赛门铁克安全响应中心今天公布检测出一项针对微软Word 2003应用程序的零时攻击行为(zero-day exploit)。根据赛门铁克的定义指出,所谓零时威胁指的是该攻击针对系统厂商尚未公布修补程序的漏洞。
5月19日,赛门铁克安全响应中心发现了一个新的零时攻击漏洞(zero-day),利用此漏洞后会影响微软的Word 2003应用程序,并由此再发动锁定的网络攻击行为。成功的利用此漏洞将使远程攻击者在受害计算机里植入后门木马程序Backdoor.Ginwui,经观察后发现此后门木马程序会通过HTTP传送信息到特定的IP位置,然而,黑客也有可能利用此后门木马程序控制受害计算机,发动其它的攻击行为。现在攻击的对象以企业用户为主,然而赛门铁克正密切关注此威胁是否对个人用户造成影响。
此恶意文件包含了数个对象(像是PowerPoint演示文件、Excel及图表等),并携带着后门程序Backdoor.Ginwui,能够开启受害者计算机后门。Backdoor.Ginwui后门程序能够允许远程攻击者收集系统信息并在受害计算机中执行恶意程序代码。赛门铁克判定此携带了恶意程序的恶意Word文件为木马程序Trojan.Mdropper.H,Backdoor.Ginwui则是受害计算机开启恶意Word文件后,被植入的后门木马程序。赛门铁克将后门程序Backdoor.Ginwui及木马程序Trojan.Mdropper.H均列为安全威胁危害指数1级(5级为最危险)。
由于发现了零时漏洞正出现活跃的攻击行为,因此赛门铁克安全响应中心将ThreatCon网络风险指数调高为2级(4级为最高风险)。赛门铁克的ThreatCon网络风险指数为整体的网络安全状态提供全面性的“安全气象预测”。
赛门铁克安全响应中心高级总监Vincent Weaver表示,“此威胁源于亚洲区,但并未在亚洲区造成大规模的扩散,似乎此威胁仅针对特定的大型企业而来。”Vincent Weaver进一步指出,“过去一段时间里,赛门铁克陆续发现类似的锁定攻击行为产生,主要利用Office应用程序如Word的漏洞。这次的安全事件证明网络攻击逐渐向零时攻击方向发展。”
赛门铁克建议使用者采取下列措施:
1、切记不要开启来路不明、或是未预期会收到的电子邮件附加文件
2、保持计算机里网络安全软件随时在最新的状态
3、针对任何共享的Windows文件务必使用复杂的密码加以保护
4、将使用者的个人数据备份至离线的储存空间
小辞典:零时攻击 zero-day attack
赛门铁克的定义指出,所谓零时威胁指的是该攻击针对系统厂商尚未公布修补程序的漏洞。
