日前微軟緊急發(fā)布編號為MS15-078的安全補丁，用于修復由HackingTeam“軍火庫”泄漏的字體驅動高危0day漏洞，該漏洞可以被黑客利用遠程攻擊所有Windows版本用戶。這是Windows Server 2003停止安全更新后曝出的首個高危漏洞。

據(jù)第三方統(tǒng)計數(shù)據(jù)， Server 2003仍占據(jù)國內Windows服務器操作系統(tǒng)的半壁江山。由于漏洞攻擊代碼已公開，大量企業(yè)服務器因此直接暴露在黑客攻擊的槍口下。

為了保護廣大企業(yè)客戶的系統(tǒng)安全，360天擎獨家推出字體0day漏洞自動修復功能，使用360天擎的企業(yè)客戶，在升級最新的漏洞庫后，內網(wǎng)客戶端可自動修復該漏洞，支持包括XP和Server 2003在內的全系列Windows系統(tǒng)。360還專門為Server 2003和XP用戶推出了修復工具，用戶可以訪問360官網(wǎng)下載該工具修復此漏洞。

　　▲　圖：360天擎后臺提示此補丁

微軟此次修復的字體驅動0day漏洞被定為“嚴重”級別，是微軟安全公告定義的級別最高的威脅。利用此漏洞，黑客可以把惡意代碼藏在文檔或網(wǎng)頁中，觸發(fā)漏洞后完全控制中招電腦，任意安裝程序，還能查看、修改或刪除數(shù)據(jù)，或者創(chuàng)建擁有全部權限的新帳號。

該漏洞影響所有版本的Windows操作系統(tǒng)。由于事關重大，微軟破例提前發(fā)布了安全更新，修復存在于從Windows Vista、Windows 7、Windows 8/8.1、Windows 10到服務器版的Windows Server 2008-2012的漏洞。

早在上周，360Vulcan Team已第一時間對此漏洞進行深入分析，并將漏洞的技術細節(jié)共享給安全社區(qū)。當微軟推出補丁后，360安全衛(wèi)士也同步向用戶推送補丁。360安全衛(wèi)士“XP盾甲”已全面免疫各種字體漏洞，無需升級就可以防御此0day漏洞攻擊。

有關字體漏洞：

字體引擎是Windows系統(tǒng)中高度復雜、代碼安全性卻相對薄弱的組件。出于字體引擎性能的考慮，微軟不得不將其一直放在內核模式。一旦字體驅動出現(xiàn)安全漏洞，漏洞攻擊代碼就可以在用戶瀏覽網(wǎng)頁或文檔中的遠程字體文件時，直接在Windows內核中執(zhí)行，從而突破沙箱、HIPS、驅動防火墻、UAC等幾乎所有安全防護機制。

用戶態(tài)和內核態(tài)是Windows系統(tǒng)的安全防御門檻，被稱為希臘神話中的“嘆息之壁”。字體漏洞攻擊可以輕易繞過“嘆息之壁”，是最具殺傷力的黑客武器之一。在著名的“震網(wǎng)二代”Duqu病毒攻擊中，攻擊者就是利用Windows內核字體引擎漏洞，把命名為“嗜血法醫(yī)”(Dexter)的字體文件嵌入到Word文檔中，只要打開文檔觸發(fā)字體加載，惡意代碼直接進入內核運行。此后該漏洞又被多個掛馬工具包改造為惡意網(wǎng)頁通過瀏覽器進行攻擊。

此次由HackingTeam數(shù)據(jù)泄漏而曝光的字體驅動0day漏洞，是Adobe字體驅動(atmfd.dll)的內核池溢出漏洞，攻擊代碼已經(jīng)公開，可以通殺所有版本W(wǎng)indows系統(tǒng)。北京時間7月21日，微軟打破月度安全更新慣例，在本月補丁日過后一周又緊急推送了此漏洞補丁。

對于已經(jīng)停止安全更新的Windows Server 2003和XP系統(tǒng)，可以禁用atmfd.dll(修改文件名)徹底屏蔽此類漏洞，副作用是無法渲染Adobe OTF字體文件。為了幫助企業(yè)用戶快速修復漏洞，360天擎獨家推出字體0day漏洞自動修復功能，使用360天擎的企業(yè)客戶在升級最新的漏洞庫后，內網(wǎng)客戶端可自動修復該漏洞，支持包括XP和Server 2003在內的全系列Windows系統(tǒng)。對個人版XP用戶來說，360安全衛(wèi)士“XP盾甲”已全面免疫各類型的字體漏洞，無需升級就可以防御此0day漏洞攻擊。