一名安全研究人员说,微软周一确认的这一关键漏洞是另一场conficker级别攻击的主要可能,但该漏洞尚未修复。
一名安全研究人员说,微软周一证实但尚未修复的这一关键漏洞可能会引发另一场规模堪比conficker的攻击。
AVG Technologies首席研究官罗杰•汤普森(Roger Thompson)昨日表示:“这比Conficker使用的(漏洞)要好。”“它暴露了整个世界,可以通过防火墙被利用。这比Conficker要好,Conficker一旦进入网络就会造成很大的破坏。”
Conficker,蠕虫爆发日珥去年1月,它感染了数百万台机器,利用了一个已经修补过的漏洞错误在Windows系统中,微软认为这已经足够可怕,可以在常规更新计划之外进行修复。
该蠕虫劫持了大量的个人电脑——估计一度高达1200万台——然后将它们组装成一个庞大的僵尸网络,能够传播恶意软件,种植假杀毒软件或分发大量垃圾邮件。
“我毫不怀疑,真正的坏人正忙着把这个[新漏洞]加入他们的开发工具包,”汤普森说。“对于Conficker的人来说,这可能是下一件事。他们等到有了一个很好的利用,然后再结合一些聪明的策略。所以如果他们注意到这一点,我不会感到惊讶。”
汤普森担心的是微软视频控制器ActiveX库中的漏洞,也就是msvidctl。文件,一个ActiveX控件,可以访问使用Internet Explorer (IE)。尽管黑客至少从6月9日起就开始使用这个漏洞,但直到本周,包括中国和丹麦公司在内的几家安全公司报告称,这个漏洞才进入公众视线数千个被破坏的网站都在施展拳脚。
周一,微软在一份安全报告中承认了该漏洞,并表示将开发一个补丁,并提供一个安全补丁自动化工具通过在Windows注册表中设置近36个“杀死位”来禁用ActiveX控制。
汤普森说:“这对一大群感染者来说是一个很好的利用。”
这个漏洞之所以是黑客的绝佳选择,原因之一是它还没有被修补。当Conficker首次出现时,它所利用的漏洞已经被微软修补。然而,结果是,有很多个人电脑没有更新与修复。
对于微软能否及时推出补丁,汤普森并没有冒险进行猜测。补丁定于下周二发布,也就是7月的例行更新日。“但我相当有信心,他们正在非常努力地努力,”他说。
汤普森说,攻击代码是很容易获得的,这意味着尚未滥用该漏洞的攻击者不必找出他们自己的漏洞。他警告说:“如果那些感染横幅广告的人在补丁出现之前就使用了它,那就得小心了。”
今天,微软承认IBM国际空间站X-Force的研究人员做了在2008年报告了这个漏洞但并未透露具体日期。X-Force研究人员在2007年底发现了这个漏洞,并在当年12月保留了CVE(常见漏洞和暴露)的数字。其中一名研究人员亚历克斯·惠勒(Alex Wheeler)目前是3Com公司TippingPoint DVLabs的经理,他拒绝透露ISS向微软报告漏洞的日期,理由是他与前雇员签署了一份保密协议。
当微软知道ActiveX漏洞已有至少6个月,可能多达18个月的时间时,它为什么没有打补丁的问题没有直接回答。“当我们在2008年收到警告时,我们立即展开了调查,”公司发言人今天在一封电子邮件中说。“由于我们想要彻底,这需要额外的时间来全面评估。”
微软需要的“额外时间”可能会让一些人感到奇怪,因为ActiveX控件——“msvidctl”。dll文件——是公司自己的代码。这是不寻常的,汤普森说。“这是微软。dll在很长一段时间内的第一个问题,”Thompson说。“可能是从2007年4月的ANI漏洞开始。通常,它是一个中文的。dll或来自Adobe的什么东西。”
Windows动画光标的漏洞——发现于“user32”。在被亚历山大·索蒂洛夫(alexandersotirov)警告后100多天,一个在确定性的漏洞研究员被打补丁。微软发布了“带外”修补了ANI的bug,打破了它每月的常规计划。
汤普森说:“这不是世界末日。但如果Conficker 2.0版本有这个功能,我不会感到惊讶。这似乎是为他们量身定做的。”
运行Windows XP或Windows Server 2003的系统容易受到当前通过IE6和IE7的攻击。Windows Vista和Windows 7没有风险;运行IE8或其他浏览器(如Mozilla的Firefox和谷歌的Chrome)的用户也不会。
这个故事,“最新的IE bug可能是下一个Conficker,研究员说”最初发表《计算机世界》 。