本周(0326至0401)安全業界最重大的新聞是新的IE 0day漏洞被公開,該IE漏洞對Windows的大部分版本有效,是近年來少見的威脅巨大的IE漏洞;此外,本周初Microsoft還公開了另一個影響內網安全的Windows漏洞。其他方面,及時通訊的安全威脅迅速增加、Web安全領域的新攻擊方式和產品市場上IBM推出中小企業級入侵攔截系統(IPS)等新聞也值得關注:
漏洞信息:IE 新漏洞威脅巨大,企業內網DNS/WINS安全不容忽視
新聞:周三,Mcafee下屬的Avert實驗室捕獲一個利用IE 0day漏洞樣本,測試顯示,該漏洞影響使用IE 版本6和7的Windows平臺,它利用了IE對ANI動畫圖標文件處理上的錯誤,并在后臺自動下載并執行惡意軟件。這個漏洞于周四被Microsoft確認,但針對該漏洞的補丁目前尚未發布。周五,國內的CISRT小組宣布,捕獲會在被感染的網站主機上的網站頁面自動插入ANI漏洞的利用代碼的蠕蟲。
分析:ANI漏洞可以說是今年年初以來對用戶威脅最嚴重的漏洞。用戶在使用IE或IE內核的瀏覽器瀏覽插入有ANI漏洞的網站時,會在不知不覺中被下載并安裝惡意軟件。從隱蔽性來說,ANI漏洞比去年中的MS06014漏洞相當,遠超去年底的XML漏洞和今年年初的MS07004漏洞;無論用戶使用的是Windows XP SP2加最新補丁還是最新的Windows Vista,也無法防御該漏洞的攻擊,從范圍上看,該漏洞的影響也是近兩年來所罕見的。由于目前Microsoft尚無針對該漏洞的安全補丁,而相當一部分的反病毒軟件也不能檢測該IE漏洞的利用頁面,筆者建議用戶在Microsoft發布補丁或確認本機安裝的殺毒軟件可以檢測該漏洞之前,只瀏覽可信站點,并隨時監控系統是否有異常;或者暫時使用Firefox、Opera等第三方的非IE內核瀏覽器,以保證系統安全。
新聞:周四,Microsoft確認了存在于Web代理自動發現協議(WPAD)中的安全漏洞,該安全漏洞存在于Windows的DNS或WINS服務器中,允許攻擊者在企業內網將自己偽裝成一個合法的Web代理服務器,并將攻擊對象的數據轉向到該偽裝代理服務器上。
分析:該漏洞和ARP欺騙攻擊有一定程度的相似之處,DNS/WINS服務器沒有對內網中的Web代理服務器進行身份識別,就將其添加到信任列表中是引發安全問題的原因。解決偽造Web代理服務器最好辦法是關閉WPAD支持,如果有使用Web代理服務器的需要,設置DNS/WINS服務器使用靜態的WPAD DNS/WINS地址。
威脅趨勢:IM攻擊迅速增加 Web安全的新威脅
新聞:周四,有消息顯示,3月份針對即時通信(IM)的攻擊迅速增加,比去年同期增長2倍。這些攻擊的方式主要為傳播垃圾信息和盜取用戶的IM賬戶,常見的IM軟件上均有相關的攻擊報告。
看點:IM安全正成為安全領域繼E-mail安全之后一個越來越熱的方向。由于各個IM所使用的協議各不相同,大部分的IM廠商還采取對IM通信協議保密的做法,因此要建立適用于流行IM軟件的通用型安全解決方案存在相當的技術難度。但是對特定的IM軟件,可以采取和對應廠商合作開發的辦法。IM服務器端使用的信息過濾方案、客戶端使用的支持信息過濾和特定類型惡意軟件清除的軟件,都是可供選擇的IM安全解決方案。
新聞:周四,在Black Hat Europe 上,研究人員展示了一種新的Web攻擊方式:XSS+CSRF,XSS指 跨站腳本攻擊,而CSRF指的是跨站請求偽造。 這種攻擊方式的隱蔽之處在于攻擊者通過XSS劫持用戶的瀏覽,而CSRF能夠控制用戶當前的瀏覽器進程來訪問攻擊者希望訪問的站點,通常是信用卡支付站點,并執行攻擊者指定的操作。但在特定情況下,攻擊者還能通過CSRF來控制用戶瀏覽器訪問內部網絡。
看點:XSS+CSRF攻擊方法目前還處于概念和演示階段,一次XSS+CSRF攻擊成功也需要相當嚴格的條件,但需要嚴格條件并不等于不可能——用戶在計算機上保存了CSRF攻擊目標網站的賬戶信息、或用戶正在訪問目標網站,都有可能使CSRF攻擊成功。隨著大型商業站點越來越流行使用單點登陸(Single Sign On)方式,也使用戶遭受CSRF攻擊的風險增加。XSS和CSRF兩種攻擊方式的結合,使攻擊者的攻擊從獲得用戶的賬戶密碼轉變為直接控制用戶的瀏覽器完成指定操作,顯然更容易隱藏攻擊的發起和增加事后調查的難度。同時,如何防御這種新的Web安全威脅,也成為各大商業站點和安全業界需要面對的挑戰和機遇。
產品新聞:中小企業的入門級硬件安全產品
新聞:周五,IBM下屬的安全部門ISS推出了面向中小企業、金融終端和支付終端的入門級入侵攔截系統(IPS),該產品自帶4個網絡接口,支持2個網絡分段和10Mbit/s流量下的入侵攔截操作。該產品預計售價將低于2000美元。
看點: 硬件安全產品通常是昂貴的代名詞,購買、部署、維護的巨額花費是企業獲得高性能的安全防護的代價,也因此使中小型企業無力承擔使用硬件安全產品的昂貴費用,而轉而使用性能稍遜的軟件安全產品或干脆不部署安全方案。IBM這次推出的入門級IPS打破了這一格局,給中小企業部署安全方案增加了新的選擇。其他硬件安全廠商必定不會袖手旁觀,也會在短時間內推出自己的中小企業硬件安全產品。筆者預計,面向中小企業的硬件安全市場將會迅速發展,入侵攔截、入侵檢測、硬件防火墻、反病毒網關和安全網關等原本只有大型企業才能負擔得起的硬件安全產品也會以入門版產品的形式進入這一市場,而低購買成本、免維護、性能,將是硬件安全產品在這一市場獲得用戶青睞的關鍵。
