觀點

偵測漏洞攻擊最難 第一季11個零時差漏洞用於攻擊

2013 / 07 / 22
張維君
偵測漏洞攻擊最難  第一季11個零時差漏洞用於攻擊

光是在今年13月就有11個零時差漏洞被用於各種目標式攻擊,被用來發動攻擊的是來自Java, Adobe Flash, Adobe Reader, IE瀏覽器等使用者常用的程式漏洞。賽門鐵克在今(2013)4月發表上述統計,並指出大部份的攻擊會透過誘導使用者瀏覽含有漏洞的網站而觸發,且駭客為了繞過限制,在有沙盒保護功能的應用程式中開始更深入地挖掘弱點。

 

11個零時差漏洞整理如下,而FireEye發現其中7種。FireEye台灣技術經理劉俊雄指出,APT攻擊的生命週期從利用漏洞攻擊(Exploit)、下載惡意程式(Drop)到接受遙控(Call back)等,其中最困難的就是偵測exploit,往往駭客在成功exploit之後行為就會變得很複雜。而現今APT惡意程式相當狡詐難以察覺,當受害電腦使用者有活動APT才開始活動,難以分辨其流量。也因此,要能偵測APT攻擊,必須把所有各階段行為資訊彙集,進行關聯分析才能夠辨識出惡意APT

Java 零時差漏洞
CVE編號 描述
CVE-2013-0422 從網頁擷取範本,並建立一個全螢幕視窗,以某種社交工程計畫恫嚇受害者,要求付款
CVE-2012-3174 Oracle Java Runtime Environment遠端執行程式碼弱點
CVE-2013-1493 允許透過多種通訊協定,成功進行未經身分驗證的網路攻擊,致使未經授權的作業系統即接管任意程式碼執行。

Adobe Flash/Reader 零時差漏洞
CVE編號 描述
CVE-2013-0633 Adobe Flash Player緩衝區溢位弱點
CVE-2013-0634 允許遠端攻擊者透過精心打造的SWF內容,執行任意程式碼,或造成阻斷服務攻擊 (記憶體損毀)
CVE-2013-0643 Adobe Flash Player Unspecified Security Vulnerability
CVE-2013-0648 Adobe Flash Player 遠端執行程式碼弱點
CVE-2013-0640 旨在誘騙Windows使用者點擊以電子郵件訊息傳送的惡意PDF檔。
CVE-2013-0641 同上

IE零時差漏洞
CVE編號 描述
CVE-2012-4792 允許遠端攻擊者透過精心打造的網站,執行任意程式碼,進而觸發存取未正確配置或已被刪除的物件。
CVE-2013-1288 同上

(資料來源:賽門鐵克、FireEye,2013/7)

 

賽門鐵克建議上述所有應用程式都應更新到最新,包括防毒軟體與入侵防禦系統,此外避免開啟來自不受信任來源所提供的檔案,同時可採取多層次的安全機制,包括不可執行的以及隨機配置的記憶體位置,這樣都可增加駭客漏洞攻擊的難度。