2014SyScan360--微软Fix It 补丁机制原理及攻击利用

　　12年微软IE上发现存在一个可以传播 “毒常青藤”后门木马程序的安全漏洞，这会导致IE用户访问一个恶意网站，此后德国政府和安全专家建议人们在该漏洞得到修复之前不要使用IE。同年年末，微软发布了一款名为“Fix It”的修复补丁，可将该漏洞永久修复。今天，来自商业网络情报公司–Isight的Jon Erickson，在会上分享了这个从未公开的Fix It补丁工作原理及攻击利用。

　　Fix It是应用兼容补丁的一部分，微软一些网站群都是这样的技术，可解决兼容问题、通用的方法等等问题。另外它还有一个用途，就是有一些老的软件的发行，比如Windows2000这样的，到2007您有很多防火墙的使用过程当中可以通过它来进行修补，进行重新的定向，做很多其他的工作。

　　与其他只报告出函数的补丁不同，Fix It在5秒钟之后可以运行工具告诉你两个变化，以及形式是怎么样的，因此我们就很快的通过它就可以确定微软到底是不是修补了补丁。

　　我们进行Fix It的探讨之前，你先运行其他补丁，如果出现跳转，再看它有一些什么样的东西，在一个具体情况下，一个跳转调用一个函数，这是可参考的帐户，再跳回到现有的代码上，微软做这些，它不是免费的，当然不用可以删掉，不用进行转储。他们也意识到内存的泄露，在被利用之后，再利用下一个周期进行修理。

　　我们如何能够通过补丁保持它的持久性呢？

　　其实每次登陆的时候，都可以打补丁，然后跳转到另外的额外的代码，然后可以再跳回到最开始的地方。一个完整的配置，它可以支持Win7、X86等等。

　　Jon Erickson表示不推荐进入引擎，“如果做的话要通过这个路径来完成。同时，你也要知道，你可以搜索你的注册表和文件的系统，我认为对于微软来说增加签名到SDB的文件是必要的，你在运行这个SDB文件的时候，应该获得微软，或者你信任的那一方说你运行SDB的文件是合法的，这样的特性是不会让你容易受到攻击，你必须拥有管理员的权限，这样你才能注册安装SDB的文件到系统当中。”

　　我们认为补丁能够提供非常独特的机会，能确定这个漏洞的一个根本的原因。这样的话，微软就可以修复最根本的导致漏洞的原因，然后避免漏洞的攻击。