一位电脑安全研究人员发布了一款升级工具,它可以轻易地在微软Windows的.Net框架里安装难以被察觉的恶意软件。
该工具名为.Net-Sploit 1.0,可以用来修改.Net框架,后者是安装在Windows机器上用来执行特定类型程序的软件,微软提供了一整套开发工具供程序员来编写兼容该框架的应用程序。
据该软件的作者,2BSecure的软件安全工程师Erez Metula称,.Net-Sploit允许黑客修改目标机器上的.Net框架,并在安全软件没有触及、安全人员也不注意的位置,植入rootkit类的恶意软件。
上周五在阿姆斯特丹举行的黑帽安全会议上,Metula在报告中说道:“你会对它发起攻击行为的简单程度感到惊讶。”
.Net-Sploit可以让黑客使用恶意代码取代.Net框架中的合法代码。当一些依赖于.Net框架的程序运行后,恶意软件可以影响到这些程序的功能。
例如,某个应用程序具有身份认证机制,一旦被攻击之后,.Net框架能自动拦截用户名和密码,并发送到远程服务器中。
.Net-Sploit还能自动执行一些攻破该框架所必需的耗费精力的代码任务,使得攻击的速度加快,例如,它可以感染到.Net框架相关的DLL,从而部署恶意的DLL。
Metula指出,在使用该工具之前,黑客必须首先要取得对目标机器的控制,之后利用被修改的.Net框架,攻击者可以秘密地控制这台机器很长一段时间而可能不会被察觉。
Metula说该工具最有可能被一些品行不端的系统管理员所滥用,这些管理员可能会滥用其访问权限去部署“后门”或恶意软件。
微软安全响应中心早在2008年9月已被告知该问题的存在。然而,微软的立场是,既然黑客发起攻击前需要事先获得控制权,这就说明不是.Net存在漏洞。没有任何迹象表明微软近期有计划解决该问题。
Metula也承认该问题应该算一个弱点而非一个安全漏洞。尽管微软可能会采取措施,使这种攻击变得更加困难,但是Metula说“不存在可以修复该问题的解决方案”。
此外,Metula表示为了查明.Net框架中被篡改的情况安全厂商,应该升级他们的软件。.Net并不是唯一一个容易受到攻击的应用框架,其他应用框架如JVM(Java虚拟机)也一样。
除了最新版本的.Net-Sploit,Metula还发表了一份关于该技术的白皮书。
