微软将于本周四发布一项针对IE的额外紧急更新,将修复浏览器中的多个漏洞,包括在公司网络攻击中遭到利用的零日漏洞。
微软在预告中称这一更新将列入严重级别,并将于美国东部时间下午一点发布出来。虽然这一补丁将阻止利用IE零日漏洞攻击公司网络的的行为,安全专家称企业必须为新的黑客攻击带来的冲击做好准备。
微软安全响应中心的高级安全项目经理Jerry Bryant称:“补丁一旦被采用,用户将免于遭受肆掠的已知攻击的侵袭,我们建议用户尽快部署发布出来的补丁。”
微软在它的安全更新公告中称攻击者在利用IE中的某个无效指针引用发起攻击。攻击代码将导致IE试图访问某个释放的对象,为远程代码执行创造条件。微软说,攻击已被限制住了,虽然IE 7和IE 8也包含这些漏洞,但只有在IE 6上的攻击才可能成功。
研究人员已开发出概念证明代码,让攻击者攻击这一漏洞并绕过数据执行保护(DEP)来查看运行在Vista和Windows 7上的文件。微软说将浏览器的网络区域的脚本禁用功能设置为高级别,并协助防御DEP绕过技术。
专家称,近期的攻击既不是新出现的,设计上也不是太精密。
搜索引擎巨头Google上周宣布他和几十家其他的硅谷技术公司遭到一系列攻击。据信这一网络间谍攻击是由中国计算机黑客发起的,他们用尽一切办法渗透公司网络,避开了监测并窃取知识产权和其它的敏感信息。攻击者使用鱼叉式网络钓鱼(spearphishing)策略和恶意软件能轻易绕过反恶意软件和反垃圾邮件过滤器。
安全专家称攻击者所使用的技术既不是最新的也不是非常精密,但他们的成功归因于组织机构没有关注监测网络信号的异常状况。451 Group的企业安全实践研究主管Josh Corman说IT组织可能太依赖于过时的技术,例如反病毒软件
Corman说:“我们需要多关注网络来捕获各种动向,但我们这一行业如今太过关注陈旧的控制和管理流程,我们现在担心审计人员多过担心攻击者。恐怕我们的重心没有放在对手身上,反而更多的专注于规范传统控制。”
专家称微软发布这次的更新之后,攻击者将继续寻找并攻击零日漏洞。高价值的知识产权和一些个人数据成为恶意软件开发团队的资金来源,他们通过对代码进行筛选来寻找可利用的漏洞。最近Google、Adobe Systems Inc.、Yahoo Inc.、Juniper Networks Inc.以及Symantec Corp.遭到的攻击显示,那些攻击团队会侦查潜在的攻击目标,并会在受害者机器上窃取尽可能多的信息之后才会使用社会工程策略来发起大规模的攻击。
漏洞管理厂商Qualys Inc.的首席技术官兼工程副总裁Wolfgang Kandek说:“在很多案例中,攻击没有引起注意,网络罪犯会在目标机器上驻留数日甚至几个星期,以保证他们的存在没有被发现。这些攻击的目标可能会是任何浏览器或应用程序。”
Kandek说:“攻击者使用了大量资金进行部署,因而想要逃脱这一攻击非常困难。有些人是蓄意要获取信息,而且他拥有大量的资源来分析‘潜在受害者’正在做什么,他们会试图找到其中的漏洞。”
【编辑推荐】