漏洞打完补丁就行?| 漏洞修补后的小疏忽,大问题

2018-06-30 23:01:46 经纬信安

漏洞是万恶之源

漏洞是万恶之源,很多病毒和攻击之所以能够得手,都是因为充分利用了未及时修复的漏洞。面对众多勒索软件等恶意软件威胁,很多安全公司的宣传文案中也在不断强调打补丁的重要性。比如,360企业安全公众号在《安全技巧 | 终端补丁修复三步走》一文中说到:“如果用户能在5月12日之前就给系统打上微软3月14日发布的安全补丁就可以在勒索病毒全球大范围爆发时幸免于难。”

但安装上安全补丁就可以高枕无忧了么?


仅仅打完补丁还不够

很多人用完电脑后都有不关机的习惯,服务器由于更加繁杂,即便是管理员在打完补丁后也不重启,甚至也不知道重启的重要性。所以,此次实验旨在检验打完补丁的系统不重启是否可以成功抵御相关漏洞的攻击。

本次实验我们使用Windows7 SP1 作为攻击者。和一台部署在虚拟机上的Windows server 2008 R2作为被攻击机器。

首先看一下我们Windowsserver 2008 R2机器的基本情况:

内网安全,信息安全,内源威胁,网络安全,威胁情报



其IP 地址为 192.168.80.132

内网安全,信息安全,内源威胁,网络安全,威胁情报


我们先使用刚刚安装好的未打补丁的Windows server 2008 R2机器(IP: 192.168.80.132)作为攻击目标进行实验。

内网安全,信息安全,内源威胁,网络安全,威胁情报

首先使用Nmap进行扫描,可以看到机器的445端口打开,漏洞扫描MS17-010漏洞也存在,如下图:

内网安全,信息安全,内源威胁,网络安全,威胁情报


内网安全,信息安全,内源威胁,网络安全,威胁情报

使用开源渗透框架Metasploit进行渗透测试,设置好目标IP(192.168.80.132)后进行攻击。顺利拿下该台未打补丁的Windows server 2008 R2操作系统权限,如下图:


内网安全,信息安全,内源威胁,网络安全,威胁情报

随后下载对应的官方补丁并安装:


图片关键词

图片关键词

图片关键词

此处我们也可以看到,此时的补丁状态是挂起而不是成功。我们再次使用Metasploit进行攻击,发现打完补丁的机器依然被“拿下”:


内网安全,信息安全,内源威胁,网络安全,威胁情报

不是说打好补丁就能“幸免于难”吗?





需要根据提示重启

实验结果很明显:打完补丁的机器需要按提示重新启动,这样安全补丁才能真正生效。而仅仅安装补丁,不重新启动机器是十分危险的行为。之所以会有这样的情况,是因为系统很多DLL只有开机时会加载。而针对一些DLL的补丁,安装完成后依然运行的是之前有漏洞的DLL。所以需要重新启动机器,让系统重新加载部分DLL。这样安全补丁才能真正生效。如图11,我们重新启动机器之后发现补丁安装成功。

内网安全,信息安全,内源威胁,网络安全,威胁情报

并且当攻击机再次攻击时,就会攻击失败。

综上所述,仅安装补丁是不够的,一个小的疏忽也会埋下隐患。我们应该养成安装完补丁之后根据提示重新启动机器的好习惯。另外,部分漏洞厂商也会推出热修复补丁(无需重启),如微软针对MS17010也推出了相应热修复补丁,使用热修复补丁的机器安装后立即生效。

此外,有些补丁由于存在一些兼容性问题,在补丁重启生效后可能会导致被修复软件或系统产生异常,因此,在安装补丁时建议充分了解补丁可能造成的影响,同时做好备份工作。




后记

我们在进行实验时同时使用最新版360安全卫士进行漏洞的修复。但是令人意外的是,360安全卫士上并没有检测到存在该漏洞。对此,笔者感到十分不解,未检测到原因正在分析中。不过在360单独提供的NSA免疫工具中可以检测到该漏洞。


内网安全,信息安全,内源威胁,网络安全,威胁情报




END


1537023973852991.jpg

o关注我们o


联系我们

北京经纬信安科技有限公司 南京经纬信安科技有限公司
电话:010-64891691
地址:北京市海淀区悦秀路76号C216室
邮箱:vip@jingweixinan.com
电话:025-86801691
地址:南京市雨花台区板桥新城新林芳庭69-44号
邮箱:vip@jingweixinan.com