过去在停车场丢弃U盘是希望有人捡起这些带有恶意软件的设备插到一些重要的计算机上,这些计算机是渗透测试人员和雄心勃勃的民族国家运动参与人员的目标。

现在却并非如此了。这些行为已经不再是主流,尽管曾出现在电视剧中(比如Mr.Robot)并且深入人心。

微软昨天修补了Windows 安装管理器上的MS15-085漏洞,它是mountmgr.sys的一个驱动,为动态磁盘和基本磁盘分配驱动程序。微软称这个漏洞正被利用而进行攻击,所以要优先修补它。

有专家称,微软把漏洞CVE-2015-1769标定为“重要的”是因为它需要本地访问一台机器来利用,但是这不代表应该降低这个漏洞的重要性。

“即使是在锁定的无权限的环境中,如果攻击者能获得USB端口的访问,这个漏洞就可以使他们在系统上运行恶意代码。” Core Security的系统工程师Bobby Kuzma说。“幸亏这种攻击需要物理访问系统,这就使得它限制在特定环境和情况下。”

高端攻击者通过USB驱动传播恶意程序的最臭名昭著的例子就是Stuxnet蠕虫病毒了。攻击者使用USB让伊朗的纳坦兹铀浓缩设施的计算机感染了病毒;被Stuxnet感染的机器传播了病毒到USB和其他与电脑相连的外围设备上,目的是攻击没有连接过互联网的机器。

使用Tripwire的一位安全研究员Craig Young称,这次的漏洞有所不同。

Young 说“这个漏洞让人通过物理访问解锁的机器使用USB驱动来在用户通常注意不到的地方写文件,这使得提高权限变得简单,因为DLL可以被写到系统位置,通常作为system运行的代码被换成了攻击者的代码。

和其他漏洞相比,Stuxnet发掘了Windows Shell中的缺陷,这可以使用户和远程攻击者恶意 .LNK快捷方式文件执行代码。. 这个漏洞的发生是由于.LNK文件在windows文件浏览器和 Siemens WinCC SCADA系统中进行图标显示时不能正确的处理。恶意程序仅仅通过访问.LNK文件的目录就执行了。

3月,德国研究员Michael Heerklotz发现了2010年8月的原补丁不完整之后,微软再次修补.LNK相关的漏洞。Heerklotz向惠普ZDI(Zero Day Initiative)报告了这个错误,称windows用户已经被暴露了。Heerklotz说他找到一种方法,绕过微软的补丁开攻击没被原补丁检查过的其他部分的.LNK代码。

昨天修复的安装管理器的漏洞不是被远程攻击的。它确实允许提高权限并影响了windows的系统,包括windows10在内。

“这个特殊的漏洞是安全守则的一大例证——如果我能碰一下你的电脑,它就不是你的电脑了,” Kuzma说道,“组织机构应当重视他们系统的物理安全,并且重视访问控制以防未授权的用户得以访问,这一点是很重要的。检阅一下政策并控制USB媒介周边的设备也许是不错的想法。

微软称除了补丁,针对此次漏洞攻击也做了事件日志。

“事件日志将被每一个恶意的USB相关漏洞攻击并安装在系统上时触发。如果这样的事件被记录下来,这意味着企图利用这个漏洞的事件都将被阻止,”微软在一篇博客中提到,“所以一旦安装了此更新,公司审查时间日志将能够以此作为检测机制。这些事件将被记录在系统通道下并被报错。”