“你想過Win10的感受嗎?”這句話出自上周被編輯電話叫來修電腦的小哥之口。小哥告訴編輯,這原本是貼吧上一對腦洞大開的宅男修電腦時候的一段對白:
A:老鐵,我這電腦還有救嗎?
B:我看懸,這模樣看來是中了高危病毒,直接重裝系統吧!
A:噗~這就給我的Win10下了“病危通知書”?
B:那可不咋滴~
A:能用你高超的技術把這臺Win10救活嗎?
B:安全衛士都不頂用,我這樣的“鄉村野醫”能有啥轍?
A:你想過Win10的感受嗎?
Emm~所以也許Windows系統在這兩位眼里其實是這樣的吧:
從左至右依次為Win8、Win10、Win7娘化形象
這只是個系統啊喂......(默默給島國人民雙擊666)
當然,除宅男之外,不同牛人看到上面這張圖也會做出不同的反應。這不,一位網絡安全從業者在看到上面的圖片后就在評論區留下了這樣一句直擊靈魂深處的話——Win系家族要真都是妹子,估計這會正在重診病房躺著呢吧?
此話怎講?原來,在他看來漏洞的數量就像是Win10系統可能“生病”的概率。那么,2018年Windows平臺的漏洞數量以及被利用情況究竟如何呢?從今天發布的這份《2018年Windows平臺漏洞年度報告》中我們可以一窺一二。
Windows家族最“體弱”
相比面對移動終端的安卓和iOS系統而言,2018年Windows系統的漏洞提交數量逐年遞增。相比過去三年,2018年的安全漏洞提交數量同比上升超過40%,安全漏洞的數量和嚴重性都創下歷史新高。
僅微軟自身而言,2018年共計發布了874個補丁,修復了728個漏洞,平均每月修復多達60個漏洞。在過去二十幾年,Windows操作系統的漏洞提交數量呈逐年上漲趨勢,而在近幾年真正進入爆發性增長態勢。
在所有漏洞影響的Windows產品中,Windows系統組件漏洞、瀏覽器漏洞、Office漏洞位居前三,占比分別為35%、25%、17%;從2018年Windows漏洞影響的產品分布情況來看,Office和Adobe被曝光的漏洞相對較少,但漏洞利用比例很高。可見,不法黑客挑選漏洞攻擊時,會優先考慮漏洞利用的成本,并參考其攻擊目標人群與產品用戶的重合度,與產品本身漏洞量并無直接關系。
(圖:2018年漏洞影響的Windows系統版本分布)
數據顯示,在所有Windows版本中,受到最多漏洞影響的是Windows 10系統,占比高達40%。安全技術專家表示:“Windows 10成為當前主流操作系統的同時,漏洞曝光量也逐漸增多,企業及個人用戶不可忽視其漏洞風險,建議每月及時安裝更新是防范不法黑客入侵的必要步驟。”
2018年,在所有漏洞影響的Windows產品中,Windows系統組件漏洞占到了35%的比例,瀏覽器漏洞占25%,Office漏洞則占比17% 。
數據監測結果顯示,雖然Office和Adobe(主要是Flash)被曝光的漏洞相對較少,但漏洞利用的比例最高。可見,黑客挑選漏洞時,更可能是優先考慮漏洞利用的成本,并參考其攻擊目標人群與產品用戶的重合度,而與產品本身漏洞量的多少并無正相關。
相比較2017年,2018年Office和.net的漏洞曝光量上升比較明顯,相對Windows系統組件漏洞,Office漏洞常被大家忽視,但卻備受黑客喜愛,眾多專業黑客組織對重要目標的攻擊,會選擇使用Office高危漏洞,因此需要及時安裝Office漏洞補丁,避免偶然打開一個文檔就被植入后門。
在所有Windows各版本中,受到最多漏洞影響的卻是Windows 10系統,這說明Windows 10已是主流的操作系統版本,其漏洞曝光量正越來越多,同時提醒廣大用戶,即便使用最新版本的操作系統,也不可忽視漏洞風險。
從受攻擊量的對比數據看,政府、教育、醫療衛生行業因為其系統存在大量高危漏洞未及時修復,所受攻擊次數也相對較高。而科技行業雖然漏洞存在量相對較少,受攻擊量卻是最高的,這樣從另一方面說明,漏洞利用攻擊者通常是有目的針對性地采取攻擊,對科技行業的攻擊,泄取機密往往成為首選目的。
從地域情況來看,2018年漏洞攻擊地區分布與當地經濟水平及信息化普及程度相關,北京、上海、廣州是不法黑客首選的攻擊目標。而從行業來看,Windows操作系統的高危漏洞在教育、政府、衛生醫療行業的分布占比最高,分別為29%、26%、11%。從受攻擊量的對比數據看,政府、教育、醫療衛生行業因其系統存在大量高危漏洞未及時修復,所受攻擊次數也相對較高。值得一提的是,科技行業雖然漏洞存在量相對較少,受攻擊量卻是最高,竊取機密往往是攻擊者首選目的。
(圖:漏洞攻擊量TOP地區)
在2018國內用戶整體漏洞修復情況中,Windows漏洞和.NET漏洞修復率達到70%以上,其次是IE、Flash和Office漏洞修復率保持在60%左右。事實說明,整體漏洞修復率偏低反映出當前國內的個人用戶信息安全意識亟待提升。
雷鋒網建議,普通用戶務必提高計算機網絡安全意識,不要輕易下載不明軟件程序,及時備份重要的數據文件。
Windows家族2018年“病史”
1月:
Microsoft Office公式編輯器再次曝出兩個高危漏洞CVE-2018-0798和CVE-2018-0802。CVE-2018-0798是Office公式編輯器在解析Matrix Record(0x05)的內容時,沒有對行與列的成員進行特定的長度校驗,這就導致黑客可以通過精心構造內容任意指定后續讀入的行與列長度,從而造成棧溢出。CVE-2018-0802技術原理與之類似,微軟在1月9日通過發布移除公式編輯器的補丁修復這兩個漏洞。
2月:
Adobe Flash被曝出一個0day漏洞CVE-2018-4878。該漏洞影響版本在28.0.0.137以下的Adobe Flash,通過修改Flash腳本對象ByteArray的值至特殊長度來實現任意地址讀寫,實現漏洞利用,再將Adobe Flash Player嵌入Office文檔和郵件等載體中并誘使用戶打開的途徑快速傳播漏洞,在解析ATF文件時訪問內部數據結構使用了無效的指針偏移導致漏洞,成功攻擊后可能會導致敏感信息泄露。該漏洞在2月6日被修復;
3月:
Ulf Frisk曝光了一個Windows內核提權高危漏洞Totel Meltdown(CVE-2018-1038 )。該漏洞是由微軟先前發布用于修復“Meltdown”漏洞的補丁產生的新問題,補丁錯誤地將PML4權限設定成用戶級,可以讓任意進程讀取并修改頁表項目,該漏洞僅影響Windows7 x64 和 Windows Server 2008 R2系統,并在3月29日被修復;
4月:
Internet Explorer被曝出一個0day漏洞“雙殺”(CVE-2018-8174)。該漏洞通過VBScriptClass::Release函數中存在的缺陷訪問未分配內存,從而觸發漏洞達到任意地址讀寫的目的。該漏洞通過精心構造的頁面或往郵件或Office文檔中嵌入VBScript腳本即可觸發,危害性較強,也因此被命名為“雙殺”漏洞,且一遭曝光便第一時間被APT組織利用于黑客活動。該漏洞于5月8日被修復;
5月:
Windows操作系統和Adobe Acrobat/Reader PDF閱讀器被ESET公布了兩個捆綁在一起的0day漏洞。(CVE-2018-8120、CVE-2018-4990)這是源于ESET在3月捕獲的用于攻擊測試的一個PDF樣本。CVE-2018-4990實際上是一個堆內存越界訪問任意地址釋放漏洞,原樣本精準地使用堆噴射布局內存,然后釋放兩塊大小為0xfff8的相鄰堆塊,在Windows堆分配算法將堆塊合并后,利用該堆塊改寫一個ArrayBuffer對象的長度為0x66666666從而實現任意地址讀寫。CVE-2018-8120則是由于內核函數 SetImeInfoEx 未對其目標窗口站 tagWINDOWSTATION的指針成員域 spklList 的指向地址進行有效性校驗,而是直接進行讀取訪問。這兩個漏洞已在5月被修復;
6月:
Windows 10被曝出一個0day漏洞(CVE-2018-8414)。這是一個Windows Shell 遠程執行代碼漏洞,由于Windows Shell在某些情況下會不正確地驗證文件路徑,通過精心構造的惡意腳本觸發該漏洞,可以達到任意讀寫的目的。該漏洞僅適用于Windows 10的新文件類型“.SettingContent-ms”,該漏洞直到8月14日才正式分配CVE編號并修復。
7月:
Internet Explorer被曝光0day漏洞“雙殺”二代(CVE-2018-8242),它的出現是由于4月“雙殺”一代(CVE-2018-8174)的修復補丁并未完全解決漏洞,導致VBScript腳本引擎中仍存在類似問題,該漏洞由360Vulcan團隊發現并提交,并在7月10日被修復;
8月:
(1) Exchange Server被公開了一個內存損壞漏洞(CVE-2018-8302)的POC,攻擊者可使用釣魚攻擊觸發漏洞利用攻擊企業用戶計算機,并再次發起攻擊直至接管Exchange Server服務器。Exchange對語音郵件的接收存儲過程中,會轉換語音郵件讀取TopNWords.Data并通過.NET BinaryFormatter對它反序列化,該漏洞就存在于反序列化過程中。
(2) Internet Explorer被Trendmicro曝出0day漏洞“雙殺”三代(CVE-2018-8373),它基于與“雙殺”一代相似的原理,通過VBScript.dll中存在的缺陷獲取任意讀取權限。兩例漏洞都于8月14日被修復;
9月:
(1) Windows被曝出ALPC提權0day漏洞(CVE-2018-8440),它通過高級本地過程調用(ALPC)函數中SchRpcSetSecurity函數無法正確檢查用戶權限的缺陷,獲得本地權限提升(LPE)來執行惡意代碼。
(2) Microsoft Jet Database Engine被公開了一個遠程代碼執行0day漏洞(CVE-2018-8423)的POC,該漏洞是一種越界(OOB)寫入漏洞,可誘導用戶打開包含以JET數據庫格式存儲的數據的特制文件,通過對象鏈接和嵌入數據庫(OLEDB)的Microsoft組件打開Jet源來觸發漏洞,發起攻擊。兩例漏洞分別于9月11日和10月9日被修復;
10月:
(1) Microsoft Edge被公開了一個關于Windows Shell的RCE高危漏洞(CVE-2018-8495)的POC,攻擊者可以使用該漏洞利用POC,通過Microsoft Edge構造包含特殊URI的網頁,誘導用戶打開即可實現在遠程計算機上運行惡意代碼。漏洞是由于Windows Shell處理URI時,未過濾特殊的URI所導致(如拉起腳本的Windows Script Host的URI為wshfile)。
(2) Windows被曝出一個Win32k提權0day漏洞(CVE-2018-8453),它的利用過程較為復雜,簡言之是利用了在win32k.sys組件的win32kfull!xxxDestroyWindow函數中的UAF漏洞從而獲取本地提權。兩例漏洞都于10月9日修復;
11月:
Windows再被曝出Win32k提權0day漏洞(CVE-2018-8589)。它的出現是由于在win32k!xxxMoveWindow函數中存在不恰當的競爭條件,導致線程之間同時發送的信息可能被不當鎖定。該漏洞已在11月13日被修復;
12月:
(1) Microsoft DNS Server被曝光存在一個堆溢出高危漏洞(CVE-2018-8626)。所有被設置為DNS服務器的Windows服務器都會受到此漏洞影響。攻擊者向Windows DNS服務器發送精心構造的漏洞利用惡意請求,以觸發堆溢出并遠程代碼執行。漏洞于12月11日發布補丁修復。
(2) Windows連續第四個月被曝出0day漏洞。這次是一個更加高危的kernel內核事務管理器驅動程序的提權漏洞(CVE-2018-8611),它是源于kernel模式下對文件操作的不當處理引發內核事務管理器產生競爭條件,此漏洞繞過了現在主流web瀏覽器的進程緩解策略而從實現沙箱逃逸,這可讓黑客在web上構建完整的遠程代碼執行攻擊鏈。該漏洞最初在10月29日被發現,微軟于12月11日分配CVE號并公布修復補丁;
同時,英特爾CPU“新一代幽靈”漏洞持續升級、Office公式編輯器再曝棧溢出漏洞等問題引發的安全事件同樣也值得關注。該報告預測,未來幾年,魚叉攻擊結合Office公式編輯器漏洞,仍然會是成為針對中小型企業的攻擊手段之一。
只想說一句,Win娘家族命真苦~
如何做好漏洞防護?
正所謂野火燒不盡,春風吹又生。伴隨著互聯網和信息技術應用的高速發展,以智能合約、人工智能為代表的新興科技為市場發展添加了不竭動力。與此同時,安全問題也如影隨形,成為產業互聯網發展的一個痛點。目前,全球各領域漏洞提交數量持續上漲,而0day漏洞正變得愈發常見。
事實上,利益至上的不法黑客,對易用又穩定的漏洞可謂是愛不釋手。低技術含量的攻擊手段本身,就是個高效的篩選器,可以過濾掉那些對計算機和網絡十分了解的精明用戶,將安全意識低下的目標人群篩選出來,真正地達到高精準的定點攻擊,基于這樣的情況,企業、政府等機構更是需要多進行安全事件演習,加強業務人員的信息安全意識,才能在真正意義上“修復漏洞”,保障信息安全。正所謂千里之堤毀于蟻穴,人永遠是最大的漏洞。
那么,我們應該如何做好漏洞防護呢?這里有5點建議:
1、及時修復安全漏洞開啟安全軟件實時防護;
2、培養良好的計算機使用習慣;
3、企業用戶漏洞防護;
4、建立有效的漏洞情報監控體系,建設完善的漏洞補丁管理能力;
5、安全演練,培養員工良好的信息安全意識;
報告來源:騰訊安全/編輯:雷鋒網 靈火K,更多網絡安全文章,請關注雷鋒網宅客頻道
前言:我們知道,在Linux操作系統中,CPU在執行一個進程的時候,都會訪問內存。 但CPU并不是直接訪問物理內存地址,而是通過虛擬地址空間來間接的訪問物理內存地址。 所謂的虛擬地址空間,是操作系統為每一個正在執行的進程分配的一個邏輯地址,在32位機上,其范圍從0 ~ 4G-1。操作系統通過將虛擬地址空間和物理內存地址之間建立映射關系,讓CPU間接的訪問物理內存地址。 通常將虛擬地址空間以512Byte ~ 8K,作為一個單位,稱為頁,并從0開始依次對每一個頁編號。這個大小通常被稱為頁面將物理地址按照同樣的大小,作為一個單位,稱為框或者塊,也從0開始依次對每一個框編號。
操作系統通過維護一張表,這張表上記錄了每一對頁和框的映射關系。如圖:
這張表,稱為頁表。
在windows系統下,頁面為4k,這里我們以4k為例。
一個4G虛擬地址空間,將會產生1024*1024個頁,頁表的每一項存儲一個頁和一個框的映射,所以,至少需要1M個頁表項。如果一個頁表項大小為1Byte,則至少需要1M的空間,所以頁表被放在物理內存中,由操作系統維護。
當CPU要訪問一個虛擬地址空間對應的物理內存地址時,先將具體的虛擬地址A/頁面大小4K,結果的商作為頁表號,結果的余作為業內地址偏移。
例如:
CPU訪問的虛擬地址:A
頁面:L
頁表號:(A/L)
頁內偏移:(A%L)
CPU中有一個頁表寄存器,里面存放著當前進程頁表的起始地址和頁表長度。將上述計算的頁表號和頁表長度進行對比,確認在頁表范圍內,然后將頁表號和頁表項長度相乘,得到目標頁相對于頁表基地址的偏移量,最后加上頁表基地址偏移量就可以訪問到相對應的框了,CPU拿到框的起始地址之后,再把頁內偏移地址加上,訪問到最終的目標地址。
如圖:
注意,每個進程都有頁表,頁表起始地址和頁表長度的信息在進程不被CPU執行的時候,存放在其PCB內。
按照上述的過程,可以發現,CPU對內存的一次訪問動作需要訪問兩次物理內存才能達到目的,第一次,拿到框的起始地址,第二次,訪問最終物理地址。CPU的效率變成了50%。為了提高CPU對內存的訪問效率,在CPU第一次訪問內存之前,加了一個快速緩沖區寄存器,它里面存放了近期訪問過的頁表項。當CPU發起一次訪問時,先到TLB中查詢是否存在對應的頁表項,如果有就直接返回了。整個過程只需要訪問一次內存。如圖:
這種方式極大地提高了CPU對內存的訪問效率。將近90%。
然而這樣的方式還是存在弊端,在物理內存中需要拿出至少1M的連續的內存空間來存放頁表。可以通過多級頁表的方式,將頁表分為多個部分,分別存放,這樣就不要求連續的整段內存,只需要多個連續的小段內存即可。
把連續的頁表拆分成多個頁表稱之為一級頁表,再創建一張頁表,這張頁表記錄每一張一級頁表的起始地址并按照順序為其填寫頁表號。
通過這樣的方式,CPU從基地址寄存器中拿到了一級頁表的地址,從地址結構中取出一級頁表的頁表號,找到二級頁表的起始物理地址;然后結合地址結構中的中間10位(二級頁表上的頁表號),可以找到對應的框的起始地址,最后結合頁內偏移量,就可以計算出最終目標的物理地址。
如圖:
更多Linux內核文檔視頻教程資料,私信【內核大禮包】免費獲取。