業務部安啟華(Anchiva)Web安全閘道產品成功攔截到針對微軟DirectShow元件零時差漏洞的攻擊。
安啟華(Anchiva)Web 安全閘道產品成功攔截到針對微軟 DirectShow 元件零時差漏洞的攻擊。該元件在解析一個特殊構造的圖片檔時,會產生溢出 (overflow), 從而執行攻擊者的代碼並已截獲大量和該漏洞相關的攻擊腳本,這些腳本被檢測為:Trojan/JS.Shellcode.0F5D 、 Exploit/DirectShow.2D0F 等。實際網路中攔截到的部分相關攻擊如下圖顯示:
目前在大中國地區該漏洞已經被攻擊者大量使用,攻擊者通過在被攻擊網站上植入惡意連接,連接到攻擊者的網站,該網站包含利用該漏洞的攻擊腳本,用戶在流覽被攻擊站點時,會被引入到攻擊者的網站,觸發相關漏洞,執行有攻擊代碼的腳本。下面是自 7 月 5 日以來,Anchiva 檢測到的包含該漏洞攻擊代碼的部分網站:
- 6gerere3e.cn
- ccfsdee32.cn
- dx123.9966.org
- ccfsdee32.cn
- 3wjjyy.7766.org
- qy1999.9966.org
- 6gerere3e.cn
- 6gerere3e.cn
- news.85580000.com
- qitamove.kmip.net
- x16ake8.6600.org
- 9owe2211.cn
- ibm22.2288.org
- 9owe2211.cn
- d9mmmm.7766.org
- dnf.17xj.cn
- http://www.carloon.cn
- ww2.niupan.com
- http://www.huimzhe.cn
- http://www.26b.cn
- http://www.skytour.co.jp
- 97sewo.3322.org
- d212dddw.cn
- wa.wmdsmd.cn
- ucqh.6600.org
- d212dddw.cn
- shangdi.org
- 97sewo.3322.org
- ckt5.cn
- ww2.niupan.com
- bbs.zjol.com.cn
- n0m0n3.3322.org
- buffer-ad.qvodwf.com
- 66aaaaaa.com
- wf3gr.8800.org
- daizong1.3322.org
- http://www.carloon.cn
- 2525gt.3322.org
- n0m0n4.3322.org
- h65uj.8866.org
- n0m0n1.3322.org
- 45hrtt.8866.org
- wwwbaibu.3322.org
- abcwww.3322.org
- 23ret.3322.org
- 705kill360.3322.org
- vip762.3322.org
- 33qqkk2.3322.org
- 22ccf2.3322.org
- 8man7.3322.org
- n0m0n.3322.org
- 55hhje3.3322.org
- ddssaaa2.3322.org
- c1gg.3322.org
- n0m0n2.3322.org
- 2424yht.3322.org
- 0man8.3322.org
- qwertys.3322.org
- 8man5.3322.org
- vip4y.3322.org
- n0m0n3.3322.org
- 11dds3.3322.org
- mh1l.3322.org
- ds355.8866.org
據悉,微軟已於 2009 年 7 月 7 日發佈了相關的安全公告(Microsoft Security Advisory 972890), 公告建議暫時在 IE 中禁用該元件,並提供了相關設置工具(工具下載),但沒有提及何時會發佈相關修補程式。
Anchiva 安全研究員指出,每當出現一個新的涉及到 Web 的漏洞時,網站受攻擊的風險就會加大,攻擊者總會不失時機的對網站發起一輪新的攻擊,以便利用這些網站進一步攻擊未受保護的廣大用戶。網站管理者應加強網站的安全建設,Anchiva 的 Web 應用防火牆系統可以為 Web 伺服器提供相關的安全保護。