http://www.ithome.com.tw/itadm/article.php?c=49134 駭客收割SQL Injection成果　發動Flash零時差攻擊 文/趙郁竹 2008-05-28 駭客已經在昨天下午開始發動Flash的零時差攻擊，而上週發現的十萬網頁遭SQL Injection攻擊，就是在替此次的零時差攻擊佈局。 本週二（5/27）開始，安全廠商紛紛發現已有駭客開始針對Adobe Flash發動大規模零時 差攻擊（Zero Day Attack），利用具備rootkit功能的後門程式，竊取使用者帳號密碼。 使用者在Adobe釋出修補程式前，最好先將Flash關閉。 包括趨勢科技、阿碼科技、WebSense等資安業者上週都發稿指出，駭客針對中文網頁發動 大規模SQL Injection攻擊。一夜之間有十萬個網頁遭植入惡意程式，且可能是同一集團 所為，台灣也有數千個知名大站受影響。 當時就已有資安廠商推測，犯罪集團正在進行大規模網站佈局，等待下一個瀏覽器零時差 攻擊出現後大量收割。包括趨勢科技、賽門鐵克、阿碼科技等資安廠商也都在昨天開始發 現駭客發動Flash零時差攻擊。 趨勢科技Trend Lab在昨天發現首次針對Flash的零時差攻擊，並已將最新危險網頁加入 WRS中。趨勢科技資深技術顧問戴燊指出，駭客是透過已在上波攻擊受害的網站中，將使 用者轉址到預藏swf檔案的網頁，使用者就會自動執行Flash而受害。也就是說，上波受害 的十萬中文網頁現在都有危險。 阿碼科技執行長黃耀文則表示，駭客已經在昨天下午開始發動Flash的零時差攻擊，而上 週發現的十萬網頁遭SQL Injection攻擊，就是在替此次的零時差攻擊佈局。 他說，上週許多被植入的javascrip都是空的，並不會作用，也因此包括Google搜尋的危 險網站警告、或是阿碼的Hack Alert都偵測不到。一直等到駭客現在手上已經掌握了漏洞 後發動零時差攻擊，加上又是透過使用率相當高的Flash，因此影響力會相當大。 賽門鐵克是透過全球智慧偵測網路發現Flash零時差攻擊的情形，賽門鐵克資深技術顧問 莊添發表示，昨天凌晨接到總部訊息告知，有駭客利用Flash的swf檔案進行攻擊，且是大 量的、自動化工具。 他進一步指出，這次的攻擊主要是利用SQL Injection植入scrip，如在Google輸入「 dota11」就可找到上萬筆被植入此程式的網站，使用者點入那些網站時，惡意程式就會自 動呼叫執行swf檔，使用者也會因此受害。 黃耀文進一步解釋此次攻擊的特殊之處，他說，先前駭客都是靠手動的方式，透過SQL Injection入侵，且掛在網站上的攻擊並非零時差，而是當使用者某些元件中沒有安裝修 補程式時才會受害。此次卻是自動化的攻擊，並且透過Flash進行大量零時差攻擊，使用 者可能根本不會注意到，不過影響力會相當大。 零時差攻擊雖然並非新模式，不過戴燊指出，利用Flash漏洞的零時差攻擊還是第一次。 先前例如微軟Windows在去年傳出的動態游標檔案（.ani）的漏洞，也是零時差攻擊的案 例。 由於零時差攻擊只能等待軟體廠商釋出更新修補程式，Adobe已得知此訊息，正在加緊修 補中。因此在尚未安裝更新程式前，使用者最好暫時先關閉Flash，才能確保安全。 -- 聽說簽名檔沒有相簿就不是鄉民 http://picasaweb.google.com/megaman.garbagecan --

※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 210.69.128.66