众所周知,谷歌内部有一个超级黑客团队——“Project Zero”,据 securityaffairs 5月8日报道,谷歌 Project Zero 的研究员在微软 Windows OS 中发现了一个远程代码执行漏洞(RCE),但是这并非简单的 RCE,他们把它定性为“近期最糟糕的 Windows RCE”。
上周末,Project Zero 的研究员 Tavis Ormandy 和 Natalie Silvanovich 在社交网站上公布了这一发现,不过,他们却没有透露太多的细节。
【Tavis Ormandy的社交网站截图】
“我认为,我和@natashenka 刚发现了 Windows 的远程执行代码漏洞,这个漏洞太可怕了,报告在路上。”
“攻击者们不需要处于同一个局域网中就可以静默安装,这简直是一个虫洞。”
不过,当时他们并没有公布该漏洞的细节。雷锋网了解到,Project Zero 是谷歌的互联网安全项目,该团队主要由谷歌内部顶尖安全工程师组成,致力于发现、跟踪和修补全球性的软件安全漏洞,按照谷歌的规定,他们在公布漏洞前, 首先通报软件厂商并给他们90天的时间发布和修复补丁,然后才会将漏洞细节公之于众。
此前,雷锋网(公众号:雷锋网)了解到的信息是:
Project Zero 团队已经根据 POC 对 Windows 默认安装进行研究。
Windows 该 RCE 漏洞可能被远程攻击者利用。
攻击是“蠕虫式”,可以自我传播。
雷锋网发现,美国时间 5月8日,微软和谷歌均发布了关于这一漏洞的详情。微软表示,恶意程序防护引擎出现高危安全漏洞,该漏洞影响到包括MSE等在内的产品,相当严重。终端用户和企业管理员不需要进行额外的操作,微软恶意程序引擎本身自动检测和更新部署机制会在48小时内应用更新。具体更新时间,视所用软件、互联网连接和基建配置而定。
漏洞编号:CVE-2017-0290
漏洞危害程度:Critical,高危
漏洞概述:
当微软恶意程序防护引擎(Microsoft Malware Protection Engine)检测某个恶意构造的文件后,攻击者就利用漏洞实现远程代码执行。成功利用该漏洞,攻击者就能在LocalSystem帐号安全上下文执行任意代码,并控制系统。攻击者随后就能安装程序;查看、更改或删除数据;或者以完整的用户权限来构建新账户。
攻击者实际上有很多种方法让微软的恶意程序保护引擎扫描到恶意构建的文件,比如目标用户浏览某个网站的时候就能分发恶意部署文件,或者通过邮件信息、即时通讯消息——在实施扫描开启的情况下,甚至是在不需要用户开启这些文件的情况下,微软恶意程序防护引擎就会对其进行扫描。
影响范围:
很多微软的反恶意程序产品都在使用微软恶意程序防护引擎。鉴于其中包含Windows 7/8/8.1/10/Server 2016中就默认安装的反恶意程序产品,该漏洞应该是非常严重。
参考链接:
微软官方公告 https://technet.microsoft.com/en-us/library/security/4022344
谷歌 Project Zero细节披露 https://bugs.chromium.org/p/project-zero/issues/detail?id=1252&desc=5