重大資安風險通報—-Java零時差漏洞的防護及建議處裡行動

日前（2013 年1 月10 日），針對Java系統弱點的零時差攻擊（Zero-Day Exploit）爆發。這起攻擊事件背後是由類似黑洞漏洞攻擊組織（Black Hole Exploit Kit, BHEK）所發起，並藉此散播惡意勒索軟體 Ransomware—Reveton。（關於勒贖軟體相關介紹，請參考線上小學堂。）

甲骨文官方已於2013 年1 月13 日發佈緊急更新Java 7 update 11。針對此次的零時差攻擊，趨勢科技產品Deep Security與Intrusion Defense Firewall（IDF）漏洞規則編號1005177 Restrict Java Bytecode File (Jar/Class) Download早就可為用戶提供完善的防護；更在2013年1 月11 日釋出更新檔DSRU13-002 加強防範針對Java弱點所有可能的攻擊。Deep Security也可透過以下的DPI規則防範網路攻擊：

規則編號	規則名稱	防範弱點編號
1004711	Identified Malicious Java JAR Files	CVE-2013-0422
1005331	Ruby On Rails XML Processor YAML Deserialization DoS	CVE-2013-0156
1005328	Ruby On Rails XML Processor YAML Deserialization Code Execution Vulnerability	CVE-2013-0156

此外，趨勢科技PC-cillin 2013雲端版、WFBS、OfficeScan 等產品病毒碼更新至版本9.649.00 以上，也能取得完整的安全防護，並可偵測以下相關惡意程式/網站：

惡意程式/網頁偵測名稱	偵測描述
JAVA_EXPLOIT.RG	惡意程式碼
HTML_EXPLOIT.RG	藏有惡意程式碼的網站
TROJ_REVETON.RG	惡意程式
TROJ_REVETON.RJ	惡意程式

此次更新也特別包含以下防護功能：

防範針對Java弱點的攻擊；
防範藏有惡意程式碼的網站；
防範下載惡意程式（勒贖軟體）。

另外，Deep Discovery透過其規則編號616 TCP_REVETON_REQUEST也可偵測 TROJ_REVETON的網路流量。

針對Java弱點攻擊的動向，趨勢科技提醒您：

所有電腦主機皆須更新Patch，愈快愈好；
企業應與資安專家討論此攻擊對企業的衝擊與影響範圍，並評估遭受攻擊的可能性語因應措施；
企業可選擇弱點屏蔽（Vulnerability shielding）或虛擬補丁（Virtual patch）等防護措施作為解決方案，如Trend Micro Deep Security 及Trend Micro Intrusion Defense Firewall。

針對RDP弱點攻擊的動向，趨勢科技提醒您：

所有電腦主機皆須更新Patch，愈快愈好；
一般預料此項弱點將成為網路蠕蟲攻擊目標，更甚者攻擊行為可能已開始進化，在弱點主機間蔓延（如同網路蠕蟲）；
企業應與資安專家討論此攻擊對企業的衝擊與影響範圍，並評估遭受大規模網路蠕蟲攻擊的可能性；
企業可選擇弱點遮蔽(vulnerability shielding)或虛擬補丁等防護措施作為解決方案，如趨勢科技Deep Security和Trend Micro Intrusion Defense Firewall。

@延伸閱讀

如果必要的話，該如何使用Java?
後門程式偽裝Java伺服器,控制有漏洞的網頁伺服器《Java 零時差漏洞攻擊》

關閉Java而非JavaScript(含停用 Java 指南)

Java Runtime Environment 1.7零時差漏洞攻擊, 會擷取螢幕、網路攝影機影像和錄音,易危及Mac OSX

Apple:這是Java的原罪

《Java 零時差漏洞攻擊》Nitro攻擊活動和Java零時差攻擊

想了解更多關於網路安全的秘訣和建議，只要到趨勢科技粉絲網頁或下面的按鈕按讚