來源:環球時報
本報記者 馬 俊 趙覺珵
編者按:美國微軟公司14日剛宣告Windows 7系統停止更新,官方停止技術支持、軟件更新和安全問題的修復,國內最大的網絡安全企業360公司15日就披露,一場復合利用IE瀏覽器和火狐瀏覽器兩個漏洞的攻擊風暴悄然突襲,這意味著國內多達六成、仍在使用Windows 7系統的電腦用戶無法從微軟官方獲得支持,將直面各類利用漏洞等威脅進行的攻擊。
“雙星”攻擊威脅有多大?
從1月14日開始,很多使用Windows 7系統的電腦用戶開機時都會看到“Windows 7系統停止更新”的藍色通知頁面。除了關掉頁面外,不少人都對此不以為然。但看不見的威脅已經到來。根據360公司的通告,近日爆發的這場被命名為“雙星”的0day漏洞攻擊,采用前所未有的同時復合利用IE瀏覽器和火狐瀏覽器兩個0day漏洞的模式。
360集團首席安全技術官鄭文彬16日告訴《環球時報》記者,根據360安全大腦監測到的惡意樣本,發現攻擊者使用組合兩個0day漏洞的惡意網頁進行攻擊,無論IE瀏覽器還是火狐瀏覽器打開都會中招。用戶在毫無防備的情況下,可被植入勒索病毒,甚至被黑客監聽監控,執行竊取敏感信息等任意操作。據介紹,如此威脅巨大的“雙星”0day漏洞已疑似被活躍近十余年的半島APT組織——Darkhotel(APT-C-06)利用。從此次截獲的“雙星”0day漏洞攻擊來看,Darkhotel(APT-C-06)攻擊技術驟然升級,已從單個瀏覽器0day漏洞,躍升為雙瀏覽器0day漏洞利用,威脅與破壞性遠超以往。
鄭文彬強調說,這次出現的漏洞是Windows 7系統停服后的首個0day漏洞。盡管這次的漏洞不是Windows 7系統專屬,但Windows 7系統停服后不會再更新安全補丁。對Windows 7系統用戶來說,“雙星”漏洞帶來的潛在傷害難以預估。目前火狐瀏覽器的0day漏洞現已被Mozilla官方修復,但是IE瀏覽器仍暴露于“雙星”漏洞攻擊威脅之中。
還會出現后續漏洞嗎?
據統計,直至2019年10月底,國內Windows 7系統的市場份額占比仍有近六成。微軟放棄Windows 7系統更新,且未聯合安全廠商繼續支持安全防護,這意味著龐大的用戶失去了微軟官方的所有支持,包括軟件更新、補丁修復和防火墻保障,將直面各類利用漏洞等威脅進行的攻擊。由此可能帶來的后果已經有過先例:2017年5月,WindowsXP系統停服3年后,利用Windows系統SMB漏洞席卷全球的WannaCry勒索病毒,橫掃150個國家政府、學校、醫院、金融、航班等各領域,讓世界墜入勒索漩渦。2019年5月,WannaCry爆發兩年之后,堪比“永恒之藍”的Bluekeep高危遠程漏洞,再次讓全球400萬臺主機暴露在漏洞暴風眼下。
為何操作系統的漏洞層出不窮?有沒有方法能一勞永逸地解決系統漏洞問題?這次出現的“0day漏洞”,是指系統商在知曉并發布相關補丁前就被黑客組織掌握或者公開的漏洞信息。業內著名的案例是2005年12月8日,幾乎影響Windows所有操作系統的WMF漏洞在網上公開,雖然微軟在8天后緊急發布了安全補丁,但就在這8天內出現了200多個利用此漏洞的攻擊腳本。
由于所有軟件都是人編寫的,是人做的就會犯錯誤。相關統計顯示,平均每1000行代碼里會有4到6個錯誤。Windows7系統的代碼多達數千萬行,其中存在漏洞數量之多可想而知,想要徹底消除這些漏洞是“不可能完成的任務”。鄭文彬表示,網絡攻擊無時無刻都在對系統的安全防護進行刺探,因此隨時都可能暴露出新的漏洞。很難說會不會有黑客組織利用尚未公開的0day漏洞作惡或等待合適的時機再出手——比如微軟宣布Windows7系統停服。值得慶幸的是,盡管黑客攻擊可能會因為某個漏洞的曝光讓攻擊頻次達到高峰,但漏洞修復后也會大幅度阻斷攻擊的途徑,讓攻擊減少。
普通用戶如何應對?
毫無疑問,如果windows系統一旦出現新的安全漏洞,用戶將不可避免地遭受攻擊,個人、企業和相關機構都會受到影響。鄭文彬建議,為了減輕Windows 7系統受安全漏洞的影響和防止將來被黑客攻擊,安全軟件變得至關重要,首先用戶需要選擇能夠真正抵御各類安全威脅的安全軟件保護自己。在WannaCry勒索病毒橫行時,多國高校以及公共部門的電腦中招,其中重要原因之一就是網絡安全意識薄弱,沒有及時更新系統補丁,而那些仍在使用早已停止更新服務的WindowsXP系統的用戶,也沒有安裝可靠的安全軟件。
國內知名“白帽”淪淪16日接受《環球時報》記者采訪時分析稱,Win 7系統的停更對普通用戶來說風險是較大的。最近微軟被爆出多個遠程代碼執行漏洞,如CVE-2020-0609和CVE-2020-0610,雖然上述漏洞不是針對Win7系統的,但也可以看出停更對于Win7今后的安全性影響還是比較大的。Win7停更給普通用戶帶來的主要安全風險是未知安全漏洞的利用與攻擊,比如像之前的MS17010這種0day級別的漏洞,普通用戶被侵入的風險就會比較大。
淪淪解釋稱,Win7停更之后的具體安全風險,還要取決于新漏洞的影響和利用范圍。事實上,Windows系統每年都會有一些安全問題爆出,漏洞是修不完的。舉例而言,微軟更新的某個功能就有可能存在漏洞,也有可能微軟的某個軟件出現漏洞,可以和Win7系統進行結合利用等。
淪淪表示,普通用戶目前需要做的就是及時更新殺毒軟件,平時上網安裝的軟件最好都去官網下載使用,關閉高風險端口。一般還是建議把系統更新為Win10,這樣會更好地保護系統不被人利用漏洞侵入。對于企業和機構用戶而言,目前微軟公司還會提供安全更新,但在未來有可能也會遇到停更,用戶的風險也增加了。
鄭文彬表示,更根本的解決方案是用戶盡快升級到Win10操作系統,這樣能得到微軟官方更好的安全支持。
針對這次“雙星”漏洞攻擊事件,360公司提醒說,請勿隨意打開未知來路的office文檔。尤其是Windows 7系統用戶,應及時做好準備、全力應對系統停服后帶來的安全問題,可通過權威網絡安全公司提供的Win7安全防護措施提升電腦安全性。同時,提醒各相關企、事業單位,警惕利用“雙星”漏洞發動的定向攻擊,密切跟蹤該漏洞的最新情況,及時使用安全軟件防御可能的漏洞攻擊。
微軟也提供了應對方法。一是對于擁有一臺PC還不到3年的用戶,可以嘗試付費升級,軟件起售價139美元;二是對使用PC已達3年以上的用戶,建議直接購買已經內置有Win10系統的新PC。
除了之前介紹的可以通過門戶的圖形化界面訪問控制我們的Azure以外,我們還可以通過PowerShell的方式連接Azure進行一些更為深入和復雜的控制和配置;當然我的博客Azure系列文章中能盡量簡化讓點擊使用圖形化的地方我是盡量采用圖形化的操作給大家分享的,當然介紹PowerShell也是為后面一些沒法用圖形化解決問題時而采取的必要手段之一了。使用Powershell連接Azure無論是國際版還是國內版首先第一次第一步都是先完成1-2節內容,完成以后,除了Azure Powershell版本更新外,基本以后使用Powershell連接Azure都是從第3節開始了。
以管理員方式打開Powershell
首先安裝Powershell最新版本
場景
安裝說明
Windows 10
Windows Server 2016
內置在 OS 隨附的 Windows Management Framework (WMF) 5.0 中
我想要升級到 PowerShell 5
運行以下命令:
Install-Module PowerShellGet -Force我正在運行某個包含 PowerShell 3 或 PowerShell 4 的 Windows 版本
運行以下命令:
Install-Module PowerShellGet -Force安裝 PowerShell 庫中的項需要 PowerShellGet 模塊。 請確保使用適當版本的 PowerShellGet 并滿足其他系統要求。 運行以下命令,確定是否已在系統上安裝 PowerShellGet
Get-Module -Name PowerShellGet -ListAvailable | Select-Object -Property Name,Version,Path會看到類似于下面的信息
Install-Module PowerShellGet -ForceSet-ExecutionPolicy RemoteSignedInstall-Module -Name AzureRM -AllowClobber提示是否安裝,輸入Y或者A回車
Import-Module -Name AzureRMGet-AzureRmEnvironment | Select-Object Name可以看到有中國版、國際版 、德國版、美國政府版
Login-AzureRmAccount回車后會彈出一個登錄框,輸入用戶名密碼即可。
Login-AzureRmAccount -EnvironmentName AzureChinaCloud回車后會彈出一個登錄框,輸入用戶名密碼即可
5.輸入完用戶名密碼登錄成功后看到訂閱信息
6.接下來就可以開始執行其他的配置和操作了,例如查看我的VM列表
-----------------------------------