99热成人精品国产| 国产精品成人免费视频电影 | 日韩欧美成人乱码一在线| 四虎成人精品在永久免费| 国产成人精品日本亚洲直接| 成人综合婷婷国产精品久久蜜臀| 亚洲2022国产成人精品无码区| 国产成人精品a视频| 国内成人精品亚洲日本语音| 成人免费v片在线观看| 成人av电影网站| 国产成人无码AⅤ片在线观看 |