Vista在正式發布後的一段時間內被認為是目前最安全的操作系統。可是接二連三的一些系統漏洞打破了Vista的安全神話。最新爆發的IE Speech API漏洞,更是讓Vista的安全防線形同虛設,黑客可以利用這個漏洞控制整個系統。同時,由於這個漏洞是IE引起的,所以,使用IE的所有微軟系統均受到影響。
最近一段時間,使用Vista的小張感覺自己的操作系統怎麼也不聽使喚,好像被別的什麼東西控制了:不是操作系統自動重啟,就是程序窗口自動關閉,甚至有的時候還會彈出各種各樣的提示窗口。這到底是怎麼回事?
這段時間裡,受到同小張一樣困擾的微軟用戶不在少數。他們都是中了黑客的木馬。是什麼木馬這麼厲害讓系統裡面的殺毒軟件集體實效?其實,不是木馬厲害,而是黑客利用IE Speech API漏洞繞過了系統安全防線,直接獲取了系統的控制權限。
什麼是IE Speech API漏洞
IE浏覽器調用的Speech API的ActiveX控件存在緩沖區溢出漏洞,黑客可以利用此漏洞控制遠程用戶機器。微軟的Speech API軟件包主要提供文本語音和語音識別的相關功能,IE浏覽器通過調用其中的一些ActiveX控件來實現這樣的功能。
但是調用的這些功能組件分別由Xlisten.dll和XVoice.dll庫提供,而正是這些控件存在著多個緩沖區溢出漏洞,造成了IE浏覽器最終被漏洞擊垮。Tw.wINgwiT.cOm如果用戶受騙訪問了惡意站點的話,則在處理有漏洞的ActiveX控件的某些方式或屬性時可能會觸發堆溢出或棧溢出,導致在遠程用戶計算機系統上執行任意指令。
微軟近期有關IE的漏洞:
IE navcancl.htm跨站腳本執行漏洞、Outlook Express MHTML URL解析信息洩露漏洞、Vista不安全存儲用戶信息漏洞、IE語言包安裝遠程代碼執行漏洞等。
黑客利用漏洞攻陷系統
首先,黑客會配置一個木馬的服務端程序。運行木馬Outbreak後點擊“文件”中的“生成”命令,在彈出的窗口設置服務端程序的相關信息。最後點擊“生成”按鈕即可生成服務端程序,並且生成的服務端的大小非常適合制作網頁木馬(圖1)。
當木馬服務端程序生成完畢後,將它上傳到網絡空間中。黑客只要在程序窗口中的“網馬地址”選項中,輸入木馬服務端程序的網絡路徑後,點擊“生成木馬”按鈕即可生成一個網頁文件,這就是黑客要利用IE Speech API漏洞的網頁木馬(圖2)。
現在將剛剛生成的網頁木馬也上傳到網絡空間中,將網頁木馬的地址通過電子郵件、網絡論壇等形式進行發布,然後利用各種各樣的借口誘騙其他網友點擊網頁木馬。只要用戶浏覽就會立即被安裝木馬服務端程序,從而被黑客進行遠程控制操作(圖3)。
漏洞雖大,仍有法可防
由於IE Speech API漏洞是利用網頁木馬這種形式進行傳播的,同時影響的范圍又特別的廣泛,因此各位用戶應該立即對該漏洞修補防范。
1.及時安裝安全補丁
不論遇到怎樣的漏洞,最簡單最有效的方法就是安裝相應的安全補丁。用戶只要登錄到微軟“IE Speech API 4 COM對象實例化緩沖區溢出漏洞”的相關網頁,根據自己的系統版本進行下載安裝即可,當然用戶也可以直接利用殺毒軟件的漏洞修復功能來進行安裝(補丁地址http://www.microsoft.com/china/technet/security/Bulletin/ms07-033.Mspx)。
2.系統臨時防范方法
如果用戶在第一時間裡無法安裝安全補丁的話,可以利用在IE浏覽器中禁用Speech API 軟件包的ActiveX控件進行臨時性防范。運行《Windows優化大師》後,點擊“系統維護”中的“其它設置選項”。在“禁止浏覽網頁時安裝下列ActiveX控件”選項中點擊“添加”按鈕,在“ActiveX控件ID”中設置插件{4E3D9D1F-0C63-11D1-8BFB-0060081841DE}和{EEE78591-FE22-11D0-8BEF-0060081841DE}(圖4)。完成後在列表中選中剛剛增加的CLSID,最後點擊“確定”按鈕就可以進行防范。
雖然這個漏洞出自微軟的IE浏覽器,但是歸根結底還是由ActiveX控件造成的。自從微軟1996年推出ActiveX技術以來,ActiveX技術已經得到很多軟件公司的支持和響應。雖然ActiveX技術確實為軟件開發以及應用帶來了便利,但是與此同時也帶來了極大的風險,正如今天我們講解的這個漏洞。目前,利用ActiveX技術漏洞的網頁木馬已經很多了,而且隨著ActiveX技術的不斷發展以後會越來越多。如果沒有一種能夠取代ActiveX的更加安全的技術,那麼此類漏洞仍然會成為對微軟系統安全性的一大挑戰。
From:http://tw.wingwit.com/Article/Network/201309/422.html