2009年7月5日,安启华(Anchiva)Web安全网关产品成功拦截到针对微软DirectShow组件零日漏洞的攻击。该组件在解析一个特殊构造的图片文件时,会产生溢出,从而执行攻击者的代码并已截获大量和该漏洞相关的攻击脚本,这些脚本被检测为:Trojan/JS.Shellcode.0F5D、Exploit/DirectShow.2D0F等。实际网络中拦截到的部分相关攻击如下图显示:
目前在中国地区该漏洞已经被攻击者大量使用,攻击者通过在被攻击网站上植入恶意连接,连接到攻击者的网站,该网站包含利用该漏洞的攻击脚本,用户在浏览被攻击站点时,会被引入到攻击者的网站,触发相关漏洞,执行有攻击代码的脚本。下面是自7月5日以来,Anchiva检测到的包含该漏洞攻击代码的部分网站:
据悉,微软已于今日(2009年7月7日)发布了相关的安全公告(Microsoft Security Advisory 972890), 公告建议暂时在IE中禁用该组件,并提供了相关设置工具(工具下载),但没有提及何时会发布相关补丁程序。
Anchiva安全研究员指出,每当出现一个新的涉及到Web的漏洞时,网站受攻击的风险就会加大,攻击者总会不失时机的对网站发起一轮新的攻击,以便利用这些网站进一步攻击未受保护的广大用户。网站管理者应加强网站的安全建设,Anchiva的Web应用防火墙系统可以为Web服务器提供相关的安全保护。
