Windows10被曝漏洞!奥联云安全接入防BadTunnel攻击

2018-09-13


近日,一位国外安全研究人员在twitter上公布了其发现的一个漏洞,并将漏洞的相关信息也同时发布在了Github上。此次被公开的漏洞是Windows10本地提权漏洞,如果被利用,任何用户都可以获取系统权限。这也就意味着,攻击者一旦掌握这一漏洞,就能够获得用户的系统级别权限,并执行低权限用户无法执行的恶意操作,大大提升攻击的危害程度!

使用VPN来保护基于互联网办公已经广泛普及。此场景下鉴别资源使用人的身份、保护使用者隐私信息、应用系统的安全性、数据的真实性等问题尤为重要。如何保障信息系统不受恶意攻击和入侵,已成为各种应用系统信息化发展所必需考虑和解决的重要问题。传统IPsec/SSL VPN在这样的场景下面临各种挑战。最近披露的Windows的BadTunnel漏洞充分暴露了传统安全接入技术的弱点。

BadTunnel是Windows史上影响范围最广泛的漏洞,从WIN95到WIN10都受影响,尤其是使用微软不再提供安全更新的系统(如Windows XP)的用户,有可能面临被秘密监控的风险。BadTunnel源于WPAD(Web Proxy Auto Discovery,网络代理自动发现)协议产生的漏洞。攻击者利用该漏洞可以跨越网络防火墙和NAT等设备,通过互联网攻击内网设备,将目标用户的通信全部重定向自己电脑。更糟糕的是,即使安全软件开启了主动防御功能,也无法检测到该攻击。

要解决这个漏洞问题,一种方法是升级Windows系统,但是XP等系统除外。另外一个方法是禁止所有机器上NetBIOS 137端口的出站连接。但是关闭每个机器上的137端口外联将导致大量的管理工作,并且可能影响如打印服务等网络功能。企业中可行的解决方案是在网络出口防火墙上禁止137端口外发。但是这样的解决方案并不能杜绝以下的攻击。

奥联解决方案:

基于互联网的远程接入,大多数都选择PPTP/IPsec/SSL VPN等虚拟专用网络的安全接入解决方案。传统的PPTP/IPsec方案都是将允许远程设备访问的目标IP或目标网络地址段全部授权给远程设备访问,即使用户只需要访问目标服务器上某个特定的服务端口如WEB服务80端口。SSL VPN在支持双向访问时大多采用了IPsec相同的管理方式,只是将通道安全协议采用了SSL替换IPsec。这样的管理模式留下巨大的安全隐患。例如攻击者可以采用以下方式利用接入通道和BadTunnel发起攻击,监视内网中Windows主机:

1 攻击者利用用户安装的接入APP、VPN客户端上恶意植入利用Bad Tunnel的代码;

2在用户设备远程接入到公司网络后Bad Tunnel攻击,将内网目标设备的数据流通接入通道流向移动设备;

3若有必要,讲接入设备上的目标设备数据流重定向到攻击者。

在这个过程中攻击者利用了网络配置中两个脆弱性:一是传统的安全接入设备只对IP地址进行控制。二是接入通道是加密,防火墙无法判断是否有NetBIOS的流输出。

奥联“密九云”系列安全接入产品提供细粒度的安全访问控制,可以杜绝以上攻击。奥联云安全接入采用4W访问控制机制,可以控制移动设备在安全通道中访问的资源。

4W可以细粒度地控制移动设备的位置(WHERE)、在什么时间(WHEN)、由谁(WHO)、可以访问的资源(WHAT)。授权访问的资源可以是IP和端口的组合。这种配置场景下,用户如果只需要目标服务器的访问80端口,通过安全策略授权,接入设备无法访问目标服务器的137端口。从而杜绝发起BadTunnel攻击。同样地奥联云安全接入可以控制网络端输出到接入设备的数据源。这样即使攻击人通过其他通道发起了BadTunnel攻击(通过奥联云安全接入,无法从接入端发起攻击),也无法将数据流通过接入设备的安全通道导出。

另外奥联云安全接入还具备如下特点:

1 节点多、数据量大:

单机可同时支持高达5万客户端和中心点的安全通讯,支持包括语音和视频数据通信;

2 强身份认证:

设备接入必须经过SM9标识密码机制进行双向身份认证,完全杜绝SSL VPN等单向身份认证、弱口令等问题。

3 传输通道有强安全保证:

数据的传输经过高强度加密和防篡改措施,传输的数据不能被篡改。