2012年9月,微软IE被发现存在一个可以传播 “毒常青藤”后门木马程序的安全漏洞,此漏洞会导致IE用户在不知情的正常使用时访问到一个恶意网站。对此德国政府和安全专家建议人们在该漏洞得到修复之前暂时停止使用IE。同年年末,微软发布了一款名为“Fix It”的修复补丁将该漏洞永久修复。今天,来自商业网络情报Isight公司的Jon Erickson,在会上与嘉宾分享了这个从未公开的Fix It补丁工作原理及攻击利用的具体细节。
Fix It是应用兼容补丁的一部分,微软一些网站群都在使用这样的技术,这样的补丁可解决兼容问题、通用的方法等等问题。另外它还可以在一些老的软件的发行,比如Windows2000到2007的过程中进行修补与重新定向等其他工作。
与其他只报告出函数的补丁不同,Fix It会在运行5秒钟之后告诉你工具的变化以及形式的不同之处,我们能通过它确定微软到底是不是修补了补丁。
在运行其他补丁时,如果出现跳转,再看它有一些什么样的东西,在一个具体情况下,一个跳转调用一个函数,这是可参考的帐户,再跳回到现有的代码上,微软做这些,它不是免费的,当然不用可以删掉,不用进行转储。他们也意识到内存的泄露,在被利用之后,再利用下一个周期进行修理。
我们如何能够通过补丁保持它的持久性呢?
Jon Erickson表示不推荐进入引擎,“如果做的话要通过这个路径来完成。同时,你也要知道,你可以搜索你的注册表和文件的系统,我认为对于微软来说增加签名到SDB的文件是必要的,你在运行这个SDB文件的时候,应该获得微软,或者你信任的那一方说你运行SDB的文件是合法的,这样的特性是不会让你容易受到攻击,你必须拥有管理员的权限,这样你才能注册安装SDB的文件到系统当中。”
我们认为补丁能够提供非常独特的机会,能确定这个漏洞的一个根本的原因。这样的话,微软就可以修复最根本的导致漏洞的原因,然后避免漏洞的攻击。