https://ad.doubleclick.net/ddm/trackclk/N1114924.376585INFORMATIONSECURI/B26202047.309881952;dc_trk_aid=502706469;dc_trk_cid=155369661;dc_lat=;dc_rdid=;tag_for_child_directed_treatment=;tfua=;ltd=
https://ad.doubleclick.net/ddm/trackclk/N1114924.376585INFORMATIONSECURI/B26202047.309881952;dc_trk_aid=502706469;dc_trk_cid=155369661;dc_lat=;dc_rdid=;tag_for_child_directed_treatment=;tfua=;ltd=

觀點

網軍再度利用XSS漏洞 搜括Web mail帳密

2009 / 07 / 13
張維君
網軍再度利用XSS漏洞 搜括Web mail帳密
許多網頁電子郵件管理者仍然輕忽跨站指令碼漏洞問題,單位內Webmail使用者帳號、密碼完全曝光。

  本刊去年11月號(58期)專家開講文章「電子郵件密碼修改無效」曾揭露許多Web mail存有跨站指令碼漏洞(XSS),駭客可竊取使用者信箱帳號密碼及暗中同步收信的問題。事實上,據了解此一事件並非單純少數個案,全台灣許多單位內網頁電子郵件信箱的使用者帳號、密碼資料已被中國網軍設下的陷阱給大舉網羅,而相關單位卻渾然未覺。

與詐術合而為一的攻擊手法

  熟悉網路攻擊手法的讀者對於XSS攻擊應該不陌生,早在2~3年前駭客就開始利用XSS弱點寄發各種郵件誘騙使用者。也因此,大家開始對使用者宣導不要點選來路不明的郵件、不要隨意開啟附件、點擊網址連結等。但從這一波被網軍竊走的Web mail帳密來看,雖然仍舊是利用XSS弱點,但用來包裝的卻是看似一切正常的郵件,且寄件者並非來路不明,而是你所認識的人。

  這波攻擊之所以令人難以招架的原因在於,駭客將含有惡意程式碼的一段Javascript內嵌在惡意郵件當中,只要使用者一開啟該封郵件,惡意程式就立即將使用者的cookie資料傳送回對岸駭客手中。無論所使用的郵件系統之cookie是否有加密,駭客會利用不同郵件系統的特性,特別針對該系統改寫攻擊程式,因此即便是不同之系統,不同公司banner,駭客依然能夠有效地獲取用戶資料。據了解,近2個月來,已有許多知名單位Web mail信箱帳密已淪陷,包括中○電信內部員工信箱、民○黨Web mail系統在內。更誇張的是,信箱內轉寄功能被暗中設定,所有郵件被駭客同步接收的也不在少數。

  這類郵件外觀主旨大多是簡單的「您好」,甚至只是「﹒﹒」(點點),其餘內文均留下空白。也有開啟郵件後另外跳出系統登入畫面,要求輸入帳號密碼的詐騙郵件,但無論何種外觀,其背後均埋伏著惡意程式。

  整起事件歸咎原因,XSS漏洞並非刁鑽難解,而是許多系統管理人員對此問題太疏忽大意。維護郵件系統正常收發信固然是首要之務,但默默進行的帳號竊取影響更為深遠。在非必要的情形下,沒有系統管理者想去安裝修補程式或變更系統設定,畢竟郵件系統對整個組織、企業來說至關重要,安裝修補程式後若影響收發信,資訊人員壓力就大了。但這回茲事體大,所有Web mail系統管理者不應輕視此問題,不論是使用開放原始碼工具自行開發郵件系統的管理人員,或是使用商用Web mail產品的單位。

  網擎資訊研發副總經理翁嘉頎表示,針對此類攻擊事件的處理方式,過去3年內曾進行過2次主動電話通知客戶並協助修補此漏洞,也會去整個掃描使用Web mail產品客戶的IP位址,來檢查客戶端是否更新。但不排除有部分未續簽維護合約的客戶仍未修補漏洞,可能遭到帳密外洩問題。網擎強調,不論客戶是否簽維護合約,對於所有仍在維護中的產品都會提供客戶修補程式,除非該客戶所使用的產品版本已超過產品維護週期,以網擎來說約3年。至於過去產品中Javacript功能為強制支援,在其2008年發行的Web mail產品版本中已可讓使用者自行設定是否執行Javascript。

瀏覽器不執行Javascript 完整端點防護

  針對這次的攻擊情形,除了系統管理者需修補掉Web mail系統上的漏洞之外,資安專家建議使用者端最好也能在瀏覽器設定上選擇不執行Javascript,雖然畫面呈現較不美觀且可能造成使用者操作上較為不便,但就安全性而言,會是比較一勞永逸的作法。

  此外,賽門鐵克資深技術顧問莊添發表示,光靠防毒軟體其實無法攔截XSS的攻擊,因為防毒軟體主要是做檔案的掃描,企業應透過內含防火牆、主機型入侵防禦系統(HIPS)等功能在內的端點安全防護方案才能有效抵擋此類攻擊,就算惡意程式要將cookie資料往外送也會被防火牆及時阻擋下來。