Microsoft 已告別 Internet Explorer (IE),您也該考慮看看

Microsoft 設定的 IE 8、IE 9、IE 10 支援期限已到 (1 月 12 日),Microsoft 建議使用者將這些版本的瀏覽器升級到最新的 IE 11 或者改用最新推出的 Microsoft Edge 瀏覽器。該公司表示:「2016 年 1 月 12 日起,只有最新版的 Internet Explorer (限目前仍支援的作業系統) 未來才會收到技術支援和安全更新。」根據一項獨立研究顯示,目前仍有將近3.7億的使用者 (也就是 45% 的 IE 用戶) 仍在使用舊的版本。

舊版瀏覽器的使用者在過了支援期限之後應該會收到一份「終止支援」通知,而舊版的瀏覽器也將不會再收到任何修補或修正程式。Microsoft 的技術支援網站寫道:「Internet Explorer 11 是最好的 IE 版本,未來也將持續收到安全更新、相容性修正以及技術支援,其支援的系統包括Windows 7、Windows 8.1 和 Windows 10。Internet Explorer 11 不僅更安全、效能更好、相容性更高,而且支援今日網站及服務的網路標準。Microsoft 鼓勵所有客戶升級到最新的瀏覽器並隨時保持更新,以享受更快、更安全的上網體驗。」

Microsoft 呼籲使用者升級或採用其他瀏覽器來保護系統,並防範任何潛在風險。該公司強調,雖然舊版瀏覽器仍可以運作,但使用者將因為再也無法取得支援而暴露在更多未修補漏洞的危險當中:「安全更新可修補一些可能遭到惡意程式攻擊的漏洞,進而提升使用者與使用者資料的安全。定期發布的安全更新可防止電腦遭到惡意攻擊,因此隨時保持更新非常重要。」

多年來,由於 Internet Explorer 存在著許多安全漏洞,因此已成為網路犯罪集團最愛的攻擊目標之一。事實上,光 2014 年,該瀏覽器就被發現了 243 個記憶體損毀漏洞,儘管這些漏洞目前都已修補。

[延伸閱讀: Microsoft Edge 瀏覽器如何讓 Windows 10 更安全 (How Microsoft Edge improves security on Windows 10)]

有鑑於大量瀏覽器漏洞已損及公司聲譽,Microsoft 在最新的作業系統上推出了一個叫做 Edge 的全新預設瀏覽器。根據趨勢科技威脅分析師 Henry Li 指出,該瀏覽器「有系統地去除了一些今日使用環境再也用不到的功能 (以及程式碼) 來縮小潛在的攻擊面。」

原文出處: Microsoft Says Goodbye to Internet Explorer; You Should Too

Windows 10 推出 Microsoft Edge 來強化瀏覽器安全性

Internet Explorer 或許是今日漏洞攻擊最熱門的目標之一,光是 2014 年,Internet Explorer 就被發現及修補了 243 個漏洞。

上網 通用 bookmark

在 Microsoft 每次的定期安全更新 (Patch Tuesday) 當中都會包含一則內含數個 IE 漏洞的安全公告,這就是 Microsoft 所稱的「Internet Explorer 積存安全性更新」,因為 Internet Explorer 的零時差漏洞真是多得不勝枚舉,例如:

正因如此,Internet Explorer 的風評一向不是太好,其安全性不佳的名聲也成了它發展的障礙。所以 Microsoft 決定在 Windows 10 上推出一個「嶄新的」瀏覽器,叫「Microsoft Edge」,而安全性強化當然是其中一個重點。

Microsoft Edge 中的安全性強化

其實,Edge 並非完全砍掉重練,其 HTML 繪製引擎仍算是 Trident 引擎 (也就是 Internet Explorer 所用引擎) 的一個分支版本,現已改名為 Microsoft Edge HTML。不過,其底層移除了大量 IE 專屬的技術和相關程式碼,這些技術在 Edge 當中已不存在。此外,也導入了多項新的瀏覽器功能。

MemGC

MemGC 記憶體管理功能採用「先標記再找機會清除」的記憶體回收機制,如此可減少所謂「使用已釋放記憶體」的漏洞,也就是 UAF (Use-After-Free) 漏洞。Edge 採用 MemGC 來管理其「文件物件模型」(DOM),並支援物件的記憶體管理。

過去兩年,UAF 漏洞一直是  Internet Explorer 的一大罩門。Microsoft 每次的定期安全更新都包含多項有關 UAF 漏洞的修補。為了解決這樣的情況,Microsoft 於 2014 年夏季在 IE 當中加入了兩項防護機制:其一是 Isolated Heap (隔離式 Heap 記憶體),負責管理大多數的 DOM 物件和其相關物件。其二是所謂的 MemoryProtection (記憶體保護)。

Isolated Heap 讓駭客無法輕易地使用已釋放的物件。MemoryProtection 則可避免駭客利用堆疊 (stack) 中已釋放物件的指標來攻擊 UAF 漏洞。在其他情況下,MemoryProtection 可讓 UAF 漏洞的攻擊難度更高。

 

1MemoryProtection 流程示意圖。

這兩項防護機制大大提升了 UAF 漏洞攻擊的難度,但還是有許多方法可以避開這些機制,尤其當已釋放物件的指標並不在堆疊中時。

 

2UAF 漏洞攻擊步驟。

一般來說 UAF 漏洞的攻擊步驟如下:

  1. 配置物件 A 的 Heap 記憶體區塊。
  2. 釋放物件 A。
  3. 駭客在 Heap 區塊當中填入精心設計的資料。
  4. 物件 B 參照到物件 A。這樣一來,駭客就能透過物件 A 來存取其填入記憶體中的資料。

MemGC 的設計正是要避免這類攻擊,當一個 Heap 區塊被釋放時,MemGC 首先會偵測是否有任何指向該區塊的物件參照。若有,該區塊就不會被釋放。如此一來,UAF 漏洞攻擊就無法得逞。

 

 

3MemGC 如何防止 UAF 漏洞攻擊。

Abandonment (棄置) 類別

記憶體內容損毀是一種常見而且需要特別注意的漏洞類型。Microsoft Edge HTML 繪製引擎 (edgehtml.dll) 導入了一個新的類別叫做「Abandonment」(棄置)。

Abandonment 會偵測記憶體內容損毀的情況,並且在偵測到這類情況時發出一個「FAIL_FAST_EXCEPTION」例外錯誤。如此可避免錯誤進一步擴大,防範任何可能的漏洞攻擊。

4Abandonment 類別。

Abandonment 類別可偵測並處理的異常狀況包括:

  • Double Free (重複釋放)
  • Out Of Memory (記憶體耗盡)
  • Overflow (溢位)
  • Invalid Pointer (無效指標)
  • Invalid Arguments (無效參數)
  • Unreachable Code (無法觸及的程式碼)
  • Not Yet Implemented Function (尚未實作的函式)
  • Excepted return value (除外的回傳值)

預設採用「加強的受保護模式」沙盒環境以及 64 位元模式

Windows 在 Vista 時首次導入強制的一致性控管。Vista 的 Internet Explorer 7 率先在瀏覽器中導入一個稱為「受保護模式」(Protected Mode,簡稱 PM) 的沙盒環境。不過,受保護模式提供的防護有限。

Windows 8 再導入所謂的 App 容器,且 Windows 8 的 IE 10 在這項技術上提供了一種叫做「加強的受保護模式」(Enhanced Protected Mode,簡稱 EPM) 的沙盒環境。

但這有個問題:IE 外掛程式必須重新改寫才能支援 EPM,因為原本的外掛程式並不支援 App 容器。為了維持相容性,EPM 沙盒環境在預設情況下是關閉的。基於類似理由,在 64 位元系統下,IE 的繪圖處理程序是在 32 位元模式下執行,即使瀏覽器是在 64 位元模式下執行。

由於 Edge 是新的瀏覽器,因此不像 IE 那樣有著向下相容的沈重包袱,其 EPM 沙盒環境預設就是開啟狀態。此外,其繪圖處理程序也是以 64 位元模式執行 (只要系統可以支援)。

拋開老舊功能

正如前面所言,Edge 消除了一些 Microsoft 認為今日瀏覽器再也不需要支援的功能。其中之一就是支援舊的 IE 擴充架構,例如:瀏覽器協助程式物件 (Browser Helper Object,簡稱 BHO) 以及工具列,這是過去 IE 經常遭到攻擊的其中兩個途徑。這兩項功能在 Edge 當中皆已去除,Microsoft 已經表明 Edge 將採用類似 Google Chrome 和 Mozilla Firefox 的擴充架構,不過此架構今年稍晚才會推出。

除此之外,未來也不再支援某些程序碼語言 (scripting language)。從 IE 3 時代 (將近 20 年前) 開始導入的 ActiveX,一直是 IE 瀏覽器用來執行原生程式碼的方式之一。傳統上,Internet Explorer 的外掛程式 (如 Flash 和 Java) 都需要對應的 ActiveX 來支援。

VBScript 是另一個程序碼語言,但其他瀏覽器從未支援該語言。IE的VBScript支援一直是漏洞的來源,如:CVE-2014-6332。此外還有 VML (Vector Markup Language) 向量標記語言,這是一種用來顯示向量圖形的標記語言 (不過,現在 HTML5 也能達到同樣功能),在支援該語言的程式碼當中也存在著漏洞,如 CVE-2013-2551。

在 Microsoft 眼中,以上這些都已經是過時的技術,因此 Edge 未來將不再支援這些語言,這樣就能大幅減少 Edge 遭到攻擊的機會。但少了 ActiveX 之後的最大影響就是暫時完全失去 Java 的支援,當然也消除了潛在的威脅。

另一個 Edge 將不再支援的舊技術是 X-UA 相容檔案標頭。這是一種用來讓網站以向下相容於舊版瀏覽器的方式繪製網頁的模式,但卻也成了各種漏洞的來源,例如:

拋開上述所有功能的目標只有一個,那就是藉由去除今日使用環境不再需要的功能 (以及對應的程式碼) 來縮小潛在的攻擊面。

總而言之,與 Internet Explorer 相比,Microsoft 確實在 Edge 底層下了很大的功夫。這一點有助於提升未來 Windows 預設瀏覽器的安全性,畢竟它將來會有很多使用者。只不過,Edge 所做的某些變更,必定也將引來一些新的潛在攻擊,這一點我們將在後續的文章當中繼續討論。

原文出處: Windows 10 Sharpens Browser Security With Microsoft Edge  作者:Henry Li (威脅分析師)
想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚

《提醒》將滑鼠游標移動到右上方的「已說讚」欄位,勾選「搶先看」選項。建議也可同時選擇接收通知新增到興趣主題清單,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。

 

推薦】防毒軟體大評比: 惡意程式防禦力 PC- cillin雲端版榮獲第一名!

【推薦】PC-cillin 雲端版 榮獲世界著名防毒評鑑機構高度評比

 

540x90

 

 

 

客戶獨到見解:移轉終止支援的 Windows 平台

正當 Microsoft Windows Server 2003 即將於今年 7 月終止支援之際,數以萬計的企業正努力移轉至新的平台,以免暴露在漏洞的風險當中。然而對於許多企業來說,基於人力、財力及其他因素,要在時限之內完成移轉是一項特別艱鉅的挑戰。

win server 2003

趨勢科技協助客戶移轉的過程當中,我們也看到客戶對於近期終止支援一事的獨到見解,因此特別和大家分享 (當然,若客戶在 7 月 14 日之前尚未準備好移轉,我們也能協助他們保護 Windows Server 2003,而且還能保護 Windows Server 2012 與 Azure 等新的 Windows 平台)。我們訪問了 University of Florida Health Shands 醫療中心的資訊安全經理 Tim Nance,聽聽他們移轉 Windows XP 的經驗。該機構擁有大約 18,000 台桌上型電腦與 1,400 台伺服器 (其中 900 台是 VMware),為此,UF Health Shands 的人員面臨了相當艱難的任務。以下是他們的移轉經驗:

趨勢科技:貴單位在終止支援平台的防護上面臨多大的問題?就準備的角度來看,這對貴單位的影響為何?

Tim Nance:我們負責 Windows XP 移轉的人員在 2013 和 2014 年都未認真執行,一直到很晚才開始。我們有數千台機器在該平台上,而且我們一直在宣導終止日期即將來臨,但他們似乎還是沒意識到事情即將發生。後來大學部的主管單位下了一道命令,要求所有使用 XP 的機器必須全部下線,到那時才有許多人力投入移轉的工作。他們僱用了一些人來進行升級,但仍知道無法在時限之內完成。

此時我們開始考慮採用趨勢科技的入侵防護防火牆 (現在稱趨勢科技 Vulnerability Protection) 來解決這項問題。我們在所有使用 Windows XP 的機器上部署了一些政策來暫時解決問題,直到我們找到永久的解決方案為止。我們有許多昂貴的機器,因此 Vulnerability Protection 可以為我們爭取一些時間。 Continue reading “客戶獨到見解:移轉終止支援的 Windows 平台”

Windows 零時差弱點 CVE-2014-4114,被用來從事網路間諜活動 ,別輕易開啟陌生人寄來的PowerPoint檔案

更新:【新聞快訊】微軟CVE-2014-4114 PPTX/PPSX 零時差攻擊 已現身台灣

微軟 Windows 作業系統零時差弱點 CVE-2014-4114

 漏洞 弱點攻擊
微軟在週二發布的例行性安全公告,其中由 iSights 所發現的零時差漏洞 CVE-2014-4114,此漏洞影響 Vista 之後所有版本的 Windows作業系統 與 Windows Server 2008及2012。據趨勢科技調查顯示,一個俄羅斯的駭客團體已透過此一漏洞來發動攻擊活動(Sandworm) ,目標是竊取與攻擊北大西洋公約組織 (NATO)與歐盟等企業與重要人士的資料。 這項漏洞存在於Windows作業系統中的OLE Package Manager,透過Office PowerPoint文件觸發該漏洞,會下載並執行特定的INF檔案,並下載任意程式碼。根據報導,一群名為「Sandworm Team」(沙蟲小隊) 的駭客利用此漏洞 (CVE-2014-4114) 來從事網路間諜活動。據稱,此漏洞從 2013 年 8 月開始即已流傳至今:「主要是製成特殊的 PowerPoint 文件當成武器使用」。此漏洞的詳細內容如下:

  • 此漏洞存在於 Microsoft Windows 系統與伺服器當中的 OLE 封裝管理程式。
  • OLE 封裝程式 (packager) 可下載並執行 INF 檔案。「在所觀察到的案例中,尤其是在處理 Microsoft PowerPoint 檔案時,封裝程式可讓封裝的 OLE 物件參照任意外部非信任來源的檔案,如 INF 檔案。」
  • 當攻擊得逞時,此漏洞可讓駭客從遠端執行任意程式碼。

趨勢科技產品已經可以偵測利用此漏洞的病毒程式,病毒名稱為” TROJ_MDLOAD.PGTY”。當開啟駭客製作的 Power Point檔案之後,會下載一個INF檔惡意程式(被偵測為” INF_BLACKEN.A”),並嘗試下載與執行一支被偵測為”BKDR_BLACKEN.A”的後門程式。 詳細病毒資訊請參考下列連結。

TROJ_MDLOAD.PGTY
http://about-threats.trendmicro.com/malware.aspx?language=en&name=TROJ_MDLOAD.PGTY
INF_BLACKEN.A
http://about-threats.trendmicro.com/malware.aspx?language=en&name=INF_BLACKEN.A
BKDR_BLACKEN.A
http://about-threats.trendmicro.com/malware.aspx?language=en&name=BKDR_BLACKEN.A

由於此一攻擊方式並不特別複雜,很有可能導致駭客們大量濫用,趨勢科技所提供的Smart Protection Network可即時偵測透過本漏洞所執行的惡意程式。

趨勢科技 Deep Security 客戶建議措施:

趨勢科技的 APT 防護解決方案已可針對此漏洞進行防護,透過”惡意文件指紋偵測引擎” (ATSE靜態引擎)成功偵測並攔阻此社交工程之惡意文件。

另外趨勢科技用戶請盡快更新最新防毒元件,以偵測此病毒程式。若有使用TrendMicro Deep Security與OfficeScan IDF plug-in的用戶們可套用下方DPI規則進行偵測。

  • 1006290 – Microsoft Windows OLE Remote Code Execution Vulnerability (CVE-2014-4114)
  • 1006291  Microsoft Windows OLE Remote Code Execution Vulnerability (CVE-2014-4114) – 1

此外,我們建議用戶盡快針對此一Windows作業系統的漏洞進行修補,在完成修補前,不要隨意開啟陌生人寄來的PowerPoint檔案,以降低被攻擊的風險。

 

◎ 原文參考出處:MS Zero-Day Used in Attacks Against European Sectors, Industries