杀毒软件公司赛门铁克5月19日上午通知其DeepSight威胁管理系统的用户称,由于Trojan.Mdropper.H木马程序利用安全漏洞实施的攻击,它已经把威胁控制等级(一共分为4级)从1级提高到了2级。
赛门铁克在通知中说,零日攻击漏洞利用代码已经以电子邮件的Word文档附件的形式出现了。赛门铁克安全反应部门的高级经理Vincent Weafer说,这个文件似乎来自于日本,包含的文本概述了最近召开的美国-亚洲政治峰会。
Weafer介绍说,这个文件的OLE结构是一个名为“Backdoor.Ginwui”的dropper程序。受害者一旦打开这个文件,这个程序就为攻击者创建一个后门,让攻击者利用已知的安全漏洞利用这个系统。
Weafer说这个后门将向亚洲的一个IP地址报到。这个dropper程序和后门都是非常标准的攻击目标。我们不能把这种邮件看成是垃圾邮件。事实上,赛门铁克目前仅知道有一个用户受到了这个利用安全漏洞的代码的影响。因此,Weafer说,赛门铁克选择提高威胁控制等级是因为这个非常危险的例子表明企业很容易成为受害者。
Weafer说,虽然我们没有谈到攻击的数量,但是,我们的客户对这种有针对性的攻击是很关心的。他们担心这类攻击。利用零日攻击安全漏洞的东西都是有针对性的和要窃取具体的信息。
SANS互联网风暴中心报告称,一家没有提到名字的机构收到了一封发给具体人的电子邮件。这封电子邮件伪造装表明上看是从这个公司自己的域名发来的电子邮件。这个利用漏洞的代码主要是针对微软Word 2003的,但是,这个代码在没有启动利用后门的程序情况的下能够引起Word 2000程序崩溃。
微软一位发言人证实称,微软正在对新的公开报道的利用Word XP和Word 2003的安全漏洞实施零日攻击的情况展开调查。微软在声明中称,微软很快将完成Word的安全升级,解决这个安全漏洞的问题。这个安全补丁正在通过测试最后确定下来以便保证质量和应用程序的兼容性,并且计划在2006年6月13日作为6月份的安全更新的一部分发布,也可能根据需要提前发布。
Weafer说,赛门铁克的研究表明,这个利用安全漏洞的代码仅仅是最新的一系列同样的攻击的一部分。他说,目前有许多攻击都采用同样的方法利用微软的Excel、Access或者Outlook等程序中的安全漏洞。
赛门铁克建议机构在网络边缘封锁带.doc后缀的Word文档的电子邮件附件。Weafer建议把文件格式转换为安全的格式,如.rtf。
赛门铁克在给用户的电子邮件中称,用户在收到来历不明的Word电子邮件附件的时候,在处理过程中一定要非常加小心。
