51CTO首页
AI.x社区
博客
学堂
精品班
直播训练营
企业培训
鸿蒙开发者社区
WOT技术大会
AIGC创新中国行
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术2024年软考PMP项目管理软考资讯
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO题库小程序
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
账号设置 退出

黑帽大会:研究人员展示攻击Windows 8方法

作者:佚名
安全
研究人员在黑帽会议上表示,虽然Windows 8为攻击者提供了一些攻击机会,但总体来说,Windows 8比之前版本的操作系统更加安全。

研究人员在黑帽会议上表示,虽然Windows 8为攻击者提供了一些攻击机会,但总体来说,Windows 8比之前版本的操作系统更加安全。

趋势科技高级威胁研究小组负责人Sung-ting Tsai在黑帽会议后接受采访时表示,目前在Windows 8中至少有三个攻击点,通过攻击者的一些努力,可能会发现更多可以被利用的漏洞。

其中,更具威胁性的是两种规避微软在其新操作系统中部署的安全措施的方法。

第一种方法是绕过针对Windows 8 Metro风格应用程序的限制(阻止应用程序访问互联网)。这种方法不是试图打破这个限制,而是利用一个应用程序来访问具有这样权限的应用程序。

这样,没有互联网访问权限的应用程序仍然能够通过IE或者Microsoft媒体服务器向互联网发送消息,并向IE或者MMS试图寻找的URL附加本地信息。同样,Metro应用程序访问的Word或者Excel文件可能包含连接到互联网的代码。

通过互联网访问,流氓应用程序可以从本地机器上传数据到互联网上受攻击者控制的机器中。

微软表示他们不会对此采取任何措施,这是因为访问互联网是对用户可见的,如果用户不赞成的话,谁能够阻止互联网访问。同样地,反病毒产品可以发现这种访问,一旦这种类型的活动被报告给微软,微软将会从用户电脑移除该应用程序。

Tsai并不同意这种说法。当普通用户看到一个Metro应用程序启动MMS时,他并不会怀疑该应用程序正试图访问互联网。即使用户意识到这个问题,他也很难确定这个访问时正常的还是恶意行为。杀毒软件同样也很难分辨其中的区别。

Tsai表示,另一种规避方法是使用应用程序容器沙盒内的命令提示符cmd.exe来触发其他外部的可执行文件。

微软表示,这不是一个问题,Tsai也同意他们的观点。但是他表示,当联同其他可执行文件时,攻击者可能可以利用其他漏洞。

他还分析了ClickOnce,在Windows 8上运行的安装包。攻击者可能利用ClickOnce来向文件系统启动有害文件。Tsai表示微软承认了这个问题,并将在下一版本的Windows 8中修复这个问题。

他发现的另一个潜在漏洞是dll劫持—插入伪装成应用程序试图寻找的dll的恶意代码。他表示,IE试图加载一些它不再需要的dll。如果这些dll的名称被攻击者发现,它们可能被用来伪装恶意软件。

他表示,当存在不必要的dll加载时,这个问题可能出现在任何应用程序中。微软表示在Windows 8发行预览版中没有dll劫持问题。

Tsai表示,Windows 8 Metro应用程序的一个编程功能可能被攻击者利用,这个功能允许应用程序访问它们无法访问的文件夹和文件,这可能被用来窃取数据,并将数据发送给攻击者。

根据规定,Metro应用程序只能访问文件、视频、音乐和照片文件以及文件夹,但应用程序的开发者可以提供例外,允许应用程序访问其他文件和文件夹。

恶意应用程序可能被授予访问Downloads文件夹的权限,然后,用户可能被社会工程学攻击诱骗到从互联网下载恶意文件到Downloads,从而让该应用程序可以访问恶意代码。

微软表示,这是针对开发者的功能,不是漏洞,并且在用户的控制之下,因此,这不是一个威胁。Tsai表示,微软可以控制程序员提供的特例的范围。例如,文件可以被访问,但只授予只读的权限。

Tsai还讨论了他无法利用的三个潜在攻击点:

= 内核级高级本地程序调用(ALPC)

= 组件对象模型(COM)应用程序编程接口(API)

= Windows Runtime (RT) API

在内核级攻击ALPC消息是非常困难的,但如果攻击成功实施的话,攻击者将能够获得丰富的应用程序调用信息流。Tsai已经开发了四个脚本来拦截这些消息,他计划将这些脚本公之于众。

到目前为止,他还没能够使用这些针对ALPC的脚本开发出一个针对Windows 8的漏洞利用,或者发现一个漏洞,但这些脚本提供了自动寻找漏洞的方法。

他检查的第二个攻击点是针对COM服务器的,这是向客户端提供服务的对象。在Windows 8中,Metro应用程序在容器、安全沙箱中运行,这限制了应用程序的访问权限,让应用程序只能访问它绝对需要的资源。对这些资源的请求都会通过RT代理,这个代理作为限制资源访问的中间人。

但是,如果应用程序能够获得对COM服务器的直接访问权限,攻击者将可以绕过这个沙箱。这个COM访问必须通过使用汇编语言编写的基本脚本手动完成。如果具有高权限的COM可以被访问的话,攻击者理论上可以攻入系统,Tsai表示:“这并不容易,但这是可能实现的。”

Windows RT API是第三个攻击点。Tsai表示,他通过模糊攻击来攻击它,向其发送随机命令,看是否会造成API故障和创建一个漏洞。这需要花很多时间,还需要运气,攻击者才可能成功。

他在Windows 8的消费者预览版中发现一个内存破坏漏洞,并向微软报告了这个漏洞,微软在windows 8发行预览版中修复了这个漏洞。

责任编辑:Oo小孩儿 来源: 网界网
黑帽大会Windows 8
相关推荐
2010年安全大会:IBM研究人员称思科后门依然洞开
在本周召开的黑帽安全大会上,思科及其他网络厂商在路由器和交换机上为执法机关合法监听开设的“后门”再次成为关注的焦点。几年前,在几起VoIP窃听诉讼中,后门事件被闹得沸沸扬扬。

2010-02-06 15:16:59

2013大会研究人员用iPhone充电器作为黑客工具
在美国拉斯维加斯的BlackHat2013安全大会上,来自乔治亚理工学院的三名研究人员展示了一款“概念验证”型充电器,可以在苹果公司的iOS设备上秘密安装恶意软件。

2013-08-02 10:17:41

研究人员演示“点击劫持”恶意攻击方法
近日一名计算机安全研究人员发布了一种新的基于浏览器的工具,可以用来发动新一代“点击劫持”攻击,本文我们将为大家揭晓这种新型点击劫持攻击方式。

2010-04-21 09:15:21

朝鲜黑客攻击安全研究人员
研究人员发现一起朝鲜黑客通过社会工程攻击安全研究人员的攻击活动。

2021-02-02 09:32:06

黑客攻击l安全
黑客将在大会展示如何攻击飞机和汽车
如果得知你的出行工具会被黑客攻击,千万别以为这只是天方夜谭。在今年的黑帽大会(Blackhat)上,就会有两名黑客展示如何利用非常标准的硬件,实现对飞机和汽车的攻击。

2014-08-05 16:32:50

SDN安全遭到质疑白盒交换机还能走多远?
每年8月安全专业人员都会期待黑帽大会和DEFCON安全会议上展现的研究结果。这些会议是了解最新攻击趋势、漏洞和漏洞利用的最佳场所,今年的黑帽大会上,软件定义网络成为安全研究人员的焦点。

2015-08-24 10:43:42

研究人员公布BadUSB攻击测试(exploit)代码
在2014年美国黑帽大会上,柏林SRLabs的安全研究人员JakobLell和独立安全研究人员KarstenNohl展示了他们称为“BadUSB”(按照BadBIOS命名)的攻击方法,这种攻击方法让USB安全和几乎所有和USB相关的设备(包括具有USB端口的电脑)都陷入相当危险的状态。

2014-10-11 13:57:04

解密BadUSB:世界上最邪恶的USB外设
在2014年美国黑帽大会上,柏林SRLabs的安全研究人员JakobLell和独立安全研究人员KarstenNohl展示了他们称为“BadUSB”(按照BadBIOS命名)的攻击方法,这种攻击方法让USB安全和几乎所有和USB相关的设备(包括具有USB端口的电脑)都陷入相当危险的状态。

2014-09-05 09:08:58

大会展示多款银行支付终端漏洞
英国渗透测试公司MWRInfoSecurity的两名安全研究人员表示,目前三个被广泛部署的支付终端都存在允许攻击者窃取信用卡数据和个人密码的漏洞。

2012-07-30 09:59:30

彻底无处可逃:研究人员展示BIOS级底层安全攻击
x86处理器爆出安全漏洞不久,研究人员们又找到了另一种通过BIOS发起攻击的方法,任何系统都无法幸免,而且这次利用的并非安全漏洞,所以更加防不胜防。

2009-03-24 12:34:24

大会&Defcon黑客大会综述
Defcon黑客大会上的安全人员同样公布了Windows操作系统安全性的一些问题。黑客发现,保存在Web浏览器和IM等网络工具中的“云密码”可以轻易地被一些计算机取证工具获取,这些数据包括Facebook、GMail账户等。

2011-08-18 10:23:21

美国黑客大会研究人员揭短亚马逊云安全
在今年黑客大会(BlackHat2014)上,一名研究人员展示了AWS云安全漏洞,同时,对于没有足够重视安全的AWS用户来说不当的操作会导致毁灭性的的结果。

2014-08-08 09:39:16

大会:超过60%网站SSL配置不当
本文介绍了黑帽大会上Qualys公司研究人员IvanRistic对SSL的研究结果,并分析了针对HTTPS浏览器会话的攻击。

2010-08-06 10:44:18

大会Windows密码存储机制存在漏洞
拉斯维加斯Defcon黑客大会上,安全人员公布了Windows操作系统安全性的一些问题。

2011-08-10 14:35:27

黑帽大会微软
谷歌通报针对安全研究人员的网络攻击
据外媒,4月1日,谷歌威胁分析小组记录了一次针对安全研究人员的网络攻击,这些攻击背后的同一行为者为一家名为"SecuriElite"的公司。

2021-04-04 22:55:51

谷歌网络攻击网络安全
研究人员发现使用Android木马的APT攻击
APT攻击已经不是什么新鲜事,但是以前一直是针对Windows和MacOSX等平台的攻击,近日,卡巴斯基实验室的研究人员发现一次APT攻击,利用Android平台木马来进行攻击。

2013-03-28 10:34:29

今年大会黑客们干什么?攻击汽车
8月5日,2015年美国黑帽大会(BlackHatConference)于8月初在拉斯维加斯拉开帷幕。在过去的20年中,黑客每年夏季都会涌向拉斯维加斯,展示他们能够通过黑客手段控制其它电脑的一些方法和途径。然而,在今年的黑帽大会上,黑客们已经将攻击汽车当作重要主题。

2015-08-05 10:38:04

大会展示移动威胁新发展趋势
目前移动计算似乎已经成为了网络安全斗争的一个新前沿。在上周召开的黑帽大会简会上,移动计算取代云计算成为了人们展开研究的新沃土。

2013-08-08 19:12:33

研究人员揭露影响Windows 7臭虫程序
微软在上周二(1110)的例行性更新中并未修补Windows7漏洞,但根据eWeek报导,研究人员LaurentGaffie随即公布了一个影响Windows7及WindowsServer2008R2的臭虫。

2009-11-17 09:14:12

Charming Kitten APT组织针对医学研究人员发动攻击
研究人员在报告中表示,这种类型的攻击代表着CharmingKitten(也称为Phosphorus,Ajax或TA453)在网络攻击目标上的一个转变,而且该公司被外界认为与伊朗的伊斯兰革命卫队(IRGC)有联系。

2021-04-10 09:56:57

Charming Ki网络钓鱼
点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服