作者 澄清 2006/08/15 抱歉，我必須修正本文，關於此攻擊程式對於Windows XP繁體版之行為 我之前說 『該攻擊程式對於繁體中文 不會造成嚴重傷害』 今天實驗證實 我昨天說的是錯的 該攻擊程式可以對沒有修補過的WinXP SP1中文版開啟後門 更可以造成其他嚴重的傷害，請各位小心 這是一個真實的事件 一場生吞活剝的網路攻擊。 首先， Microsoft 在 2006年8月8日公佈了 編號為 MS06-040 的系統漏洞 http://www.microsoft.com/technet/security/bulletin/MS06-040.mspx (中文的資訊在8/10公佈) https://www.microsoft.com/taiwan/technet/security/bulletin/MS06-040.mspx 這個弱點公告說了什麼？ 其實就在這一行講得清清楚楚： Server 服務中的弱點可能會允許遠端執行程式碼 (921883) 講白話，就是說某個Server程式具有漏洞，攻擊者可以透過這個漏洞， 在你的電腦上執行任意他想要做的動作。 這種漏洞跟blaster的MS03-026、Sasser的MS04-011、或是PNP MS05-039 一樣危險。 換言之，處理不好，就可能造成與 疾風病毒 同樣嚴重的傷害。 Ok，暗黑莫非定律 『情勢只要有變糟糕的可能，就會一路爛下去』 首些我找到一些國外資安的討論 在 8/11 號 eEye這公司提供了 MS06-040弱點掃描軟體 http://www.it-observer.com/news/6660/ eeye_offers_free_ms06_040_vulnerability_scanner/ 其中有一句駭人聽聞的說法： This vulnerability was being exploited in the wild as a "zero day" attack previous to Microsoft's patch release. 什麼意思呢？ 這個漏洞遠在MS自己發現前，就已經被 "其他高人"所發現， 更可能早就被加以利用與攻擊。 換句話說，這個漏洞可能在7月甚至 6月就已經被發現了。而且當時沒有任何修補與防禦的辦法。某些人可能早已 葬身與此，只是他們不知道而已。 之後，更可怕的消息出來了。 http://isc.sans.org/diary.php?storyid=1582&rss MS06-040 exploit(s) publicly available 什麼意思呢？針對 MS06-040 的攻擊程式已經 『對外公佈』了... 這代表寫這種蠕蟲已經不是 "某些人的秘密技術" 任何人只要能夠找到這個攻擊程式，加以修改，就是一個獨一無二的新蠕蟲。 然後就可以在網路上散佈，大肆攻城掠地。 沒錯，事情果然是這麼糟糕...運用這種攻擊技術的蠕蟲已經出現了... http://www.tweakness.net/index.php?topic=2809 http://www.eweek.com/article2/0,1895,2002132,00.asp "With Exploits Out, MS Braces for Worm Attack" http://news.yahoo.com/s/cmp/191901665 "Windows Worm Warnings No Joke" 這邊有一些比較技術性的說明與現象的發覺： http://isc.sans.org/diary.php?storyid=1595 "Programs That Request A Lot Of Contiguous Memory May Fail After Security Update Is Applied (NEW)" http://isc.sans.org/diary.php?storyid=1592 *MS06-040 exploit in the wild (NEW) http://isc.sans.org/diary.php?storyid=1593 "MS06-040 wgareg / wgavm update (NEW)" 我想，上面的文章很明確的記載 他們發現到的惡意攻擊、攻擊方式， 與執行檔名稱。 Ok, 故事到這裡，已經演變成一個大規模散佈的蠕蟲， 接下來的故事不用講了。應該會有一狗票的人因為沒有patch而中毒， 然後又是一段慘痛的災後修補、blah~blah~~ 在這樣黑暗的時代，有沒有比較光明的消息？ 有的，但是要從最黑暗的地方看到光明 http://www.milw0rm.com/exploits/2162 這是用於 metasploit的攻擊模組，也就是 MS06-040 攻擊的元兇：主要攻擊程式。 其中有一段寫到： 'Targets' => [ [ '(wcscpy) Automatic (NT 4.0, 2000 SP0-SP4, XP SP0-SP1)' ], [ '(wcscpy) Windows NT 4.0 / Windows 2000 SP0-SP4', 1000, 0x00020804 ], [ '(wcscpy) Windows XP SP0/SP1', 612, 0x00020804 ], [ '(stack) Windows XP SP1 English', 656, 680, 0x71ab1d54], \ # jmp esp @ ws2_32.dll ], 這表示攻擊的目標有 Win NT 4.0/Win2K Sp0-Sp4/WinXP Sp0/Sp1 與 Windows XP SP1 English 他會這樣列出，表示這個攻擊程式可能會依照不同的語系， 必須使用不同的參數。 繁體中文的XP 可能因此逃過一劫。 我說得 "逃過一劫" 意思是此攻擊程式應該不會發揮作用，所以惡意程式應該 不會在電腦上執行。只是遭到此攻擊仍可能造成 某些程式當機。 相信我，與其『成功攻擊被安裝惡意程式』， 程式當掉已經是很輕微的傷害了。 作者 Update 以經實驗證實，此攻擊可對Windows XP SP1 繁體中文造成傷害 惡意程式可以透過此方式，成功於該平台上運作 請各位特別留意 Well 這是一個血淋淋的故事，檯面上的戰爭就發生在這個星期內。 檯面下的，天知道醞釀了多久。 Good Night and Good Luck. -- 為甚麼 在 MS公佈了 KB921883之後兩天，MS06-040 Exploit才正式公佈出來？ 這段才是真正有趣的故事，不過我想全台灣沒人知道吧 XD。 --

※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 219.68.32.56 ※ 編輯: kukulcan 來自: 140.129.20.7 (08/15 19:45) ※ exFREEzy:轉錄至看板 ck57th317 08/15 21:51 ※ palermo:轉錄至看板 HPSH-90-31X 08/16 00:01