微软上周二(10日)发布一项安全更新,修补一个存在Windows 2000、Server 2003与2008,可导致攻击者将网络交通重新导向代理恶意网站的漏洞。
这项被微软列为“重要”等级的弱点,能让IT经理人在DNS设立一个Windows Proxy Auto-Discovery(或称WPAD)项目。若IE或Firefox的配置是“自动侦测设定”,浏览器就会连结到该代理服务器。
对于想要设立自己的代理服务器以监督员工网络使用状况,或防护网络安全的企业而言,这是一项有用的功能。但它也能造成所谓中间人型式的攻击,如果有外人能够通过动态的DNS更新设立WPAD项目,就能将交通转向恶意的IP位址。
在DNS没有WPAD项目的系统,微软的更新可阻挡未来的WPAD要求,但对于已经有WPAD项目的系统,这项更新完全无用。
nCircle资深安全研究工程师Tyler Reguly表示,安装该更新的IT经理人,可能会误以为所有问题都已解决。他在更新发布的当天晚间即主动联络微软,并发表一篇文章。
Reguly在隔一天更新文章中表示,一名微软代表告诉他,公司选择不去处理既存的WPAD项目,是因为无法分辨合法的WPAD项目,和攻击者加入的项目。
但Reguly表示,微软至少可以加入一个自动跳出的信息,警告使用者他们的系统有一个WPAD项目,或许再询问他们是否要保留或封锁该项目。他说:“我了解保留这项功能的需要,但代价不是完全舍弃安全顾虑。”
为回应这些疑虑,微软在13日发表一份更详细的技术说明,表示该公司不愿损及正常功能,并决定不因为可能有非法的WPAD,而冒险破坏任何系统管理员的设定,即使攻击的威胁将因此继续存在。
微软的声明写道:“这的确不是任何安全更新,或微软发布的任何安全更新,所希望达成的目标。安全更新的用意,是要协助防护系统对抗未来的攻击,而不是消除任何在过去已经发生的攻击。”
微软也提供系统管理员如何确认DNS中WPAD项目之IP地址的方法。
Reguly在接受CNET电访时,对微软后续的处理方式仍感失望。他说:“他们原可做一些事,减轻他们为功能而牺牲安全的冲击。他们也可以修改DNS,让你不能用WPAD作动态更新。”