Windows系统Schannel安全信道远程代码执行漏洞

2014年11月14日 zheng, xianwei 漏洞分析

漏洞编号:

CVE-2014-6321

影响范围:

影响的操作系统版本

windows xp

windows vista

windows 7

windows 8

windows RT 8 and 8.1

windows server 2003

windows server 2008

windows server 2012

详细信息

漏洞详情:

Secure Channel Security Package是windows系统中用于实现SSL(Secure Sockets Layer)和TLS(Transport Layer Security)协议的代码库(对应文件名为schannel.dll),该代码库主要用于实现在windows服务器端和客户端之间建立加密的通信信道(如HTTPS、Active Directory的身份认证等)。

Windows的schannel在实现时存在缓冲溢出漏洞,攻击者如果向提供schannel服务的端口发送特定的畸形数据包,可能导致系统以当前服务的权限执行任意代码。

验证方法:

由于目前微软还未公布漏洞的具体细节,所以没有可用poc来验证漏洞。您可以通过查看系统的补丁安装历史来确认是否已经修补过此漏洞。如果系统中的补丁安装历史记录中显示已经安装过KB2992611就说明此漏洞已经被修补,反之则存在该漏洞。

风险评估:

这个漏洞可以直接通过提供schannel安全信道的服务端口来进行利用(如HTTPS的443端口),对Windows服务器系统危害非常大。如果非服务版本的系统中开放了使用schannel信道的服务也可能会受此漏洞影响。

该漏洞的详细细节还未对外公布,所以可用的POC也暂时未见到。根据微软发布的信息显示到目前为止还没有检测到与此漏洞相关的攻击。不对随着大家对修补后的schannel.dll文件逆向工程后,相信攻击代码也会在不久后被发布出来。

安全建议

补丁更新:

目前微软已经针对该漏洞发布了安全公告和补丁程序,用户应该尽快使用windows自带的update功能进行更新。

https://technet.microsoft.com/library/security/MS14-066

临时解决办法:

暂时没有临时解决办法来降低此漏洞带来的风险,除非你停止在windows系统上使用加密信道。

参考信息:

  1. 微软的安全公告

https://technet.microsoft.com/library/security/MS14-066

  1. Sander Berkouwer博客中的分析文章

http://blogs.dirteam.com/blogs/sanderberkouwer/archive/2014/11/11/it-s-time-to-update-your-secure-channel-ms14-066-cve-2014-6321.aspx

查看PDF版本

Comments are currently closed.


Powered by http://wordpress.org/ and http://www.hqpremiumthemes.com/