福建省海峡信息技术有限公司安全服务部
安全通告 [2015年第06号]
尊敬的海峡用户:
MS14-058本地提权漏洞是去年公布的严重漏洞,而近日在知名的漏洞发布平台expoit-db.com网站上却发布了该漏洞的新利用代码,针对Win8.0-Win8.1的64位版本。截止目前,该漏洞已经可以在Win2003以上版本的所有Windows系统中实现权限提升,相关攻击程序已在互联网上广泛流传。这意味着
黑客从Webshell或Guest账户提升到System最高权限的成功率可能达到100%,其影响值得特别重视。
【漏洞危害】攻击者可以通过在受影响的系统上运行特制的提权程序来利用此漏洞。这可以通过获得有效的登录凭据并登录到系统然后执行提权程序,或者诱使已登录、经过身份验证的用户代表攻击者执行特制的程序来实现,还可以结合Web应用程序的漏洞,通过Webshell脚本调用提权程序得到最高控制权。
成功利用此漏洞的攻击者能够以SYSTEM 权限(最高权限)完全控制受影响的系统。攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。
【受威胁对象】以下系统的32位版本和64位版本都受影响
Windows Server 2003 Service Pack 2
Windows Vista Service Pack 2
Windows Server 2008 Service Pack 2
Windows Server 2008 R2 Service Pack 1
Windows 7 Service Pack 1
Windows 8
Windows 8.1
Windows Server 2012
Windows Server 2012 R2
Windows RT
Windows RT 8.1
注:windows Server 2008之后的版本不再有32位版,只有64位版。
【漏洞成因】当 Windows 内核模式驱动程序 (win32k.sys) 不正确地处理内存中的对象时,会导致该漏洞。
什么是 Windows 内核模式驱动程序 (win32k.sys)?
Win32k.sys 是一个内核模式设备驱动程序,是Windows 子系统的内核部分。它包含窗口管理器,后者控制窗口显示;管理屏幕输出;收集键盘、鼠标和其他设备的输入;以及将用户消息传递给应用程序。它还包含图形设备接口 (GDI),后者是图形输出设备的功能库。最后,它用作另一驱动程序 (dxgkrnl.sys) 中实施的 DirectX 支持的包装程序。
【修复方案】启用了Windows自动更新功能的用户,一般不必采取任何操作,因为此安全更新将自动下载并安装。
对于管理员、企业安装或者想要手动安装此安全更新的用户(包括未启用自动更新的客户),海峡信息建议客户使用补丁更新管理软件立即应用此更新,或者利用 Microsoft Update 服务检查更新。也可以通过微软官方网站https://technet.microsoft.com/zh-cn/library/security/ms14-058 提供的下载链接获取补丁。
【参考资料】https://technet.microsoft.com/zh-cn/library/security/MS14-058