“你想過Win10的感受嗎？”這句話出自上周被編輯電話叫來修電腦的小哥之口。小哥告訴編輯，這原本是貼吧上一對腦洞大開的宅男修電腦時候的一段對白：

A：老鐵，我這電腦還有救嗎？

B：我看懸，這模樣看來是中了高危病毒，直接重裝系統(tǒng)吧！

A：噗~這就給我的Win10下了“病危通知書”？

B：那可不咋滴~

A：能用你高超的技術(shù)把這臺Win10救活嗎？

B：安全衛(wèi)士都不頂用，我這樣的“鄉(xiāng)村野醫(yī)”能有啥轍？

A：你想過Win10的感受嗎？

Emm~所以也許Windows系統(tǒng)在這兩位眼里其實是這樣的吧：

▲從左至右依次為Win8、Win10、Win7娘化形象

這只是個系統(tǒng)啊喂......（默默給島國人民雙擊666）

當(dāng)然，除宅男之外，不同牛人看到上面這張圖也會做出不同的反應(yīng)。這不，一位網(wǎng)絡(luò)安全從業(yè)者在看到上面的圖片后就在評論區(qū)留下了這樣一句直擊靈魂深處的話——Win系家族要真都是妹子，估計這會正在重診病房躺著呢吧？

此話怎講？原來，在他看來漏洞的數(shù)量就像是Win10系統(tǒng)可能“生病”的概率。那么，2018年Windows平臺的漏洞數(shù)量以及被利用情況究竟如何呢？從今天發(fā)布的這份《2018年Windows平臺漏洞年度報告》中我們可以一窺一二。

 

Windows家族最“體弱”

相比面對移動終端的安卓和iOS系統(tǒng)而言，2018年Windows系統(tǒng)的漏洞提交數(shù)量逐年遞增。相比過去三年，2018年的安全漏洞提交數(shù)量同比上升超過40%，安全漏洞的數(shù)量和嚴重性都創(chuàng)下歷史新高。

僅微軟自身而言，2018年共計發(fā)布了874個補丁，修復(fù)了728個漏洞，平均每月修復(fù)多達60個漏洞。在過去二十幾年，Windows操作系統(tǒng)的漏洞提交數(shù)量呈逐年上漲趨勢，而在近幾年真正進入爆發(fā)性增長態(tài)勢。

 

在所有漏洞影響的Windows產(chǎn)品中，Windows系統(tǒng)組件漏洞、瀏覽器漏洞、Office漏洞位居前三，占比分別為35%、25%、17%；從2018年Windows漏洞影響的產(chǎn)品分布情況來看，Office和Adobe被曝光的漏洞相對較少，但漏洞利用比例很高。可見，不法黑客挑選漏洞攻擊時，會優(yōu)先考慮漏洞利用的成本，并參考其攻擊目標人群與產(chǎn)品用戶的重合度，與產(chǎn)品本身漏洞量并無直接關(guān)系。

 

（圖：2018年漏洞影響的Windows系統(tǒng)版本分布）

數(shù)據(jù)顯示，在所有Windows版本中，受到最多漏洞影響的是Windows 10系統(tǒng)，占比高達40%。安全技術(shù)專家表示：“Windows 10成為當(dāng)前主流操作系統(tǒng)的同時，漏洞曝光量也逐漸增多，企業(yè)及個人用戶不可忽視其漏洞風(fēng)險，建議每月及時安裝更新是防范不法黑客入侵的必要步驟?！?/p>

2018年，在所有漏洞影響的Windows產(chǎn)品中，Windows系統(tǒng)組件漏洞占到了35%的比例，瀏覽器漏洞占25%，Office漏洞則占比17% 。

 

數(shù)據(jù)監(jiān)測結(jié)果顯示，雖然Office和Adobe(主要是Flash)被曝光的漏洞相對較少，但漏洞利用的比例最高。可見，黑客挑選漏洞時，更可能是優(yōu)先考慮漏洞利用的成本，并參考其攻擊目標人群與產(chǎn)品用戶的重合度，而與產(chǎn)品本身漏洞量的多少并無正相關(guān)。

 

相比較2017年，2018年Office和.net的漏洞曝光量上升比較明顯，相對Windows系統(tǒng)組件漏洞，Office漏洞常被大家忽視，但卻備受黑客喜愛，眾多專業(yè)黑客組織對重要目標的攻擊，會選擇使用Office高危漏洞，因此需要及時安裝Office漏洞補丁，避免偶然打開一個文檔就被植入后門。

 

在所有Windows各版本中，受到最多漏洞影響的卻是Windows 10系統(tǒng)，這說明Windows 10已是主流的操作系統(tǒng)版本，其漏洞曝光量正越來越多，同時提醒廣大用戶，即便使用最新版本的操作系統(tǒng)，也不可忽視漏洞風(fēng)險。

 

從受攻擊量的對比數(shù)據(jù)看，政府、教育、醫(yī)療衛(wèi)生行業(yè)因為其系統(tǒng)存在大量高危漏洞未及時修復(fù)，所受攻擊次數(shù)也相對較高。而科技行業(yè)雖然漏洞存在量相對較少，受攻擊量卻是最高的，這樣從另一方面說明，漏洞利用攻擊者通常是有目的針對性地采取攻擊，對科技行業(yè)的攻擊，泄取機密往往成為首選目的。

 

從地域情況來看，2018年漏洞攻擊地區(qū)分布與當(dāng)?shù)亟?jīng)濟水平及信息化普及程度相關(guān)，北京、上海、廣州是不法黑客首選的攻擊目標。而從行業(yè)來看，Windows操作系統(tǒng)的高危漏洞在教育、政府、衛(wèi)生醫(yī)療行業(yè)的分布占比最高，分別為29%、26%、11%。從受攻擊量的對比數(shù)據(jù)看，政府、教育、醫(yī)療衛(wèi)生行業(yè)因其系統(tǒng)存在大量高危漏洞未及時修復(fù)，所受攻擊次數(shù)也相對較高。值得一提的是，科技行業(yè)雖然漏洞存在量相對較少，受攻擊量卻是最高，竊取機密往往是攻擊者首選目的。

 

（圖：漏洞攻擊量TOP地區(qū)）

在2018國內(nèi)用戶整體漏洞修復(fù)情況中，Windows漏洞和.NET漏洞修復(fù)率達到70%以上，其次是IE、Flash和Office漏洞修復(fù)率保持在60%左右。事實說明，整體漏洞修復(fù)率偏低反映出當(dāng)前國內(nèi)的個人用戶信息安全意識亟待提升。

雷鋒網(wǎng)建議，普通用戶務(wù)必提高計算機網(wǎng)絡(luò)安全意識，不要輕易下載不明軟件程序，及時備份重要的數(shù)據(jù)文件。

Windows家族2018年“病史” 

 1月：

Microsoft Office公式編輯器再次曝出兩個高危漏洞CVE-2018-0798和CVE-2018-0802。CVE-2018-0798是Office公式編輯器在解析Matrix Record(0x05)的內(nèi)容時，沒有對行與列的成員進行特定的長度校驗，這就導(dǎo)致黑客可以通過精心構(gòu)造內(nèi)容任意指定后續(xù)讀入的行與列長度，從而造成棧溢出。CVE-2018-0802技術(shù)原理與之類似，微軟在1月9日通過發(fā)布移除公式編輯器的補丁修復(fù)這兩個漏洞。

2月：

Adobe Flash被曝出一個0day漏洞CVE-2018-4878。該漏洞影響版本在28.0.0.137以下的Adobe Flash，通過修改Flash腳本對象ByteArray的值至特殊長度來實現(xiàn)任意地址讀寫，實現(xiàn)漏洞利用，再將Adobe Flash Player嵌入Office文檔和郵件等載體中并誘使用戶打開的途徑快速傳播漏洞，在解析ATF文件時訪問內(nèi)部數(shù)據(jù)結(jié)構(gòu)使用了無效的指針偏移導(dǎo)致漏洞，成功攻擊后可能會導(dǎo)致敏感信息泄露。該漏洞在2月6日被修復(fù)；

3月：

Ulf Frisk曝光了一個Windows內(nèi)核提權(quán)高危漏洞Totel Meltdown(CVE-2018-1038 )。該漏洞是由微軟先前發(fā)布用于修復(fù)“Meltdown”漏洞的補丁產(chǎn)生的新問題，補丁錯誤地將PML4權(quán)限設(shè)定成用戶級，可以讓任意進程讀取并修改頁表項目，該漏洞僅影響Windows7 x64 和 Windows Server 2008 R2系統(tǒng)，并在3月29日被修復(fù)；

4月：

Internet Explorer被曝出一個0day漏洞“雙殺”（CVE-2018-8174）。該漏洞通過VBScriptClass::Release函數(shù)中存在的缺陷訪問未分配內(nèi)存，從而觸發(fā)漏洞達到任意地址讀寫的目的。該漏洞通過精心構(gòu)造的頁面或往郵件或Office文檔中嵌入VBScript腳本即可觸發(fā)，危害性較強，也因此被命名為“雙殺”漏洞，且一遭曝光便第一時間被APT組織利用于黑客活動。該漏洞于5月8日被修復(fù)；

5月：

Windows操作系統(tǒng)和Adobe Acrobat/Reader PDF閱讀器被ESET公布了兩個捆綁在一起的0day漏洞。（CVE-2018-8120、CVE-2018-4990）這是源于ESET在3月捕獲的用于攻擊測試的一個PDF樣本。CVE-2018-4990實際上是一個堆內(nèi)存越界訪問任意地址釋放漏洞，原樣本精準地使用堆噴射布局內(nèi)存，然后釋放兩塊大小為0xfff8的相鄰堆塊，在Windows堆分配算法將堆塊合并后，利用該堆塊改寫一個ArrayBuffer對象的長度為0x66666666從而實現(xiàn)任意地址讀寫。CVE-2018-8120則是由于內(nèi)核函數(shù) SetImeInfoEx 未對其目標窗口站 tagWINDOWSTATION的指針成員域 spklList 的指向地址進行有效性校驗，而是直接進行讀取訪問。這兩個漏洞已在5月被修復(fù)；

6月：

Windows 10被曝出一個0day漏洞（CVE-2018-8414）。這是一個Windows Shell 遠程執(zhí)行代碼漏洞，由于Windows Shell在某些情況下會不正確地驗證文件路徑，通過精心構(gòu)造的惡意腳本觸發(fā)該漏洞，可以達到任意讀寫的目的。該漏洞僅適用于Windows 10的新文件類型“.SettingContent-ms”，該漏洞直到8月14日才正式分配CVE編號并修復(fù)。

7月：

Internet Explorer被曝光0day漏洞“雙殺”二代（CVE-2018-8242），它的出現(xiàn)是由于4月“雙殺”一代（CVE-2018-8174）的修復(fù)補丁并未完全解決漏洞，導(dǎo)致VBScript腳本引擎中仍存在類似問題，該漏洞由360Vulcan團隊發(fā)現(xiàn)并提交，并在7月10日被修復(fù)；

8月：

(1) Exchange Server被公開了一個內(nèi)存損壞漏洞（CVE-2018-8302）的POC，攻擊者可使用釣魚攻擊觸發(fā)漏洞利用攻擊企業(yè)用戶計算機，并再次發(fā)起攻擊直至接管Exchange Server服務(wù)器。Exchange對語音郵件的接收存儲過程中，會轉(zhuǎn)換語音郵件讀取TopNWords.Data并通過.NET BinaryFormatter對它反序列化，該漏洞就存在于反序列化過程中。

(2) Internet Explorer被Trendmicro曝出0day漏洞“雙殺”三代（CVE-2018-8373），它基于與“雙殺”一代相似的原理，通過VBScript.dll中存在的缺陷獲取任意讀取權(quán)限。兩例漏洞都于8月14日被修復(fù)；

9月：

(1) Windows被曝出ALPC提權(quán)0day漏洞（CVE-2018-8440），它通過高級本地過程調(diào)用(ALPC)函數(shù)中SchRpcSetSecurity函數(shù)無法正確檢查用戶權(quán)限的缺陷，獲得本地權(quán)限提升(LPE)來執(zhí)行惡意代碼。

(2) Microsoft Jet Database Engine被公開了一個遠程代碼執(zhí)行0day漏洞（CVE-2018-8423）的POC，該漏洞是一種越界（OOB）寫入漏洞，可誘導(dǎo)用戶打開包含以JET數(shù)據(jù)庫格式存儲的數(shù)據(jù)的特制文件，通過對象鏈接和嵌入數(shù)據(jù)庫（OLEDB）的Microsoft組件打開Jet源來觸發(fā)漏洞，發(fā)起攻擊。兩例漏洞分別于9月11日和10月9日被修復(fù)；

10月：

(1) Microsoft Edge被公開了一個關(guān)于Windows Shell的RCE高危漏洞（CVE-2018-8495）的POC，攻擊者可以使用該漏洞利用POC，通過Microsoft Edge構(gòu)造包含特殊URI的網(wǎng)頁，誘導(dǎo)用戶打開即可實現(xiàn)在遠程計算機上運行惡意代碼。漏洞是由于Windows Shell處理URI時，未過濾特殊的URI所導(dǎo)致（如拉起腳本的Windows Script Host的URI為wshfile）。

(2) Windows被曝出一個Win32k提權(quán)0day漏洞（CVE-2018-8453），它的利用過程較為復(fù)雜，簡言之是利用了在win32k.sys組件的win32kfull!xxxDestroyWindow函數(shù)中的UAF漏洞從而獲取本地提權(quán)。兩例漏洞都于10月9日修復(fù)；

11月：

Windows再被曝出Win32k提權(quán)0day漏洞（CVE-2018-8589）。它的出現(xiàn)是由于在win32k!xxxMoveWindow函數(shù)中存在不恰當(dāng)?shù)母偁帡l件，導(dǎo)致線程之間同時發(fā)送的信息可能被不當(dāng)鎖定。該漏洞已在11月13日被修復(fù)；

12月：

(1) Microsoft DNS Server被曝光存在一個堆溢出高危漏洞（CVE-2018-8626）。所有被設(shè)置為DNS服務(wù)器的Windows服務(wù)器都會受到此漏洞影響。攻擊者向Windows DNS服務(wù)器發(fā)送精心構(gòu)造的漏洞利用惡意請求，以觸發(fā)堆溢出并遠程代碼執(zhí)行。漏洞于12月11日發(fā)布補丁修復(fù)。

(2) Windows連續(xù)第四個月被曝出0day漏洞。這次是一個更加高危的kernel內(nèi)核事務(wù)管理器驅(qū)動程序的提權(quán)漏洞（CVE-2018-8611），它是源于kernel模式下對文件操作的不當(dāng)處理引發(fā)內(nèi)核事務(wù)管理器產(chǎn)生競爭條件，此漏洞繞過了現(xiàn)在主流web瀏覽器的進程緩解策略而從實現(xiàn)沙箱逃逸，這可讓黑客在web上構(gòu)建完整的遠程代碼執(zhí)行攻擊鏈。該漏洞最初在10月29日被發(fā)現(xiàn)，微軟于12月11日分配CVE號并公布修復(fù)補丁；

 

同時，英特爾CPU“新一代幽靈”漏洞持續(xù)升級、Office公式編輯器再曝棧溢出漏洞等問題引發(fā)的安全事件同樣也值得關(guān)注。該報告預(yù)測，未來幾年，魚叉攻擊結(jié)合Office公式編輯器漏洞，仍然會是成為針對中小型企業(yè)的攻擊手段之一。

只想說一句，Win娘家族命真苦~

 

如何做好漏洞防護？

正所謂野火燒不盡，春風(fēng)吹又生。伴隨著互聯(lián)網(wǎng)和信息技術(shù)應(yīng)用的高速發(fā)展，以智能合約、人工智能為代表的新興科技為市場發(fā)展添加了不竭動力。與此同時，安全問題也如影隨形，成為產(chǎn)業(yè)互聯(lián)網(wǎng)發(fā)展的一個痛點。目前，全球各領(lǐng)域漏洞提交數(shù)量持續(xù)上漲，而0day漏洞正變得愈發(fā)常見。

事實上，利益至上的不法黑客，對易用又穩(wěn)定的漏洞可謂是愛不釋手。低技術(shù)含量的攻擊手段本身，就是個高效的篩選器，可以過濾掉那些對計算機和網(wǎng)絡(luò)十分了解的精明用戶，將安全意識低下的目標人群篩選出來，真正地達到高精準的定點攻擊，基于這樣的情況，企業(yè)、政府等機構(gòu)更是需要多進行安全事件演習(xí)，加強業(yè)務(wù)人員的信息安全意識，才能在真正意義上“修復(fù)漏洞”，保障信息安全。正所謂千里之堤毀于蟻穴，人永遠是最大的漏洞。

那么，我們應(yīng)該如何做好漏洞防護呢？這里有5點建議：

1、及時修復(fù)安全漏洞開啟安全軟件實時防護；

2、培養(yǎng)良好的計算機使用習(xí)慣；

3、企業(yè)用戶漏洞防護；

4、建立有效的漏洞情報監(jiān)控體系，建設(shè)完善的漏洞補丁管理能力；

5、安全演練，培養(yǎng)員工良好的信息安全意識；

報告來源：騰訊安全/編輯：雷鋒網(wǎng) 靈火K，更多網(wǎng)絡(luò)安全文章，請關(guān)注雷鋒網(wǎng)宅客頻道

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。