微软公司23日发布安全性摘要报告指出,已发现一种安全漏洞,可能导致许多Windows应用程式容易遭到攻击。
这份报告描述一种攻击手法,称为「DLL preloading」或「binary planting」。虽然这类攻击手法既不新,也不局限于Windows环境,但微软承认似乎的确有一种新的远端攻击方法,可以迅速攻击更多的系统。
加州大学戴维斯分校的两名研究员今年稍早发表了一份研究报告,说明如何自动侦测潜在安全弱点的程式。最近,资安专家暨Metasploit创始人HD Moore发表更多探讨这个问题的资讯,并且把这项安全弱点加入他的Metasploit计画。
Moore说,他这么做是为了让消费者更提高警觉,并鼓励软体制造商尽快亡羊补牢。他表示,他选择不公布受影响程式的名单,但发布了一项工具,协助使用者发现哪些软体可能有安全弱点。
但赛门铁克公司(Symantec)安全反应资深经理Joshua Talbot说,这种验证概念的程式码一出现,这类的攻击可能很快就尾随而至。他说:「骇客会检视它,然后设法加以修改、利用。 」
上周四资安研究公司Acros Security警告,iTunes可能遭受这一类攻击,但Moore和其他人士指出,这项安全弱点的影响范围可能绝不只限于iTunes,很可能有数十种Windows程式也同样面临类似的攻击威胁。
以往这些攻击要得逞,必须先在系统内植入恶意的程式库(library)。但最新研究发现,恶意程式码也可以植入共享网路,让骇客更容易攻击潜在安全漏洞的系统。
微软在23日发表的安全性摘要报告中,也指示开发者如何避免这种安全弱点,并表示正检查自家程式码,以了解是否有任何微软产品面临这种危险。
微软在部落格公告中说:「我们正进行彻底的调查,以查明这个新的方法是否可能影响微软的产品。」
微软表示,已释出一种软体工具,「让系统管理员能更改作业系统或特定应用程式载入library的行为,以降低这种安全弱点的危险」。
Talbot说,利用这种library进行攻击的活动正逐渐增加,反映Windows和其他作业系统已加强防御,使得骇客更难利用记忆体错误(memory corruption)的安全漏洞发动攻击,因而另辟蹊径。
他建议使用者检视微软提议的方法,例如修改登录机码(registry key)的设定环境,让libraries无法透过网路载入。他还建议使用者采取其他步骤,例如点击连结或造访不明网站时要提高警觉,并且确定自己用的防毒软体更新到最新的版本。
不过,Talbot说,目前的防毒软体未必能阻止骇客趁虚而入,但有时可以侦测到骇客试图安装至系统上的payload。