2月第2周安全回顧 微軟釋出新更新檔 惡意軟體肆虐情人節

本周（080211至080217）的資訊安全威脅等級為中，Storm蠕蟲針對2月14号情人節發起新一輪的攻擊狂潮，另外，本周是Microsoft釋出例行更新檔更新的時間，是以本周内針對各種新舊漏洞的攻擊有所上升。

媒體消息方面，本周值得關注的新聞集中在漏洞攻擊、惡意軟體、威脅趨勢和方面。

漏洞更新檔：Microsoft釋出2月例行更新檔更新修補17漏洞，PDF檔案漏洞攻擊在網際網路上擴散；關注指數：高

新聞1：周二，來自多家媒體的消息，Microsoft于當天按時釋出了2月份Windows系統及Microsoft其他軟體産品的更新檔更新，這次的更新檔更新包括6個威脅等級為關鍵和5個威脅等級為重要的11個更新檔程式，并能夠修正17個有可能會對Windows及其他Microsoft産品造成嚴重安全威脅的漏洞。

筆者觀點：Microsoft 2月例行更新檔更新程式的數量多達11個，遠遠超過了隻有2個更新檔更新程式的1月例行更新檔更新。在這些更新檔更新程式中，威脅等級标記為關鍵的6個更新檔程式，所針對的漏洞都是最危險的遠端代碼執行漏洞，Microsoft Office、Office相關産品和Internet Explorer仍然是漏洞攻擊的主要對象。而威脅等級為重要的5個更新檔程式，則大多為會導緻拒絕服務類型的漏洞，主要發生于企業應用領域中常用的Active Directory及IIS等Microsoft産品上。盡管目前網際網路上尚未出現公開的針對這些Microsoft産品的最新共由于本月的例行更新檔對象中包括了最易受攻擊的Microsoft Internet Explorer和Office，筆者建議，使用者應及時通過Windows Update站點、企業内部自主架設的WSUS等Microsoft産品更新檔提供服務下載下傳更新檔更新程式，更新自己的Windows系統和Microsoft對應産品。如果使用者不能通過線上更新獲得更新檔程式的，還可以到Microsoft的下載下傳站點上手動下載下傳安裝，使用者将自己的反病毒或其他安全軟體的版本更新到最新，也會對防禦攻擊者使用相關漏洞的利用程式發起的攻擊有一定的防禦效果。另外，Microsoft在2月例行更新檔程式釋出前曾宣布要提供一個針對Internet Explorer的Java Script漏洞的更新檔程式，但最終沒有提供，是以即使是打全2月例行更新檔的使用者，在使用Internet Explorer和IE核心的浏覽器浏覽網站時，也應該提高警惕，切勿打開來源不明的站點。

新聞2：周一，來自Mcafee的消息，Mcafee Avert實驗室發現一個攻擊Adobe PDF Reader漏洞的利用程式正在網際網路上流行。該攻擊程式為一個由攻擊者精心構造的PDF檔案，如果使用者不慎打開這個檔案，将會觸發Adobe Reader中存在的Java Script漏洞，并從攻擊者的網站上下載下傳并運作一個惡意程式。目前Adobe公司已經确認這個漏洞會影響Adobe Reader 8.11及以下版本，并已經提供更新版本以供使用者下載下傳。

筆者觀點：随着Microsoft新一代作業系統和軟體産品的推出，攻擊者挖掘并利用Microsoft系統的漏洞變得越來越困難，從2006年中開始，攻擊者便紛紛把目光轉向使用者系統上常見的第三方軟體，如Adobe PDF Reader、Real player等。另外，從去年年初開始，PDF檔案也成為垃圾郵件發送者和其他攻擊者最常使用的攻擊檔案類型。是以，今年年初開始，PDF文檔很自然的繼Office文檔之後成為攻擊者用于種植惡意軟體的武器。由于大部分的PDF使用者都沒有定時更新自己Adobe Reader軟體的習慣，Adobe Reader也隻有在較高版本才帶有自動更新功能。筆者建議，PDF使用者應當使用Adobe Reader的自動更新或自行到Adobe網站上擷取最新的Reader版本，或者使用如Foxit之類的第三方的PDF閱讀軟體，另外，不随意打開來曆不明的PDF文檔，也能夠在一定程度上防護各種針對PDF檔案的攻擊行為。

惡意軟體：FBI警告情人節賀卡暗含惡意軟體；關注指數：高

新聞：周二，來自Techweb的消息，FBI警告稱，如果使用者在情人節收到賀卡的話，切勿随意開啟，因為情人節賀卡可能是Storm蠕蟲發來的——如果使用者不慎開啟這類攻擊性的賀卡，就有可能感染Storm蠕蟲及其他惡意軟體。

筆者觀點：利用節日或其他重大事件發送攜帶惡意軟體或者惡意網址的郵件已經成為攻擊者所慣用的伎倆，目前這種攻擊手法已經從最開始的使用可執行檔案作為攻擊郵件的附件，到現在的使用多種檔案類型，并結合更為吸引使用者的社會工程學手法。筆者建議，使用者在使用電子郵件或其他消息服務時應該提高警惕，尤其在節日或發生其他重大事件時，切勿随意開啟來自陌生人的電子郵件，即使是來自熟悉朋友的郵件，也應該先與其确認後再開啟。針對使用已公開漏洞進行攻擊的郵件，使用者把自己系統及應用軟體的更新檔打全，并将反病毒軟體版本更新到最新會有相當好的防禦效果。

威脅趨勢：0Day漏洞不再是攻擊者的首選武器；關注指數：高

新聞：周三，來自Techweb的消息，IBM下屬的安全廠商ISS在其漏洞研究報告中稱，統計證明， 0Day漏洞不再是攻擊者的首選武器，目前對使用者威脅最大，攻擊成功率最高的是已知漏洞。

筆者觀點：0Day漏洞指尚未公開的軟體漏洞，因為它的隐蔽性，攻擊者利用0Day漏洞對使用者系統發起的攻擊成功率很高，往往使用者沒有察覺到有什麼異常系統便已經被攻擊者控制。0Day漏洞是2006年最熱的一個概念，由于Microsoft的系統及Office軟體的漏洞是0Day攻擊中最常見的攻擊對象，是以，很多時候說到0Day漏洞，使用者大都認為就是指Microsoft産品的漏洞。由于0Day漏洞的成本很高及使用限制也比較嚴格，網際網路上擴散最廣的各種蠕蟲都隻使用現有的舊漏洞進行攻擊，而0Day漏洞通常被有限的用于目的性明确的攻擊中。筆者認為，在未來很長一段時間内，0Day漏洞仍将隻用在有限的目的性明确的攻擊上，而攻擊漏洞仍主要以針對已知漏洞的攻擊為主。 對于使用已知漏洞所發起的攻擊，最好的防禦方法還是使用者應該注意系統及應用軟體更新更新檔的安裝，并注意保持系統中已經安裝的反病毒軟體或防火牆的版本更新到最新。

本文轉自J0ker51CTO部落格，原文連結：http://blog.51cto.com/J0ker/62377，如需轉載請自行聯系原作者