2016年6月15日,微软发布了6月安全更新,其中有一个高危漏洞被修复,此漏洞能够影响从Windows 95到Windows10所有版本的操作系统,可能为Windows漏洞史上影响范围最广的漏洞。
据信此漏洞由腾讯玄武实验室发现,并被命名为BadTunnel。
此漏洞编号为CVE-2016-3213,CVSS评分为高级,微软给出的等级为重要。
相关CVE的披露地址如下:
- http://cve.scap.org.cn/CVE-2016-3213.html
- http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3213
- http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-3213
BadTunnel源于WPAD(Web Proxy Auto Discovery,网络代理自动发现)协议由于存在一个不正确的回退机制导致产生的漏洞,当 Web 代理自动发现 (WPAD) 协议回退到目标系统上易受攻击的代理发现进程时,漏洞可能允许特权提升。
该漏洞发现者表示此漏洞为原始设计问题,当用户打开一个URL、任意一种 Office文件、PDF文件、某些其他格式的文件,或者插上一个U盘,甚至不需要用户打开U盘里的任何东西,攻击者都可以完成利用,其成功率极高。
该漏洞的利用需要伪造NetBIOS通讯协议。攻击者可以猜测出网络设备的正确标识符,从而在网络中建立一个可信的交互活动,这意味着攻击者可以将目标用户的通信全部重定向自己电脑,进行网络监控。
绿盟科技威胁预警级别
漏洞触发需要被攻击者主动访问一个目标点才可利用,而不能主动远程利用,因此威胁预警级别定义如下:
中级:影响范围可控,危害程度可控,利用难度较高,7*8小时内部应急跟踪,72小时内完成技术分析、产品升级和防护方案。
影响的版本
- 目前所有的Windows版本。
不受影响的版本
- 无。
修复方法
- 微软已经向用户推送了安全更新,不过需要注意的是,用户需要结合MS16-063和MS16-077才能完全修复漏洞。
微软安全更新地址:
MS16-063:
https://technet.microsoft.com/zh-cn/library/ms16-063.aspx
MS16-077:
https://technet.microsoft.com/zh-cn/library/ms16-077.aspx
- 禁用 WINS/NetBT 名称解析。
1) 打开网络连接。
2) 单击要静态配置的“本地连接”,然后从“文件”菜单中,单击“属性”。
3) 在组件列表中,单击“Internet 协议 (TCP/IP)”,然后单击“属性”。
4) 单击“高级”,单击“WINS”选项卡,然后单击“禁用 TCP/IP 上的 NetBIOS”。如果您正在使用 DHCP 服务器(它可以在所有 DHCP 选项类型中有选择地启用和禁用 NetBIOS 配置),您也可以在 DHCP 服务器上选择“使用 NetBIOS”设置。
- 设置防火墙,阻止外部访问主机的137端口。
绿盟科技安全团队会持续关注事态变化,后续会发布详细的分析报告、产品升级及解决方案,请广大用户随时关注。
绿盟科技威胁事件定级标准
]1 绿盟科技威胁事件定级标准
声 明
本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。
关于绿盟科技
北京神州绿盟信息安全科技股份有限公司(简称绿盟科技)成立于2000年4月,总部位于北京。在国内外设有30多个分支机构,为政府、运营商、金融、能源、互联网以及教育、医疗等行业用户,提供具有核心竞争力的安全产品及解决方案,帮助客户实现业务的安全顺畅运行。
基于多年的安全攻防研究,绿盟科技在网络及终端安全、互联网基础安全、合规及安全管理等领域,为客户提供入侵检测/防护、抗拒绝服务攻击、远程安全评估以及Web安全防护等产品以及专业安全服务。
北京神州绿盟信息安全科技股份有限公司于2014年1月29日起在深圳证券交易所创业板上市交易,股票简称:绿盟科技,股票代码:300369。
如果您需要了解更多内容,可以
加入QQ群:486207500、570982169
直接询问:010-68438880-8669