2014年10月的週二修補程式日的其中一項是MS14-063,用來解決FAT32磁碟分割區驅動程式中的漏洞,此漏洞讓攻擊者可以取得受影響系統上的管理者權限,只需要一個具備特製檔案系統的USB磁碟。這個漏洞也被編號為CVE-2014-4115。
為什麼此漏洞並不尋常?
我們特別注意檔案系統驅動程式,因為它們可以被用來透過USB磁碟機來攻擊系統。想想看之前的Stuxnet漏洞:它透過Windows捷徑漏洞來散播,能夠輕易地執行Windows shell程式碼;再利用第二個漏洞來取得管理者權限。檔案系統驅動程式漏洞可以一次就達到原本需要兩步驟的效果。
CVE-2014-4115存在於Windows Vista、Server 2003、Server 2008的檔案系統驅動程式(FASTFAT.SYS)。此驅動程式負責處理Fast FAT檔案系統(如 FAT32)。當處理FAT32格式磁碟中帶有特殊BIOS參數區塊(BPB)的開機磁區時,就可能觸發此漏洞。
FAT32今日仍被普遍地用在USB隨身碟上。正因如此,針對性攻擊可以利用此漏洞。假設一個特製的USB隨身碟以某種方式插入高階主管的筆記型電腦或公司內部網路的電腦。這些系統就會被外部惡意份子所控制,就有可能被用來進行針對性攻擊。 系統管媒體的政策。
系統管理員及時進行修補可以減少成為攻擊受害者的風險。企業系統管理員也該重新考慮在公司內部網路使用USB媒體的政策。
這個漏洞是什麼,出現在哪裡?
如前所述,此漏洞出現在FASTFAT.SYS。比較過有漏洞的版本和修補過的版本,唯一區別在於:函數 FatCommonWrite()。
