微軟示警:Windows 應用程式有安全漏洞
微軟公司23日發布安全性摘要報告指出,已發現一種安全漏洞,可能導致許多Windows應用程式容易遭到攻擊。
這份報告描述一種攻擊手法,稱為「DLL preloading」或「binary planting」。雖然這類攻擊手法既不新,也不局限於Windows環境,但微軟承認似乎的確有一種新的遠端攻擊方法,可以迅速攻擊更多的系統。
加州大學戴維斯分校的兩名研究員今年稍早發表了一份研究報告,說明如何自動偵測潛在安全弱點的程式。最近,資安專家暨Metasploit創始人HD Moore發表更多探討這個問題的資訊,並且把這項安全弱點加入他的Metasploit計畫。
Moore說,他這麼做是為了讓消費者更提高警覺,並鼓勵軟體製造商儘快亡羊補牢。他表示,他選擇不公布受影響程式的名單,但發布了一項工具,協助使用者發現哪些軟體可能有安全弱點。
但賽門鐵克公司(Symantec)安全反應資深經理Joshua Talbot說,這種驗證概念的程式碼一出現,這類的攻擊可能很快就尾隨而至。他說:「駭客會檢視它,然後設法加以修改、利用。 」
上周四資安研究公司Acros Security警告,iTunes可能遭受這一類攻擊,但Moore和其他人士指出,這項安全弱點的影響範圍可能絕不只限於iTunes,很可能有數十種Windows程式也同樣面臨類似的攻擊威脅。
以往這些攻擊要得逞,必須先在系統內植入惡意的程式庫(library)。但最新研究發現,惡意程式碼也可以植入共享網路,讓駭客更容易攻擊潛在安全漏洞的系統。
微軟在23日發表的安全性摘要報告中,也指示開發者如何避免這種安全弱點,並表示正檢查自家程式碼,以了解是否有任何微軟產品面臨這種危險。
微軟在部落格公告中說:「我們正進行徹底的調查,以查明這個新的方法是否可能影響微軟的產品。」
微軟表示,已釋出一種軟體工具,「讓系統管理員能更改作業系統或特定應用程式載入library的行為,以降低這種安全弱點的危險」。
Talbot說,利用這種library進行攻擊的活動正逐漸增加,反映Windows和其他作業系統已加強防禦,使得駭客更難利用記憶體錯誤(memory corruption)的安全漏洞發動攻擊,因而另闢蹊徑。
他建議使用者檢視微軟提議的方法,例如修改登錄機碼(registry key)的設定環境,讓libraries無法透過網路載入。他還建議使用者採取其他步驟,例如點擊連結或造訪不明網站時要提高警覺,並且確定自己用的防毒軟體更新到最新的版本。
不過,Talbot說,目前的防毒軟體未必能阻止駭客趁虛而入,但有時可以偵測到駭客試圖安裝至系統上的payload。
Windows DLL 漏洞影響數百種應用程式
資安研究員24日表示,Windows作業系統處理DLL(動態連結程式庫)與相關檔案的方式有安全漏洞,可能影響數百種應用程式,而網路上已有人利用此漏洞發動惡意攻擊。
微軟公司周一發布安全性摘要報告指出,已發現一種稱為「DLL preloading」或「binary planting」的攻擊手法,雖然手法並不新,但卻是一種新的遠端攻擊途徑(remote attack vector)。惡意程式碼可藉此植入共享網路(network share),而不只是植入一台本機系統(local system),這讓駭客更容易誘拐民眾點擊惡意網站連結或開啟含毒的文件,使系統遭到駭客攻擊。
資安公司Acros上周揭露這個問題,指出iTunes受到影響,而Rapid7技術長HD Moore本周提供更多的資訊,並釋出一種工具,可用來測試某種應用程式是否內含這個安全漏洞。
資安公司Offensive Security的創辦人Mati Aharoni說,目前為止,該公司管理的Exploit-db.com的exploit資料庫已接獲各界舉報眾多應用程式可能內含安全漏洞,包括Windows Live Mail、Windows Movie Maker、Microsoft PowerPoint 2010、Office 2007,以及非微軟軟體如Firefox 3.6.8、Foxit Reader、Wireshark和uTorrent等等。
另有使用者在Full Disclosure郵件論壇上發文指稱,Windows XP裡的Windows Address Book也有安全漏洞。
Aharoni說:「單是在今天,一天內上傳至Exploit-db的各種Windows應用軟體的exploits數量就打破紀錄...全都是與同一種安全漏洞有關。現在數目已達到數十種。」但他預測受影響應用程式的總數很快就會增加到數百種。
同時,研究員發現,網路上已有一些利用這個安全漏洞發動惡意攻擊的事例。
Aharoni說:「這可說主要是Windows的問題,但要解決問題,你必須徹底改變Windows載入各種DLL檔的方式,這會變得極為棘手,無疑會破壞許多的應用程式。」
微軟已釋出一項工具,讓系統管理員降低系統遭到攻擊的風險。
微軟公關回應經理Jerry Bryant說:「目前本公司正在分析我們自己的應用程式,以查明是否有任何應用程式受到這種新的遠端攻擊途徑影響。因此,我們會採取適當行動保護客戶,可能的措施包括發布安全通告和安全更新,以降低風險和解決問題。」
微軟並建議客戶審視安全性摘要報告(2269637),並落實文中建議的防範措施。微軟還說:「另一點值得注意的是,DLL planting需要使用者大量的配合,不會只因瀏覽網頁就遭到入侵。駭客必須說服使用者點擊一個連結,連向他們的SMB (Server Message Block)或WebDAV (Web-based Distributed Authoring and Versioning)共享資源,然後再唆使使用者從那裡開啟一個檔案,才會帶出額外的對話(dialogs),提示使用者同意那個動作。」
Moore建議系統受影響的使用者「不要從陌生人那裡開啟連結或網路共享連結」。
我開設了一個可以dll下載的網站,網址如下:
http://download.155384.com/chinese