专栏首页嘉为科技的专栏紧急安全公告—BadTunnel漏洞修复—2016年6月20日

紧急安全公告—BadTunnel漏洞修复—2016年6月20日

6月14日,微软安全公告上发布了高危漏洞BadTunnel:CVE-2016-3213。CVE-2016-3213即Windows WPAD 特权提升漏洞,当 Web 代理自动发现 (WPAD) 协议回退到易受攻击的代理发现进程时,MicrosoftWindows 中存在特权提升漏洞,攻击者可通过响应WPAD 的NetBIOS 名称请求来利用此漏洞,成功利用此漏洞的攻击者可以规避安全检查,并能在目标系统上获得特权提升。该漏洞可以影响从Windows95到Windows10所有版本的操作系统,可能是Windows史上影响范围最广泛的漏洞。

BadTunnel漏洞详细信息如下:

标题

BadTunnel漏洞修复

简述

BadTunnel漏洞主要是由一系列各自单独设计的协议和特性协同工作导致的。一个成功的漏洞利用需要伪造NetBIOS连接,使不同设备上的软件通过局域网进行通信。即使攻击者不在目标网络中,仍然可以绕过防火墙和NAT设备,通过猜出正确的网络设备标识符(即事务ID),在网络中建立可信的交互,将网络流量全部重定向到攻击者的计算机。 攻击者可将计算机伪装成网络设备,例如本地打印机服务器或文件服务器。他们不仅可以监听未加密流量,也可以拦截和篡改Windows更新下载。另外,还可以在受害者访问的网页中实施进一步攻击,例如,他们可以通过向浏览器缓存的页面中插入代码,使攻击者和目标之间的通道保持开放状态。

BadTunnel 漏洞说明

关于BadTunnel漏洞,可查看CVE官网发布的漏洞信息和微软官网发布的安全公告:http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-3213https://technet.microsoft.com/zh-cn/library/ms16-063.aspxhttps://technet.microsoft.com/library/security/MS16-077BadTunnel漏洞影响的系统版本如下:a) 客户端操作系统:Windows 95至Windows 10(1511)的所有版本操作系统b) 服务器操作系统:Windows server 2003至Windows server 2012 R2所有版本操作系统

漏洞修复方法

在进行系统修复前提醒广大用户请做好系统备份,特别是系统状态的备份。Windows vista至Windows 8.1,Windows server 2008至2012 R2版本的系统,安装KB3160005和KB3161949Windows 10,安装KB3163017;Windows 10(1511),安装KB3163018Windows XP和Windows server 2003 R2及更早版本系统,建议禁用WINS/NetBT名称解析,并停止使用主机文件条目的 WPAD

具体实施

Windows server 2008至2012 R2版本服务器操作系统下载系统对应版本的补丁文件: KB3160005: Windows server 2008:https://www.microsoft.com/zh-cn/download/details.aspx?id=52921https://www.microsoft.com/zh-cn/download/details.aspx?id=52934 Windows server 2008 R2:https://www.microsoft.com/zh-cn/download/details.aspx?id=52932 Windows server 2012:https://www.microsoft.com/zh-cn/download/details.aspx?id=52929 Windows server 2012 R2:https://www.microsoft.com/zh-cn/download/details.aspx?id=52918 KB3161949: Windows server 2008: https://www.microsoft.com/zh-cn/download/details.aspx?id=52920https://www.microsoft.com/zh-cn/download/details.aspx?id=52904 Windows server 2008 R2:https://www.microsoft.com/zh-cn/download/details.aspx?id=52931 Windows server 2012:https://www.microsoft.com/zh-cn/download/details.aspx?id=52907 Windows server 2012 R2:https://www.microsoft.com/zh-cn/download/details.aspx?id=52917 2. 安装补丁 KB3160005和 KB3161949; Windows server 2008需要更新至SP2,安装IE9,才能正常安装 KB3160005和 KB3161949 Windows server 2008 R2需要更新至SP1,安装IE11,才能正常安装 KB3160005和 KB3161949 Windows server 2012可直接安装KB3160005和 KB3161949 Windows server 2012 R2需要先安装KB2919442后安装KB2919355,且安装先后顺序不能调换;然后才能正常安装KB3160005和 KB3161949; KB2919442:https://www.microsoft.com/zh-CN/download/details.aspx?id=42153 KB2919355:https://www.microsoft.com/zh-cn/download/details.aspx?id=423343. 重启服务器4. 回滚方法:卸载补丁 KB3160005和 KB3161949,重启服务器Windows server 2003 R2及更早版本服务器操作系统微软并没有发布2003R2及以前版本的系统的补丁,故只能采取变通的办法解决。禁用 WINS/NetBT 名称解析 a) 打开网络连接。b) 单击要静态配置的“本地连接”,然后从“文件”菜单中,单击“属性”。c) 在组件列表中,单击“Internet 协议 (TCP/IP)”,然后单击“属性”。d) 单击“高级”,单击“WINS”选项卡,然后单击“禁用 TCP/IP 上的 NetBIOS”。停止使用主机文件条目的 WPAD a) 以管理员身份打开位于以下位置的主机文件:%systemdrive%\Windows\System32\Drivers\etc\hostsb) 在主机文件中为 WPAD 创建下列条目︰wpad 255.255.255.255变通办法的影响。自动代理发现无法运行,因此某些应用程序(例如 Internet Explorer)将无法正确加载网站。 如何撤消变通办法。a) 恢复WINS/NetBT 名称解析设置(一般情况下选择默认)b) 以管理员身份打开位于以下位置的主机文件:%systemdrive%\Windows\System32\Drivers\etc\hostsc) 在主机文件中为 WPAD 删除下列条目︰wpad 255.255.255.255Windows 10(1511)版本操作系统利用Windows update自动下载补丁 KB 3163018,或者在微软官网手动下载:http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB3163018安装补丁重启操作系统回滚方法:卸载补丁KB 3163018,重启操作系统Windows 10版本操作系统利用Windows update自动下载补丁 KB 3163017,或者在微软官网手动下载:http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB3163017安装补丁重启操作系统回滚方法:卸载补丁KB 3163017,重启操作系统Windows vista至Windows 8.1版本操作系统利用Windows update自动下载补丁:KB3160005和 KB3161949,或者手动下载对应操作系统的补丁:http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB3160005http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB3161949安装补丁,如果发现不能安装,请将操作系统补丁更新至最新,并将IE升级至最新,然后再安装KB3160005和 KB3161949重启操作系统回滚方法:卸载补丁KB3160005和 KB3161949,重启操作系统Windows XP及更早版本系统微软并没有发布XP及以前版本的系统的补丁,故只能采取变通的办法解决。禁用 WINS/NetBT 名称解析 a) 打开网络连接。b) 单击要静态配置的“本地连接”,然后从“文件”菜单中,单击“属性”。c) 在组件列表中,单击“Internet 协议 (TCP/IP)”,然后单击“属性”。d) 单击“高级”,单击“WINS”选项卡,然后单击“禁用 TCP/IP 上的 NetBIOS”。停止使用主机文件条目的 WPAD a) 以管理员身份打开位于以下位置的主机文件:%systemdrive%\Windows\System32\Drivers\etc\hostsb) 在主机文件中为 WPAD 创建下列条目︰wpad 255.255.255.255变通办法的影响。自动代理发现无法运行,因此某些应用程序(例如 Internet Explorer)将无法正确加载网站。如何撤消变通办法。a) 恢复WINS/NetBT 名称解析设置(一般情况下选择默认)b) 以管理员身份打开位于以下位置的主机文件:%systemdrive%\Windows\System32\Drivers\etc\hostsc) 在主机文件中为 WPAD 删除下列条目︰wpad 255.255.255.255

  1. 关于BadTunnel漏洞,可查看CVE官网发布的漏洞信息和微软官网发布的安全公告: http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-3213 https://technet.microsoft.com/zh-cn/library/ms16-063.aspx https://technet.microsoft.com/library/security/MS16-077
  2. BadTunnel漏洞影响的系统版本如下: a) 客户端操作系统:Windows 95至Windows 10(1511)的所有版本操作系统 b) 服务器操作系统:Windows server 2003至Windows server 2012 R2所有版本操作系统

漏洞修复方法在进行系统修复前提醒广大用户请做好系统备份,特别是系统状态的备份。

  1. Windows vista至Windows 8.1,Windows server 2008至2012 R2版本的系统,安装KB3160005和KB3161949
  2. Windows 10,安装KB3163017;Windows 10(1511),安装KB3163018
  3. Windows XP和Windows server 2003 R2及更早版本系统,建议禁用WINS/NetBT名称解析,并停止使用主机文件条目的 WPAD

具体实施Windows server 2008至2012 R2版本服务器操作系统

  1. 下载系统对应版本的补丁文件:

KB3160005: Windows server 2008: https://www.microsoft.com/zh-cn/download/details.aspx?id=52921 https://www.microsoft.com/zh-cn/download/details.aspx?id=52934 Windows server 2008 R2: https://www.microsoft.com/zh-cn/download/details.aspx?id=52932 Windows server 2012: https://www.microsoft.com/zh-cn/download/details.aspx?id=52929 Windows server 2012 R2: https://www.microsoft.com/zh-cn/download/details.aspx?id=52918 KB3161949: Windows server 2008: https://www.microsoft.com/zh-cn/download/details.aspx?id=52920 https://www.microsoft.com/zh-cn/download/details.aspx?id=52904 Windows server 2008 R2: https://www.microsoft.com/zh-cn/download/details.aspx?id=52931 Windows server 2012: https://www.microsoft.com/zh-cn/download/details.aspx?id=52907 Windows server 2012 R2: https://www.microsoft.com/zh-cn/download/details.aspx?id=52917 2. 安装补丁 KB3160005和 KB3161949; Windows server 2008需要更新至SP2,安装IE9,才能正常安装 KB3160005和 KB3161949 Windows server 2008 R2需要更新至SP1,安装IE11,才能正常安装 KB3160005和 KB3161949 Windows server 2012可直接安装KB3160005和 KB3161949 Windows server 2012 R2需要先安装KB2919442后安装KB2919355,且安装先后顺序不能调换;然后才能正常安装KB3160005和 KB3161949; KB2919442:https://www.microsoft.com/zh-CN/download/details.aspx?id=42153 KB2919355:https://www.microsoft.com/zh-cn/download/details.aspx?id=42334 3. 重启服务器 4. 回滚方法:卸载补丁 KB3160005和 KB3161949,重启服务器 Windows server 2003 R2及更早版本服务器操作系统

  1. 微软并没有发布2003R2及以前版本的系统的补丁,故只能采取变通的办法解决。
  2. 禁用 WINS/NetBT 名称解析 a) 打开网络连接。 b) 单击要静态配置的“本地连接”,然后从“文件”菜单中,单击“属性”。 c) 在组件列表中,单击“Internet 协议 (TCP/IP)”,然后单击“属性”。 d) 单击“高级”,单击“WINS”选项卡,然后单击“禁用 TCP/IP 上的 NetBIOS”。
  3. 停止使用主机文件条目的 WPAD a) 以管理员身份打开位于以下位置的主机文件:%systemdrive%\Windows\System32\Drivers\etc\hosts b) 在主机文件中为 WPAD 创建下列条目︰wpad 255.255.255.255
  4. 变通办法的影响。 自动代理发现无法运行,因此某些应用程序(例如 Internet Explorer)将无法正确加载网站。
  5. 如何撤消变通办法。 a) 恢复WINS/NetBT 名称解析设置(一般情况下选择默认) b) 以管理员身份打开位于以下位置的主机文件:%systemdrive%\Windows\System32\Drivers\etc\hosts c) 在主机文件中为 WPAD 删除下列条目︰wpad 255.255.255.255

Windows 10(1511)版本操作系统

  1. 利用Windows update自动下载补丁 KB 3163018,或者在微软官网手动下载:

http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB3163018

  1. 安装补丁
  2. 重启操作系统
  3. 回滚方法:卸载补丁KB 3163018,重启操作系统

Windows 10版本操作系统

  1. 利用Windows update自动下载补丁 KB 3163017,或者在微软官网手动下载: http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB3163017
  2. 安装补丁
  3. 重启操作系统
  4. 回滚方法:卸载补丁KB 3163017,重启操作系统

Windows vista至Windows 8.1版本操作系统

  1. 利用Windows update自动下载补丁:KB3160005和 KB3161949,或者手动下载对应操作系统的补丁: http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB3160005 http://catalog.update.microsoft.com/v7/site/Search.aspx?q=KB3161949
  2. 安装补丁,如果发现不能安装,请将操作系统补丁更新至最新,并将IE升级至最新,然后再安装KB3160005和 KB3161949
  3. 重启操作系统
  4. 回滚方法:卸载补丁KB3160005和 KB3161949,重启操作系统

Windows XP及更早版本系统

  1. 微软并没有发布XP及以前版本的系统的补丁,故只能采取变通的办法解决。
  2. 禁用 WINS/NetBT 名称解析 a) 打开网络连接。 b) 单击要静态配置的“本地连接”,然后从“文件”菜单中,单击“属性”。 c) 在组件列表中,单击“Internet 协议 (TCP/IP)”,然后单击“属性”。 d) 单击“高级”,单击“WINS”选项卡,然后单击“禁用 TCP/IP 上的 NetBIOS”。
  3. 停止使用主机文件条目的 WPAD a) 以管理员身份打开位于以下位置的主机文件:%systemdrive%\Windows\System32\Drivers\etc\hosts b) 在主机文件中为 WPAD 创建下列条目︰wpad 255.255.255.255
  4. 变通办法的影响。 自动代理发现无法运行,因此某些应用程序(例如 Internet Explorer)将无法正确加载网站。
  5. 如何撤消变通办法。 a) 恢复WINS/NetBT 名称解析设置(一般情况下选择默认) b) 以管理员身份打开位于以下位置的主机文件:%systemdrive%\Windows\System32\Drivers\etc\hosts c) 在主机文件中为 WPAD 删除下列条目︰wpad 255.255.255.255

本文分享自微信公众号 - 嘉为科技(canway_service),作者:嘉为科技

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2016-07-06

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 微软安全公告—2016年5月

    微软于北京时间2016年5月10日发布了16个新的安全公告,其中8个为严重等级,8个为重要等级。本次更新主要修复Windows、Internet...

    嘉为科技
  • 微软安全公告—2016年11月

    微软于北京时间2016年11月8日发布了14个新的安全公告,其中6个为严重等级,8个为重要等级。本次更新主要修复Windows、InternetExplorer...

    嘉为科技
  • 微软安全公告—2016年12月

    微软于北京时间2016年12月13日发布了12个新的安全公告,其中6个为严重等级,6个为重要等级。本次更新主要修复Windows、Internet Explo...

    嘉为科技
  • 微软发布新一代命令行利器 Windows Terminal (附安装教程)

    微软最近在 Build 2019 开发者大会上发布了一款引人注目的全新的命令行应用程序 —— Windows Terminal!Windows Terminal...

    iMike
  • Windows 7 时代即将终结!

    2009 年诞生的 Windows 7 终究没能超过 Windows XP 13 岁的寿命。

    Rookie
  • 微软安全公告—2016年5月

    微软于北京时间2016年5月10日发布了16个新的安全公告,其中8个为严重等级,8个为重要等级。本次更新主要修复Windows、Internet...

    嘉为科技
  • Win8快捷键

    FHYC
  • Windows Developer Day Review

    北京时间 3 月 8 日凌晨 1 点钟,今年的第一次 Windows Developer Day 正式召开。 ? ? 因为时间太晚看不了直播,我也是第二天早上在...

    Shao Meng
  • 微软自打脸,Windows 7 再次成为微软的头号桌面操作系统

    源 / 开源中国 文 / OSC - 周其 微软官方表示 Windows 10 用户一直在增长,该公司的统计数据显示,该操作系统在 2 月份就超过 6...

    顶级程序员
  • Windows的版本号

    明天(10月22日),备受瞩目的Windows 7就要上市了。 奇怪的是,虽然从名字上看,它是Windows操作系统的7.0版本,但是它的内部版本号却是Wind...

    ruanyf

扫码关注云+社区

领取腾讯云代金券