漏洞的基本知識
在邁克菲實驗室(McAfeeLabs)的威脅警告中,漏洞這個字眼幾乎隨處可見。無論是發現了一個“漏洞”,還是在某些版本中存在“漏洞”,這樣的描述都司空見慣。那么,究竟什么是“漏洞”?漏洞是一種在某些情況下會導致程序錯誤運行的程序錯誤(bug)。攻擊者常常會利用漏洞來濫用程序實施破壞。
如果把系統比作成一個建筑物,那么在這個建筑物中,操作系統(OS)是基礎結構,為系統提供支持,為建筑物提供支撐作用。應用程序則是建筑物中的房間,或者是房間中的各種設施,都是在建筑搭建好的基礎架構上實現的,系統用戶是建筑物里的住戶。門和窗是建筑物里各個房間之間的交互通道,它們是早就設定好的,而漏洞,則是一些本不該存在的門、窗戶,或者是墻上莫名出現的一個洞,更有可能是一些會破壞建筑物的危險材料或物品——這些缺陷和問題會使陌生人侵入建筑物,或者使建筑物遭遇安全威脅。這就是漏洞,對于系統來說,若出于安全的考慮,就必須最大限度的減少漏洞的存在,因為它會成為入侵者侵入系統和惡意軟件植入的入口,影響我們系統用戶的切身利益。
每一個漏洞都是不盡相同的,但根據其入侵方式的不同,可以將它們分為本地漏洞和遠程漏洞。
本地漏洞:
本地漏洞需要入侵者利用自己已有的或竊取來的身份,以物理方式訪問機器和硬件。在我們的類比中,入侵者要么必須是建筑物中的住戶,要么必須假冒成建筑物中的住戶。
遠程漏洞:
相比本地漏洞,遠程漏洞則不需要入侵者出現。攻擊者只需要向系統發送惡意文件或者惡意數據包就能實現入侵。這就是遠程漏洞比本地漏洞更危險的原因。
將漏洞按照風險級別對其分類,又可分為高風險漏洞、中等風險漏洞或低風險漏洞。風險級別在很大程度上取決于每個人所采用的標準,邁克菲定義風險是為了讓客戶清楚地預知未來將會發生什么,能提高警惕。
高風險漏洞:
遠程代碼執行(RCE):攻擊者能夠充分利用這一風險最高的漏洞來完全控制易受攻擊的系統。由于這種漏洞使惡意軟件能夠在用戶尚未得到警告的情況下運行,一些最危險的惡意軟件便常常需要利用這種漏洞來發起攻擊。若出現針對某一漏洞,系統商提供了安全補丁,這通常意味著這個漏洞就屬于高風險漏洞,用戶最好不要忽視任何相關警告。
拒絕服務(DoS):作為另一種高風險漏洞,DoS會導致易受攻擊的程序(甚至硬件)凍結或崩潰。AnonymousGroup就是利用DoS漏洞發起攻擊的。如果遭到攻擊的結構是路由器、服務器或任何其他網絡基礎設施,不難想象局面的混亂程度。DoS漏洞的嚴重性視被隔離的房間而定。比如和儲藏室比起來,浴室或者客廳要重要得多。
中等風險漏洞:
這些漏洞就像“兄弟姐妹”,雖然非常相似,但在具體情況上存在細微差別。中等風險包括權限提升(PrivilegeEscalation)這對“雙胞胎”和它們被稱為安全旁路(SecurityBypass)的“兄弟”。
權限提升(PE):該漏洞使攻擊者通常能夠在未獲得合法用戶權限的情況下執行操作。它們之所以被稱為“雙胞胎”,是因為可以分為兩類:水平PE和垂直PE。水平PE使攻擊者能夠獲得其他同級別用戶所擁有的權限,這類漏洞最常見的攻擊出現在論壇。攻擊者可以從一個用戶賬戶“跳到”另一個,瀏覽和修改信息或帖子,但通常只擁有同級別權限。而垂直PE則為攻擊者提供了更多實際用戶希望享有的權限。例如,攻擊者從本地用戶“跳升”至管理員。從而使攻擊者能夠部分或完全進入系統中某些受限制區域,進而實施破壞。
安全旁路(SB):廣義而言,安全旁路與PE一樣,是指攻擊者未經許可就可以執行操作。區別在于,旁路之在連入互聯網的系統環境中生效。如果程序有安全旁路漏洞,會使不安全的流量能夠逃過檢測。
中等風險漏洞本身并不太危險,如果系統得到妥善保護,不會造成災難性的后果。真正的危險在于權限提升和安全旁路產生的連鎖反應。如攻擊者以普通用戶或來賓身份進入,躲過安全措施,然后安裝或更改程序,從而會造成大量破壞。相比遠程代碼執行,雖然攻擊者很難利用權限提升和安全旁路的方法進入我們的“建筑物”(指系統),但并不是不可能。
低風險漏洞:
信息泄露(ID):該漏洞使攻擊者能夠瀏覽正常情況下無法訪問的信息。信息泄露是一種低風險漏洞,攻擊者只能瀏覽信息,無法執行其他實質性操作。如果想使用這里的信息,攻擊者必須利用其他漏洞或找到關鍵信息,如密碼文件等。不過,我們必須視具體情況對信息泄露進行分析,因為它的風險級別非常容易發生變化,受攻擊的程序、泄露的信息和網絡環境的變化都會導致風險等級的變化。比如,如果類似Comodo或DigiNotar的證書頒發機構存在信息泄露顯然會導致災難性后果。信息泄露對存儲著非常重要信息的關鍵網絡或機器同樣非常危險,即使信息泄露看起來沒有那么危險,也不要被表象所迷惑。
盡管中等風險漏洞和低風險漏洞的危險程度不及遠程代碼執行或拒絕服務風險那么高,但我們同樣不可掉以輕心。經驗老道的攻擊者有時不需要利用這些漏洞就可以造成破壞,如:竊取知識產權。雖然這些攻擊都留下了明顯的蹤跡,但由于存儲在活動日志中的信息量過大,用戶只能通過緩慢且細致的搜索才能發現可疑行跡,同時,我們的用戶通常也不會將其作為一項預防性措施。往往只會在攻擊者已造成破壞后才仔細查看。
【編輯推薦】
