微软于北京时间3月14日清晨发布6个安全补丁,共修复Microsoft Windows, Visual Studio 和Expression Design 中的7个安全漏洞。其中微软的MS12-020安全公告“远程桌面中的漏洞可能允许远程执行代码(2671387)”危害性最为严重。
微软表示MS12-020包含2个CVE漏洞,CVE-2012-0002和CVE-2012-0152。Luigi Auriemma 与TippingPoint's Zero Day Initiative 合作报告了远程桌面协议漏洞(CVE-2012-0002)。这个漏洞允许通过RDP服务远程执行代码,属于高危漏洞。攻击者可能使用特别构造的一系列数据包获得对系统的完全访问。“随后攻击者能够安装程序,查看、修改、或是删除数据,或是创建拥有完全用户权限的新账号”。编号为CVE-2012-0152的漏洞是一个RDP拒绝服务漏洞。利用该漏洞可以是RDP服务停止响应。
CVE-2012-0002对用户威胁最为严重,自3月14日微软发布安全公告和补丁后,网络中已经盛传有可以利用CVE-2012-0002漏洞发起攻击的POC代码程序。据传闻,国外某黑客组织已经公开把赏金提升到上千美金,来收购能可靠利用CVE-2012-0002的POC程序或攻击视频。由此可看,CVE-2012-0002这个漏洞正在威胁这整个互联网。虽然RDP服务不是默认开放,但还是有一大部分人在互联网中开放着3389端口。先不说CVE-2012-0002这个漏洞在地下黑客圈存在了几年,就从昨天微软公开这个漏洞到现在一天时间内,国外大量的黑客已经开始扫描互联网开放RDP服务的机器,想必稳定可用的POC利用程序短时间就会被黑客编写出来。这是可怕的事情。
所以请个人用户或是机房管理员们尽快对开放RDP服务的机器打MS12-020补丁,以防遭到致命的攻击。对于没有在第一时间打补丁的用户,微软也推出了http://support.microsoft.com/kb/2671387修复工具,可以开启使用“网络级别身份验证(NLA)”,来减缓这一问题发生。
除了以上两种防御方法外,在大型网络中使用IPS或IDP进行对攻击的阻断是非常重要而且有效的防御方法。天融信公司TopLab前沿安全实验室已经在第一时间获得相关漏洞信息,迅速在TopIDP入侵防御产品中加入防御CVE-2012-0002和CVE-2012-0152漏洞的规则,并通知用户紧急升级,使用户的风险降到最低。TopIDP产品上市以来,市场份额每年增长200%,目前已位列前三甲,并且在中国联通和中国电信的安全设备选型入围测试中被证明是准确度最高,速度最快的IPS产品。
目前,天融信的漏洞挖掘能力以及被视为安全产品基石的攻防规则库、应用识别库、恶意地址库也已达到国际领先水平。天融信TopLab前沿安全实验室仅2月就向CNVD(国家信息安全漏洞共享平台)提供了33个漏洞,在漏洞发现方面已经发挥出越来越重要的作用。