作者 澄清 2006/08/15 抱歉，我必须修正本文，关於此攻击程式对於Windows XP繁体版之行为 我之前说 『该攻击程式对於繁体中文 不会造成严重伤害』 今天实验证实 我昨天说的是错的 该攻击程式可以对没有修补过的WinXP SP1中文版开启後门 更可以造成其他严重的伤害，请各位小心 这是一个真实的事件 一场生吞活剥的网路攻击。 首先， Microsoft 在 2006年8月8日公布了 编号为 MS06-040 的系统漏洞 http://www.microsoft.com/technet/security/bulletin/MS06-040.mspx (中文的资讯在8/10公布) https://www.microsoft.com/taiwan/technet/security/bulletin/MS06-040.mspx 这个弱点公告说了什麽？ 其实就在这一行讲得清清楚楚： Server 服务中的弱点可能会允许远端执行程式码 (921883) 讲白话，就是说某个Server程式具有漏洞，攻击者可以透过这个漏洞， 在你的电脑上执行任意他想要做的动作。 这种漏洞跟blaster的MS03-026、Sasser的MS04-011、或是PNP MS05-039 一样危险。 换言之，处理不好，就可能造成与 疾风病毒 同样严重的伤害。 Ok，暗黑莫非定律 『情势只要有变糟糕的可能，就会一路烂下去』 首些我找到一些国外资安的讨论 在 8/11 号 eEye这公司提供了 MS06-040弱点扫描软体 http://www.it-observer.com/news/6660/ eeye_offers_free_ms06_040_vulnerability_scanner/ 其中有一句骇人听闻的说法： This vulnerability was being exploited in the wild as a "zero day" attack previous to Microsoft's patch release. 什麽意思呢？ 这个漏洞远在MS自己发现前，就已经被 "其他高人"所发现， 更可能早就被加以利用与攻击。 换句话说，这个漏洞可能在7月甚至 6月就已经被发现了。而且当时没有任何修补与防御的办法。某些人可能早已 葬身与此，只是他们不知道而已。 之後，更可怕的消息出来了。 http://isc.sans.org/diary.php?storyid=1582&rss MS06-040 exploit(s) publicly available 什麽意思呢？针对 MS06-040 的攻击程式已经 『对外公布』了... 这代表写这种蠕虫已经不是 "某些人的秘密技术" 任何人只要能够找到这个攻击程式，加以修改，就是一个独一无二的新蠕虫。 然後就可以在网路上散布，大肆攻城掠地。 没错，事情果然是这麽糟糕...运用这种攻击技术的蠕虫已经出现了... http://www.tweakness.net/index.php?topic=2809 http://www.eweek.com/article2/0,1895,2002132,00.asp "With Exploits Out, MS Braces for Worm Attack" http://news.yahoo.com/s/cmp/191901665 "Windows Worm Warnings No Joke" 这边有一些比较技术性的说明与现象的发觉： http://isc.sans.org/diary.php?storyid=1595 "Programs That Request A Lot Of Contiguous Memory May Fail After Security Update Is Applied (NEW)" http://isc.sans.org/diary.php?storyid=1592 *MS06-040 exploit in the wild (NEW) http://isc.sans.org/diary.php?storyid=1593 "MS06-040 wgareg / wgavm update (NEW)" 我想，上面的文章很明确的记载 他们发现到的恶意攻击、攻击方式， 与执行档名称。 Ok, 故事到这里，已经演变成一个大规模散布的蠕虫， 接下来的故事不用讲了。应该会有一狗票的人因为没有patch而中毒， 然後又是一段惨痛的灾後修补、blah~blah~~ 在这样黑暗的时代，有没有比较光明的消息？ 有的，但是要从最黑暗的地方看到光明 http://www.milw0rm.com/exploits/2162 这是用於 metasploit的攻击模组，也就是 MS06-040 攻击的元凶：主要攻击程式。 其中有一段写到： 'Targets' => [ [ '(wcscpy) Automatic (NT 4.0, 2000 SP0-SP4, XP SP0-SP1)' ], [ '(wcscpy) Windows NT 4.0 / Windows 2000 SP0-SP4', 1000, 0x00020804 ], [ '(wcscpy) Windows XP SP0/SP1', 612, 0x00020804 ], [ '(stack) Windows XP SP1 English', 656, 680, 0x71ab1d54], \ # jmp esp @ ws2_32.dll ], 这表示攻击的目标有 Win NT 4.0/Win2K Sp0-Sp4/WinXP Sp0/Sp1 与 Windows XP SP1 English 他会这样列出，表示这个攻击程式可能会依照不同的语系， 必须使用不同的参数。 繁体中文的XP 可能因此逃过一劫。 我说得 "逃过一劫" 意思是此攻击程式应该不会发挥作用，所以恶意程式应该 不会在电脑上执行。只是遭到此攻击仍可能造成 某些程式当机。 相信我，与其『成功攻击被安装恶意程式』， 程式当掉已经是很轻微的伤害了。 作者 Update 以经实验证实，此攻击可对Windows XP SP1 繁体中文造成伤害 恶意程式可以透过此方式，成功於该平台上运作 请各位特别留意 Well 这是一个血淋淋的故事，台面上的战争就发生在这个星期内。 台面下的，天知道酝酿了多久。 Good Night and Good Luck. -- 为甚麽 在 MS公布了 KB921883之後两天，MS06-040 Exploit才正式公布出来？ 这段才是真正有趣的故事，不过我想全台湾没人知道吧 XD。 --

※ 发信站: 批踢踢实业坊(ptt.cc) ◆ From: 219.68.32.56 ※ 编辑: kukulcan 来自: 140.129.20.7 (08/15 19:45) ※ exFREEzy:转录至看板 ck57th317 08/15 21:51 ※ palermo:转录至看板 HPSH-90-31X 08/16 00:01