震网病毒利用了多少漏洞攻击计算机?

星级:
震网病毒利用了微软操作系统中至少5个漏洞和2个西门子公司的SIMATIC Wincc系统漏洞,另外还有2个有效的数字证书。

震网病毒利用了微软操作系统中至少5个漏洞和2个西门子公司的SIMATIC Wincc系统漏洞,另外还有2个有效的数字证书。

震网病毒利用的微软Windows操作系统的漏洞有:

RPC远程执行漏洞(MS08—067)

快捷方式文件解析漏洞(MSIO一046)

打印机后台程序服务漏洞(MSl0—061)

内核模式驱动程序权限提升漏洞(MSl0—073)

任务计划程序权限提升漏洞(MSIO一092)

在这几个漏洞中,除了第1个是早已被发现的漏洞外,后4个漏洞都是在震网病毒中首次被使用,是真正的零日漏洞。

所谓“零日漏洞”,指的是软件开发者(比如:微软)和反病毒公司尚未发现的漏洞。也就是说,这种漏洞只有病毒开发者一人知道。没人知道它的存在,意味着没人会去防备它,所以是黑客世界中最牛的东西,也是一个稀罕玩意。每年有超过1200万种恶意代码出现,但“零日漏洞”大概只有10来个。震网病毒一次性利用了4个漏洞,不可谓不强大,所以背景也绝对不简单。

所利用的2个WinCC漏洞包括:

1)系统保存了访问数据库的默认账户名和密码,“震网”病毒利用这一漏洞尝试访问系统的SQL数据库。

2)在打开Step7工程文件时,存在DLL加载策略上的缺陷,从而导致一种类似于DLL预加载攻击的漏洞利用方式。

震网病毒在运行后,释放两个驱动文件(即,数字证书):

%System32%\drivers\mrxcls.sys

%System32%\drivers\mrxnet.sys

这两个驱动文件伪装RealTek的数字签名以躲避杀毒软件的查杀。目前,这一签名的数字证书已经被颁发机构吊销,无法再通过在线验证,但目前反病毒产品大多使用静态方法判定可执行文件是否带有数字签名,因此有可能被欺骗。

针对这些漏洞,微软和西门子先后提供了相应的补丁修复:

微软提供的补丁文件下载地址如下:

--RPC远程执行漏洞(MS08-067)

http://www.microsoft.com/technet/security/bulletin/MS08-067.mspx

--快捷方式文件解析漏洞(MS10-046)

http://www.microsoft.com/technet/security/bulletin/MS10-046.mspx

--打印机后台程序服务漏洞(MS10-061)

http://www.microsoft.com/technet/security/bulletin/MS10-061.mspx

西门子公司给出的WinCC系统安全更新补丁的下载地址:

http://support.automation.siemens.com/

WW/llisapi.dll/csfetch/43876783/

SIMATIC_Security_Update_V1_0_0_11.exe?func=cslib.csFetch&nodeid=44473682