2013年是0-day的高發(fā)期，也是安全工程師和黑客之間的博弈最為激烈的一年，微軟在這一年推出了很多新的安全機(jī)制，黑客們也在嘗試很多新穎的攻擊思路，下面就來(lái)看在2013年對(duì)弈雙方如何妙招迭出。

[[109342]]

正文：

在過(guò)去的一年里，Micrsoft修復(fù)了大量的漏洞，其中包括操作系統(tǒng)上的漏洞，和一些捆綁軟件上的漏洞，比如Office ，IE。在補(bǔ)丁發(fā)出之前，這些漏洞被稱作0-day 漏洞，他們可以協(xié)助攻擊者入侵他們的目標(biāo)。而在這些漏洞中IE瀏覽器的漏洞，是最被關(guān)注的一種。

我們可以說(shuō)，2013年是0-day漏洞的高發(fā)期，海量的漏洞被用于APT攻擊。在下面這個(gè)表中你可以看到在2013年微軟修復(fù)的漏洞。

標(biāo)紅的漏洞，是被用于真實(shí)入侵的漏洞。

下面是這些漏洞的詳細(xì)信息。

我們可以看到，攻擊者為了繞過(guò)ASLR，在一些沒(méi)有經(jīng)過(guò)ASLR保護(hù)的文件中搜尋可以被ROP利用的代碼片段(我對(duì)溢出不算是很在行 ：-()，其中一個(gè)例子是，Microsoft Office 2007-2010 庫(kù)中的沒(méi)有被ASLR保護(hù)的 hxds.dll，這個(gè)編號(hào)為MS13-106的繞過(guò)漏洞 (called Security Feature Bypass)，在十二月周二的補(bǔ)丁中被修復(fù)。

下面的內(nèi)容是2013年的安全通告(security advisories SA)

下面的柱狀圖，展示了windows組件的補(bǔ)丁數(shù)量。目前windows支持的版本范圍桌面系統(tǒng)從windows xp sp3 到 windows 8.1，服務(wù)器系統(tǒng)從Windows Server 2003 到 2012 R2.

下圖是加上了Office (2003 – 2013 for Windows)的情況。

下圖是這些漏洞的利用方式以及所造成的影響。

Drive-by download 路過(guò)試下載：就是偷偷在你的電腦里面裝東西。

Local Privilege Escalation (LPE, Elevation of Privilege) 本地權(quán)限提升：這是一種獲得本地最高權(quán)限的方法。通常他會(huì)利用內(nèi)核態(tài)代碼逃過(guò)用戶態(tài)的一些限制。

Remote Code Execution (RCE)：攻擊者可以通過(guò)頁(yè)面，E-mail，即時(shí)消息等方式，遠(yuǎn)程激活代碼。

從上面的圖中我們看到，IE瀏覽器，.Net 框架，Silverlight 插件，等這些產(chǎn)品都出現(xiàn)過(guò)遠(yuǎn)程代碼執(zhí)行漏洞。這些漏洞大多都是通過(guò)IE瀏覽器觸發(fā)的。攻擊者會(huì)用一個(gè)精心構(gòu)造的頁(yè)面來(lái)觸發(fā)上述軟件中的漏洞。用戶可以通過(guò)，IE瀏覽器中的一些選項(xiàng)來(lái)防止自己被攻擊。 Enhanced Protection Mode (EPM) 或者 sandbox mode都可以達(dá)到這種效果。

IE 11 在 Win8 64 位下的截圖

默認(rèn)情況下，windows 8 以及以后版本，IE標(biāo)簽欄使用32位的進(jìn)程來(lái)運(yùn)行，因?yàn)?2位進(jìn)程的內(nèi)存地址比64位小很多，這使他們更容易被堆噴射攻擊。堆噴射也經(jīng)常被用于繞過(guò)ASLR，Office 的漏洞經(jīng)常被用作于釣魚(yú)攻擊的輔助手段，通過(guò)一封誘惑性的郵件，讓你下載并點(diǎn)擊其中的一個(gè)DOC文檔，一旦你打開(kāi)DOC文檔，惡意代碼就會(huì)成功運(yùn)行。

現(xiàn)在最新版的 Microsoft Word 2013 和 OutLook 2013 已經(jīng)包含了特殊的安全選項(xiàng)。這些安全選項(xiàng)會(huì)禁止一些不安全的機(jī)制。舉個(gè)例子說(shuō)，Outlook會(huì)使用低權(quán)限來(lái)運(yùn)行Word進(jìn)程，這種做法可以有效地防止shellcode執(zhí)行功能。

一些運(yùn)行在內(nèi)核態(tài)的組件也可以幫助入侵者提升權(quán)限或者繞過(guò)用戶態(tài)的一些限制，比如圖形界面子系統(tǒng)驅(qū)動(dòng)(Windows GUI-subsystem driver)，win32k.sys ，一些系統(tǒng)驅(qū)動(dòng) 和 ntoskrnl (OS內(nèi)核)。其中win32k.sys 這個(gè)驅(qū)動(dòng)程序是問(wèn)題最多的，下圖是2013年和2012年的漏洞情況。灰色的條條是2012年的數(shù)據(jù)。

我們看到2013年的漏洞數(shù)呈壓倒性優(yōu)勢(shì)，其中圖形界面子系統(tǒng)驅(qū)動(dòng)(Windows GUI-subsystem driver)，win32k.sys 和IE瀏覽器做了很大的貢獻(xiàn)。

下圖是0-day漏洞被使用的時(shí)間，和使用的組織。可以說(shuō)，2013年是APT和水坑攻擊泛濫的一年。水坑攻擊越來(lái)越被入侵者青睞，他攻擊你常去的網(wǎng)站，間接地讓你中招。在2014年，水坑攻擊也將會(huì)是最熱門(mén)的攻擊手法之一。

對(duì)于2013年的漏洞頻發(fā)，微軟也作出了相應(yīng)的對(duì)策。主要的改動(dòng)集中在它的內(nèi)存分配機(jī)制，去除了SharedUserDat 中ntdll函數(shù)的很多指針(防ASRL繞過(guò))，禁止向不信任的程序提供內(nèi)核對(duì)象指針信息(防KASLR繞過(guò))。

另一個(gè)比較有趣的在windows 8 上的改進(jìn)是，所有微軟編輯的文件都包含一個(gè)加強(qiáng)版的ASLR選項(xiàng)(High Entropy ASLR, HEASLR)。所有windows 8 及其以上版本，都支持了High Entropy ASLR, HEASLR選項(xiàng)，在一定程度上防止了漏洞被利用(/HIGHENTROPYVA linker flag).

你也可以使用 ProcExp tool這款工具檢查，High Entropy ASLR, HEASLR，是否被使用。

原文地址：http://www.welivesecurity.com/2014/02/11/windows-exploitation-in-2013/