Server 2003停服后曝首个高危漏洞 360天擎独家自动修复

发布日期:2015年07月23日

日前微软紧急发布编号为MS15-078的安全补丁,用于修复由HackingTeam“军火库”泄漏的字体驱动高危0day漏洞,该漏洞可以被黑客利用远程攻击所有Windows版本用户。这是Windows Server 2003停止安全更新后曝出的首个高危漏洞。

据第三方统计数据, Server 2003仍占据国内Windows服务器操作系统的半壁江山。由于漏洞攻击代码已公开,大量企业服务器因此直接暴露在黑客攻击的枪口下。

为了保护广大企业客户的系统安全,360天擎独家推出字体0day漏洞自动修复功能,使用360天擎的企业客户,在升级最新的漏洞库后,内网客户端可自动修复该漏洞,支持包括XP和Server 2003在内的全系列Windows系统。

360还专门为Server 2003和XP用户推出了修复工具,用户可以访问360官网下载该工具修复此漏洞(下载地址:http://dlleak6.360safe.com/leak/ty/FixMS15078_KB370313.exe)。

图:360天擎后台提示此补丁

图:360天擎后台提示此补丁

微软此次修复的字体驱动0day漏洞被定为“严重”级别,是微软安全公告定义的级别最高的威胁。利用此漏洞,黑客可以把恶意代码藏在文档或网页中,触发漏洞后完全控制中招电脑,任意安装程序,还能查看、修改或删除数据,或者创建拥有全部权限的新帐号。

该漏洞影响所有版本的Windows操作系统。由于事关重大,微软破例提前发布了安全更新,修复存在于从Windows Vista、Windows 7、Windows 8/8.1、Windows 10到服务器版的Windows Server 2008-2012的漏洞。

早在上周,360Vulcan Team已第一时间对此漏洞进行深入分析,并将漏洞的技术细节共享给安全社区。当微软推出补丁后,360安全卫士也同步向用户推送补丁。360安全卫士“XP盾甲”已全面免疫各种字体漏洞,无需升级就可以防御此0day漏洞攻击。

有关字体漏洞:

字体引擎是Windows系统中高度复杂、代码安全性却相对薄弱的组件。出于字体引擎性能的考虑,微软不得不将其一直放在内核模式。一旦字体驱动出现安全漏洞,漏洞攻击代码就可以在用户浏览网页或文档中的远程字体文件时,直接在Windows内核中执行,从而突破沙箱、HIPS、驱动防火墙、UAC等几乎所有安全防护机制。

用户态和内核态是Windows系统的安全防御门槛,被称为希腊神话中的“叹息之壁”。字体漏洞攻击可以轻易绕过“叹息之壁”,是最具杀伤力的黑客武器之一。在著名的“震网二代”Duqu病毒攻击中,攻击者就是利用Windows内核字体引擎漏洞,把命名为“嗜血法医”(Dexter)的字体文件嵌入到Word文档中,只要打开文档触发字体加载,恶意代码直接进入内核运行。此后该漏洞又被多个挂马工具包改造为恶意网页通过浏览器进行攻击。

此次由HackingTeam数据泄漏而曝光的字体驱动0day漏洞,是Adobe字体驱动(atmfd.dll)的内核池溢出漏洞,攻击代码已经公开,可以通杀所有版本Windows系统。北京时间7月21日,微软打破月度安全更新惯例,在本月补丁日过后一周又紧急推送了此漏洞补丁。

今年以来,由WiFi引发的企业网络安全事件频发,3月由于某公司内部存在开放的WiFi网络,导致超级计算机天河一号被入侵,大量敏感信息疑遭泄漏;5月有用户在T1航站楼使用登机牌登录WiFi网络时,发现由于机场WiFi提供商的服务器安全设施不足和代码漏洞,可导致服务器中的用户隐私数据被泄漏及登机人信息被窃取。

对于已经停止安全更新的Windows Server 2003和XP系统,可以禁用atmfd.dll(修改文件名)彻底屏蔽此类漏洞,副作用是无法渲染Adobe OTF字体文件。为了帮助企业用户快速修复漏洞,360天擎独家推出字体0day漏洞自动修复功能,使用360天擎的企业客户在升级最新的漏洞库后,内网客户端可自动修复该漏洞,支持包括XP和Server 2003在内的全系列Windows系统。对个人版XP用户来说,360安全卫士“XP盾甲”已全面免疫各类型的字体漏洞,无需升级就可以防御此0day漏洞攻击。