hcp協定

微軟安全公告MS04-015

安全漏洞CN-VA04-21

發布日期：2004-05-18

漏洞影響：遠程執行代碼

漏洞評估：中危

2015年5月11日，微軟公布了存在於Windows XP和Windows Server 2003兩款作業系統中的安全漏洞。微軟表示，該安全漏洞為黑客遠程執行惡意代碼提供了可乘之機。據悉，微軟公司將該安全漏洞定為二級危險，即“重大級”。而賽門鐵克則將該漏洞視為“高風險”級別，並表示，如果該漏洞被黑客所利用，後果則不堪構想。微軟公司表示，該漏洞主要是由於Windows的“幫助和支持中心”在驗證所傳送信息時的驗證方式所致。該漏洞的安全補丁已經發布在公司的網站上，微軟建議這兩款作業系統的用戶儘快下載並安裝該補丁程式。至於該漏洞的威脅等級，微軟安全回響中心的安全程式經理Stephen Toulouse表示，只有當無需用戶進行任何操作即被攻擊時，微軟才將該漏洞視為最高級安全漏洞。因此，微軟將此次發現的安全漏洞視為二級威脅。據微軟和賽門鐵克稱，黑客要利用該漏洞對計算機進行更新，很有可能將事先某個惡意站點偽裝成“系統更新地址”，然後再引誘計算機用戶執行某些操作。

“幫助和支持中心(HSC)”是window中的幫助功能，可提供類似於是否需要下載安裝更新軟體等各種幫助。HCP協定可以通過URL連結來開啟幫助和支持中心功能，與能夠通過標有http協定的URL能夠開啟ie瀏覽器的功能非常相似。

“幫助和支持中心”存在一個遠程執行代碼漏洞，導致此漏洞的原因是“幫助和支持中心”處理 HCP URL 驗證的方式。攻擊者可以通過建立惡意的 HCP URL 來利用此漏洞，如果用戶訪問了惡意 Web 站點或查看了惡意的電子郵件，此惡意的

HCP URL 就可能允許遠程執行代碼。成功利用此漏洞的攻擊者可以完全控制受影響的系統。不過，要利用此漏洞，需要執行大量用戶互動。

要利用此漏洞，攻擊者必須擁有一個惡意 Web 站點，然後誘使用戶查看該 Web 站點。攻擊者還可能創建一個包含特製連結的 HTML 電子郵件，然後誘使用戶查看該 HTML 電子郵件並單擊惡意連結。如果用戶單擊了這個連結，將會使用攻擊者選擇的

HCP URL 打開一個 Internet Explorer 視窗。不過，此時還需要更多用戶互動操作。在單擊此連結後，會提示用戶執行幾項操作。只有在用戶執行這些操作之後才會遭到攻擊。

成功利用此漏洞的攻擊者可以完全控制受影響的系統，其中包括：安裝程式；查看、更改或刪除數據；或者創建擁有完全許可權的新帳戶等。

如果一個用戶以管理許可權登錄，攻擊者利用此漏洞可以完全控制受此漏洞影響的系統，包括安裝程式、查看、修改、刪除數據；或者建立擁有所有許可權的新帳號。擁有較少許可權的用戶比那些擁有管理許可權的用戶相對危險小。

Microsoft Windows XP and Microsoft Windows XP Service Pack 1

Microsoft Windows XP 64-Bit Edition Service Pack

Microsoft Windows XP 64-Bit Edition Version 2003

Microsoft Windows Server 2003

Microsoft Windows Server 2003 64-Bit Edition

Microsoft Windows NT® Workstation 4.0 Service Pack 6a

Microsoft Windows NT Server 4.0 Service Pack 6a

Microsoft Windows NT Server 4.0 Terminal Server Edition Service Pack

6

Microsoft Windows 2000 Service Pack 2

Microsoft Windows 2000 Service Pack 3

Microsoft Windows 2000 Service Pack 4

Microsoft Windows 98, Microsoft Windows 98 Second Edition (SE)

Microsoft Windows Millennium Edition (ME)

用戶應該儘早安裝補丁。

如果您無法及時的安裝相應的補丁程式，你可以使用以下幾種方法，這些方法已經經過Microsoft測試。雖然這些變通辦法不能從根本上糾正此漏洞，但它們有助於阻塞已知的攻擊媒介：

為幫助阻止攻擊，可通過刪除以下註冊表項註銷 HCP 協定：HKEY_CLASSES_ROOT\HCP。為此，可執行以下步驟：

1.單擊"開始"，然後單擊"運行"。

2.鍵入regedit, 然後單擊 "確定"。註冊表編輯器程式啟動。

3.展開 HKEY_CLASSES_ROOT, 突出顯示 HCP 項。

4.右鍵單擊HCP項，然後單擊 "刪除"。

注意：註冊表編輯器使用不當會導致嚴重的問題，也許需要重新安裝。

變通辦法的影響：注消 HCP 協定會中斷本機中所有使用 hcp:// 的合法幫助連結。

如果使用的是 Outlook 2002 或更高版本，或者使用的是 Outlook Express 6 SP1 或更高版本，請用純文本格式閱讀電子郵件，幫助保護自己免受來自

HTML 電子郵件攻擊媒介的攻擊。

變通辦法的影響：用純文本格式查看的電子郵件中不會包含圖片、特殊字型、動畫或其他富格式內容。

補丁下載：

Microsoft Windows XP and Microsoft Windows XP Service Pack 1　下載更新[中文]

Microsoft Windows XP 64-Bit Edition Service Pack 1　下載更新[英文]

Microsoft Windows XP 64-Bit Edition Version 2003　下載更新[英文]

Microsoft Windows Server 2003　下載更新[中文]

Microsoft Windows Server 2003 64-Bit Edition 下載更新[英文]

2010年6月10日，WindowsXP爆出一個新的HCP漏洞：

微軟安全公告2219475

安全漏洞CVE-2010-1885

發布日期：2010-06-10

遠程執行代碼

高危

微軟剛剛發布6月補丁，WindowsXP就又曝出一個新型HCP協定漏洞。

經360安全中心驗證，當WindowsXP用戶使用IE系列瀏覽器打開掛馬網頁，或是播放“染毒”的音樂檔案時，電腦將自動彈出“幫助和支持中心”，並自動下載運行木馬程式，從而被黑客任意遙控擺布。HCP協定用於Windows的“幫助和支持中心”，由於IE瀏覽器默認可以利用該協定打開“幫助和支持中心”，用戶一旦訪問攻擊HCP協定漏洞的掛馬網頁，黑客預先設定的惡意腳本將自動運行起來，並且自動打開Windows“幫助和支持中心”，而木馬就會在這個時候侵入網民電腦。IE用戶如果看到“Windows‘幫助和支持中心”自己彈了出來，說明電腦已經受到了掛馬網頁的攻擊，必須儘快使用360安全衛士、360防毒等安全軟體進行全盤掃描查殺。除掛馬網頁外，黑客還可以把漏洞攻擊代碼嵌入到ASX等音樂媒體檔案中，當網民打開這些“染毒”音樂時，電腦同樣會中招。也就是說，只要是WindowsXP用戶，即便平常不使用IE瀏覽器，也會受到漏洞的危害。

微軟官方已經確認HCP協定漏洞（微軟安全建議編號：2219475），但並未透露何時發布官方補丁。360安全中心建議網民，在微軟發布官方補丁修復HCP協定漏洞前，應按照如下方案防範漏洞攻擊：

1、安裝使用360安全衛士7.1正式版，自動提示WindowsXP用戶以臨時補丁禁止HCP協定漏洞，在微軟發布官方補丁時可以完全兼容。同時，360“木馬防火牆”採用獨創的“億級雲防禦”技術，能夠全方位主動防禦木馬的入侵攻擊；

2、如果未能及時安裝使用360臨時補丁，在看到電腦自動彈出Windows“幫助和支持中心”的情況時，應儘快使用有效的安全軟體全盤掃描查殺木馬病毒；

3、非360用戶可暫時手工關閉HCP功能，在微軟發布補丁後再重新開啟。