雷鋒網(公衆号:雷鋒網)消息,衆所周知,谷歌内部有一個超級黑客團隊——“project zero”,據 securityaffairs 5月8日報道,谷歌 project zero 的研究員在微軟 windows os 中發現了一個遠端代碼執行漏洞(rce),但是這并非簡單的 rce,他們把它定性為“近期最糟糕的 windows rce”。
上周末,project zero 的研究員 tavis ormandy 和 natalie silvanovich 在社交網站上公布了這一發現,不過,他們卻沒有透露太多的細節。
【tavis ormandy的社交網站截圖】
“我認為,我和@natashenka 剛發現了 windows 的遠端執行代碼漏洞,這個漏洞太可怕了,報告在路上。”
“攻擊者們不需要處于同一個區域網路中就可以靜默安裝,這簡直是一個蟲洞。”
不過,當時他們并沒有公布該漏洞的細節。雷鋒網了解到,project zero 是谷歌的網際網路安全項目,該團隊主要由谷歌内部頂尖安全工程師組成,緻力于發現、跟蹤和修補全球性的軟體安全漏洞,按照谷歌的規定,他們在公布漏洞前, 首先通報軟體廠商并給他們90天的時間釋出和修複更新檔,然後才會将漏洞細節公之于衆。
此前,雷鋒網了解到的資訊是:
project zero 團隊已經根據 poc 對 windows 預設安裝進行研究。 windows 該 rce 漏洞可能被遠端攻擊者利用。 攻擊是“蠕蟲式”,可以自我傳播。
雷鋒網發現,美國時間 5月8日,微軟和谷歌均釋出了關于這一漏洞的詳情。微軟表示,惡意程式防護引擎出現高危安全漏洞,該漏洞影響到包括mse等在内的産品,相當嚴重。終端使用者和企業管理者不需要進行額外的操作,微軟惡意程式引擎本身自動檢測和更新部署機制會在48小時内應用更新。具體更新時間,視所用軟體、網際網路連接配接和基建配置而定。
漏洞編号:cve-2017-0290
漏洞危害程度:critical,高危
漏洞概述:
當微軟惡意程式防護引擎(microsoft malware protection engine)檢測某個惡意構造的檔案後,攻擊者就利用漏洞實作遠端代碼執行。成功利用該漏洞,攻擊者就能在localsystem帳号安全上下文執行任意代碼,并控制系統。攻擊者随後就能安裝程式;檢視、更改或删除資料;或者以完整的使用者權限來建構新賬戶。
攻擊者實際上有很多種方法讓微軟的惡意程式保護引擎掃描到惡意建構的檔案,比如目标使用者浏覽某個網站的時候就能分發惡意部署檔案,或者通過郵件資訊、即時通訊消息——在實施掃描開啟的情況下,甚至是在不需要使用者開啟這些檔案的情況下,微軟惡意程式防護引擎就會對其進行掃描。
影響範圍:
很多微軟的反惡意程式産品都在使用微軟惡意程式防護引擎。鑒于其中包含windows 7/8/8.1/10/server 2016中就預設安裝的反惡意程式産品,該漏洞應該是非常嚴重。
參考連結:
微軟官方公告 https://technet.microsoft.com/en-us/library/security/4022344
谷歌 project zero細節披露 https://bugs.chromium.org/p/project-zero/issues/detail?id=1252&desc=5