新年伊始,微软就发布了2012年度首批安全补丁,帮助用户尽快修复Windows系统和其他软件中存在的安全漏洞。其中,“Windows客户端/服务器运行时子系统本地提权漏洞”被标记为“重要”级别,是由我国椒图科技全球率先发现并向微软通报的,为此,微软官方网站对椒图科技表示了感谢。
微软安全公告显示,Windows客户端/服务器运行时子系统(CSRSS)是Win32子系统的用户模式部分,是操作系统必须一直运行的基本子系统。此次椒图科技发现的CSRSS本地提权漏洞,影响范围涉及Windows XP、Windows Server 2003、Windows Vista、 Windows Server 2008等操作系统版本。攻击者可利用此漏洞在操作系统上运行任意代码,能够对数据进行查看、更改、删除等操作,或者创建拥有完全用户权限的新账户,对受影响的操作系统具有完全控制权,将给用户带来难以预料的灾难性危害。
椒图科技安全工程师告诉记者,通常情况下,攻击者进入目标操作系统后,将可以利用CSRSS本地提权漏洞把非管理员(Guest)权限提升为管理员权限,随后任意窃取系统中的重要数据;同时,攻击者还可以在系统中安装后门程序,实现对目标服务器的长期控制;此外,攻击者还能够以被控制的服务器作为“跳板”,对网络中的其他系统进行渗透,进一步扩大攻击范围。为了解决操作系统管理员一权独大模式隐含的安全风险,同时对系统资源进行安全、合理控制,椒图科技JHSE采用了“三权分立”管理机制,在系统中设立系统管理员、安全管理员和审计管理员,使不同管理员相互独立、相互监督、相互制约,即使攻击者获得系统管理员权限,也只能按照安全管理员分配的权限进行操作,再也不能像传统操作系统管理员那样为所欲为;JHSE还采用可视化虚拟安全域技术(ASVE),通过增强型DTE、RBAC安全模型的组合应用,在操作系统上创建多个安全域,并通过安全策略阻止安全域内、域间的非授权访问,用户可将重要文件、进程、服务等资源添加到安全域内,使攻击者无法窃取或破坏受保护的数据和应用;同时,JHSE还对网络访问作了限制,使非授权用户无法连接其他系统。
椒图科技安全工程师进一步介绍,目前,解决操作系统安全问题的主要途径是更新补丁,但是补丁都有一定的滞后性,而操作系统新漏洞总是不断出现,这些漏洞都是操作系统安全的潜在威胁。JHSE作为专业面向操作系统层的信息安全产品,能够从根本上解决操作系统漏洞问题。
