昨日，微軟發(fā)布了一個(gè)高危漏洞的補(bǔ)丁，該漏洞由騰訊玄武實(shí)驗(yàn)室創(chuàng)建者于旸（中國(guó)安全圈人稱TK教主）發(fā)現(xiàn)，并將其命名為“BadTunnel”，是目前Windows歷史上影響最廣泛的漏洞，從Win95到Win10都受影響。

尤其對(duì)于微軟已不支持的版本（如Win XP），其用戶將面臨被秘密監(jiān)控的危險(xiǎn)。因此，微軟的漏洞獎(jiǎng)勵(lì)計(jì)劃為其授予50000美金的獎(jiǎng)金。

于旸稱，該漏洞為原始設(shè)計(jì)問(wèn)題。當(dāng)用戶打開(kāi)一個(gè) URL，或者打開(kāi)任意一種 Office 文件、PDF文件或者某些其他格式的文件，或者插上一個(gè) U 盤——甚至不需要用戶打開(kāi) U 盤里的任何東西，攻擊者都可以完成利用，其成功率極高。

最終的結(jié)果是，攻擊者可以劫持整個(gè)目標(biāo)網(wǎng)絡(luò)，獲取權(quán)限提升。

“即使安全軟件開(kāi)啟了主動(dòng)防御機(jī)制，仍然無(wú)法檢測(cè)到攻擊。攻擊者還可以利用該漏洞在目標(biāo)系統(tǒng)中執(zhí)行惡意代碼。”

攻擊者可通過(guò)Edge、Internet Explorer、Microsoft Office或在Windows中的許多第三方軟件利用該漏洞，也可以通過(guò)網(wǎng)絡(luò)服務(wù)器或者拇指驅(qū)動(dòng)器——將拇指驅(qū)動(dòng)器插入到系統(tǒng)的一個(gè)端口，利用就完成了。

攻擊原理

該漏洞主要是一系列各自單獨(dú)設(shè)計(jì)的協(xié)議和特性協(xié)同工作導(dǎo)致的。一個(gè)成功的漏洞利用需要偽造NetBIOS（最初由IBM開(kāi)發(fā)）連接，使不同設(shè)備上的軟件通過(guò)局域網(wǎng)進(jìn)行通信。

即使攻擊者不在目標(biāo)網(wǎng)絡(luò)中，仍然可以繞過(guò)防火墻和NAT設(shè)備，通過(guò)猜出正確的網(wǎng)絡(luò)設(shè)備標(biāo)識(shí)符（也就是事務(wù)ID），在網(wǎng)絡(luò)中建立可信的交互，將網(wǎng)絡(luò)流量全部重定向到攻擊者的計(jì)算機(jī)。

攻擊者可將計(jì)算機(jī)偽裝成網(wǎng)絡(luò)設(shè)備，例如本地打印機(jī)服務(wù)器或文件服務(wù)器。他們不僅可以監(jiān)聽(tīng)未加密流量，也可以攔截和篡改Windows更新下載。

另外，還可以在受害者訪問(wèn)的網(wǎng)頁(yè)中實(shí)施進(jìn)一步攻擊，例如，他們可以通過(guò)向?yàn)g覽器緩存的頁(yè)面中插入代碼，使攻擊者和目標(biāo)之間的通道保持開(kāi)放狀態(tài)。

漏洞緩解

對(duì)于微軟支持的Windows版本，用戶需要盡快升級(jí)，需要注意的是，用戶需要結(jié)合MS16-063和MS16-077才能完全修復(fù)漏洞。

對(duì)于微軟已不支持的Windows版本，如XP，專家建議禁用NetBIOSover TCP/IP，微軟官方已給出操作步驟。或者阻斷NetBIOS 137端口的出站連接也可以起到類似的效果。