安天实验室网络安全研究与应急处理中心(Antiy CERT)
一、概述
10月23日,微软爆出特大安全漏洞,几乎影响所有的Windows系统,强烈建议广大用户下载并此补丁。成功利用该漏洞的远程攻击者可能会利用此问题危及基于Microsoft Windows系统的安全并获取对该系统的控制权。
受影响操作系统:
Microsoft Windows 2000 Service Pack 4
Windows XP Service Pack 2
Windows XP Service Pack 3
Windows XP Professional x64 Edition
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 1
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition
Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 SP1(用于基于 Itanium 的系统)
Windows Server 2003 SP2(用于基于 Itanium 的系统)
Windows Vista 和 Windows Vista Service Pack 1
Windows Vista x64 Edition 和 Windows Vista x64 Edition Service Pack 1
Windows Server 2008(用于 32 位系统)*
Windows Server 2008(用于基于 x64 的系统)*
Windows Server 2008(用于基于 Itanium 的系统)
Windows 7 Beta(用于 32 位系统)
Windows 7 Beta x64 Edition
Windows 7 Beta(用于基于 Itanium 的系统)
二、定级依据
根据安天应急处理有关条例中“遭遇到能远程主动发起针对主流桌面操作系统的默认开放端口的扫描,并能对有漏洞直接获得系统权限的”和“漏洞可以被利用用以作为蠕虫的主动传播机制的”两标准,安天将本次应急响应级别直接定级为A级。
这是安天最近1年来的首次A级预警,并已经向有关部门和自身用户进行了通报。
下列事项需要被关注:
1、在微软发布补丁之前攻击已经被少量捕获。
2、这是微软近1年来,首次打破每月定时补丁发放机制,实时发放补订。
3、溢出代码在补丁发放日已经公开。
4、当天已经有应急组织捕获到有关样本。
5、已经在较长的时间里没有类似机制漏洞出现,目前各应急组织、运营商、用户似准备不足。
三、未来趋势研判
鉴于形势的发展,我们作出如下估计,在整体趋势上。
可能造成病毒感染数量的显著上升。
可能导致盗号窃密事件的显著上升。
可能短时间内造成傀儡主机数量的增长。
可能批量产生新的僵尸网络体系。
可能关联造成网络探测、扫描、DDoS攻击事件的增加。
相关傀儡主机不排除被用于垃圾邮件的传播
由于服务器系统相关防护比较严格,受到的影响相对较小,其直接攻击可能会带动挂马事件的小幅上升,但不会有重大影响。其对挂马的关联影响可能主要表现在攻击者可能在短时间内获取更多的探测节点,从而找到更多的可注入WEB节点。
在地域形式上,我们认为中国大陆问题将比欧美更为严重,依据如下:
国内用户目前使用系统为受该漏洞影响版本比率远高于欧美用户。
由于受到windows黑屏事件影响,部分用户可能会关闭补丁升级机制。
中国大量使用的一些盗版定制系统,破坏了windows系统的一些内建安全机制。
四、处置建议
安天已经于第一时间发布了《MS08-067网管简易处置指南》,用于企业网络、ISP网络管理员调整策略,安天面向网管和终端用户升级了《Windows系统紧急安全配置指南》,根据该手册配置节点,该漏洞并不难以防范。
|