本周(0806至0812)安全方面值得关注的新闻集中在漏洞攻击、安全威胁和市场动态方向,其中,来自拉斯维加斯Black hat会议的新闻仍是IT业界所关注的焦点。
漏洞攻击:ATI驱动程序使Vista内核易受攻击
新闻:周五,一个尚未修正的存在ATI驱动程序中的漏洞使Windows Vista的内核容易受到Rootkit类恶意软件的攻击,漏洞的发现者Alex Lonescu还发布了一个名为Purple Pill的演示程序,该程序可以在使用ATI驱动的Windows Vista上直接跳过系统保护加载没经签名的驱动。目前Microsoft和ATI正在合作以修补这个漏洞,补丁程序将在未来一段时间内发布。
分析:ATI驱动程序漏洞的来源于ATI发布驱动程序的流程,因为ATI频繁的更新驱动程序,所以ATI所发布的驱动程序中的数字签名很容易被复制,从而使攻击者得以通过冒用ATI的数字签名来跳过Windows Vista的驱动加载保护,之前公开的其他厂商的演示程序Atsiv也是利用相同的原理来跳过Vista的驱动加载保护。这种伪装自己成合法驱动程序的攻击方法,估计会成为今后一段时间内恶意软件跳过Vista内置保护的主要手段(读者可以参考笔者的另一个文章《Windows Vista的Rootkit攻防》)。如何对这种攻击手段加以防护?也即是如何保证Windows Vista加载的驱动程序安全?
笔者认为:单纯靠数字签名来表明驱动程序是否安全并不足够,还应该考虑驱动程序厂商是否是可信来源,要解决这个问题,可以借鉴PKI的体制,使用独立的第三方安全认证机构对驱动程序进行二次签名。也可以让Windows Update成为驱动程序的可信分发源,目前Microsoft也正在这样做。另外,最近出现的多个针对Windows Vista的攻击表明Vista的整体安全并不像Microsoft宣称的那么完美,在其他软件厂商的软件还存在种种安全隐患的情况下,单纯依靠Windows Vista的内置安全措施,用户的安全到底能得到多大的保证?这个问题也同样应该引起安全业界的关注。
安全威胁:Black Hat会议:VoIP的潜在威胁、JavaScript的弱点使内网攻击变得容易
新闻:周二,安全厂商Sipera在当天Black Hat会议上向与会者演示了VoIP的潜在威胁,并在一个系统补丁版本为最新安装了防火墙和反病毒软件的笔记本电脑上演示了一个VoIP客户端的缓冲区溢出攻击,目前其他VoIP厂商的客户端产品也存在类似的漏洞。
分析:VoIP技术因为其成本低廉和使用方便,许多企业都开始使用各种VoIP方案来替代或部分替代传统的电话服务,所使用的VoIP方案规模从企业级的Call Center到个人机上的各种VoIP客户端都有。但与VoIP在企业中应用越来越广泛相反的是,安全业界对VoIP安全并没有投入太多的注意力,目前也只有少数几个安全公司在研究。笔者认为,VoIP安全将是安全市场的一个新兴方向,防火墙、入侵检测、内容过滤等厂商都可以在VoIP安全领域一展身手,VoIP的安全使用也将成为用户和安全业界关注的热点。
新闻:周三,在当天Black Hat会议上,与会者讨论了JavaScript的安全问题,目前的攻击技术已经可以让攻击者通过JavaScript来控制用户的浏览器,并可通过浏览器来进行进一步的内网攻击。
分析:JavaScript是重要的Web站点技术,使用JavaScript可以使Web站点获得丰富多彩的效果和功能,但同时攻击者也可以通过JavaScript来达到恶意目的——利用Webmail漏洞扩散的JavaScript蠕虫、各种跨站脚本漏洞、用户浏览历史和Cookie盗取,还有最近的出现的用JavaScript来控制浏览器实现内网IP端口扫描,JavaScript的弱点已经成为威胁用户浏览安全的一大因素。禁用JavaScript显然并不现实,这样用户将无法使用Web站点的许多功能,而且并不能保证用户的浏览就一定安全。但当前JavaScript的弱点存在于JavaScript的自身设计和浏览器对JavaScript的处理上,笔者认为,单纯从客户端来讨论JavaScript安全问题并不是好的解决方法,等待各浏览器厂商更新他们的产品也不现实。要解决JavaScript安全问题需要Web站点、用户和安全业界的合作,使用JavaScript的Web站点应该加强代码审核、同时在用户端使用内容过滤和反钓鱼方案,才能尽可能的减少JavaScript所带来的安全威胁。
市场动态:Firefox 3.0安全功能前瞻
新闻:周二,Firefox浏览器的安全功能负责人当天在接受采访时说,目前正在开发的Firefox浏览器3.0版本在安全方面有很大的加强,除了重写许多代码并增强对缓冲区溢出攻击的防御外,还将增加一个恶意站点提醒功能,可在用户不小心打开恶意站点时给用户警告或阻止用户的访问行为。
分析:开源浏览器Firefox是市场上占有率仅次于Microsoft IE的产品,一直以其安全和速度优势闻名,但Windows Vista和IE7推出之后,Firefox的市场占有率一度远远落后于IE。虽然现在新的Firefox3仍在研发阶段,但新的恶意站点拦截功能有可能会使其在浏览器市场竞争中扳回一局,众所周知,从年初以来web站点已经成为恶意软件传播的第一大途径。值得注意的是,这个新的恶意站点提醒功能,和Mcafee的SiteAdvisor以及趋势的类似产品功能相同,显示可管理的站点浏览控制这一理念,已经成为许多厂商对如何防御恶意站点问题的共识。国内目前尚无类似的安全产品,有网络版反病毒产品的或企业安全管理产品的厂商不妨适当考虑一下这个方向。
漏洞攻击:ATI驱动程序使Vista内核易受攻击
新闻:周五,一个尚未修正的存在ATI驱动程序中的漏洞使Windows Vista的内核容易受到Rootkit类恶意软件的攻击,漏洞的发现者Alex Lonescu还发布了一个名为Purple Pill的演示程序,该程序可以在使用ATI驱动的Windows Vista上直接跳过系统保护加载没经签名的驱动。目前Microsoft和ATI正在合作以修补这个漏洞,补丁程序将在未来一段时间内发布。
分析:ATI驱动程序漏洞的来源于ATI发布驱动程序的流程,因为ATI频繁的更新驱动程序,所以ATI所发布的驱动程序中的数字签名很容易被复制,从而使攻击者得以通过冒用ATI的数字签名来跳过Windows Vista的驱动加载保护,之前公开的其他厂商的演示程序Atsiv也是利用相同的原理来跳过Vista的驱动加载保护。这种伪装自己成合法驱动程序的攻击方法,估计会成为今后一段时间内恶意软件跳过Vista内置保护的主要手段(读者可以参考笔者的另一个文章《Windows Vista的Rootkit攻防》)。如何对这种攻击手段加以防护?也即是如何保证Windows Vista加载的驱动程序安全?
笔者认为:单纯靠数字签名来表明驱动程序是否安全并不足够,还应该考虑驱动程序厂商是否是可信来源,要解决这个问题,可以借鉴PKI的体制,使用独立的第三方安全认证机构对驱动程序进行二次签名。也可以让Windows Update成为驱动程序的可信分发源,目前Microsoft也正在这样做。另外,最近出现的多个针对Windows Vista的攻击表明Vista的整体安全并不像Microsoft宣称的那么完美,在其他软件厂商的软件还存在种种安全隐患的情况下,单纯依靠Windows Vista的内置安全措施,用户的安全到底能得到多大的保证?这个问题也同样应该引起安全业界的关注。
安全威胁:Black Hat会议:VoIP的潜在威胁、JavaScript的弱点使内网攻击变得容易
新闻:周二,安全厂商Sipera在当天Black Hat会议上向与会者演示了VoIP的潜在威胁,并在一个系统补丁版本为最新安装了防火墙和反病毒软件的笔记本电脑上演示了一个VoIP客户端的缓冲区溢出攻击,目前其他VoIP厂商的客户端产品也存在类似的漏洞。
分析:VoIP技术因为其成本低廉和使用方便,许多企业都开始使用各种VoIP方案来替代或部分替代传统的电话服务,所使用的VoIP方案规模从企业级的Call Center到个人机上的各种VoIP客户端都有。但与VoIP在企业中应用越来越广泛相反的是,安全业界对VoIP安全并没有投入太多的注意力,目前也只有少数几个安全公司在研究。笔者认为,VoIP安全将是安全市场的一个新兴方向,防火墙、入侵检测、内容过滤等厂商都可以在VoIP安全领域一展身手,VoIP的安全使用也将成为用户和安全业界关注的热点。
新闻:周三,在当天Black Hat会议上,与会者讨论了JavaScript的安全问题,目前的攻击技术已经可以让攻击者通过JavaScript来控制用户的浏览器,并可通过浏览器来进行进一步的内网攻击。
分析:JavaScript是重要的Web站点技术,使用JavaScript可以使Web站点获得丰富多彩的效果和功能,但同时攻击者也可以通过JavaScript来达到恶意目的——利用Webmail漏洞扩散的JavaScript蠕虫、各种跨站脚本漏洞、用户浏览历史和Cookie盗取,还有最近的出现的用JavaScript来控制浏览器实现内网IP端口扫描,JavaScript的弱点已经成为威胁用户浏览安全的一大因素。禁用JavaScript显然并不现实,这样用户将无法使用Web站点的许多功能,而且并不能保证用户的浏览就一定安全。但当前JavaScript的弱点存在于JavaScript的自身设计和浏览器对JavaScript的处理上,笔者认为,单纯从客户端来讨论JavaScript安全问题并不是好的解决方法,等待各浏览器厂商更新他们的产品也不现实。要解决JavaScript安全问题需要Web站点、用户和安全业界的合作,使用JavaScript的Web站点应该加强代码审核、同时在用户端使用内容过滤和反钓鱼方案,才能尽可能的减少JavaScript所带来的安全威胁。
市场动态:Firefox 3.0安全功能前瞻
新闻:周二,Firefox浏览器的安全功能负责人当天在接受采访时说,目前正在开发的Firefox浏览器3.0版本在安全方面有很大的加强,除了重写许多代码并增强对缓冲区溢出攻击的防御外,还将增加一个恶意站点提醒功能,可在用户不小心打开恶意站点时给用户警告或阻止用户的访问行为。
分析:开源浏览器Firefox是市场上占有率仅次于Microsoft IE的产品,一直以其安全和速度优势闻名,但Windows Vista和IE7推出之后,Firefox的市场占有率一度远远落后于IE。虽然现在新的Firefox3仍在研发阶段,但新的恶意站点拦截功能有可能会使其在浏览器市场竞争中扳回一局,众所周知,从年初以来web站点已经成为恶意软件传播的第一大途径。值得注意的是,这个新的恶意站点提醒功能,和Mcafee的SiteAdvisor以及趋势的类似产品功能相同,显示可管理的站点浏览控制这一理念,已经成为许多厂商对如何防御恶意站点问题的共识。国内目前尚无类似的安全产品,有网络版反病毒产品的或企业安全管理产品的厂商不妨适当考虑一下这个方向。
本文转自J0ker51CTO博客,原文链接:http://blog.51cto.com/J0ker/38180,如需转载请自行联系原作者
