Windows 7壽命終止,您要如何避免資安風險

正如諺語所說,“所有美好的事物終將結束” , Windows 7也是如此。

Windows 7於2009年推出,最重要任務是取代為人詬病的Windows Vista,而穩定的Windows 7深獲用戶喜愛,為廣受歡迎的作業系統(OS)且售出了共6.3億多個使用授權。在推出10年後,微軟於美國時間2020年1月14 日正式終止支援Windows 7,不再提供安全性更新,為Windows 7時代劃下句點。

但是,截至2019年12月,在所有桌機及筆電上跑的作業系統版本中,Windows 7仍以26.6%位居第二位,而這意謂著全球有數百萬台PC,從2020年起將暴露於惡意程式感染或駭客攻擊的風險中。由於微軟不會再提供任何技術支援、軟體更新、安全性更新或修正程式,故電腦將變得更容易受到各種形式的惡意軟體和其他威脅的攻擊,或被駭客發現和利用作業系統中的安全漏洞進而入侵電腦。儘管用戶仍可以繼續使用執行Windows 7的電腦,但是當您選擇這樣做時,所有的後果將得自行負責。

ESET資安專家建議用戶最好盡速升級系統,千萬不要輕忽修補或更新系統的重要性–它可能會使您免受如WannaCryptor(又名WannaCry)之類的威脅的侵害,還有選擇並安裝專業且值得信賴的資安產品,保護您的網路安全。

*****若有任何資安需求,歡迎洽詢ESET資安專業團隊,服務電話:(02)7722-6899,或上官網查詢:https://www.eset.tw/


原文出處:https://www.welivesecurity.com/2020/01/14/windows7-end-life-time-move-on/

 

針對Windows系統的「BlueKeep」漏洞攻擊正在發生

 
今年5月微軟警告Windows終端服務存在編號CVE-2019-0708的漏洞,或稱BlueKeep。本漏洞可使攻擊者利用RDP(遠端桌面協定:Remote Desktop Protocol,簡稱RDP)連上目標系統,傳送改造過的呼叫,藉此執行任意程式碼、安裝惡意程式、讀取或刪改資料、或新開具完整權限的用戶帳號。作為預先驗證(pre-authentication)漏洞,BlueKeep可讓蠕蟲繁殖(wormable),從一臺有漏洞的電腦複製自我擴散到其他電腦上,有如WannaCryptor。受影響的作業系統包括Windows 7、Windows Server 2008 及2008 R2,及已經終止支援的Windows XP及Server 2003。
 
在11月針對有BlueKeep漏洞的系統之首波攻擊,雖其主要目的在於植入Monero挖礦軟體,但真正的隱憂在於,此漏洞能讓攻擊者駭入伺服器,再利用自動化工具在內網為害,像是丟入勒索軟體 (類似WannaCryptor) ,因此BlueKeep攻擊仍十分危險,不能掉以輕心。而自5月到目前為止,微軟也發出了三次警告,並提醒用戶盡快修補漏洞、進行更新及呼籲不要小看其嚴重性。
 
 
【ESET勒索病毒解決方案】https://www.eset.tw/html/86/20170605/
或歡迎洽詢資安專業團隊,服務電話:(02)7722-6899
 

Windows零時差攻擊CVE-2019-1132利用漏洞鎖定目標攻擊

今年6月,ESET研究團隊發現針對東歐地區利用Windows中的提高本地權限擴張漏洞的零時差攻擊
 
其利用Microsoft Windows中的提高本地權限擴張漏洞,特別是win32k.sys元件中的NULL pointer dereference。當發現該漏洞時,就已向Microsoft資訊安全中心進行通報,該中心也及時修復了漏洞並發布了更新。
 
該漏洞影響的Windows版本如下:
Windows 7 for 32位系統Service Pack 1
Windows 7(用於​​基於x64的系統)Service Pack 1
Windows Server 2008 for 32位系統Service Pack 2
Windows Server 2008(用於基於Itanium的系統)Service Pack 2
Windows Server 2008(用於基於x64的系統)Service Pack 2
Windows Server 2008 R2(用於基於Itanium的系統)Service Pack 1
Windows Server 2008 R2(用於基於x64的系統)Service Pack 1
 
這與近年來揭露的許多其他Microsoft Windows win32k.sys漏洞一樣,此漏洞為利用彈出選單的攻擊手法,與2017年分析的Sednit組織透過提升本地特權漏洞方式非常相似。
 
此漏洞建立了兩個視窗;一個用於第一階段,另一個用於第二階段的開發。對於第一個視窗,它建立彈出選單對象並使用CreatePopupMenu和AppendMenu函數追加選單項目。此外,該漏洞利用設置了WH_CALLWNDPROC和EVENT_SYSTEM_MENUPOPUPSTART hooks。
 
然後該漏洞利用TrackPopupMenu函數顯示一個選單。此時,連接到EVENT_SYSTEM_MENUPOPUPSTART的代碼將被執行。此代碼嘗試通過向選單發送MN_SELECTITEM,MN_SELECTFIRSTVALIDITEM和MN_OPENHIERARCHY訊息序列打開選單中的第一個可用項目。
 
接下來為觸發此漏洞的關鍵點,利用已經建立初始選單的同時,即刻建立子選單,而該漏洞利用代碼處理WH_CALLWNDPROC hooks中的WM_NCCREATE訊息,當漏洞利用代碼檢測到系統處於此狀態時,它會向第一個選單發送MN_CANCELMENUS(0x1E6)訊息,取消該選單,但它的子選單仍然會被建立。
 
如果在核心模式下檢查這個子選單對象,就會看到tagPOPUPMENU-> ppopupmenuRoot等於0.這個狀態允許攻擊者在這個核心結構中使用該元素作為NULL pointer dereference。該漏洞利用在地址0x0處分配一個新頁面,該地址將被核心視為tagPOPUPMENU對象(請參考圖1)。
 
圖1. tagPOPUPMENU核心結構
 
此時,攻擊者使用第二個視窗,主要的漏洞利用目標是觸發第二個視窗的tagWND結構中的bServerSideWindowProc位址。這導致在核心模式下執行WndProc過程。
 
為了執行該操作,攻擊者通過調用user32.dll函數庫中的未導出的HMValidateHandle函數來洩漏第二個視窗的tagWND結構的核心內存地址。然後,漏洞利用程序在NULL頁面處製作一個假的tagPOPUPMENU對象,並將MN_BUTTONDOWN訊息發送到子選單。
 
之後,核心最終將執行win32k!xxxMNOpenHierarchy函數。
 
圖2. win32k!xxxMNOpenHierarchy函數的反組譯代碼
 
此函數將NULL頁面上的精心設計對象傳遞給win32k!HMAssignmentLock。 bServerSideWindowProc位在win32k!HMDestroyUnlockedObject函數內設置,該函數位於win32k!HMAssignmentLock內部的幾個調用中。
 
圖3. win32k!HMDestroyUnlockedObject函數的反組譯代碼
 
一切完成後,漏洞可以將特定訊息發送到第二個視窗,以便在核心模式下執行WndProc。
 
最後該漏洞利用系統令牌替換當前進程的令牌。
 
已發布的更新程序在win32k!xxxMNOpenHierarchy函數中添加了對NULL pointer的檢查。
 
圖4.兩個win32k.sys版本之間的代碼差異 – 原始(左)和修補(右)
 
結論
該漏洞僅適用於舊版本的Windows,因為從Windows 8開始,不允許用戶端程序執行NULL頁面。 Microsoft將此處理操作反向移植到x64的系統的Windows 7。仍然使用Windows 7進行32位系統Service Pack 1的人更新到最新的操作系統,因為Windows 7 Service Pack 1的擴展支援將於2020年1月14日結束。這意味著Windows 7用戶將無法獲得重大的安全性更新。
 
入侵指標(IoCs)
 
全球資安大廠ESET一直致力開發主動偵測、多層級的安全技術,並結合自動化的機器學習和人類知識,超過30年的研究經驗,為各種規模的企業和端點平台,提供主動和智慧的防護產品或解決方案。連年榮獲Virus Bulletin 100獎項肯定, 優異的成績持續保持業界領先地位。全球擁有超過1億的用戶,代理機構遍及全球超過180個國家,支援多種語系,並提供在地化的服務協助、是個人及企業值得信賴的資安領導品牌。
 
若有任何資安需求,歡迎洽詢ESET資安專業團隊,服務電話:(02)7722-6899,或上官網查詢:https://www.eset.tw/