漏洞攻擊 - 資安趨勢部落格

從IE最新零時差漏洞看水坑技術(Watering Hole )為何仍有效?

2013 年 01 月 07 日2013 年 01 月 07 日趨勢科技 TrendMicro

一月初美國外交關係協會的網站被入侵放置一個針對微軟IE瀏覽器的零時差漏洞攻擊碼。經過分析發現，這次攻擊只針對特定的族群。只有當使用者瀏覽器語言設定為英文（美國）、簡體中文（中國）、繁體中文（台灣）、日本、韓國或俄羅斯才會被影響。

微軟已經針對該漏洞發布一個安全公告，微軟已經釋出安全修補程式來解決這問題。建議使用者馬上更新。趨勢科技趨勢科技的用戶可以經 Deep Security的下列規則來受到保護：

1005297 – Microsoft Internet Explorer CDwnBindInfo Object Use-After-Free Vulnerability (CVE-2012-4792)
1005301 – Identified Suspicious JavaScript Encoded Window Location Object
1005298 – Microsoft Internet Explorer CDwnBindInfo Object Use-After-Free Vulnerability (CVE-2012-4792) Obfuscated

上述規則可以偵測所有已知變種的攻擊。

微軟IE瀏覽器的使用釋放後（use-after-free）漏洞可以讓遠端攻擊者執行任意程式碼。正如微軟部落格中所描述的，趨勢科技也觀察到至今被回報的目標攻擊都是透過編碼過或混淆化的JavaScript Window Location Object來觸發，這通常是被用來改變目前視窗的的位置。這漏洞是在CButton Object被釋放後，當頁面重新載入時，它的引用會被再次使用並指向無效的記憶體位置，讓當前使用者執行任意程式碼。微軟的IE6、IE7，IE8都會受到影響，但新版本 – IE9、IE10則沒有這個漏洞。

舊卻有效

水坑攻擊(Watering Hole )並不算新,事實上，早在二〇〇九年就有出現過這種技術，不過他們同時也認為水坑攻擊在未來將會更加普遍，並且將專門用在目標攻擊上。為什麼呢？

Raimund對二〇一三年的預測裡提供了一個可能的答案，他說，攻擊者將更加著重於如何去佈署威脅，而非開發惡意軟體。攻擊者在進行攻擊前會盡可能的收集關於目標的資訊，以設計出更加有效進入目標的方法。

如果我們檢視水坑攻擊是如何運作的，我們會發現所使用的方法都非常熟悉。然而，這種威脅本身所採用的策略佈署讓跟其他類似網站入侵或零時差攻擊等威脅看來是在不同層級上，就好像魚叉式網路釣魚（Phishing）郵件會比一般垃圾郵件(SPAM)威脅來得更有效率一樣。攻擊者可以利用對於目標資料的了解來建立強大的社交工程陷阱( Social Engineering)手法，因此也就不需要去開發非常複雜的工具。使用者必須要完全認清這一點，攻擊者所利用的不再僅僅是軟體漏洞，還有使用者本身。繼續閱讀

多個零時差漏洞概念證明攻擊碼威脅MySQL伺服器

2012 年 12 月 31 日2012 年 12 月 20 日趨勢科技 TrendMicro

在這今年的最後一個月，MySQL被一組零時差漏洞攻擊碼給淹沒了。這些都是由Kingcope所發表，他也公布了這些安全漏洞的概念證明（PoC）攻擊碼。

最新被發現的零時差漏洞會用多種方式來影響MySQL，像是應用程式崩潰/阻斷服務、升級權限、身份驗證繞過、Windows系統上的遠端管理者權限和堆積區（Heap）/堆疊區（Stack）溢位。這些漏洞已經被軟體廠商確認，並被分配了CVE編號：CVE-2012-5611、CVE-2012-5612、CVE-2012-5613、CVE-2012-5614、CVE-2012-5615。

兩個嚴重的安全問題，ExploitDB：23073和23083在MySQL上允許遠端身份認證過的攻擊者透過發送特製請求來取得Windows系統權限。

以下是其他的嚴重問題：

（CVE-2012-5611）：經由發送超長參數給GRANT FILE指令來發動，接著會導致堆疊緩衝區溢位。它讓遠端攻擊者可以執行任意程式碼，甚至導致資料庫崩潰。不過，要利用這個漏洞，必須要有有效的用戶名稱和密碼。
（CVE-2012-5612）：一連串特製的指令可以導致堆積緩衝區溢出漏洞，像是USE、SHOW TABLES、DESCRIBE、CREATE TABLE、DROP TABLE、ALTER TABLE、DELETE FROM、UPDATE、SET PASSWORD等。如果漏洞攻擊成功，可以讓身份驗證過的低權限遠端攻擊者去更改一個目前使用者的密碼成一個未定義值。
（CVE-2012-5614）：可以透過SELECT指令和一個包含大量獨特、嵌入元素XML的UpdateXML指令來造成服務崩潰。要成功利用此漏洞也需要身分認證過的有效使用者名稱和密碼。
（CVE-2012-5615）：MySQL內的列舉（Enumeration）漏洞，可以讓遠端攻擊者根據所產生的錯誤訊息來獲取所有有效的用戶名稱。
（CVE-2012-5613）：這不被視為軟體的安全漏洞，因為它是因為設定錯誤而造成。但它可以讓遠端認證過的使用者獲得管理者權限。一個有FILE權限的攻擊者可以建立跟MySQL管理者完全一樣權限的新使用者。

MySQL資料庫是有名的高效能、高可靠性和易於使用。它可以運行在Windows和許多非Windows平台上，像UNIX、Mac OS、Solaris、IBM AIX等。它一直是成長最快的應用程式，也被許多大公司所選用，像是Facebook、Google和Adobe等等。也因為它的普及，網路犯罪分子和其他攻擊者也肯定會盯上這平台。

為了幫助使用者解決這些問題，趨勢科技Deep Security已經發布了更新 – 12-032，包含一套新的DPI規則。建議使用者更新以下的DPI規則。

Exploit DB	CVE編號	DPI 規則名稱
23076 MySQL (Linux) Heap Based Overrun PoC Zeroday	CVE-2012-5612	1005264 – Oracle MySQL Server Command Length Restriction
23081 MySQL Remote Preauth User Enumeration Zeroday	CVE-2012-5615	1005045 – MySQL Database Server Possible Login Brute Force Attempt*
23078 MySQL Denial of Service Zeroday PoC	CVE-2012-5614	1005265 – Oracle MySQL Server Denial Of Service Vulnerability
23083 MySQL Windows Remote System Level Exploit (Stuxnet technique) 0day		1005263 – Windows MySQL Server Remote Code Execution
23075 MySQL (Linux) Stack Based Buffer Overrun PoC Zeroday	CVE-2012-5611	1005266 – Oracle MySQL GRANT Command Stack Buffer Overflow Vulnerability
23077 MySQL (Linux) Database Privilege Elevation Zero day Exploit	CVE-2012-5613	1005266 – Oracle MySQL GRANT Command Stack Buffer Overflow Vulnerability
23073 MySQL 5.1/5.5 WiNDOWS REMOTE R00T (mysqljackpot)		1004177 – Oracle MySQL ‘COM_FIELD_LIST’ Command Buffer Overflow Vulnerability*

* 這些漏洞已經被包含在現有DPI規則內了。

趨勢科技的DPI規則可以保護使用者免受這些已知漏洞的攻擊。截至本文撰寫時，我們還沒看到任何利用這些概念證明碼進行的攻擊。

＠原文出處：Multiple Zero-Day POC Exploits Threaten Oracle MySQL Server作者：Pavithra Hanchagaiah（資深安全研究員）
想了解更多關於網路安全的秘訣和建議，只要到趨勢科技粉絲網頁或下面的按鈕按讚

◎即刻加入趨勢科技社群網站,精彩不漏網

Skype出現帳號大漏洞！連小孩都能駭入帳號

2012 年 11 月 19 日2012 年 11 月 15 日趨勢科技 TrendMicro

作者：趨勢科技資深分析師Rik Ferguson

一個Skype嚴重的漏洞已經浮上水面了。這個漏洞讓你只要在知道對方電子郵件地址的情況下，就可以取得任何使用者的Skype帳號。

對於這問題的概念驗證文章大約在三個月前被貼到俄羅斯的論壇上。原本的作者在昨天又再貼到另一個網站上。作者還指出，這漏洞已經被廣泛的濫用了，影響到許多他聯絡人列表上的使用者。

基本上，整個過程非常的容易，就算是最沒經驗的電腦使用者也可以做到。需要作的只是用別人的電子郵件地址註冊一個新的Skype帳號，一旦完成這個步驟，密碼重設程序的一個漏洞就可以讓攻擊者利用線上密碼重設網頁來取得受害者的帳號。這會將受害者鎖在他們的Skype帳號之外，讓攻擊者可以接受並回應所有發給受害者的訊息。我測試了這個漏洞，整個過程只需要花幾分鐘的時間。

這問題已經回報給微軟（去年收購了Skype），在深入調查這漏洞的同時，他們先移除線上密碼重設網頁以作為預防措施。

在重設密碼網頁被禁用前，唯一可以保護自己的作法，就是註冊一個完全獨立而不為人知的電子郵件地址給Skype帳號使用。不過這作法有點不切實際，而且理論上這樣做會讓你更容易被攻擊，因為你不太可能定期調查很少用到的收件夾。

這個故事讓我們學到什麼？即使你只是發信給別人，這資訊也可以用來對付你，盡力維護隱私總是不會錯的。

＠原文出處：Skype vulnerability makes hijack child’s play.

趨勢科技建議使用者應選取具有主動偵測並封鎖惡意程式與網頁的資訊防護軟體，如：趨勢科技PC-cillin 2013 雲端版


PC-cillin 2013雲端版跨平台同時支援Win、Mac及Android手機與平板,立即下載

◎即刻加入趨勢科技社群網站,精彩不漏網

Watering Hole（水坑）水坑和零時差攻擊

2012 年 11 月 02 日2017 年 03 月 07 日趨勢科技 TrendMicro

「Watering Hole（水坑）」是用來描述針對性惡意軟體攻擊時，攻擊者入侵合法網站去插入一個「drive-by（偷渡式）」漏洞攻擊碼以攻擊網站訪客的流行用語。

當然，這種攻擊並不是新的。這項技術一直被網路犯罪份子用在無差別攻擊以及針對性惡意軟體攻擊上。我在二〇〇九年和二〇一〇年記錄了這種技術，而這裡有更多最近的例子。

雖然網路犯罪份子利用「drive-by（偷渡式）」漏洞攻擊碼是為了能夠不分對象地攻擊入侵越多的電腦，而使用這技術的APT進階持續性威脅 (Advanced Persistent Threat, APT)活動被Shadowserver恰當地描述為「策略式網站入侵」。目標的選擇是針對攻擊對象會感興趣的特定內容。這種攻擊通常會結合新的「drive-by（偷渡式）」漏洞攻擊碼。

最近，一個影響微軟Internet Explorer的零時差漏洞攻擊碼被發現在跟Nitro攻擊活動有關的伺服器上，和最近用來提供Java零時差漏洞攻擊碼是同一台伺服器。它們的有效負荷（Payload）都是Poison Ivy。第二個放有Internet Explorer零時差漏洞攻擊碼的網站很快就被發現，不過它的有效負荷（Payload）是PlugX。

整體而言，我們已經發現了至少十九個網站包含IE零時差漏洞攻擊碼。雖然無法完全的確認，但至少有部分網站屬於「水坑」攻擊。

{BLOCKED}h2.mysoft.tw

{BLOCKED}tix.com

get.{BLOCKED}s.com

ie.{BLOCKED}1.co.uk

info.{BLOCKED}u.edu.tw

invitation.{BLOCKED}as.com

{BLOCKED}fessional-symposium.org

{BLOCKED}o.konkuk.ac.kr

service.{BLOCKED}a.com.tw

{BLOCKED}k.vip-event.info

update.{BLOCKED}alive.com

w3.{BLOCKED}u.edu.tw

www.as.{BLOCKED}e.edu.tw

www.{BLOCKED}news.in

www.{BLOCKED}gameshow.com

www.{BLOCKED}e.com

www.{BLOCKED}a.org.tw

www.{BLOCKED}sia.tv

www.{BLOCKED}in.com.tw

有趣的是，這十九個網站可以分成十四組。換言之，除了利用此漏洞的共同點外，他們之間沒有任何明顯的關連。從其中十一組中，我們發現了十一種不同的有效負荷（Payload）（其他三組，我們無法收集到有效負荷（Payload））。

除了和Nitro相關的Poison Ivy還有上面所提到的PlugX遠端控制木馬外，趨勢科技發現了其他熟悉的遠端控制木馬，和一些不熟悉的（至少對我來說）惡意軟體。其中一個被識別出的遠端控制木馬是invitation.{BLOCKED}as.com的有效負荷（Payload），被稱為「DRAT」遠端存取木馬，是由「Dark Security Team」所開發的遠端存取木馬，並且在網路上被廣泛使用。

繼續閱讀

IE, Chrome, Firefox三巨頭,漏洞數量比一比

2012 年 09 月 24 日2012 年 09 月 21 日趨勢科技 TrendMicro

最近Microsoft Internet Explorer 出現了零時差漏洞,一股排山倒海建議大家改用其他瀏覽器的聲浪又出現了。

單就漏洞數量來看Microsoft Internet Explorer ,Google Chrome, Mozilla Firefox這「三巨頭」領先的其實不是 IE,而是Google Chrome。

過去五年來，Microsoft Internet Explorer 在這方面呈現逐漸減少的趨勢。

趨勢科技資安專家Rik Ferguson 在以下的文章中表示:”每一種瀏覽器都有其弱點、漏洞與修補程式 (最後一項有可能沒有)。每個人有自己合適的選擇，針對不同的安全工具和技巧，您需要對瀏覽器、技術或威脅特性有不同程度的熟悉，才能有效保護自己，又不會讓您無法順利上網。”

Internet Explorer：寧願選擇您熟悉的惡魔？(Better the Devil You Know?)

作者：趨勢科技資安專家Rik Ferguson

影像來源：Steve Dinn

過去幾天，有關哪個瀏覽器最安全的爭論又再度興起，主要原因是最近Microsoft Internet Explorer 出現了零時差漏洞。由於此漏洞影響廣泛，因而造成一股排山倒海的善意聲浪建議大家改用其他瀏覽器。資訊安全專家、企業執行長甚至是德國政府(又再一次) 不斷提出這樣的呼籲，但問題是，這樣的作法有多實際？更重要的是，有多大幫助？

資訊安全不是針對別事件立刻本能反應就能解決，資訊安全需建立在一套能降低長期暴險及風險的策略。這套策略還應避免純粹為了改變而改變，因為，採用新技術所帶來的不熟悉，反而可能引來人為的漏洞。

目前最熱門的 Internet Explorer 替代方案 (以及目前最受推崇的) 是 Google Chrome 和 Mozilla Firefox，但兩者並非全無漏洞或零時差漏洞。事實上，如果攤開眼前的一些證據，我們甚至可以說 Internet Explorer 反而是所有瀏覽器當中問題最不嚴重的。
2011 年，Google Chrome 的新漏洞通報數量創下新的紀錄，達到 275 個，是該瀏覽器問世以來漏洞數量整體上揚趨勢當中的最高點。Mozilla Firefox 目前雖然已從其 2009 年的最高點開始下降，仍然有 97 個已通報漏洞。過去五年來，Microsoft Internet Explorer 在這方面呈現逐漸減少的趨勢，而且在 2011 年只出現 45 個新的漏洞，比其他任何瀏覽器都低 (除了 Apple 的 Safari 同樣為 45 個之外)。當然，單就漏洞數量來看並無太大意義，除非我們將嚴重性也考慮進去，但即使這樣，就「三巨頭」的數據來看仍舊是 Internet Explorer 佔優勢。若再將零時差漏洞也考慮進去，那麼，情勢也沒有太大差異：Google Chrome 有 6 個、Microsoft Internet Explorer 有 6 個，而 Mozilla Firefox 則是 4 個。

不過，很單純的一項事實是，我們太過關注於零時差漏洞 (例如這次的例子)，光是聽到「零時差漏洞」這個名字，就連一些不甚了解其涵意的人也會膽顫心驚。企業總是很難讓所有瀏覽器都更新到最新的版本 (就連個人使用者亦不例外)，更何況可修補的漏洞數量遠超過偶爾出現的零時差漏洞。不管情況如何，現在的攻擊已開始越來越針對一些跨平台瀏覽器通用的外掛程式，而非瀏覽器本身，如：QuickTime、Flash 或 Acrobat。不然就是單純針對瀏覽器的使用者而設計 (如網路釣魚（Phishing）、假冒知名網站或其他社交工程陷阱( Social Engineering)攻擊手法)。

面對現實吧，您的瀏覽器本來就無法保障您的安全，不論是誰開發的都一樣。您必須採取一些步驟來自我防衛，不論您使用何種瀏覽器。

每一種瀏覽器都有其弱點、漏洞與修補程式 (最後一項有可能沒有)。每個人有自己合適的選擇，針對不同的安全工具和技巧，您需要對瀏覽器、技術或威脅特性有不同程度的熟悉，才能有效保護自己，又不會讓您無法順利上網。

針對絕大多數的情況，我們最好的建議是繼續使用您最熟悉的瀏覽器，但請採取一些安全措施。若您冒然改用其他您不熟悉的瀏覽器，反而可能因為不熟悉而讓您比之前更不安全。

資訊安全軟體終究是個人電腦必備的工具，就像安全帶之於汽車一樣，而且，不論廠商是否已釋出修補程式，這些工具都能提供您更好的漏洞與攻擊防護。如果您想進一步了解背後的原因，這份報告是一個不錯的入門指南。

起身對抗 IE 或許很酷，但是好東西總是會「歷久彌新」。

◎原文來源
Internet Explorer：寧願選擇您熟悉的惡魔？(Better the Devil You Know?)

◎延伸閱讀

IE出現零時差漏洞病毒,請修改IE瀏覽器安全性設定

Java零時差漏洞和Blackhole漏洞攻擊四種社交工程誘餌

Java Runtime Environment 1.7零時差漏洞攻擊, 會擷取螢幕、網路攝影機影像和錄音,易危及Mac OSX

Apple:這是Java的原罪

《Java 零時差漏洞攻擊》Nitro攻擊活動和Java零時差攻擊