2009年7月5日,安启华(Anchiva)Web安全网关产品成功拦截到针对微软DirectShow组件零日漏洞的攻击。该组件在解析一个特殊构造的图片文件时,会产生溢出,从而执行攻击者的代码并已截获大量和该漏洞相关的攻击脚本,这些脚本被检测为:Trojan/JS.Shellcode.0F5D、Exploit/DirectShow.2D0F等。实际网络中拦截到的部分相关攻击如下图显示:
目前在中国地区该漏洞已经被攻击者大量使用,攻击者通过在被攻击网站上植入恶意连接,连接到攻击者的网站,该网站包含利用该漏洞的攻击脚本,用户在浏览被攻击站点时,会被引入到攻击者的网站,触发相关漏洞,执行有攻击代码的脚本。下面是自7月5日以来,Anchiva检测到的包含该漏洞攻击代码的部分网站:
6gerere3e.cn
ccfsdee32.cn
dx123.9966.org
ccfsdee32.cn
3wjjyy.7766.org
qy1999.9966.org
6gerere3e.cn
6gerere3e.cn
news.85580000.com
qitamove.kmip.net
x16ake8.6600.org
9owe2211.cn
ibm22.2288.org
9owe2211.cn
d9mmmm.7766.org
dnf.17xj.cn
www.carloon.cn
ww2.niupan.com
www.huimzhe.cn
www.26b.cn
www.skytour.co.jp
97sewo.3322.org
d212dddw.cn
wa.wmdsmd.cn
ucqh.6600.org
d212dddw.cn
shangdi.org
97sewo.3322.org
ckt5.cn
ww2.niupan.com
bbs.zjol.com.cn
n0m0n3.3322.org
buffer-ad.qvodwf.com
66aaaaaa.com
wf3gr.8800.org
daizong1.3322.org
www.carloon.cn
2525gt.3322.org
n0m0n4.3322.org
h65uj.8866.org
n0m0n1.3322.org
45hrtt.8866.org
wwwbaibu.3322.org
abcwww.3322.org
23ret.3322.org
705kill360.3322.org
vip762.3322.org
33qqkk2.3322.org
22ccf2.3322.org
8man7.3322.org
n0m0n.3322.org
55hhje3.3322.org
ddssaaa2.3322.org
c1gg.3322.org
n0m0n2.3322.org
2424yht.3322.org
0man8.3322.org
qwertys.3322.org
8man5.3322.org
vip4y.3322.org
n0m0n3.3322.org
11dds3.3322.org
mh1l.3322.org
ds355.8866.org
据悉,微软已于今日(2009年7月7日)发布了相关的安全公告(Microsoft Security Advisory 972890), 公告建议暂时在IE中禁用该组件,并提供了相关设置工具(工具下载),但没有提及何时会发布相关补丁程序。
Anchiva安全研究员指出,每当出现一个新的涉及到Web的漏洞时,网站受攻击的风险就会加大,攻击者总会不失时机的对网站发起一轮新的攻击,以便利用这些网站进一步攻击未受保护的广大用户。网站管理者应加强网站的安全建设,Anchiva的Web应用防火墙系统可以为Web服务器提供相关的安全保护。