安全專家說,微軟受歡迎的企業虛擬網絡(VPN)應用軟件被發現疑似安全漏洞,若經證明確有其事,可能造成企業內部網絡(intranet)門戶洞開,遭外來攻擊。 奧地利安全顧問公司Phion Information Technologies透過網絡郵寄名單發出一則安全建議通告,同時並在該公司網頁上宣布,這個安全瑕疵會影響“點對點穿隧協定”(point-to-point tunneling protocol,簡稱PPTP),而此協議普遍用於服務器版和個人計算機版的微軟Windows 2000和XP操作系統中內含的VPN軟件。 eEye Digital Security黑客長Marc Maiffret警告,企業用戶通常用微軟的VPN讓員工透過加密的信道登入企業網絡。因為VPN按理說來應安全無虞,許多公司於是讓使用者直接連上內部網絡,但這麼一來,可能讓網絡黑客利用此安全漏洞趁虛而入。 他說:“這是在防火牆挖個大洞。入侵你的全球信息網服務器很糟糕,但還不是世界末日。但透過你的VPN入侵呢?網絡內部的防備少之又少。” 企業用戶通常把最嚴密的防護罩安裝在網絡的外圍部分,以防御可能源自於因特網的攻擊。任何讓黑客侵入網絡中段的安全瑕疵,可能讓企業網絡輕易淪陷,毫無招架之力。 有兩種協議可讓使用者使用Windows內含的VPN軟件進行安全通訊,PPTP是其中比較老式的協議,比較新的協議稱為“第二層穿隧協定”(Layer 2 tunneling protocol,簡稱 L2TP)。 Phion技術長Klaus Gheri說,,該公司的工程師在試著把某種軟件產品與微軟VPN功能結合時,發現有此瑕疵,進而在26日通報卡內基美隆大學的計算機緊急應變小組(CERT)、賽門鐵克公司的BugTraq郵寄名單以及微軟公司。 Gheri說:“我們正與微軟合作解決此問題。我們已送一份可能癱瘓系統的樣本程序代碼給微軟。微軟應能據此找出PPTP精靈中緩沖區溢滿(buffer overflow)發生之處。” 他強調樣本程序代碼只送交微軟,並未對其他研究員透露任何詳情。 微軟常批評公開對大眾發布瑕疵訊息是不負責任的行為,甚至透過運作成立了一個組織,宗旨就是設定一個標准的時期,讓安全研究員暫緩發布軟件安全瑕疵訊息,並且讓軟件公司有足夠的時間解決問題。 微軟安全反應中心經過約莫六小時的分析後,程序安全經理Christopher Budd說,該瑕疵不可能用來在系統上執行惡意程序,即使有可能,嚴重性也會大為降低:企業用戶僅需提防VPN系統遭到阻斷服務式攻擊(denial-of-service attack),而非網絡遭外人闖入。 Budd強調,微軟會繼續解決此問題,很快就會發表更明確的解決方法。他說:“這是首要之務,我們會全速進行。”