最近一段時(shí)間,使用Vista的小張感覺自己的操作系統(tǒng)怎么也不聽使喚,好像被別的什么東西控制了。不是操作系統(tǒng)自動(dòng)重啟,就是程序窗口自動(dòng)關(guān)閉,甚至有的時(shí)候還會(huì)彈出各種各樣的提示窗口。這到底是怎么回事?
![""]("http://img2.zol.com.cn/product/12_450x337/510/ce5Kp0fOLu2.jpg")
screen.width*0.5) {this.resized=true; this.width=screen.width*0.5;}" border=0>IE 7
這段時(shí)間,同小張一樣困擾的微軟用戶不在少數(shù)。他們都是中了黑客的木馬。是什么木馬這么厲害讓系統(tǒng)里面的殺毒軟件集體實(shí)效?其實(shí),不是木馬厲害,而是黑客利用IE Speech API漏洞繞過了系統(tǒng)安全防線,直接獲取了系統(tǒng)的控制權(quán)限。
什么是IE Speech API漏洞
IE瀏覽器調(diào)用的Speech API的ActiveX控件存在緩沖區(qū)溢出漏洞,黑客可以利用此漏洞控制遠(yuǎn)程用戶機(jī)器。微軟的Speech API軟件包主要提供文本語(yǔ)音和語(yǔ)音識(shí)別的相關(guān)功能,IE瀏覽器通過調(diào)用其中的一些ActiveX控件來實(shí)現(xiàn)這樣的功能。
但是調(diào)用這些功能組件分別由Xlisten.dll和XVoice.dll庫(kù)提供,而正是這些控件中存在多個(gè)緩沖區(qū)溢出漏洞,所以造成了IE瀏覽器最終被漏洞擊垮。如果用戶受騙訪問了惡意站點(diǎn)的話,則在處理有漏洞的ActiveX控件的某些方式或?qū)傩詴r(shí)可能會(huì)觸發(fā)堆溢出或棧溢出,導(dǎo)致在遠(yuǎn)程用戶計(jì)算機(jī)系統(tǒng)上執(zhí)行任意指令。
微軟近期有關(guān)IE的漏洞
IE navcancl.htm跨站腳本執(zhí)行漏洞、Outlook Express MHTML URL解析信息泄露漏洞、vista不安全存儲(chǔ)用戶信息漏洞、IE語(yǔ)言包安裝遠(yuǎn)程代碼執(zhí)行漏洞等。只不過它們的破壞性并不是太大,因此也沒有引起用戶的關(guān)注。
黑客利用漏洞攻陷系統(tǒng)
首先,黑客會(huì)配置一個(gè)木馬的服務(wù)端程序。運(yùn)行木馬Outbreak后點(diǎn)擊“文件”中的“生成”命令,在彈出的窗口設(shè)置服務(wù)端程序的相關(guān)信息。最后點(diǎn)擊“生成”按鈕即可生成服務(wù)端程序,并且生成的服務(wù)端大小非常適合制作網(wǎng)頁(yè)木馬(圖1)。
![""]("http://img2.zol.com.cn/product/12/505/ceX8arhL51mBw.jpg")
screen.width*0.5) {this.resized=true; this.width=screen.width*0.5;}" border=0>圖1
當(dāng)木馬服務(wù)端程序生成完畢后,將它上傳到網(wǎng)絡(luò)空間中。運(yùn)行漏洞利用程序,黑客只要在程序窗口中的“網(wǎng)馬地址”選項(xiàng)中,輸入木馬服務(wù)端程序的網(wǎng)絡(luò)路徑后,點(diǎn)擊“生成木馬”按鈕即可生成一個(gè)網(wǎng)頁(yè)文件,這就是黑客要利用IE Speech API漏洞的網(wǎng)頁(yè)木馬(如圖2)。
![""]("http://img2.zol.com.cn/product/12/506/ce01RlnhPiU.jpg")
screen.width*0.5) {this.resized=true; this.width=screen.width*0.5;}" border=0>圖2
現(xiàn)在將剛剛生成的網(wǎng)頁(yè)木馬也上傳到網(wǎng)絡(luò)空間中,將網(wǎng)頁(yè)木馬的地址通過電子郵件、網(wǎng)絡(luò)論壇等形式進(jìn)行發(fā)布,然后利用各種各樣的借口誘騙其他網(wǎng)友點(diǎn)擊網(wǎng)頁(yè)木馬。只要用戶瀏覽就會(huì)立即被安裝木馬服務(wù)端程序,從而被黑客進(jìn)行遠(yuǎn)程控制操作(如圖3)。
![""]("http://img2.zol.com.cn/product/12/507/ceZWVT4ubYd2.jpg")
screen.width*0.5) {this.resized=true; this.width=screen.width*0.5;}" border=0>圖3
漏洞雖大 仍有法可防
由于IE Speech API漏洞是利用網(wǎng)頁(yè)木馬這種形式進(jìn)行傳播的,同時(shí)影響的范圍又是特別的廣泛,因此各位用戶應(yīng)該立即對(duì)該漏洞修補(bǔ)防范。
1.及時(shí)安裝安全補(bǔ)丁
不論遇到怎么樣的漏洞,最簡(jiǎn)單最有效的方法就是安裝相應(yīng)的安全補(bǔ)丁。用戶只要登錄到微軟“IE Speech API 4 COM對(duì)象實(shí)例化緩沖區(qū)溢出漏洞”的相關(guān)網(wǎng)頁(yè),根據(jù)自己的系統(tǒng)版本進(jìn)行下載安裝即可,當(dāng)然用戶也可以直接利用殺毒軟件的漏洞修復(fù)功能來進(jìn)行安裝(點(diǎn)擊進(jìn)入官方下載頁(yè)面)。
2.系統(tǒng)臨時(shí)防范方法
如果用戶在第一時(shí)間里面無(wú)法安裝安全補(bǔ)丁的話,可以利用在IE瀏覽器中禁用Speech API 軟件包的ActiveX控件進(jìn)行臨時(shí)性的防范。運(yùn)行《Windows優(yōu)化大師》后,點(diǎn)擊“系統(tǒng)維護(hù)”中的“其它設(shè)置選項(xiàng)”。
在“禁止瀏覽網(wǎng)頁(yè)時(shí)安裝下列ActiveX控件”選項(xiàng)中點(diǎn)擊“添加”按鈕,在“ActiveX控件ID”中設(shè)置插件和(如圖4)。完成后在列表中選中剛剛增加的CLSID,最后點(diǎn)擊“確定”按鈕就可以進(jìn)行防范。
![""]("http://img2.zol.com.cn/product/12/508/ceUEEj21XfhLM.jpg")
screen.width*0.5) {this.resized=true; this.width=screen.width*0.5;}" border=0>圖4
編后
雖然這個(gè)漏洞出自微軟的IE瀏覽器,但是歸根結(jié)底還是由ActiveX控件造成的。自從微軟1996年推出ActiveX技術(shù)以來,ActiveX技術(shù)已經(jīng)得到很多軟件公司的支持和響應(yīng)。雖然ActiveX技術(shù)確實(shí)為軟件開發(fā)以及應(yīng)用帶來了便利,但是與此同時(shí)也帶來了極大的風(fēng)險(xiǎn),正如今天我們講解的這個(gè)漏洞。
目前,利用ActiveX技術(shù)漏洞的網(wǎng)頁(yè)木馬已經(jīng)很多了,而且隨著ActiveX技術(shù)的不斷發(fā)展以后會(huì)越來越多。如果沒有一種能夠取代ActiveX的更加安全的技術(shù),那么此類漏洞仍然會(huì)成為微軟系統(tǒng)的一大挑戰(zhàn)。
