360：瑞星“漏洞门”可让黑客为所欲为

haidong

<p >2月1日，针对瑞星公司称其“本地提权”漏洞对用户没有影响的声明，360安全专家石晓虹博士表示：“本地提权”漏洞危害巨大是安全行业的常识。任何软件都可能出现漏洞，出漏洞本身并不可怕，但是把一个危害巨大的漏洞说成对用户“没有影响”，不是一家合格的安全公司应有的做法。<p ><b>瑞星“漏洞门”事件一波三折  攻击代码已扩散</b><p >瑞星“漏洞门”事件源于1月23日波兰安全组织NT Internals发布的一则公告。公告称，该组织于一年前将瑞星杀毒软件存在的两个漏洞秘密通报给瑞星公司。但是瑞星至今仅仅“部分修复”第一个漏洞，第二个漏洞则“完全没有修复”。于是，NT Internals不得不按照行规曝光予以警示。<p >消息传到国内后，瑞星先是声明称早就“彻底修复了两个漏洞”。这一说法被很快揭穿后，瑞星第二次发表声明，不再提已修复漏洞的说法，而是改称“用户在上网时不会受到这种漏洞影响”。<p >对此，南京大学计算机系软件小组表示：“安全软件存在这样严重的安全漏洞非常罕见。瑞星的第二个漏洞完全没有修复，可以使黑客获得系统最高权限，让用户电脑以及政府机构和企业的内网完全丧失防御能力。” <p >360安全中心的验证结果也与NT Internals和南大软件小组一致：瑞星的漏洞并未得到修补，而且利用这两个漏洞的攻击代码已开始大面积扩散，很有可能会被利用来攻击360等其它安全软件。为此360紧急开发出临时补丁，供瑞星用户下载安装。<p >目前，针对瑞星漏洞的攻击代码已经在国内外安全网站上大量流传，其中不乏国外最权威的漏洞安全网站如exploit-db、securityfocus、serucrityvluns等。相应的木马样本也已现身黑客论坛。经多家网站测试，在不使用360临时补丁的情况下，漏洞攻击代码可轻松破坏用户电脑上所有安全软件的保护。 <p ><b>瑞星“本地提权”漏洞危害巨大 同类漏洞可卖数百万美元</b><p >针对瑞星提出的“本地提权漏洞无害说”，360安全专家反驳说:“行业里一般把本地提权漏洞的安全级别定义为‘高危’。如果有谁发现了微软的本地提权漏洞，在国外黑客圈私下交易的黑市价格可以达到几百万美金一个。而瑞星的这个漏洞属于提权漏洞中危害最大的‘内核提权’漏洞。”<p >“内核提权漏洞的可怕之处在于可以让一个程序直接从用户态穿透到内核态。用户态和内核态是WINDOWS系统利用硬件屏障为自己建立起来的几乎牢不可破的安全防御门槛。其中内核态的程序拥有一切权限，在WINDOWS系统上，没有任何其他软件可以限制内核态程序的行为。所以，内核提权漏洞一旦被触发，攻击者就可以操纵系统一切可以操纵的资源，做任何想做的事情，没有任何安全措施可以阻止。它可以被用来关闭瑞星及所有安全软件的保护，还可攻击网站服务器或企业域用户。政府和企业网站如果受到这类漏洞攻击，很可能会被黑客渗透到内网中。”<p >360安全专家认为，瑞星“漏洞门”事件几乎是前不久谷歌披露微软漏洞的翻版。上周谷歌工程师公布了微软的一个“本地提权”漏洞，为此微软立刻发布了紧急安全通告，并以最快速度给用户提供了临时解决方案, 由此可见“本地提权”漏洞威胁之大。“面对同一类型的漏洞，瑞星和微软的态度可谓截然不同。”<p >截至发稿前，瑞星公司仍未向用户说明漏洞的真正危害，也没有提供临时解决方案，更没有披露何时才能真正修复漏洞。<p ><b>附1：</b><p >NT Internals披露瑞星杀毒漏洞1：<p >hxxp://www.ntinternals.org/ntiadv0805/ntiadv0805.html<p >NT Internals披露瑞星杀毒漏洞2：<p >hxxp://www.ntinternals.org/ntiadv0902/ntiadv0902.html<p >NT Internals再次确认从瑞星中文官网下载2010版中仍存在本地提权漏洞：<p >hxxp://www.ntinternals.org/index.php（最后一条Is RISING Antivirus 2008/2009/2010 still vulnerable? 《瑞星杀毒软件2008/2009/2010还有漏洞吗？》）<p >瑞星公司第一次声明：《关于瑞星0day漏洞的说明》hxxp://www.rising.com.cn/about/news/rising/2010-01-28/6530.html<p >瑞星公司第一次声明：《针对奇虎360声称"瑞星产品存在重大漏洞"的声明》hxxp://www.rising.com.cn/about/news/rising/2010-01-29/6553.html<p >360为瑞星漏洞研发的临时补丁下载地址：<p >hxxp://dl.360safe.com/risingpatcher.exe<p >【注：基于安全考虑，防止用户误点造成不必要的损失，以上网址已作特殊处理，所有网络链接“http”均已被替换为“hxxp”，特此说明。】<p ><b>附2：某黑客论坛公布瑞星“本地提权“漏洞攻击样本实例</b><p ><center><img  src="http://www.hh010.com/upload_files/article/136/9_sfypkg1984231.jpg"></center><p ><b>附3：关于瑞星“本地提权”漏洞的危害（以下部分摘自百度百科对提权漏洞的解释）</b><p >“权限提升”漏洞，简单来说，就是通过这个漏洞，一个本来非常低权限、受限制的用户，可以获得更高的甚至最高的系统权限。权限控制是WINDOWS安全的基石，也是一切安全软件的基石，一旦这道门槛被突破，任何防御措施都会失效。<p >“权限提升”漏洞通常是一种“辅助”性质的漏洞，当黑客已经通过某种手段进入了目标机器后，可以利用它进入更高的权限状态。但绝不能说这种漏洞不严重或难以利用。相反，往往这种漏洞更容易被利用、带来的后果比远程漏洞更严重。<p >这种漏洞实际上远比远程漏洞稀有，往往一个微软本地提权漏洞在国外黑客圈的私下交易价格可以达到几百万美金。因为远程漏洞其实是很普遍的，一个网站存在网页问题，就可能被篡改，传入WEBSHELL（一种控制网站机器的网页控制端）。但此时权限是非常低的，黑客无法种植木马，控制目标机器，也无法渗透到服务器更深层的机器。在企业内网和政府内网也是这样，通常这些网络环境中都有用户权限控制，即使误中木马，也不会造成多少影响，更无法传播，但是这些在存在提权漏洞的机器上都是可以彻底突破的。<p ><p align="right"></P><p align="center"></p></p>