近日,国家信息安全漏洞共享平台(CNVD)收录了Microsoft Windows WPAD权限提升漏洞(CNVD-2016-04041,对应CVE-2016-3213 ,微软命名为“BadTunnel”漏洞)。由于该漏洞对于Windows 10及其以下版本(含Windows XP,或可追溯至Windows 95)的操作系统主机都构成直接影响,且攻击原理可以绕过现有多种防御机制,包括绕过客户端防护软件或网络侧防护设备,构成十分严重的威胁。
一、漏洞情况分析
Microsoft Windows是美国微软公司发布的一系列操作系统。WPAD(Web Proxy Auto-Discovery Protocol)全称为网络代理自发现协议,用于让主机自动发现代理服务器,进而访问互联网或目标网络。Microsoft Windows WPAD存在特权提升漏洞,目前漏洞细节暂未公布,预期将于8月由漏洞发现者——腾讯玄武实验室的于旸在拉斯维加斯黑客大会进行发布。
从漏洞发现者目前披露的情况看,攻击者首先需要伪造NetBIOS连接(即攻击者使用的终端伪装成NetBIOS可识别的目标),与目标网络或主机产生通信可能。通过伪装方式,只要支持建立NetBIOS通信,即使目标网络或主机处于局域网中,攻击者也有可能绕过防火墙和NAT设备,将网络流量通过互联网全部重定向到攻击者的计算机。可以预见的攻击场景有:攻击者将终端伪装成网络设备(例如:打印机服务器或文件服务器),即可监听未加密流量,也可以发起中间人攻击,如:拦截和篡改Windows更新下载、向用户网络请求返回中植入恶意页面(URL)。此外,攻击者还可通过Edge、Internet Explorer、Microsoft Office或Windows上许多第三方软件利用该漏洞,也有可能通过其他类型网络服务或者通过本地端口驱动组件进行利用。
CNVD对该漏洞的综合评级为“高危”。综合业内各方研判情况,该漏洞影响版本范围跨度大、利用方式穿透绕过能力强,一旦漏洞细节披露,将造成极为广泛的攻击威胁,或可诱发APT攻击。
二、漏洞影响范围
微软官方发布了升级补丁修复该漏洞,CNVD建议用户尽快升级程序,用户需要结合MS16-063和MS16-077两个补丁才能完全修复。
https://technet.microsoft.com/library/security/MS16-063
https://technet.microsoft.com/library/security/MS16-077
对于微软已不支持安全更新的版本(如:Windows XP)建议禁用NetBIOS连接,微软官方已给出操作步骤,或者在防护设备上阻断NetBIOS 137端口的网络连接。
https://technet.microsoft.com/en-us/library/cc940063.aspx
附:参考链接:
https://technet.microsoft.com/library/security/MS16-063
https://technet.microsoft.com/library/security/MS16-077
http://www.cnvd.org.cn/flaw/show/CNVD-2016-04041
http://www.forbes.com/sites/thomasbrewster/2016/06/14/microsoft-badtunnel-big-brother-windows-vulnerability/