安全专家说,微软受欢迎的企业虚拟网络(VPN)应用软件被发现疑似安全漏洞,若经证明确有其事,可能造成企业内部网络(intranet)门户洞开,遭外来攻击。
奥地利安全顾问公司Phion Information Technologies透过网络邮寄名单发出一则安全建议通告,同时并在该公司网页上宣布,这个安全瑕疵会影响“点对点穿隧协定”(point-to-point tunneling protocol,简称PPTP),而此协议普遍用于服务器版和个人计算机版的微软Windows 2000和XP操作系统中内含的VPN软件。
eEye Digital Security黑客长Marc Maiffret警告,企业用户通常用微软的VPN让员工透过加密的信道登入企业网络。因为VPN按理说来应安全无虞,许多公司于是让使用者直接连上内部网络,但这么一来,可能让网络黑客利用此安全漏洞趁虚而入。 他说:“这是在防火墙挖个大洞。入侵你的全球信息网服务器很糟糕,但还不是世界末日。但透过你的VPN入侵呢?网络内部的防备少之又少。”
企业用户通常把最严密的防护罩安装在网络的外围部分,以防御可能源自于因特网的攻击。任何让黑客侵入网络中段的安全瑕疵,可能让企业网络轻易沦陷,毫无招架之力。 有两种协议可让使用者使用Windows内含的VPN软件进行安全通讯,PPTP是其中比较老式的协议,比较新的协议称为“第二层穿隧协定”(Layer 2 tunneling protocol,简称 L2TP)。
Phion技术长Klaus Gheri说,该公司的工程师在试着把某种软件产品与微软VPN功能结合时,发现有此瑕疵,进而在26日通报卡内基美隆大学的计算机紧急应变小组(CERT)、赛门铁克公司的BugTraq邮寄名单以及微软公司。 Gheri说:“我们正与微软合作解决此问题。我们已送一份可能瘫痪系统的样本程序代码给微软。微软应能据此找出PPTP精灵中缓冲区溢满(buffer overflow)发生之处。” 他强调样本程序代码只送交微软,并未对其他研究员透露任何详情。
微软常批评公开对大众发布瑕疵讯息是不负责任的行为,甚至透过运作成立了一个组织,宗旨就是设定一个标准的时期,让安全研究员暂缓发布软件安全瑕疵讯息,并且让软件公司有足够的时间解决问题。
微软安全反应中心经过约莫六小时的分析后,程序安全经理Christopher Budd说,该瑕疵不可能用来在系统上执行恶意程序,即使有可能,严重性也会大为降低:企业用户仅需提防VPN系统遭到阻断服务式攻击(denial-of-service attack),而非网络遭外人闯入。
Budd强调,微软会继续解决此问题,很快就会发表更明确的解决方法。他说:“这是首要之务,我们会全速进行。”
