網軍再度利用XSS漏洞 搜括Web mail帳密

許多網頁電子郵件管理者仍然輕忽跨站指令碼漏洞問題，單位內Webmail使用者帳號、密碼完全曝光。

　　本刊去年11月號（58期）專家開講文章「電子郵件密碼修改無效」曾揭露許多Web mail存有跨站指令碼漏洞(XSS)，駭客可竊取使用者信箱帳號密碼及暗中同步收信的問題。事實上，據了解此一事件並非單純少數個案，全台灣許多單位內網頁電子郵件信箱的使用者帳號、密碼資料已被中國網軍設下的陷阱給大舉網羅，而相關單位卻渾然未覺。

與詐術合而為一的攻擊手法

　　熟悉網路攻擊手法的讀者對於XSS攻擊應該不陌生，早在2～3年前駭客就開始利用XSS弱點寄發各種郵件誘騙使用者。也因此，大家開始對使用者宣導不要點選來路不明的郵件、不要隨意開啟附件、點擊網址連結等。但從這一波被網軍竊走的Web mail帳密來看，雖然仍舊是利用XSS弱點，但用來包裝的卻是看似一切正常的郵件，且寄件者並非來路不明，而是你所認識的人。

　　這波攻擊之所以令人難以招架的原因在於，駭客將含有惡意程式碼的一段Javascript內嵌在惡意郵件當中，只要使用者一開啟該封郵件，惡意程式就立即將使用者的cookie資料傳送回對岸駭客手中。無論所使用的郵件系統之cookie是否有加密，駭客會利用不同郵件系統的特性，特別針對該系統改寫攻擊程式，因此即便是不同之系統，不同公司banner，駭客依然能夠有效地獲取用戶資料。據了解，近2個月來，已有許多知名單位Web mail信箱帳密已淪陷，包括中○電信內部員工信箱、民○黨Web mail系統在內。更誇張的是，信箱內轉寄功能被暗中設定，所有郵件被駭客同步接收的也不在少數。

　　這類郵件外觀主旨大多是簡單的「您好」，甚至只是「﹒﹒」(點點)，其餘內文均留下空白。也有開啟郵件後另外跳出系統登入畫面，要求輸入帳號密碼的詐騙郵件，但無論何種外觀，其背後均埋伏著惡意程式。

　　整起事件歸咎原因，XSS漏洞並非刁鑽難解，而是許多系統管理人員對此問題太疏忽大意。維護郵件系統正常收發信固然是首要之務，但默默進行的帳號竊取影響更為深遠。在非必要的情形下，沒有系統管理者想去安裝修補程式或變更系統設定，畢竟郵件系統對整個組織、企業來說至關重要，安裝修補程式後若影響收發信，資訊人員壓力就大了。但這回茲事體大，所有Web mail系統管理者不應輕視此問題，不論是使用開放原始碼工具自行開發郵件系統的管理人員，或是使用商用Web mail產品的單位。

　　網擎資訊研發副總經理翁嘉頎表示，針對此類攻擊事件的處理方式，過去3年內曾進行過2次主動電話通知客戶並協助修補此漏洞，也會去整個掃描使用Web mail產品客戶的IP位址，來檢查客戶端是否更新。但不排除有部分未續簽維護合約的客戶仍未修補漏洞，可能遭到帳密外洩問題。網擎強調，不論客戶是否簽維護合約，對於所有仍在維護中的產品都會提供客戶修補程式，除非該客戶所使用的產品版本已超過產品維護週期，以網擎來說約3年。至於過去產品中Javacript功能為強制支援，在其2008年發行的Web mail產品版本中已可讓使用者自行設定是否執行Javascript。

瀏覽器不執行Javascript 完整端點防護

　　針對這次的攻擊情形，除了系統管理者需修補掉Web mail系統上的漏洞之外，資安專家建議使用者端最好也能在瀏覽器設定上選擇不執行Javascript，雖然畫面呈現較不美觀且可能造成使用者操作上較為不便，但就安全性而言，會是比較一勞永逸的作法。

　　此外，賽門鐵克資深技術顧問莊添發表示，光靠防毒軟體其實無法攔截XSS的攻擊，因為防毒軟體主要是做檔案的掃描，企業應透過內含防火牆、主機型入侵防禦系統(HIPS)等功能在內的端點安全防護方案才能有效抵擋此類攻擊，就算惡意程式要將cookie資料往外送也會被防火牆及時阻擋下來。