|
||||
2月1日,針對瑞星公司稱其『本地提權』漏洞對用戶沒有影響的聲明,360安全專家石曉虹博士表示:『本地提權』漏洞危害巨大是安全行業的常識。任何軟件都可能出現漏洞,出漏洞本身並不可怕,但是把一個危害巨大的漏洞說成對用戶『沒有影響』,不是一家合格的安全公司應有的做法。
瑞星『漏洞門』事件一波三折 攻擊代碼已擴散
瑞星『漏洞門』事件源於1月23日波蘭安全組織NT Internals發布的一則公告。公告稱,該組織於一年前將瑞星殺毒軟件存在的兩個漏洞秘密通報給瑞星公司。但是瑞星至今僅僅『部分修復』第一個漏洞,第二個漏洞則『完全沒有修復』。於是,NT Internals不得不按照行規曝光予以警示。
消息傳到國內後,瑞星先是聲明稱早就『徹底修復了兩個漏洞』。這一說法被很快揭穿後,瑞星第二次發表聲明,不再提已修復漏洞的說法,而是改稱『用戶在上網時不會受到這種漏洞影響』。
對此,南京大學計算機系軟件小組表示:『安全軟件存在這樣嚴重的安全漏洞非常罕見。瑞星的第二個漏洞完全沒有修復,可以使黑客獲得系統最高權限,讓用戶電腦以及政府機構和企業的內網完全喪失防御能力。』
360安全中心的驗證結果也與NT Internals和南大軟件小組一致:瑞星的漏洞並未得到修補,而且利用這兩個漏洞的攻擊代碼已開始大面積擴散,很有可能會被利用來攻擊360等其它安全軟件。為此360緊急開發出臨時補丁,供瑞星用戶下載安裝。
目前,針對瑞星漏洞的攻擊代碼已經在國內外安全網站上大量流傳,其中不乏國外最權威的漏洞安全網站如exploit-db、securityfocus、serucrityvluns等。相應的木馬樣本也已現身黑客論壇。經多家網站測試,在不使用360臨時補丁的情況下,漏洞攻擊代碼可輕松破壞用戶電腦上所有安全軟件的保護。
瑞星『本地提權』漏洞危害巨大同類漏洞可賣數百萬美元
針對瑞星提出的『本地提權漏洞無害說』,360安全專家反駁說:『行業裡一般把本地提權漏洞的安全級別定義為「高危」。如果有誰發現了微軟的本地提權漏洞,在國外黑客圈私下交易的黑市價格可以達到幾百萬美金一個。而瑞星的這個漏洞屬於提權漏洞中危害最大的「內核提權」漏洞。』
『內核提權漏洞的可怕之處在於可以讓一個程序直接從用戶態穿透到內核態。用戶態和內核態是WINDOWS系統利用硬件屏障為自己建立起來的幾乎牢不可破的安全防御門檻。其中內核態的程序擁有一切權限,在WINDOWS系統上,沒有任何其他軟件可以限制內核態程序的行為。所以,內核提權漏洞一旦被觸發,攻擊者就可以操縱系統一切可以操縱的資源,做任何想做的事情,沒有任何安全措施可以阻止。它可以被用來關閉瑞星及所有安全軟件的保護,還可攻擊網站服務器或企業域用戶。政府和企業網站如果受到這類漏洞攻擊,很可能會被黑客滲透到內網中。』
360安全專家認為,瑞星『漏洞門』事件幾乎是前不久谷歌披露微軟漏洞的翻版。上周谷歌工程師公布了微軟的一個『本地提權』漏洞,為此微軟立刻發布了緊急安全通告,並以最快速度給用戶提供了臨時解決方案,由此可見『本地提權』漏洞威脅之大。『面對同一類型的漏洞,瑞星和微軟的態度可謂截然不同。』
截至發稿前,瑞星公司仍未向用戶說明漏洞的真正危害,也沒有提供臨時解決方案,更沒有披露何時纔能真正修復漏洞。
附1:
NTInternals披露瑞星殺毒漏洞1:
ntiadv0805/ntiadv0805.html
NTInternals披露瑞星殺毒漏洞2:
ntiadv0902/ntiadv0902.html
NTInternals再次確認從瑞星中文官網下載2010版中仍存在本地提權漏洞:
index.php(最後一條IsRISINGAntivirus2008/2009/2010stillvulnerable?《瑞星殺毒軟件2008/2009/2010還有漏洞嗎?》)
瑞星公司第一次聲明:《關於瑞星0day漏洞的說明》about/news/rising/2010-01-28/6530.html
瑞星公司第一次聲明:《針對奇虎360聲稱"瑞星產品存在重大漏洞"的聲明》about/news/rising/2010-01-29/6553.html
360為瑞星漏洞研發的臨時補丁下載地址:
risingpatcher.exe
附2:某黑客論壇公布瑞星『本地提權『漏洞攻擊樣本實例
附3:關於瑞星『本地提權』漏洞的危害(以下部分摘自百度百科對提權漏洞的解釋)
『權限提昇』漏洞,簡單來說,就是通過這個漏洞,一個本來非常低權限、受限制的用戶,可以獲得更高的甚至最高的系統權限。權限控制是WINDOWS安全的基石,也是一切安全軟件的基石,一旦這道門檻被突破,任何防御措施都會失效。
『權限提昇』漏洞通常是一種『輔助』性質的漏洞,當黑客已經通過某種手段進入了目標機器後,可以利用它進入更高的權限狀態。但絕不能說這種漏洞不嚴重或難以利用。相反,往往這種漏洞更容易被利用、帶來的後果比遠程漏洞更嚴重。
這種漏洞實際上遠比遠程漏洞稀有,往往一個微軟本地提權漏洞在國外黑客圈的私下交易價格可以達到幾百萬美金。因為遠程漏洞其實是很普遍的,一個網站存在網頁問題,就可能被篡改,傳入WEBSHELL(一種控制網站機器的網頁控制端)。但此時權限是非常低的,黑客無法種植木馬,控制目標機器,也無法滲透到服務器更深層的機器。在企業內網和政府內網也是這樣,通常這些網絡環境中都有用戶權限控制,即使誤中木馬,也不會造成多少影響,更無法傳播,但是這些在存在提權漏洞的機器上都是可以徹底突破的