【51CTO.com综合消息】“极光”IE漏洞引发的大规模攻击刚开始，Windows又曝出一个名为“本地提权”的高危0day漏洞。一周内微软产品的两大高危漏洞，都与谷歌有关。前者导致谷歌遭受严重入侵，后者的披露人就是谷歌工程师，而该漏洞竟已存在17年！安全专家今日警告说，针对这一漏洞的利用代码已在网上流传。

据国外一家名为“注册者研究图书馆”的媒体报道，Windows“本地提权”0day漏洞是由Google工程师Tavis Ormandy发现并披露的。该漏洞存在于Windows系统中DOS虚拟机部件，涉及Windows XP、Vista、Windows7、Server 2003以及Server 2008等主要操作系统的32位版本。

　　报道称，所有自1993年以来发布的32位版操作系统中均存在这一漏洞。换句话说，该漏洞已经存在了17年！Ormandy去年6月就已将漏洞信息提交给微软公司，但至今未看到微软采取相应措施，于是就将这些信息公布于众。鉴于该漏洞危害严重，Ormandy建议相关用户关闭MSDOS及WOWEXEC子系统功能，就可免受此漏洞的影响。

　　安全专家验证后发现，“本地提权”0day漏洞可使黑客实施网络攻击时获得系统最高权限，从而取得对网站服务器的控制权，并进一步通过政府和企业官网渗透到相应内网中。此外，黑客利用该漏洞能轻松突破国内网吧常用的驱动防火墙，并绕过绝大多数主动防御软件，直接威胁到政府、企业、网吧以及个人电脑用户的信息安全。

　　“这个漏洞对网吧用户的影响也是非常大的。去年出现的几个WINDOWS本地权限0DAY漏洞经证实，都被用于了对网吧的攻击。”360安全专家说，“国内网吧通常使用驱动防火墙防御‘机器狗’等木马病毒，利用‘本地提权’漏洞的攻击恰恰是驱动防火墙的克星，攻击者可在最低权限直接攻破几乎所有内核防御系统，包括主动防御、驱动防火墙、自我保护、沙箱等等。”

　　安全专家进一步表示，个人电脑同样会受到“本地提权”0day漏洞的威胁。由于该漏洞可使黑客从最低权限直接攻击到系统内核中，能轻松突破绝大多数杀毒软件的主动防御功能，甚至绕过Vista/Win7系统的UAC（用户权限控制）。而此前，外界普遍认为UAC和IE低权限控制是“无法穿透”的，但如果黑客把挂马网页攻击和“本地权限”0day漏洞攻击结合使用，Vista/Win7系统的用户也难保安全。

　　据悉，此前谷歌因IE浏览器的“极光”漏洞遭黑客攻击，进而导致德、法、澳等国政府建议民众暂缓使用IE浏览器。微软已于北京时间1月22日凌晨紧急发布了“极光”漏洞补丁，但Windows“本地提权”0day漏洞补丁的推出时间还是个未知数。不过，安全专家发现，针对这一漏洞的利用代码已出现在国内网络安全论坛和一些博客上。

　　　　图中是某安全软件对exp的抑制状态

　　微软在其近日公布的安全建议中，提供了一个应急方案，即通过组策略禁用VDM虚拟机。但安全专家表示，这一建议方案仅能确保user权限或非高完整性administrator(即UAC下运行的普通程序）权限下的程序无法利用这一漏洞，但并不能彻底保证用户不受针对该漏洞的攻击。

　　“木马在高完整性administrator(例如UAC下提权运行程序）权限下，或在默认administrator权限(例如2000\XP\2003的用户）下，仍然可以实现攻击，使HIPS、沙箱、驱动防火墙等内核防御无效。”安全专家分析说，“此外，该方案显然还会造成很多安装程序、16位游戏等无法运行。”

　　360表示，为了防止可能到来的新一轮挂马攻击，360安全卫士已于1月22日启动大规模升级到6.1.5.1008版本，可对针对该漏洞的攻击进行拦截，成为国内目前独具防御该漏洞攻击能力的安全软件。“目前，国内只有360的临时补丁可完美拦截针对该漏洞的攻击。”360专家最后强调说。

　　附：微软关于Windows“本地权限”漏洞的安全建议

　　http://www.microsoft.com/technet/security/advisory/979682.mspx