自去年12月27日發現微軟Windows的WFM漏洞迄今,針對該漏洞的攻擊愈演愈烈,自學教程,眾多資訊安全業者陸續發現WMF的攻擊升溫。 截自今年1月2日,VeriSign iDefense發現至少有67個網站有惡意WMF檔,Akonix Systems也指出透過IM傳遞的惡意WMF檔迄今使用了70種不同的檔案名稱進行攻擊,賽門鐵克(Symantec)則提升該漏洞威脅到第三等級。 根據SecurityFocus網站的說明,此一WMF漏洞將會危及Microsoft Windows XP、Server 2003、ME、98、2000 、2000 Server等作業系統。該存在於Windows Metafile檔案格式的漏洞讓駭客可以透過網站、電子郵件及即時傳訊軟體等各種管道進行攻擊。 VeriSign iDefense指出,當使用者浏覽那些含有惡意WMF檔案的網站時,使用者的電腦很可能被感染到木馬程式、廣告程式、間諜程式,或是成為任由駭客操控的僵屍電腦。VeriSign iDefense除了已發現67個含有惡意WMF檔案的網站,也繼續偵測其他網站是否正針對此一WMF漏洞進行攻擊。 即時傳訊軟體安全公司Akonix Systems在本周則攔截到70種不同檔名的惡意WMF檔透過IM進行攻擊。 VeriSign iDefense在上周發現了一個夾帶output.gif的垃圾郵件,該垃圾郵件欲說服有意投資的人去投資中國股票,但這個.gif的檔案其實是惡意的WMF檔案所偽裝,意在閃避郵件過濾機制。 另被發現的一只名為HappyNY.a的蠕蟲假裝成JPG檔,但亦為WMF惡意檔案,也是透過電子郵件傳遞,暗藏Nascene.C碼以攻擊WMF漏洞並能完全控制使用者電腦。 現在尚沒有資訊安全業者能夠指出真正受到該漏洞攻擊的實際電腦數量,5自學網,但賽門鐵克也把原本列為第二威脅等級的WMF漏洞提升到第三等級。賽門鐵克總計有四個威脅等級,以第四等級為最嚴重。上一次讓該公司祭出第三威脅等級的是2004年7月的MyDoom.M病毒。賽門鐵克表示該漏洞的威脅等級升高,是因為 從漏洞發現到微軟修補程式推出之間出現了空窗期。 微軟預計在下周二(1/10)推出WMF漏洞的修補程式,但除了已有一名獨立安全軟體開發人員Ilfak Guilfanov針對該漏洞提出修補程式外,本周資訊安全軟體業者ESET也推出了非官方的修補程式。 有業者積極鼓吹企業在這非常時期僅能使用非官方修補程式以自保,包括資訊安全業者F-Secure及網路風暴中心(Internet Storm Center;ISC)。但Gartner副總裁John Pescatore則建議不要使用這些修補程式,並指出,使用者如果先安裝了這個修補程式,之後當微軟正式修補時,必須反安裝原先的修補程式再安裝新程式,這當中就有兩個可能發生問題的機會。 Gartner建議企業先暫時采用URL攔阻功能,並杜絕所有的WMF檔案。 在微軟之前就有個人及資安軟體銷售商先行針對WMF漏洞推出修補程式,有業者認為這讓微軟臉上無光。但微軟仍堅持要在定期修補日提供該修補程式,此外,微軟也表示並沒有看到很多針對該漏洞的攻擊。 不過,參與微軟修補程式測試的Gibson Research總裁Steve Gibson表示,微軟的修補程式已接近完成,而且運作良好,他還認為微軟可能在下周二之前就會提出修補程式。
