由hcp協定引起的漏洞
微軟安全公告MS04-015
安全漏洞CN-VA04-21
發布日期:2004-05-18
漏洞影響:遠程執行代碼
漏洞評估:中危
漏洞介紹
5月11日,微軟公布了存在於Windows XP和Windows Server 2003兩款作業系統中的安全漏洞。微軟表示,該安全漏洞為黑客遠程執行惡意代碼提供了可乘之機。據悉,微軟公司將該安全漏洞定為二級危險,即“重大級”。而賽門鐵克則將該漏洞視為“高風險”級別,並表示,如果該漏洞被黑客所利用,後果則不堪構想。微軟公司表示,該漏洞主要是由於Windows的“幫助和支持中心”在驗證所傳送信息時的驗證方式所致。目前,該漏洞的安全補丁已經發布在公司的網站上,微軟建議這兩款作業系統的用戶儘快下載並安裝該補丁程式。至於該漏洞的威脅等級,微軟安全回響中心的安全程式經理Stephen Toulouse表示,只有當無需用戶進行任何操作即被攻擊時,微軟才將該漏洞視為最高級安全漏洞。因此,微軟將此次發現的安全漏洞視為二級威脅。據微軟和賽門鐵克稱,黑客要利用該漏洞對計算機進行更新,很有可能將事先某個惡意站點偽裝成“系統更新地址”,然後再引誘計算機用戶執行某些操作。
分析
“幫助和支持中心(HSC)”是window中的幫助功能,可提供類似於是否需要下載安裝更新軟體等各種幫助。HCP協定可以通過URL連結來開啟幫助和支持中心功能,與能夠通過標有http協定的URL能夠開啟ie瀏覽器的功能非常相似。
“幫助和支持中心”存在一個遠程執行代碼漏洞,導致此漏洞的原因是“幫助和支持中心”處理 HCP URL 驗證的方式。攻擊者可以通過建立惡意的 HCP URL 來利用此漏洞,如果用戶訪問了惡意 Web 站點或查看了惡意的電子郵件,此惡意的
HCP URL 就可能允許遠程執行代碼。成功利用此漏洞的攻擊者可以完全控制受影響的系統。不過,要利用此漏洞,需要執行大量用戶互動。
要利用此漏洞,攻擊者必須擁有一個惡意 Web 站點,然後誘使用戶查看該 Web 站點。攻擊者還可能創建一個包含特製連結的 HTML 電子郵件,然後誘使用戶查看該 HTML 電子郵件並單擊惡意連結。如果用戶單擊了這個連結,將會使用攻擊者選擇的
HCP URL 打開一個 Internet Explorer 視窗。不過,此時還需要更多用戶互動操作。在單擊此連結後,會提示用戶執行幾項操作。只有在用戶執行這些操作之後才會遭到攻擊。
成功利用此漏洞的攻擊者可以完全控制受影響的系統,其中包括:安裝程式;查看、更改或刪除數據;或者創建擁有完全許可權的新帳戶等。
如果一個用戶以管理許可權登錄,攻擊者利用此漏洞可以完全控制受此漏洞影響的系統,包括安裝程式、查看、修改、刪除數據;或者建立擁有所有許可權的新帳號。擁有較少許可權的用戶比那些擁有管理許可權的用戶相對危險小。
受影響版本
Microsoft Windows XP and Microsoft Windows XP Service Pack 1
Microsoft Windows XP 64-Bit Edition Service Pack
Microsoft Windows XP 64-Bit Edition Version 2003
Microsoft Windows Server 2003
Microsoft Windows Server 2003 64-Bit Edition
未受影響平台
Microsoft Windows NT® Workstation 4.0 Service Pack 6a
Microsoft Windows NT Server 4.0 Service Pack 6a
Microsoft Windows NT Server 4.0 TERMINAL SERVER Edition Service Pack
6
Microsoft Windows 2000 Service Pack 2
Microsoft Windows 2000 Service Pack 3
Microsoft Windows 2000 Service Pack 4
Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE)
Microsoft Windows Millennium Edition (ME)
解決方案
用戶應該儘早安裝補丁。
臨時解決辦法
如果您無法及時的安裝相應的補丁程式,你可以使用以下幾種方法,這些方法已經經過Microsoft測試。雖然這些變通辦法不能從根本上糾正此漏洞,但它們有助於阻塞已知的攻擊媒介:
註銷 HCP 協定為幫助阻止攻擊,可通過刪除以下註冊表項註銷 HCP 協定:HKEY_CLASSES_ROOT\HCP。為此,可執行以下步驟:
1.單擊"開始",然後單擊"運行"。
2.鍵入regedit, 然後單擊 "確定"。註冊表編輯器程式啟動。
3.展開 HKEY_CLASSES_ROOT, 突出顯示 HCP 項。
4.右鍵單擊HCP項,然後單擊 "刪除"。
注意:註冊表編輯器使用不當會導致嚴重的問題,也許需要重新安裝。
變通辦法的影響:注消 HCP 協定會中斷本機中所有使用 hcp:// 的合法幫助連結。
如果使用的是 Outlook 2002 或更高版本,或者使用的是 Outlook Express 6 SP1 或更高版本,請用純文本格式閱讀電子郵件,幫助保護自己免受來自
HTML 電子郵件攻擊媒介的攻擊。
變通辦法的影響:用純文本格式查看的電子郵件中不會包含圖片、特殊字型、動畫或其他富格式內容。
補丁下載:
Microsoft Windows XP and Microsoft Windows XP Service Pack 1 下載更新[中文]
Microsoft Windows XP 64-Bit Edition Service Pack 1 下載更新[英文]
Microsoft Windows XP 64-Bit Edition Version 2003 下載更新[英文]
Microsoft Windows Server 2003 下載更新[中文]
Microsoft Windows Server 2003 64-Bit Edition 下載更新[英文]
HCP新型漏洞
簡介2010年6月10日,WindowsXP爆出一個新的HCP漏洞:
微軟安全公告2219475
安全漏洞CVE-2010-1885
發布日期:2010-06-10
遠程執行代碼
漏洞評估高危
漏洞描述微軟剛剛發布6月補丁,WindowsXP就又曝出一個新型HCP協定漏洞。
經360安全中心驗證,當WindowsXP用戶使用IE系列瀏覽器打開掛馬網頁,或是播放“染毒”的音樂檔案時,電腦將自動彈出“幫助和支持中心”,並自動下載運行木馬程式,從而被黑客任意遙控擺布。HCP協定用於Windows的“幫助和支持中心”,由於IE瀏覽器默認可以利用該協定打開“幫助和支持中心”,用戶一旦訪問攻擊HCP協定漏洞的掛馬網頁,黑客預先設定的惡意腳本將自動運行起來,並且自動打開Windows“幫助和支持中心”,而木馬就會在這個時候侵入網民電腦。IE用戶如果看到“Windows‘幫助和支持中心”自己彈了出來,說明電腦已經受到了掛馬網頁的攻擊,必須儘快使用360安全衛士、360防毒等安全軟體進行全盤掃描查殺。除掛馬網頁外,黑客還可以把漏洞攻擊代碼嵌入到ASX等音樂媒體檔案中,當網民打開這些“染毒”音樂時,電腦同樣會中招。也就是說,只要是WindowsXP用戶,即便平常不使用IE瀏覽器,也會受到漏洞的危害。
防漏洞攻擊方案
微軟官方已經確認HCP協定漏洞(微軟安全建議編號:2219475),但並未透露何時發布官方補丁。360安全中心建議網民,在微軟發布官方補丁修復HCP協定漏洞前,應按照如下方案防範漏洞攻擊:
1、安裝使用360安全衛士7.1正式版,自動提示WindowsXP用戶以臨時補丁禁止HCP協定漏洞,在微軟發布官方補丁時可以完全兼容。同時,360“木馬防火牆”採用獨創的“億級雲防禦”技術,能夠全方位主動防禦木馬的入侵攻擊;
2、如果未能及時安裝使用360臨時補丁,在看到電腦自動彈出Windows“幫助和支持中心”的情況時,應儘快使用有效的安全軟體全盤掃描查殺木馬病毒;
3、非360用戶可暫時手工關閉HCP功能,在微軟發布補丁後再重新開啟。