安全专家本周二警告说, 自上周发现微软Windows系统的Meta(元)文件存在缺陷以来,业已滋生出十数起相关的攻击事件。
专家表示,目前为止攻击的范围相当广泛,从通过MSN Messenger即时通信传播的蠕虫,到诱使用户点击的恶意网站,手法花样百出。
安全专家指出,该安全漏洞在Windows XP SP1,SP2及Windows Server 2003上能够被很轻易地发现。其它旧版本的操作系统,如Windows 2000和Windows ME,虽然也存在同样的风险,但据F-Secure首席研究总监(chief research officer,简称CRO)Mikko Hypponen介绍说,相对而言要想找出类似的漏洞,需要颇费一番周章。
Hypponen称:“目前为止,情势不容乐观,但还不算最坏。该漏洞所引发的安全问题要比我们想象的严峻。据估计,全球范围内,99%的电脑都存在受到攻击的危险。”
据互联网风暴中心(Internet Storm Center,简称ISC)的安全公告显示(注1),这个Windows Meta文件漏洞能透过图像文件来执行任意代码。用户一经浏览了恶意图像文件,就会中招。
微软表示,将在其今年1月10日公布的安全通告中发布修复相应的WMF安全漏洞的补丁程序。
Hypponen说:“自(去年)12月27日以来,我们业已发现不下十几起利用相关漏洞的攻击事件,手段各不相同。有直接利用恶意图像文件,诱使用户点击的;也有以MSN Messenger蠕虫的方式出现,通过好友列表传播的;其它的形式还包括了数起藉由垃圾邮件发动的攻击。”
他又补充道,在透过垃圾邮件的攻击中,有一些案例是以特定的用户作为下手对象的,比如邮件伪称来自美国国务院(U.S. Department of State)。此类恶意邮件夹带地图附件,试图诱使用户打开它,如果用户上当,附件中隐藏的恶意代码就会从网上下载木马程序到用户的电脑中。通过这种方式,在用户电脑系统中开启后门,用户的敏感文件资料就此被外泄了。
WMF中发现漏洞并非新闻,现实中已为恶意行为锁定为攻击手段,比如上周曝光的WMF木马攻击事件(注2)。
虽然微软尚未及发布正式的安全补丁,但F-Secure及ISC等几大安全厂商都注意到,一位来自俄国的电脑安全工程师Ilfak Guilfanov已针对性地发布了自己的非官方补丁。
F-Secure在其每日安全日志(blog)(注3)中写道:“Ilfak Guilfanov(注4)为此发布了临时修补方案,在不影响系统正常运作的前提下,能够消除该WMF漏洞所引发的安全威胁。(打了他的补丁后,)所有图片及缩略图都不会出现任何问题。”
安全公司同时也建议用户在自己的Windows平台中,注销与此漏洞相关的“shimgvw.dll”文件(注5)。但Secunia的安全公告(注6)指出,注销该文件后,可能导致某些Windows功能丧失,而且此法未经全面测试及验证。
尽管有大量的用户面临这一安全漏洞的威胁,但Hypponen仍表示,当人们过完新年假期并返回工作岗位后,遭受大面积病毒入侵的几率并不大。
他认为:“目前情形尚不至于演变成大规模病毒入侵的局面。对大多数用户而言,中毒的情况基本上只能是这样的:即在网络搜索后,从不计其数的返回结果中,不幸点击了已被感染的站点。具体地说,就是要么这些网站是恶意的,或是已被骇客攻陷了,只有在这种情况下 ,用户才会中招。”
注:
1. http://isc.sans.org/
2.http://news.com.com/Trojan+delivers+unwanted+gift+to+Windows+PCs/2100-7349_3-6011406.html?tag=nl
3. http://www.f-secure.com/weblog/archives/archive-122005.html#00000756
(该地址有自2005/12/28以来,近期WMF事件的相关消息)
4. 他是IDA这个debug工具的主要作者。其修补手段是:
a) 对USER32.DLL进程作注入
b) 修补GDI32.DLL中的Escape()函数, 从而达到修复WMF中的SETABORT序列。
其blog地址为, http://www.hexblog.com. 但发稿时,似乎由于流量太大被关闭了???
5. Windows用户可以在命令行,键入: regsvr32 /s /u shimgvw.dll。
6. http://secunia.com/advisories/18255/
