kb958644

windows系统历年⾼危漏洞

⼀、漏洞介绍：

1.漏洞：

<1>.漏洞：是影响⽹络安全的重要因素；

<2>.漏洞利⽤：成为恶意攻击的最常⽤⼿段；

<3>.漏洞攻击：产业化、低成本化、⼿段多样化、低门槛趋势；

<4>.信息化时代：⽆论个⼈/企业，都⾯临严峻的漏洞威胁；

<5>.Windows、Office、IE、Edge、Flash等⾼危漏洞频繁曝光。

s漏洞：

<1>.MS08-067RCE漏洞；

<2>.MS12-020DoS/蓝屏/RCE漏洞；

<3>.MS15-034HTTPsysRCE漏洞；

<4>.MS16-114SMBRCE；

<5>.2017年：WannaCry勒索病毒、MS17-010EternalBlue永恒之蓝漏洞、Meltdown/SpectreCPU特性漏洞、⿊客奥斯卡神洞、

公式编辑器漏洞、CVE-2017-7269IISRCE漏洞；

<6>.2018年：幽灵、CPU熔断、震⽹3、412挂马风暴；

<7>.2019年：CVE-2019-0708RemoteDesktopRCE漏洞；

⼆、图表查看漏洞⾛势

1.近⼏年，Windows漏洞提交数量呈现逐年上涨趋势。2018年、2019年，爆发期，对⽹络安全⾏业极其考验的年份。

oft产品漏洞分类统计：

s漏洞攻击和利⽤：病毒分布&被利⽤的漏洞分布：⾮PE（邮件钓鱼Office宏病毒、脚本类），更难被检测，占⽐66%：

三、Windows历年著名⾼危漏洞

Windows每⼀次被披露公开，爆发的⾼危漏洞，在整个社会都会引起轩然⼤波，影响各个⾏业，皆因Windows视窗系统应⽤与各个⽣产

服务领域。

08-067（CVE-2008-4250）:

<1>.漏洞信息：

MS08-067（CVE-2008-4250），具有⾥程碑意义的⼀个WindowsSMB漏洞，影响深远，是最经典的漏洞之⼀。在2017年

ShadowBrokers泄露的⿊客利⽤程序⾥，就有MS08-067漏洞，MS08-067（CVE-2008-4250）是典型的

Windows缓冲区溢出漏洞。那时候，Windows的内存堆栈保护（ASLR技术）还没成熟。

漏洞是通过MSRPCoverSMB通道（PIPE）调⽤Server服务程序中的NetPathCanonicalize函数触发造成的。

NetPathCanonicalize函数在远程访问其他主机时，会调⽤NetpwPathCanonicalize函数，对远程访问的路径进⾏规范

化，⽽在NetpwPathCanonicalize函数中存在的逻辑错误，造成栈缓冲区可被溢出，最终RCE(remotecommand/codeexecute)。

造成⼤⾯积影响，可取得SYSTEM权限，完全控制Windows，制造蠕⾍病毒、勒索病毒、远控⽊马等恶意攻击。

<2>影响的组件：。

<3>.官⽅公告：

<4>.检查补丁：

wmicqfeGEThotfixid|findstr/C:"KB958644"

17-010（KB4012212）：

<1>.漏洞信息：

多个WindowsSMB远程执⾏代码（RCE）漏洞，当Microsoft服务器消息块1.0（SMBv1，⽂件共享协议漏洞）服务器处理某

些请求时，存在多个远程执⾏代码漏洞。成功利⽤这些漏洞的攻击者可以获取在⽬标系统上执⾏代

码的能⼒。为了利⽤此漏洞，在多数情况下，未经⾝份验证的攻击者可能向⽬标SMBv1服务器发送经特殊设计的数据包。

近两年来，“永恒之蓝”漏洞已经成为被利⽤程度最⾼的安全漏洞之⼀!恶意攻击利⽤“永恒之蓝”漏洞，主动传播蠕⾍式勒索病

毒,“永恒之蓝”(WannaCry)开启了勒索病毒的新时代。

注：WannaCry勒索病毒，恶意攻击者利⽤TheShadowBrokers释放的永恒之蓝漏洞进⾏勒索病

毒、蠕⾍传播，在全世界范围内超过23万台主机感染。⽬前还存在变种病毒。 、

<2>.影响范围：

WindowsXP、2003、Windows7、WindowsServer2008R2、Windows8.1、WindowsServer2012、Windows10、

WindowsServer2016

<3>.表现：感染勒索病毒，⽂件损毁。

<4>.官⽅公告：

<5>.检查补丁：

wmicqfeGEThotfixid|findstr/C:"KB4012212"

-2018-8174/CVE-2018-8893：IE双杀0day，⾼危漏洞：

<1>.漏洞信息：

Word⽂档通过CVE-2017-0199的OLEAutolink漏洞利⽤⽅式嵌⼊恶意⽹页，所有的漏洞利⽤代码和恶意载荷都通过远程的服

务器加载；中招⽤户点击打开诱饵⽂档后，⾸先Word进程将访问远程的IEvbscript0day（CVE-

2018-8174）⽹页，漏洞触发后将执⾏Shellcode，然后再发起多个请求从远程的服务器获取payload数据解密执⾏；Payload在执⾏的过程

中word进程会在本地释放3个DLL后门程序，通过powershell命令和rundll32命令分别执⾏安装后门

程序，后门的执⾏过程使⽤了公开的UAC绕过技术，并利⽤了⽂件隐写技术和内存反射加载的⽅式来避免流量监测和实现⽆⽂件落地加载。

利⽤该0day漏洞，对IE内核浏览器和Office进⾏APT攻击（-C-06组织，针对中国政府、科研、外贸领域，长期蛰伏，

监控）；最新版本的IE浏览器及使⽤了IE内核的应⽤程序。⽤户在浏览⽹页或打开Office⽂档时都

可能中招，最终被⿊客植⼊后门⽊马完全控制电脑。

利⽤多次UAF(UseAfterFree释放重引⽤漏洞)来完成类型混淆，通过伪造数组对象完成任意地址读写，最终通过构造对象后

释放来获取代码执⾏。代码执⾏并没有使⽤传统的ROP(ReturnorientedProgramming(⾯向返回的

编程))或者GodMode(NT6系统中隐藏的⼀个简单的⽂件夹窗⼝包含了⼏乎所有系统的设置)，⽽是通过脚本布局Shellcode来稳定利⽤。

<2>.官⽅介绍：

<3>.检查补丁：

wmicqfeGEThotfixid|findstr/C:"KB4134651"

<4>.因⼀代补丁并未完全解决问题，衍⽣的新漏洞：

CVE-2018-8242，IE双杀，⼆代0day漏洞；

CVE-2018-8373，IE双杀，三代0day漏洞；

-2019-0708：

<1>.漏洞信息：

2019年5⽉14⽇，Windows远程桌⾯服务（RemoteDesktopServices，TCP/UDP3389RDP）存在严重安全漏洞（破坏⼒巨

⼤），利⽤预⾝份验证，⽆需⽤户授权，执⾏任意代码（RCE），安装后门，查看、篡改隐私数

据，创建拥有完全⽤户权限的新账户等攻击⾏为，可完全控制⽬标的计算机。可利⽤该漏洞制作堪⽐2017年席卷全球的WannaCry类蠕⾍病

毒，进⾏⼤规模传播、破坏；

<2>.影响系统版本：

WindowsXP（KB4500331）、Windows2003（KB4500331）、Vista（KB4499180）、2008/2008R2（KB4499180）、

Windows7（KB4499175）。

<3>.官⽅信息：

<4>.免费检测⼯具：

<5>.漏洞检测：

wmicqfeGEThotfixid|findstr/C:"KB4499175"

注：打开Windwos命令⾏界⾯，输⼊"regedit"打开注册表-->按照如下两种⽅式即可查看和修改端⼝号：

注：⽂中所有的检测补丁是否存在的指令：wmicqfeGEThotfixid|findstr/C:"X"，若指令存在则会反弹补丁"X"，否则不显⽰。