爱华网◎文/苗得雨 这是近一年半以来微软第二次紧急发布系统补丁了,不过这一次IE浏览器0Day事件还是让微软负责安全的人员感到颇为吃惊,因为在以往的情况下,微软的安全人员总会通过非常规渠在事前得到0Day的相关信息,而此次IE浏览器0Day漏洞,竟然是在漏洞生成器已经流落到民间黑客手中的时候,微软才发现。 在微软发现之前,该漏洞已经通过小范围的黑色渠道流传了近半个月的时间。发现该漏洞的黑客之所以在发现后没有第一时间通过正常渠道公开为自己在安全圈的“名望”造势,估计也是由于该漏洞的可利用价值太高了。 不过有趣的是,现在网络安全圈竟然也开始学起了恐怖分子的手法,发动恐怖攻击的人往往很低调,反而是一些不知名的组织会声称对恐怖袭击负责。此次IE7 0Day的漏洞风声一出现后,国内几个小黑客组织和某安全软件厂商就声称是自己的“疏忽”,导致了该漏洞的曝光和泛滥,语气相当可笑。 不过这样的言论还是引起了国外媒体的注意,美国知名的计算机世界网站竟然开始一本正经的分析这些“吹牛”言论,并将互联网安全越来越不稳定的责任指向了中国。 IE7 0Day的危险性
此次这个IE7 0Day比起前不久刚刚爆出的MS08-067而言,不仅仅在发动攻击式的隐蔽性高,而且攻击的软件扩展范围和攻击的手段也非常多。举例而言,如果黑客利用MS08-067发动攻击,他们首先需要客服的就是来自电信部门的端口限制,虽然MS08-067的威胁性如同当年蠕虫冲击波利用的RPC漏洞如出一辙,不过由于该漏洞仍然主要依靠篡改网络数据包进行攻击,所以会受限于网络环境,最多只能够在公司和学校的内部小范围的散播,已经无法构成当年冲击波病毒横扫一片的恐怖场面。 但是目前这个被微软编号为“961051”的IE7 0Day则不同,黑客可以轻易的利用这个漏洞构造出带有攻击性的网页代码,并可以将这个恶意代码植入任意的网页。当然这个网页不仅是正常的网站,还有可能是迅雷、QQ的弹出欢迎菜单;可能是你的Outlook查收的HTML贺卡,也可以是其它调用IE内核的第三方软件,总之所有有可能通过IE内核访问网页的软件都可以被插入攻击代码,并让没有修复漏洞的用户中招。 全球网站将遭遇攻击高峰 由于黑客利用该IE7 0Day漏洞最好的方式就是通过用户信任的网站进行挂马,因此相信未来的一段日子,针对一些网站的SQL注入行为将大范围重现,特别是新的针对PHP和JSP网站的高级注入行为,当然网站安全性较差的中小企业网站将会是此次全球网站攻击浪潮的主要受害者。 因此,在这一段敏感时间内,希望广大网站管理员加强自身服务器安全性的检查,特别是对于网页被篡改和注入式攻击的检测和防范。而普通用户可以选择使用【锐甲】等防挂马软件进行防护。 由于该IE7 0Day漏洞的攻击代码产生变种的方式有多种,因此利用该IE7 0Day漏洞的攻击行为相信将会持续一段时间,加之年末将迎来圣诞与新年假期,黑客们很可能利用这个IE7 0Day漏洞制作成诱惑性较强的网页贺卡或者电子邮件广泛传播。 修补方式 昨晚微软已经紧急发布了官方补丁,因此此刻不建议用户再去打第三方安全厂商开发的野鸡补丁,所有的Windows用户都可以通过Windows Update或者登陆微软安全中心更新下载补丁。 目前有许多用户希望通过火狐、Opera等非IE浏览器躲避该漏洞,但是由于这个漏洞的扩展性极大,所以即便用户使用非IE浏览器浏览网页,但是其它调用IE内核的软件仍然可能因为各种原因会遭到黑客的暗算。例如,QQ每次在打开之后都会弹出的欢迎对话框等,这些都有可能会被黑客利用,或者劫持。 目前一劳永逸的解决方式是通过网页挂马防护软件进行外部阻挡,目前国内用户可以下载“锐甲”防网页挂马安全软件进行防护,该款软件是国内唯一的一款防网页挂马安全产品,根据该软件官方网站显示,锐甲已经能够完美阻挡利用该IE7 0Day发动攻击的一切危险行为。 【锐甲下载地址1】 http://www.araymor.com/download.html 【锐甲下载地址2】 http://update0.araymor.com/download/ARaymorInstall.exe 注意事项 根据微软发布的检测公告显示,目前利用该IE7 0Day漏洞的攻击行为有64%都在攻击美国的服务器,不过大多数攻击都来自中国地区。目前该漏洞攻击代码生成器生成的网页名称多为 7.htm、I7.htm、ie07.htm、msxml.htm和ss.htm。所以请网络管理员和用户多加注意自己的计算机中或者服务器中是否有这些可疑文件名的文件。 此外务必开启防网页挂马防护软件。目前利用该IE7 0Day漏洞传播的病毒多为网游盗号木马,流传最广泛的为编号“Win32/OnLineGames”和“Win32/Lolyda”,键盘记录程序“Win32/Lmir”和特洛伊木马“Win32/Helpu。 造成漏洞的原因 导致该IE7漏洞出现的原因主要是溢出是由于 XML 解析字符串 SRC 片段时导致,由于 SRC 字符串当中的 r2570;r 非正常字符导致对象分配失败,而失败后的内存指针没有被释放,继续利用,而这个指针被人为指向了一段堆地址,而如果这段地址被 ShellCode 覆盖过的话,调用这个指针就会导致有溢出。
