惡意網站利用微軟瀏覽器最新零時差安全漏洞 影響使用者安全
出現在今年一月初的微軟IE瀏覽器漏洞,編號979352、CVE-2010-0249,經研究人員分析,幾乎能夠對目前所有版本的IE瀏覽器與作業系統造成影響,這一個漏洞可謂是這幾年來重大威脅之一。根據消息指出,國外部分資安業者,甚至懷疑這個漏洞跟之前google的攻擊事件有所關連,Macfee甚至為此攻擊事件命名為Aurora代號。
此類利用IE瀏覽器漏洞的攻擊手法,駭客通常會製作精細的惡意程式碼,放置在一般民眾常瀏覽的網站上,藉此讓所有瀏覽的使用民眾受影響而植入後門程式。駭客並會結合目標式 (Target Attack) 攻擊手法,針對特定企業重要人員發動精準的攻擊,達到入侵內網的目的。
中華電信HiNet SOC資安監控中心,於本月初在第一時間即留意網路上與此相關的各類資訊,對資安監控用戶提出通報服務,並且針對某企業遭受此類0day攻擊進行緊急處理,經過監控中心資安專家的分析,該案件所發動的攻擊經過編碼與加密,極難使用傳統IPS來進行防護,HiNet SOC資安監控中心利用自動化惡意程式偵測技術,協助用戶在目前尚未出現修補程式時,避免遭受此類攻擊影響。
HiNet SOC資安監控中心資安專家指出,以往光靠入侵偵測系統的特徵碼、防毒軟體的病毒碼、與單靠作業系統廠商的修補程式,在這次攻擊事件中完全無法有效於第一時間保護用戶,所謂0day漏洞便是作業系統廠商尚未推出修補程式,在這次攻擊手法中,幾乎所有版本IE瀏覽器在攻擊發生時皆受影響,且經過測試各家防毒軟體的偵測能力,大部分防毒軟體皆無法偵測該植入的後門程式,對於使用者的威脅指數非常巨大。
另外,HiNet SOC資安監控中心除了協助使用者避免直接連往後門控制主機之外,本次事件更是利用流量監控與惡意程式分析技術於第一時間找出攻擊程式與惡意網站,並隨時掌握後門程式中繼站的控制動作,發現後門程式中繼站於當日上午10點多才開始發送指令,中間僅開約一個多小時,隨後關閉。這種開開停停的動作,駭客非常狡猾地掌握控制時機點,避免動作頻繁而遭到追查。