微软 MS08-014 高危漏洞解读

　　MS08-014漏洞是微软3月份发布的一个高危漏洞，其官方描述：如果用户打开特制的Excel文件，该漏洞可能允许远程执行代码。 成功利用这些漏洞的攻击者可以完全控制受影响的系统。攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。

　　1.受影响和不受影响的软件

　　受影响的软件见图1

　　不受影响的软件见图2

　　2.漏洞利用演示

　　最近，黑客发布了漏洞利用的程序。下面笔者利用该程序进行MS08-014漏洞利用演示，和大家一起亲身体验攻击者是如何利用该漏洞控制系统的。

　　(1).演示环境：

　　Windows XP SP2系统虚拟

　　安装Microsoft office 2003 Pack2

　　(2).工具：

　　两份正常的Excel文档：test1.xls test2.xls

　　漏洞利用工具：ms08_014.exe

　　记事本程序：notepad.exe

　　“远程控制任我行”服务端程序：server.exe

　　把以上文件、程序放到同一目录下如 D:\test

　　(3).构造Excel文件

　　打开命令行(cmd.exe)工具，进入D:\test目录，输入命令：

　　ms08_014.exe

　　显示该工具的使用方法：ms08_014.exe .xlsfile exefile，其中“.xlsfile”是正常的Excel文件，“exefile”是构造后的Excel文件打开后调用运行的程序。

　　继续输入命令：

　　ms08_014.exe test1.xls notepad.exe

　　这样test1.xls文件打开后就会运行notepad.exe即记事本。

　　同样输入命令：

　　ms08_014.exe test2.xls server.exe (图3)

　　这样test2.xls文件打开后就会运行server，即木马服务器。

　　(4).效果演示

　　双击打开test1.xls文件，可以看见Excel只是一闪后关闭而打开了记事本程序。(图4)

　　在物理主机运行“远程控制任我行”控制端，然后在虚拟机中双击打开test2.xls文件，同样Excel文件并没有打开，稍等片刻看见“任我行”控制端有主机上线了如图5，该主机正是虚拟机系统，说明server.exe运行了。(图5)

　　3.实战攻击：

　　攻击者利用MS08-014漏洞攻击的一般流程是：

　　(1).配置木马服务端，然后通过ms08_014.exe程序进行精心构造一个xls文件。

　　(2).免杀处理。由于现在杀毒软件更新很快，因此攻击者通常要对xls文件和木马服务端进行免杀处理。比如本例中攻击者通过类似“特征码定位器”这样的工具定位特征码，然后通过某些汇编工具进行相应的修改。(图6)

　　(3).发布病毒包，诱惑用户下载。

　　(4).控制服务端，进行某些非法操作。

　　4.预防措施：

　　(1).系统升级，及时打上所有的补丁。

　　(2).杀毒软件及时更新升级。

　　(3).安装防火墙。比如本例中的“远程控制任我行”服务器在运行是系统防火墙弹出了提示如图7。

　　(4).洁身自律，杜绝不良下载。

　　总结：本文的MS08-014漏洞攻击演示虽是特例，其实所有的漏洞攻击及其预防都大同小异，所以也具有普遍性。同时，本文也不是示范如何进行漏洞攻击，而是为了知己知彼，让我们在攻与防的斗争中掌握主动权，从而胜算更大一些。