2017年Windows漏洞盘点报告

2017年是全球漏洞攻击异常活跃的一年：5月中旬WannaCry勒索病毒利用“永恒之蓝”漏洞洗劫全球150多个国家；12月底CPU特性漏洞曝光，几乎影响所有Windows、Linux等操作系统和相关软件；9月和11月份多个Office高危漏洞曝光，各种野外利用案例层出不穷，Office文档+钓鱼邮件逐渐成为攻击者的惯用手段……2017年漏洞攻击呈现全球传播态势，网络安全面临着严峻的漏洞威胁。

此外，鉴于目前国内80%以上的Office用户因为使用低版本的Office而存在严重的漏洞隐患，Office漏洞防护的重要性被提升到一个新高度，网络安全进入新常态。

对此，腾讯御见威胁情报中心连同腾讯安全联合实验室旗下七大实验室，在漏洞挖掘、漏洞攻防技术研究等领域始终保持领先全球的综合实力，坚持为用户提供最优的漏洞防护解决方案：

1、 及时推送漏洞安全补丁，全年为用户修复漏洞50亿+次；

3、 推出多个漏洞的专项免疫工具，为非电脑管家用户提供可靠的漏洞防护方案。

（图1：腾讯电脑管家推出的勒索病毒免疫工具）

二、 2017年Windows漏洞补丁介绍

微软固定在每月第二个星期二（国内时间为星期三凌晨）发布补丁，腾讯电脑管家测试确认补丁安全性后，会第一时间将补丁推送给国内用户。

（图2：2017年Windows安全公告数量）

2.1、 补丁类型分布

从补丁类型上来看，Office补丁占比高达50%。其主要原因有：

a) Office牵涉范围较广：包含Word、Excel、Outlook等子软件功能，并且同时存在Office 2007、2010、2013、2016等诸多版本。

b) Office相关漏洞被黑产从业者频繁使用：

360安全专家裴智勇：当系统存在已知漏洞的时候，黑客对电脑发动攻击或者是木马对路感染电脑就会变得更容易，你的电脑会更加不安全，甚至有的时候即使没有木马病毒，黑客也能利用系统直接入侵你的电脑。木马、黑客病毒往往是成对出现的，即木马病毒负责侵入用户的电脑，而黑客病毒则会通过该木马病毒来进行控制。1、木马病毒导致，大量黑客利用高端技术将木马病毒插入winlogon.exe中，做到隐蔽的效果。

11月20日，漏洞（cve-2017-11882）的攻击代码被公开，这意味着任何人都可以利用此漏洞发起攻击，例如通过钓鱼邮件或网络共享的办公文档诱骗人们点击。有句话我的印象很深刻，一个swf文件相当于一个高危漏洞，当swf遇到crossdomain.xml文档就是高危的产生。３６０安全工程师分析说，由于Ｆｌａｓｈ和ＰＤＦ文档的应用极为广泛，针对这一漏洞的“挂马”攻击所影响的用户将达到空前规模，包括Ｗｉｎｄｏｗｓ、Ｌｉｎｕｘ操作系统，ＩＥ、ＦｉｒｅＦｏｘ、Ｇｏｏｇｌｅ Ｃｈｒｏｍｅ等各主流浏览器均能触发漏洞，只是不同平台下的漏洞攻击代码稍有不同。

（图3：2017年Windows漏洞影响的产品分布）

（图4：2017年Windows漏洞类型分布）

2.2、 漏洞存在和漏洞攻击具有明显的地区分布特点

从国内存在漏洞的机器分布看，其与国内电脑的地区分布基本保持一致，东南沿海发达地区、人口大省等地区电脑拥有量较多，漏洞修复量最高，同时未修复漏洞的机器数量也比较多。微软漏洞

（图5：2017年存在Windows漏洞的电脑地区分布）

从漏洞攻击的角度来看，漏洞攻击往往会有一定的目的性，具有很强的目标群体攻击意识，其分布地区也与存在漏洞的机器分布地区有所差异。

以利用CVE-2017-11882漏洞的“商贸信”病毒为例，攻击者利用钓鱼邮件将含有漏洞攻击代码的Word文档伪装成采购清单、帐单等文件发送给外贸行业的从业人员，引诱目标用户打开文件触发恶意执行代码，因此其攻击对象主要集中在珠三角、长三角等外贸行业相对发达的地区。

（图6：“商贸信”病毒攻击地区分布图）

2.3、 漏洞修复情况

从各漏洞修复率来看，Flash软件漏洞的修复率最高，Office软件修复率垫底。各类型Windows漏洞修复失败原因分析如下：

（图7：2017年各类型Windows漏洞修复成功率）

a) Flash类更新

各大浏览器、视频、音乐等等第三方软件均会自带一个Flash插件，微软官方提供的Flash更新无法完全覆盖第三方浏览器目录下的所有Flash插件，导致部分用户电脑上的Flash插件存在漏洞，而且不能及时得到修复解决。

b) Windows（含IE、Edge等Windows内置的浏览器补丁）

本次在微软6月份发布的10款补丁软件中，更新修补31个漏洞，其中6个被评级为“危急”，也就是微软最高的危险性评级，而一个为“重要”，三个是一般等级。经过6个月的时间后，微软终于发布了更新office漏洞的补丁，该office漏洞微软在去年10月份已经获悉，却拖到现在才更新。目前互联网上已经公布了一些通过更新官方补丁的方式修复该漏洞，但截止目前官方最新发布的漏洞被发现可以被安全研究者绕过，目前部分官方已经重新发布补丁，有些还没有，在此之前建议使用加速乐进行防护，同时建议密切关注操作系统关方更新。

c) Office

11月份微软宣布停止对Office2007及以下版本的Office提供技术支持，意味着Office2007及以下版本的Office即使出现安全漏洞，微软也不再会推出安全更新进行修复。微软仅支持Office2010 SP2、Office2013 Sp1、Office2016/365等一些版本的技术支持。

三、 2017年典型Windows漏洞

（图8：2017年度Windows典型漏洞）

2017年11月14日，微软修复了编号为CVE-2017-11882的Office远程代码执行漏洞。安全公司EMBEDI也在当天公开CVE-2017-11882分析报告，讲述其发现漏洞过程，并揭露了部分漏洞利用细节。随后该漏洞的验证代码（PoC）被公开，并可通过Github等渠道下载。

微软出于安全性的考虑，在2017年11月份的补丁中对Eqnedt32模块加上了ASLR（地址随机化）漏洞缓解措施，但实际上起到的效果非常有限。

腾讯电脑管家安全专家在CVE-2017-11882研究的基础上，发现了Eqnedt32模块还存在其他漏洞（编号CVE-2018-0802），极有可能被利用，于是第一时间将这个漏洞同步给了微软。

9月下旬，我国安全团队首次监测到利用本次office 0day漏洞的真实攻击，攻击者使用针对性的钓鱼文档，诱使用户点击包含漏洞攻击程序的恶意word文档，在受害者电脑中驻留一个以文档窃密为主要功能的远程控制木马。11月20日，漏洞（cve-2017-11882）的攻击代码被公开，这意味着任何人都可以利用此漏洞发起攻击，例如通过钓鱼邮件或网络共享的办公文档诱骗人们点击。美国著名杀毒软件公司symantec最近发布3月份安全报告，指出近期美国的恶意电子邮件大部分来自于中国浙江省绍兴市，这些恶意电邮攻击的主要对象是美国国防部和外贸部的顶级高官，邮件中加密.rar附件携带病毒的可能性最大。

3.2、 永恒之蓝（MS-010）

2017年5月12日WannaCry勒索病毒全球大爆发，包括中国在内的至少150多个国家，30多万名用户中招，并且金融、能源、医疗等众多行业皆受影响，据统计其造成损失高达80亿美元。

每当年景不景气时，黑客病毒等恶意攻击事件就会接连不断的出现，“黑色星期五”病毒就是最好的证明，据说该病毒的制造者就是因为老板辞退而编写了这样一个贻害人间的病毒。传统的防病毒软件采用黑名单的方式封锁病毒及恶意软件，但即使每天更新病毒特征也赶不上每天层出不穷的恶意软件，亦无法防范由网络黑客链接至网络设备传送恶意软件或可携式的设备所带来的病毒因而造成设备安全的漏洞。造成此次网络宕机事件的罪魁祸首，是大量的物联网设备，包括联网的和数字录像机，这些设备可能因遭到黑客劫持而被利用，而控制这些设备的恶意软件名为mirai，mirai 软件能够感染各类存在漏洞的物联网设备，其中包括安保、dvr 以及互联网路由器等，通过恶意感染，这些物联网装置将成为僵尸网络中的肉鸡设备，并被用于实施 ddos 攻击。

ms17-010对应CVE-2017-0143、CVE-2017-0144、CVE-2017-0145、CVE-2017-0146、CVE-2017-0147、CVE-2017-0148等多个SMB漏洞编号。

最近肆虐的“永恒之蓝”专门攻打windows的smb漏洞，此次samba曝出远程代码执行漏洞主要威胁linux服务器，一些nas网络存储产品也受到影响，360提示相关用户尽快进行安全更新。与windows版的“永恒之蓝”相比，samba漏洞相对比较简单、更容易被攻击，而且同样威力巨大，可以远程执行任意代码。３６０方面介绍，与Ｗｉｎｄｏｗｓ版的“永恒之蓝”相比，Ｓａｍｂａ漏洞相对比较简单、更容易被攻击，而且同样威力巨大，可以远程执行任意代码。

3.3、 黑客奥斯卡神洞（CVE-2017-0199）

文件远程内存破坏漏洞。当然，脚本引擎中存在许多，但我个人并不喜欢利用内存破坏漏洞，因此我们需要其他方法来实现任意代码执行。十六、微软ie浏览器内存破坏远程代码执行漏洞。

windows lnk漏洞就是利用了系统解析的机制，攻击者恶意构造一个特殊的lnk（快捷方式)文件，精心构造一串程序代码来骗过操作系统控件（dll文件），于是将这个“系统控件”加载到内存中执行。tiff漏洞tiff图像文件格式是个漏洞百出的格式，不管在psp上，还是在ps上，甚至在iphone上都频繁出融交易平台进行过一次漏洞统计，除了常见的一些如注入、跨站、csrf 、恶意上传等web 漏洞外，部分金融平台在业务功能上存在着严重的风险，如任意用户密码重置、交易参数恶意篡改等，与常见的注入、恶意上传不同，这些业务逻辑的漏洞不会直接影响服务器的安全，但却会直接影响用户的资金、账号的安全，其风险程度有过之而无不及，若被黑客所利用或被曝光，将严重影响平台公信力。

微软已经发布了一个修复补丁“fix it”，但exodus intelligence的研究人员逆向工程了该补丁，发现漏洞没被修复，他们能找到方法绕过修复入侵打过补丁的系统。目前，微软也已经针对该漏洞发布了修复补丁，腾讯电脑管家于第一时间向用户推送了安全更新，专家提醒，用户尽快通过腾讯电脑管家或者windows update对电脑漏洞进行修复。前不久，谷歌公布了两个微软windows系统“零日”漏洞，涉及win7/win8.1/win10，这两个漏洞本来应该在二月补丁日修复。

单纯地过滤COM对象的GUID很容易，但是可以寻找另外的COM对象来绕过补丁，这导致了另外一个漏洞：CVE-2017-8570的诞生，安全研究人员另外找到了一个GUID为{06290BD2-48AA-11D2-8432-006008C3FBFC}的COM对象，它和CVE-2017-0199其中的一个GUID({06290BD3-48AA-11D2-8432-006008C3FBFC})非常类似,可以看到两者只相差一位。这个新的GUID绕过了微软针对CVE-2017-0199的补丁，微软不得不继续添加过滤列表，在8月份继续发布补丁封堵了这个新的GUID。在可以想象的将来，预计这个过滤列表会继续增加下去。

3.4、 EPS 漏洞 （CVE-2017-0261、CVE-2017-0262）

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/jisuanjixue/article-96055-1.html