这是一个可以让黑客欣喜若狂的新漏洞,一旦该漏洞被激活,就会有大量计算机成为黑客手中的肉鸡,被人远程控制不可避免……
微软的Windows操作系统在进行了短暂的“喘息”后,近日又在攻击爱好者不懈努力下,被成功找出几个高危的系统安全漏洞,而Microsoft Windows MSHTA脚本执行漏洞就是其中的重要一员。
安全公告牌
MSHTA即HTA,此处的MS主要用于强调这是微软的漏洞,HTA全名为HTML Application,就是HTML应用程序,其实只要简单地用“hta”为扩展名保存HTML页面就算创建了一个HTA文件。以前就有很多恶意代码利用它,但是随着用户安全意识的提高,以及安全厂商将它列入黑名单,这些含有HTA代码的文件发挥的破坏作用已大不如前了。然而,Windows MSHTA脚本执行漏洞的出现,使得潘多拉的魔盒再次开启,噩梦开始……
| 天极软件专题专区精选 | ||
| Google专区 | POPO专区 | QQ专区 |
| Flash MX 视频教程 | Photoshop视频教程 | 网页设计视频教程 |
| PowerPoint动画演示教程 | Excel动画教程集 | Word动画演示教程 |
| 特洛伊木马专区 | 黑客知识教程专区 | 注册表应用专区 |
| Windows API开发专区 | 网络编程专区 | VB数据库编程专区 |
攻击者可利用此漏洞控制受影响的系统,进行恶意程序的安装、系统文件的管理等,或创建一个拥有完全控制权限的管理员账号。
原理
Microsoft HTML Application Host(MSHTA)是Microsoft Windows操作系统的一部分,必须使用它才能执行HTA文件。而Windows Shell中存在远程代码执行漏洞,起因就是系统不能正确识别文件的关联程序。
其实说简单一点就是Windows系统在处理文件关联程序的时候出现了问题。例如,用户本来想用Winamp打开一个文件后缀为“mp3”的文件,但却没能正确调用Winamp程序而调用了另一个程序打开了这个“mp3”文件。这个漏洞就是这样,用户运行恶意文件后,系统会调用MSHTA打开这个文件,如果这个文件中包含有HTA代码,那么系统就会立刻执行这段代码,从而引发各种安全问题。
配置木马服务端
攻击者想要成功利用该漏洞进行远程控制的话,首先就得配置一个木马的服务端程序。通过木马程序,就可在图形化的状态下进行远程控制,这样操作起来更加简单方便。
当我们成功激活被攻击计算机上的Windows MSHTA脚本执行漏洞后,该计算机就会自动下载我们设置的服务端程序,我们即可对它进行远程控制操作。
今天,我们可以采用的木马是最新的国产木马“流萤”,在它的帮助下,我们可以非常方便地通过客户端中的各个按钮进行远程控制。
运行流萤木马的客户端程序,在弹出的操作界面中点击工具栏上的“配置服务端”按钮。在弹出的“配置服务端”窗口中,就可开始配置我们的服务端程序(见图)。
由于木马“流萤”采用了流行的反弹连接技术,所以要在“DNS域名”中设置用于服务端程序反弹连接的IP地址,也就是本地计算机当前的IP地址。当然,攻击者也可采用其他木马进行反弹连接的操作。
