Windows駭客碼流出可能引發大型病毒感染
CNET新聞專區: Robert Lemos  29/04/2004




兩個專門利用微軟漏洞來攻擊電腦的程式檔案讓安全專家相當憂心,可能進一步造成MSBlast一類的病毒散播。

有一些安全程式設計師所釋放出的程式碼,讓駭客更容易控制未修補的Windows電腦,因此讓專家為此提出警告。

這些程式所要利用的主要是微軟在4月13日所發表的漏洞。

賽門鐵克(Symantec)安全反應中心的資深總監Vincent Weafer表示:「一至三月間,我們主要看到的是大量郵寄的一些病毒。」「從現在至夏季期間,就我們所看到的…很可能是Blaster一類的事件。」

目前,賽門鐵克和專門監控網路威脅的網際網路風暴中心(Internet Storm Center)都已經偵測到,有自動化的攻擊針對那些最近未修補安全的電腦而來。ISC技術長Johannes Ullrich表示,有一項入侵是利用Windows Web伺服器的PCT(私人通訊傳輸)漏洞──也就是所謂的Microsoft IIS(網際網路資訊伺服器),已有許多公司的電腦受感染。

雖然有些新聞報導推論說,一隻新的病毒已經蓄勢待發,但是就該攻擊的資料流量來看,還未達到一般的病毒認定等級,Ullrich表示。

「這還無法成為我所謂的病毒,但已有公司受到該程式的衝擊。」他表示。「目前為止,還未達到我所認為的散播水準。」

由SANS Institute所運作的ISC還發現到,有證據顯示,有程式在鑽另一個更普遍的安全漏洞──Windows裡所謂的「區域端安全授權子系統服務」(Local Security Authority Subsystem Service,簡稱LSASS),目前已經被加到自動攻擊代理人(或者所為的bot,自動化程式)AgoBot裡。這種程式在受感染中的電腦執行時讓人毫無知覺,也讓入侵者得以完全控制利用受感染的電腦進行攻擊。

Symantec也坦承,已經捉到一個名為PhatBot的AgoBot程式版本,似乎有能力利用LSASS漏洞進行攻擊。Weafer表示,雖然這程式讓人擔心但是更大的威脅應該是完全自動化的病毒。他進一步指出,就攻擊範圍與容易性來看,LSASS漏洞可能和MSBlast所造能造成的災情相當。

事實上,市場已經預期可出現一個相當於去年八月的MSBlast災情,截至今年三月底,MSBlast總計感染了8000萬台以上的電腦。微軟在週三更新了清除MSBlast病毒感染的電腦數為950萬台。

這兩個漏洞威脅到的分別是電腦的兩個不同基礎架構。PCT漏洞讓使用SSL(安全插槽層)加密功能的網路伺服器有遭攻擊的危險。這種伺服器在電子商務應用裡相當常用,也因此讓入侵者可能鎖定一些高價值的電腦。LSASS漏洞所影響到的則是大多數仍未修補的Windows電腦。

微軟安全研究中心的安全程式經理Stephen Toulouse表示:「就鎖定的機器類型來看,兩者非常不一樣。」

雖然病毒還未誕生,但是最近發表的漏洞讓電腦有遭入侵之虞是真的,網際網路風暴中心的Ullrich表示。

微軟則再次呼籲使用者趕緊修補漏洞,Toulouse表示:「我們希望所有的客戶都盡快下載修補程式。」(郭和杰)

http://taiwan.cnet.com/news/software...0089185,00.htm