紧急安全公告—BadTunnel漏洞修复—2016年6月20日
紧急安全公告—BadTunnel漏洞修复—2016年6月20日
6月14日,微软安全公告上发布了高危漏洞BadTunnel:CVE-2016-3213。CVE-2016-3213即Windows WPAD 特权提升漏洞,当 Web 代理自动发现 (WPAD) 协议回退到易受攻击的代理发现进程时,MicrosoftWindows 中存在特权提升漏洞,攻击者可通过响应WPAD 的NetBIOS 名称请求来利用此漏洞,成功利用此漏洞的攻击者可以规避安全检查,并能在目标系统上获得特权提升。该漏洞可以影响从Windows95到Windows10所有版本的操作系统,可能是Windows史上影响范围最广泛的漏洞。
BadTunnel漏洞详细信息如下:
标题 | BadTunnel漏洞修复 |
|---|---|
简述 | BadTunnel漏洞主要是由一系列各自单独设计的协议和特性协同工作导致的。一个成功的漏洞利用需要伪造NetBIOS连接,使不同设备上的软件通过局域网进行通信。即使攻击者不在目标网络中,仍然可以绕过防火墙和NAT设备,通过猜出正确的网络设备标识符(即事务ID),在网络中建立可信的交互,将网络流量全部重定向到攻击者的计算机。 攻击者可将计算机伪装成网络设备,例如本地打印机服务器或文件服务器。他们不仅可以监听未加密流量,也可以拦截和篡改Windows更新下载。另外,还可以在受害者访问的网页中实施进一步攻击,例如,他们可以通过向浏览器缓存的页面中插入代码,使攻击者和目标之间的通道保持开放状态。 |
BadTunnel 漏洞说明 | 关于BadTunnel漏洞,可查看CVE官网发布的漏洞信息和微软官网发布的安全公告:http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-3213https://technet.microsoft.com/zh-cn/library/ms16-063.aspxhttps://technet.microsoft.com/library/security/MS16-077BadTunnel漏洞影响的系统版本如下:a) 客户端操作系统:Windows 95至Windows 10(1511)的所有版本操作系统b) 服务器操作系统:Windows server 2003至Windows server 2012 R2所有版本操作系统 |
漏洞修复方法 | 在进行系统修复前提醒广大用户请做好系统备份,特别是系统状态的备份。Windows vista至Windows 8.1,Windows server 2008至2012 R2版本的系统,安装KB3160005和KB3161949Windows 10,安装KB3163017;Windows 10(1511),安装KB3163018Windows XP和Windows server 2003 R2及更早版本系统,建议禁用WINS/NetBT名称解析,并停止使用主机文件条目的 WPAD |
具体实施 | Windows server 2008至2012 R2版本服务器操作系统下载系统对应版本的补丁文件: KB3160005: Windows server 2008:https://www.microsoft.com/zh-cn/download/details.aspx?id=52921https://www.microsoft.com/zh-cn/download/details.aspx?id=52934 Windows server 2008 R2:https://www.microsoft.com/zh-cn/download/details.aspx?id=52932 Windows server 2012:https://www.microsoft.com/zh-cn/download/details.aspx?id=52929 Windows server 2012 R2:https://www.microsoft.com/zh-cn/download/details.aspx?id=52918 KB3161949: Windows server 2008: https://www.microsoft.com/zh-cn/download/details.aspx?id=52920https://www.microsoft.com/zh-cn/download/details.aspx?id=52904 Windows server 2008 R2:https://www.microsoft.com/zh-cn/download/details.aspx?id=52931 Windows server 2012:https://www.microsoft.com/zh-cn/download/details.aspx?id=52907 Windows server 2012 R2:https://www.microsoft.com/zh-cn/download/details.aspx?id=52917 2. 安装补丁 KB3160005和 KB3161949; Windows server 2008需要更新至SP2,安装IE9,才能正常安装 KB3160005和 KB3161949 Windows server 2008 R2需要更新至SP1,安装IE11,才能正常安装 KB3160005和 KB3161949 Windows server 2012可直接安装KB3160005和 KB3161949 Windows server 2012 R2需要先安装KB2919442后安装KB2919355,且安装先后顺序不能调换;然后才能正常安装KB3160005和 KB3161949; KB2919442:https://www.microsoft.com/zh-CN/download/details.aspx?id=42153 KB2919355:https://www.microsoft.com/zh-cn/download/details.aspx?id=423343. 重启服务器4. 回滚方法:卸载补丁 KB3160005和 KB3161949,重启服务器Windows server 2003 R2及更早版本服务器操作系统微软并没有发布2003R2及以前版本的系统的补丁,故只能采取变通的办法解决。禁用 WINS/NetBT 名称解析 a) 打开网络连接。b) 单击要静态配置的“本地连接”,然后从“文件”菜单中,单击“属性”。c) 在组件列表中,单击“Internet 协议 (TCP/IP)”,然后单击“属性”。d) 单击“高级”,单击“WINS”选项卡,然后单击“禁用 TCP/IP 上的 NetBIOS”。停止使用主机文件条目的 WPAD a) 以管理员身份打开位于以下位置的主机文件:%systemdrive%\Windows\System32\Drivers\etc\hostsb) 在主机文件中为 WPAD 创建下列条目︰wpad 255.255.255.255变通办法的影响。自动代理发现无法运行,因此某些应用程序(例如 Internet Explorer)将无法正确加载网站。 如何撤消变通办法。a) 恢复WINS/NetBT 名称解析设置(一般情况下选择默认)b) 以管理员身份打开位于以下位置的主机文件:%systemdrive%\Windows\System32\Drivers\etc\hostsc) 在主机文件中为 WPAD 删除下列条目︰wpad 255.255.255.255Windows 10(1511)版本操作系统利用Windows update自动下载补丁 KB 3163018,或者在微软官网手动下载:http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB3163018安装补丁重启操作系统回滚方法:卸载补丁KB 3163018,重启操作系统Windows 10版本操作系统利用Windows update自动下载补丁 KB 3163017,或者在微软官网手动下载:http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB3163017安装补丁重启操作系统回滚方法:卸载补丁KB 3163017,重启操作系统Windows vista至Windows 8.1版本操作系统利用Windows update自动下载补丁:KB3160005和 KB3161949,或者手动下载对应操作系统的补丁:http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB3160005http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB3161949安装补丁,如果发现不能安装,请将操作系统补丁更新至最新,并将IE升级至最新,然后再安装KB3160005和 KB3161949重启操作系统回滚方法:卸载补丁KB3160005和 KB3161949,重启操作系统Windows XP及更早版本系统微软并没有发布XP及以前版本的系统的补丁,故只能采取变通的办法解决。禁用 WINS/NetBT 名称解析 a) 打开网络连接。b) 单击要静态配置的“本地连接”,然后从“文件”菜单中,单击“属性”。c) 在组件列表中,单击“Internet 协议 (TCP/IP)”,然后单击“属性”。d) 单击“高级”,单击“WINS”选项卡,然后单击“禁用 TCP/IP 上的 NetBIOS”。停止使用主机文件条目的 WPAD a) 以管理员身份打开位于以下位置的主机文件:%systemdrive%\Windows\System32\Drivers\etc\hostsb) 在主机文件中为 WPAD 创建下列条目︰wpad 255.255.255.255变通办法的影响。自动代理发现无法运行,因此某些应用程序(例如 Internet Explorer)将无法正确加载网站。如何撤消变通办法。a) 恢复WINS/NetBT 名称解析设置(一般情况下选择默认)b) 以管理员身份打开位于以下位置的主机文件:%systemdrive%\Windows\System32\Drivers\etc\hostsc) 在主机文件中为 WPAD 删除下列条目︰wpad 255.255.255.255 |
- 关于BadTunnel漏洞,可查看CVE官网发布的漏洞信息和微软官网发布的安全公告: http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-3213 https://technet.microsoft.com/zh-cn/library/ms16-063.aspx https://technet.microsoft.com/library/security/MS16-077
- BadTunnel漏洞影响的系统版本如下: a) 客户端操作系统:Windows 95至Windows 10(1511)的所有版本操作系统 b) 服务器操作系统:Windows server 2003至Windows server 2012 R2所有版本操作系统
漏洞修复方法在进行系统修复前提醒广大用户请做好系统备份,特别是系统状态的备份。
- Windows vista至Windows 8.1,Windows server 2008至2012 R2版本的系统,安装KB3160005和KB3161949
- Windows 10,安装KB3163017;Windows 10(1511),安装KB3163018
- Windows XP和Windows server 2003 R2及更早版本系统,建议禁用WINS/NetBT名称解析,并停止使用主机文件条目的 WPAD
具体实施Windows server 2008至2012 R2版本服务器操作系统
- 下载系统对应版本的补丁文件:
KB3160005: Windows server 2008: https://www.microsoft.com/zh-cn/download/details.aspx?id=52921 https://www.microsoft.com/zh-cn/download/details.aspx?id=52934 Windows server 2008 R2: https://www.microsoft.com/zh-cn/download/details.aspx?id=52932 Windows server 2012: https://www.microsoft.com/zh-cn/download/details.aspx?id=52929 Windows server 2012 R2: https://www.microsoft.com/zh-cn/download/details.aspx?id=52918 KB3161949: Windows server 2008: https://www.microsoft.com/zh-cn/download/details.aspx?id=52920 https://www.microsoft.com/zh-cn/download/details.aspx?id=52904 Windows server 2008 R2: https://www.microsoft.com/zh-cn/download/details.aspx?id=52931 Windows server 2012: https://www.microsoft.com/zh-cn/download/details.aspx?id=52907 Windows server 2012 R2: https://www.microsoft.com/zh-cn/download/details.aspx?id=52917 2. 安装补丁 KB3160005和 KB3161949; Windows server 2008需要更新至SP2,安装IE9,才能正常安装 KB3160005和 KB3161949 Windows server 2008 R2需要更新至SP1,安装IE11,才能正常安装 KB3160005和 KB3161949 Windows server 2012可直接安装KB3160005和 KB3161949 Windows server 2012 R2需要先安装KB2919442后安装KB2919355,且安装先后顺序不能调换;然后才能正常安装KB3160005和 KB3161949; KB2919442:https://www.microsoft.com/zh-CN/download/details.aspx?id=42153 KB2919355:https://www.microsoft.com/zh-cn/download/details.aspx?id=42334 3. 重启服务器 4. 回滚方法:卸载补丁 KB3160005和 KB3161949,重启服务器 Windows server 2003 R2及更早版本服务器操作系统
- 微软并没有发布2003R2及以前版本的系统的补丁,故只能采取变通的办法解决。
- 禁用 WINS/NetBT 名称解析 a) 打开网络连接。 b) 单击要静态配置的“本地连接”,然后从“文件”菜单中,单击“属性”。 c) 在组件列表中,单击“Internet 协议 (TCP/IP)”,然后单击“属性”。 d) 单击“高级”,单击“WINS”选项卡,然后单击“禁用 TCP/IP 上的 NetBIOS”。
- 停止使用主机文件条目的 WPAD a) 以管理员身份打开位于以下位置的主机文件:%systemdrive%\Windows\System32\Drivers\etc\hosts b) 在主机文件中为 WPAD 创建下列条目︰wpad 255.255.255.255
- 变通办法的影响。 自动代理发现无法运行,因此某些应用程序(例如 Internet Explorer)将无法正确加载网站。
- 如何撤消变通办法。 a) 恢复WINS/NetBT 名称解析设置(一般情况下选择默认) b) 以管理员身份打开位于以下位置的主机文件:%systemdrive%\Windows\System32\Drivers\etc\hosts c) 在主机文件中为 WPAD 删除下列条目︰wpad 255.255.255.255
Windows 10(1511)版本操作系统
- 利用Windows update自动下载补丁 KB 3163018,或者在微软官网手动下载:
http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB3163018
- 安装补丁
- 重启操作系统
- 回滚方法:卸载补丁KB 3163018,重启操作系统
Windows 10版本操作系统
- 利用Windows update自动下载补丁 KB 3163017,或者在微软官网手动下载: http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB3163017
- 安装补丁
- 重启操作系统
- 回滚方法:卸载补丁KB 3163017,重启操作系统
Windows vista至Windows 8.1版本操作系统
- 利用Windows update自动下载补丁:KB3160005和 KB3161949,或者手动下载对应操作系统的补丁: http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB3160005 http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB3161949
- 安装补丁,如果发现不能安装,请将操作系统补丁更新至最新,并将IE升级至最新,然后再安装KB3160005和 KB3161949
- 重启操作系统
- 回滚方法:卸载补丁KB3160005和 KB3161949,重启操作系统
Windows XP及更早版本系统
- 微软并没有发布XP及以前版本的系统的补丁,故只能采取变通的办法解决。
- 禁用 WINS/NetBT 名称解析 a) 打开网络连接。 b) 单击要静态配置的“本地连接”,然后从“文件”菜单中,单击“属性”。 c) 在组件列表中,单击“Internet 协议 (TCP/IP)”,然后单击“属性”。 d) 单击“高级”,单击“WINS”选项卡,然后单击“禁用 TCP/IP 上的 NetBIOS”。
- 停止使用主机文件条目的 WPAD a) 以管理员身份打开位于以下位置的主机文件:%systemdrive%\Windows\System32\Drivers\etc\hosts b) 在主机文件中为 WPAD 创建下列条目︰wpad 255.255.255.255
- 变通办法的影响。 自动代理发现无法运行,因此某些应用程序(例如 Internet Explorer)将无法正确加载网站。
- 如何撤消变通办法。 a) 恢复WINS/NetBT 名称解析设置(一般情况下选择默认) b) 以管理员身份打开位于以下位置的主机文件:%systemdrive%\Windows\System32\Drivers\etc\hosts c) 在主机文件中为 WPAD 删除下列条目︰wpad 255.255.255.255