广告广告
  加入我的最爱 设为首页 风格修改
首页 首尾
 手机版   订阅   地图  繁体 
您是第 1739 个阅读者
 
发表文章 发表投票 回覆文章
  可列印版   加为IE收藏   收藏主题   上一主题 | 下一主题   
upside 手机 葫芦墩家族
个人头像
个人文章 个人相簿 个人日记 个人地图
特殊贡献奖 社区建设奖 优秀管理员勋章
头衔:反病毒 反诈骗 反虐犬   反病毒 反诈骗 反虐犬  
版主
分享: 转寄此文章 Facebook Plurk Twitter 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片
推文 x0
[漏洞修补] 微软Jet资料库引擎零时差变异攻击手法通告
微软Jet资料库引擎零时差变异攻击手法通告
技服中心近期发现骇客透过微软Windows作业系统内建之Jet资料库引擎(Jet Database Engine)弱点对政府机关进行新型变异手法之攻击,由于此攻击手法极具威胁性,请各单位严加注意与防范。


Microsoft Jet资料库引擎为内建于Windows作业系统中的资料库处理元件,该元件于2007年11月间被揭露具有可执行任意程式的弱点,而相关的攻击也已经在实际环境中大量出现。此弱点至今尚未修补,尚属零时差攻击,各单位需提高警觉。


传统上利用该弱点的攻击手法多半是经由寄送夹带特殊设计之*.mdb(Access档案)附件之恶意电子邮件,诱骗使用者开启。然而多半使用者对于*.mdb档案开启机率不高,也使得这类攻击手法的成功率降低。


近期技服中心发现骇客使用新型变异手法包装该弱点,可能使成功机率大幅提升。此变异攻击手法是透过Word文件引用恶意mdb中的资料,间接开启含有恶意程式之mdb档案,进而触发弱点并植入恶意程式。由于使用者对于 Word文件的警戒心较低,因此可能大幅提升开启恶意附件的机率,也提升该攻击的威胁性。


在实际的攻击案例上,骇客会透过电子邮件一次寄送二个Word文件,其中一个是真正Word格式的文件档,另外一个其实是伪装成Word副档名之mdb格式档案;当使用者开启其中真正的Word文件档时,即会触发此弱点。不过该攻击案例中,二个档案必须同时另存于同一路径下才会成功。


技服中心也发现其他进阶的攻击案例,骇客将该两个档案利用ZIP或RAR压缩后,直接寄送压缩档附件给使用者,意图迫使使用者将附件档案解压缩后放置于同一路径下开启,以增加成功机率。


这次的攻击是使用Word档案引入恶意mdb档案进行攻击,而类似的技术也可以应用在其他软体中,例如使用Excel或PowerPoint档案中引入恶意mdb,因此未来不排除可能有利用其他格式配合此弱点的攻击手法出现,请各单位严加注意。若发现可疑的攻击,请联络技服中心。

影响平台:执行于Windows 2000、Windows XP及Windows Server 2003 SP1以下(含SP1)


影响等级:高


建议措施:1. 请勿开启未受确认之电子邮件附件档案。
     2. 此弱点目前尚待厂商提供修补程式。


参考资料:1. http://www.microsoft.com/technet/...ry/950627.mspx
     2. http://www.securityfoc...d/28398/
     3. http://www.cve.mitre.org/cgi-bin/c...=CVE-2008-1092


资料来源:国家资通安全会报技术服务中心



爸爸 你一路好走
献花 x0 回到顶端 [楼 主] From:台湾 | Posted:2008-03-30 10:40 |

首页  发表文章 发表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.076465 second(s),query:15 Gzip disabled
本站由 瀛睿律师事务所 担任常年法律顾问 | 免责声明 | 本网站已依台湾网站内容分级规定处理 | 连络我们 | 访客留言