Win 7,Server 2008系統的Total Meltdown還沒徹底解決

微軟Windows 7和Server 2008 R2使用者如果還沒有升級英特爾CPU Meltdown漏洞補丁請儘快升級系統補丁,原來的微軟補丁也出現了漏洞。

今年1、2月,瑞典研究人員Ulf Frisk公佈英特爾晶片中的Total Meltdown漏洞,3月下旬微軟釋出了針對該漏洞的系統更新,但是該補丁使微軟的作業系統,特別是Windows 7 和Server 2008 R2變得更糟,之前就曝光過有惡意程式利用該漏洞盜取晶片記憶體中的資料。微軟的工程師不小心將計算機記憶體輸入頁面表的讀寫許可權修改為一般軟體模式,使得電腦上安裝的任意軟體都能讀取/修改晶片記憶體中的資料。因此使用者需要確保系統安裝了最新版的系統補丁。

而現在XPN團隊的研究人員發現,可以在普通使用者許可權下也可以開啟一個管理員許可權的命令列視窗,這將為駭客獲取晶片記憶體頁面表提供了方便,具體操作如下:

1、新建一系列可以訪問物理記憶體地址的頁面表

2、建立可以尋找晶片記憶體中_EPROCESS結構的簽名

3、找到現有程序和系統程序中的 _EPROCESS記憶體地址

4、用現有程序取代系統程序中的_EPROCESS記憶體地址,獲取管理員許可權

影片操作如下:

Win 7,Server 2008系統的Total Meltdown還沒徹底解決

https://www。zhihu。com/video/973274847829209088

Xen可以修復微軟的Meltdown系統補丁

Xen專案團隊也在今年1月提交了一個和Meltdown有關的漏洞,要求系統管理員安裝另一個補丁。他們發現,以前的系統補丁忽略了INT 80中的一個錯誤程式碼會關聯到系統的一般異常處理。如果一個半虛擬化(PV)客體在虛擬CPU上沒有呼叫INT 80,系統會在記憶體地址2^64附近寫入0並關閉整個主體。這種修補的方法已經準備釋出系統補丁包,當然,只有x86結構的半虛擬化客體才會出現這個漏洞。

Win 7,Server 2008系統的Total Meltdown還沒徹底解決

歡迎關注我們:

@W-Pwn