En primer lugar, la descripción de la vulnerabilidad:
1. vulnerabilidades:
<1> vulnerabilidades: es un factor importante que afecta la seguridad de la red;
<2> exploit: convertirse en el medio más común de ataques maliciosos;
<3> brechas de seguridad: la industrialización, bajo costo, menor diversificación medios tendencia umbral ;.
<4> era de la información: si las personas / empresas, se enfrentan a graves vulnerabilidades;
<5> .Windows, Oficina, IE, Borde, Flash y otras vulnerabilidades de alto riesgo de exposición frecuente.
2.Windows vulnerabilidades:
<1> .MS08-067 vulnerabilidades RCE;
<2> .MS12-020 DoS / azul vulnerabilidades / RCE;
<3> .MS15-034 HTTP sys RCE vulnerabilidades;
<4> .MS16-114 SMB RCE;
<5> 2017: Virus de la extorsión WannaCry, la vulnerabilidad MS17-010 Eterna Eterna Azul Azul, fusión / Specter características de CPU vulnerabilidades, hackers Oscar Dios ve, la vulnerabilidad del Editor de ecuaciones, CVE-2017-7269 vulnerabilidades IIS RCE;
. <6> 2018: Santo, el fusible de la CPU, Stuxnet 3412 caballo colgado tormenta;
<7> 2019: CVE-2019-0708 vulnerabilidades de escritorio RCE remoto;
En segundo lugar, gráficos de tendencias que muestran laguna
1. En los últimos años, las vulnerabilidades de Windows muestra una creciente tendencia año tras año el número de presentaciones. 2018, 2019, estallido del año en la industria de la seguridad de la red es muy probados.
2.Microsoft estadísticas de clasificación de vulnerabilidades de los productos:
3.Windows vulnerabilidad y explotación: la distribución de virus explota vulnerabilidades y distribución: Non-PE (phishing de correo electrónico de Office virus de macro, la clase de escritura), más difíciles de detectar, que representan el 66%:
Tres, Windows lo largo de los años conocida vulnerabilidades de alto riesgo
Ventanas cada vez que se dio a conocer públicamente, el estallido de vulnerabilidades de alto riesgo, provocando un alboroto en la comunidad en su conjunto, que afecta a todos los sectores, ya que los diversos servicios de producción de Windows y del sistema de Windows.
1.MS08-067 (CVE-2008-4250):
<1> Información sobre la vulnerabilidad:
MS08-067 (CVE-2008-4250), un hito en una vulnerabilidad de Windows SMB, de largo alcance, es uno de los más clásicos de la vulnerabilidad. Los hackers utilizan el programa en 2017, Shadow Brokers filtró dentro, hay vulnerabilidad MS08-067, MS08-067 (CVE-2008-4250) es típica
Ventanas amortiguar la vulnerabilidad de desbordamiento. En ese momento, Windows protección de pila de memoria (tecnología ASLR) no han madurado.
la vulnerabilidad de servicio de servidor es llamar a la función NetPathCanonicalize programa a través de MS RPC sobre SMB canal (PIPE) causada por gatillo. NetPathCanonicalize función de la hora de acceder de forma remota otros anfitriones, llamará a la función NetpwPathCanonicalize, camino de acceso remoto para regular
De, y en presencia de errores lógicos función NetpwPathCanonicalize, resultando en un desbordamiento de pila puede ser, la RCE final (comando remoto / código ejecutar).
Lo que resulta en una gran zona de influencia, se puede obtener privilegios de SYSTEM, control completo de Ventanas, gusano de la producción, del virus de la extorsión, el control remoto de troyanos y otros ataques maliciosos.
<2> Efecto de componentes: netapi32.dll svchost.exe.
<3> El anuncio oficial:
https://docs.microsoft.com/en-us/security-updates/SecurityBulletins/2008/ms08-067
https://query.prod.cms.rt.microsoft.com/cms/api/am/binary/RE2GDlB
<4> Comprobar Patch:
wmic qfe GET hotfixid | findstr / C: "KB958644"
2.MS17-010 (KB4012212):
<1> Información sobre la vulnerabilidad:
De Windows SMB pluralidad de vulnerabilidad de ejecución remota de código (RCE) cuando las ciertas peticiones de proceso del servidor de Microsoft Server Message Block 1,0 (SMBv1, el protocolo de intercambio de archivos vulnerabilidad), la presencia de una pluralidad de vulnerabilidad de ejecución remota de código. Un atacante que aprovechara esta vulnerabilidad se puede obtener en el sistema objetivo para llevar a cabo en nombre de la
Capacidad del código. Para aprovechar esta vulnerabilidad, en la mayoría de los casos, el atacante podría enviar paquetes de datos SMBv1 especialmente diseñados sin autenticar al servidor de destino.
Los últimos dos años, "el eterno azul" vacío legal se ha convertido en uno de los más alto grado de vulnerabilidad de la seguridad de la explotación! El uso malicioso de la laguna "Blue Eterna", la difusión activa de tipo gusano de extorsión virus "Eterna Azul" (WannaCry) abrió la extorsión la nueva era del virus.
Nota: el virus de la extorsión WannaCry, explotadas por usuarios maliciosos La liberación de la sombra Agentes de la vulnerabilidad a la enfermedad azul eterno chantaje
Veneno, la propagación de gusanos, en todo el mundo más de 230.000 huéspedes infectados. Actualmente existen variantes del virus. ,
<2> gama Efecto:
Windows XP, 2003, Windows 7, Windows Server 2008 R2, Windows8.1, Windows Server2012, Windows 10, Windows Server 2016
<3> Rendimiento: infección por virus de la extorsión, daños en los archivos.
<4> el anuncio oficial:
https://docs.microsoft.com/en-us/security-updates/SecurityBulletins/2017/ms17-010
<5> Comprobar Patch:
wmic qfe GET hotfixid | findstr / C: "KB4012212"
3.CVE-2018 a 8174 / CVE-2018-8893: IE 0 día doble juego, vulnerabilidades de alto riesgo:
<1> Información sobre la vulnerabilidad:
IE usuario hace clic en el movimiento para abrir el documento cebo, Palabra procesa el primer acceso remoto; documentos de Word a través de OLE Autolink de CVE-2017-0199 explota la página web malicioso incrustado manera, todas las hazañas y código malicioso que las cargas son cargados por el servidor remoto 0 días VBScript (CVE
2018-8174) la página web, la vulnerabilidad se activa después de la ejecución Shellcode, y luego iniciar múltiples peticiones para obtener el descifrado de datos de carga útil se ejecuta desde un servidor remoto; palabra de carga útil durante la ejecución del proceso dará a conocer tres DLL de puerta trasera a nivel local, a través del sistema de PowerShell y el comando rundll32 se ejecuta para instalar una puerta trasera
La ejecución del programa utilizando la puerta trasera abierta a la tecnología de bypass UAC, y tomar ventaja de la forma en que los archivos de esteganografía carga de reflexión y memoria para evitar la vigilancia del tráfico y archivos sin necesidad de tierra cargada.
Con esta vulnerabilidad 0 días para el navegador IE núcleo y la Oficina llevó a cabo ataques APT (por ejemplo APT-C-06 organización, para el gobierno chino, la investigación científica, el comercio exterior, siempre latente, de monitoreo); la última versión del navegador Internet Explorer y utilizar el kernel de IE aplicaciones. Los usuarios navegar por la web o de oficina abierta documentos son
Pueden ser capturados hackers finalmente implantarse puerta trasera control total de Troya de la computadora.
El uso de múltiples UAF (Uso Después de la vulnerabilidad libre peso de referencia de liberación) para completar el tipo de confusión, para completar cualquier dirección de escritura de forjar objeto de matriz, para obtener la configuración final del código objeto se realiza por la liberación. Código se ejecuta no utiliza el ROP convencional (Retorno orientedProgramming (devuelto para
Programación)) o godmode (sistema de TE6 escondido en una ventana simple carpeta contiene casi todos los ajustes del sistema), sino para estabilizar la secuencia de comandos utilizando el diseño Shellcode.
<2> La descripción oficial:
<3> Comprobar Patch:
wmic qfe GET hotfixid | findstr / C: "KB4134651"
<4> debido a la generación del parche no resuelve completamente el problema, derivado de nuevas vulnerabilidades:
CVE-2018-8242, IE doble play, vulnerabilidades segunda generación 0 día;
CVE-2018-8373, IE doble play, tres generaciones 0 día vulnerabilidades;
4.CVE-2.019-0708:
<1> Información sobre la vulnerabilidad:
14 de mayo de 2019, de Windows Servicios de Escritorio remoto (Servicios de Escritorio remoto, TCP / UDP 3389 RDP) hay una grave falla de seguridad (enorme poder destructivo), el uso de la autenticación previa, sin la autorización del usuario, la ejecución de código arbitrario (RCE), instalar una puerta trasera ver, la manipulación de la cantidad de privacidad
Es, con los derechos de usuario para crear nuevas cuentas y otros ataques, el control total del equipo de destino. La vulnerabilidad puede ser utilizado para hacer WannaCry como gusanos comparables a 2017 recorrió el mundo, la propagación de la destrucción a gran escala;
<2> afecta a la versión del sistema:
Windows XP (KB4500331), Windows 2003 (KB4500331), Vista (KB4499180), 2008/2008 R2 (KB4499180), Windows 7 (KB4499175).
<3> Información Oficial:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708
<4> herramienta de prueba gratuita:
https://free.360totalsecurity.com/CVE-2019-0708/detector_release.zip
<5> detección de la vulnerabilidad:
wmic qfe GET hotfixid | findstr / C: "KB4499175"
NOTA: Girar interfaz de línea de comandos Windwos, escriba "regedit" para abrir el registro -> para ver y modificar el número de puerto en las dos formas siguientes:
Nota: El texto de todos los parches de comando para detectar la presencia o ausencia de: wmic qfe GET hotfixid | findstr / C: "X", si hay una instrucción de parche se recuperará "X", de lo contrario, no se muestra.