<更新版>第一個 Windows XP 系統終止支援後出現的重大IE漏洞

 此篇文章的原始版本裡提到Windows XP不會有針對此弱點的修補程式。不過微軟已經發佈了針對此弱點的安全更新(MS14-021),其中也包含了Windows XP。本文也隨之更動相應段落。

 

 漏洞 弱點攻擊

在上週末,微軟發布了安全通報2963983,內容描述一個Internet Explorer的新零時差漏洞。(它被分配CVE編號為CVE-2014-1776)。

 

這個遠端執行程式碼漏洞讓攻擊者可以在受害者系統內執行程式碼,如果該使用者連上了攻擊者所控制的網站。雖然已知的攻擊針對了三個版本的IE(IE9到IE11),但是它相關的漏洞存在於今日還在使用中的所有IE瀏覽器版本(從IE6一直到IE11)。

這樣一個嚴重的漏洞並不完全只有壞消息。首先,該漏洞只會用系統登入使用者的相同權限來執行程式碼。因此,如果使用者帳號沒有系統管理者權限,惡意程式碼就不會以系統管理者權限執行,這部分地降低了風險。(當然,這僅僅是當使用者帳號沒有被設定為系統管理者時才成立。)

其次,一些解決方法已經被提供在微軟的通報內;其中以啟用增強地受保護模式(一個只存在於IE10和IE11的功能)最容易做到。漏洞攻擊碼需要使用Adobe Flash才能執行,因此停用或移除IE瀏覽器的Flash Player也會降低此漏洞的威脅。

更新於2014年4月28日,美西時間中午12:30

Windows XP

這是第一個會影響Windows XP而不會被修補的漏洞。停止了對軟體和作業系統的支援,讓使用者和和組織更容易受到威脅。不過,也有一些解決方案可以幫助解決或減輕此一困境。虛擬修補可以補足傳統的修補程式管理策略,因為它可以在實際修補程式可用前,先「虛擬修補」受影響的系統。另一個好處是,它可以「虛擬修補」支援終止的應用程式。例如,趨勢科技Deep Security就一直在支援Windows 2000上的漏洞問題,甚至在此作業系統支援終止之後。

值得一提的是,Enhanced Mitigation Experience Toolkit(EMET)也可以幫助解決可能針對此漏洞的攻擊。該工具包透過好幾個安全解決技術來避免軟體漏洞被攻擊。根據微軟的通報,「EMET有助於減輕Internet Explorer上的這個漏洞威脅,只要系統上有安裝EMET,並設定和Internet Explorer一起運作。」

趨勢科技的Deep Security和OSCE Intrusion Defense firewall(IDF)推出了一個新的Deep Packet Inspection(DPI)規則,以防止攻擊利用此漏洞:

  • 1006030 – Microsoft Internet Explorer Remote Code Execution Vulnerability(CVE-2014-1776)

它們還有會限制VML標籤使用的規則。這條規則已經提供給客戶使用:

  • 1001082 – Generic VML File Blocker

 

更新於2014年4月28日,美西時間下午6:10

正如我們前面所提到,這個漏洞現在已經被分配為編號CVE-2014-1776。這是因為Internet Explorer存取記憶體中已經被刪除或沒有被正確分配(一個釋放後使用use-after-free狀況)物件的方式造成。攻擊成功會讓攻擊者以現有使用者身份執行任意程式碼。

為了減輕此威脅,微軟建議移除VGX.DLL的註冊碼,它是用來呈現網頁中的VML(向量標記語言)程式碼。

當受害者打開被特別製造的網頁就會導致Internet Explorer中的漏洞被攻擊。使用者可能會被說服點入特製電子郵件或即時通訊息內的連結來打開這些網站。嵌入在這些惡意網站的Adobe Flash檔案會被用來繞過資料執行防止(DEP)和位址空間配置隨機載入(ASLR)保護。

正如我們前面所提到,我們提供可以保護使用者免於此威脅的兩條規則。這些規則不僅可以在微軟提供修補程式前減輕威脅,它也可以保護停止支援的作業系統,像是Windows XP。

更新於2014年4月30日,美西時間上午4:25

為了進一步地保護使用者防範此威脅,我們已經為此威脅釋出下列的啟發式解決方案

  • Deep Discovery:規則NCIP 1.12083.00和 NCCP 1.12053.00可以提供額外的防護
  • 我們的漏洞攻擊防止技術(目前使用在PC-cillin 2014)提供能夠偵測含有此漏洞攻擊碼網站的規則。

 

為了幫助管理者檢查此威脅是否影響他們的網路,使用進階威脅掃描引擎(ATSE)的產品像Deep Discovery,可以透過啟發式規則來偵測利用此威脅的攻擊。使用4月22日釋出的ATSE版本9.755.1107,可以將這些攻擊偵測為HEUR_SWFHS.A and HEUR_SWFJIT.B。

更新於2014年5月1日,美西時間上午5:33

我們也針對此威脅推出了其他解決方案

  • OPR 10.767.00提供額外的啟發式能力來幫助偵測利用此漏洞的惡意腳本

 

更新於2014年5月1日,美西時間上午7:15

此篇文章的原始版本裡提到來自微軟所建議的變更VGX.DLL存取控制列表(ACL)。微軟已經更新他們的指南,所以本文也隨之更動相應段落。

更新於2014年5月1日,美西時間上午11:03

此篇文章的原始版本裡提到Windows XP不會有針對此弱點的修補程式。不過微軟已經發佈了針對此弱點的安全更新(MS14-021),其中也包含了Windows XP。本文也隨之更動相應段落。

 

 

@原文出處:Internet Explorer Zero-Day Hits All Versions In Use作者:Jonathan Leopando(技術交流)

xp

@延伸閱讀:
Windows XP 於 4月 8 日支援終止後的管理風險!

Windows XP將終止支援,趨勢科技提供工具,協助用戶管理風險

4月8日Windows XP 結束支援,超過 30% 的電腦恐成攻擊目標

為什麼 Java 6 讓人對2014年4月之後的 Windows XP 感到顫慄?