MS11-053：蓝牙栈中的漏洞可能允许远程代码执行

今天这批安全更新中的唯一关键漏洞涉及蓝牙栈中的一个问题。您的工作站面临此漏洞的风险因多种因素而异。我想通过这篇博客文章概述这些风险因素。

如何保护我的系统？

保护任何潜在易受攻击的系统的最佳方法是应用MS11-053安全更新。如果您无法应用安全更新，可以通过阻止任何蓝牙设备连接到计算机来关闭攻击面。下图显示了Windows 7蓝牙设置中执行此操作的选项。副作用：您的蓝牙鼠标或耳机将停止工作，直到您重新允许蓝牙设备连接到计算机。

我今天是否容易受到远程代码执行攻击？

简短回答：可能不会。原因如下：

可利用性：首先，我们为此漏洞分配了“2”的可利用性指数评级。我们认为利用此漏洞构建可靠的代码执行漏洞利用程序将很困难。攻击者更有可能发现一种利用此漏洞导致系统拒绝服务（“bugcheck”/“蓝屏”）的方法。

可发现性：其次，您系统的48位蓝牙地址默认情况下不可“发现”。请注意，在上面的蓝牙设置截图中，默认情况下不允许蓝牙设备“查找”此计算机。如果您的系统是“可发现的”，它将响应攻击者的SDP查询并提供其蓝牙地址。但在默认状态下，攻击者必须通过其他方式获取您的蓝牙地址——要么通过暴力破解，要么从空中捕获的蓝牙流量中提取。

通过嗅探流量提取蓝牙地址：如果您已配对蓝牙外围设备并正在主动通信，从空中发送的流量中提取蓝牙地址是困难但并非不可能的。市场上有一种设备价值10,000至30,000美元，可以在大约5分钟内完成此操作。该领域的研究不断进步，我们预计在未来几年内，这对攻击者来说将变得更快。但目前，从空中流量中提取蓝牙地址仍然困难但并非不可能。

** proximity**：最后，虽然此漏洞是远程暴露的，但无法通过互联网访问。攻击者必须物理上靠近才能瞄准您。同样，最近的研究扩大了蓝牙“附近”的定义，但可以说攻击者需要在视线范围内。然后，这位附近的攻击者可以花费几个小时暴力破解您的蓝牙地址并尝试利用该漏洞。

这些因素的结合使我们相信，在接下来的30天内，系统不太可能通过此漏洞暴露于可靠的远程代码执行漏洞利用。

感谢Windows持续工程团队的Krupa Poobala-chandran昨天下午帮助整理了这篇博客文章。

• Jonathan Ness，MSRC工程团队

相关标签

攻击面减少、攻击向量、可利用性、缓解措施、网络协议、风险评估、变通方案