光是在今年1~3月就有11個零時差漏洞被用於各種目標式攻擊,被用來發動攻擊的是來自Java, Adobe Flash, Adobe Reader, IE瀏覽器等使用者常用的程式漏洞。賽門鐵克在今(2013)年4月發表上述統計,並指出大部份的攻擊會透過誘導使用者瀏覽含有漏洞的網站而觸發,且駭客為了繞過限制,在有沙盒保護功能的應用程式中開始更深入地挖掘弱點。
這11個零時差漏洞整理如下,而FireEye發現其中7種。FireEye台灣技術經理劉俊雄指出,APT攻擊的生命週期從利用漏洞攻擊(Exploit)、下載惡意程式(Drop)到接受遙控(Call back)等,其中最困難的就是偵測exploit,往往駭客在成功exploit之後行為就會變得很複雜。而現今APT惡意程式相當狡詐難以察覺,當受害電腦使用者有活動APT才開始活動,難以分辨其流量。也因此,要能偵測APT攻擊,必須把所有各階段行為資訊彙集,進行關聯分析才能夠辨識出惡意APT。
Java 零時差漏洞
CVE編號 |
描述 |
CVE-2013-0422 |
從網頁擷取範本,並建立一個全螢幕視窗,以某種社交工程計畫恫嚇受害者,要求付款 |
CVE-2012-3174 |
Oracle Java Runtime Environment遠端執行程式碼弱點 |
CVE-2013-1493 |
允許透過多種通訊協定,成功進行未經身分驗證的網路攻擊,致使未經授權的作業系統即接管任意程式碼執行。 |
Adobe Flash/Reader 零時差漏洞
CVE編號 |
描述 |
CVE-2013-0633 |
Adobe Flash Player緩衝區溢位弱點 |
CVE-2013-0634 |
允許遠端攻擊者透過精心打造的SWF內容,執行任意程式碼,或造成阻斷服務攻擊 (記憶體損毀)。 |
CVE-2013-0643 |
Adobe Flash Player Unspecified Security Vulnerability |
CVE-2013-0648 |
Adobe Flash Player 遠端執行程式碼弱點 |
CVE-2013-0640 |
旨在誘騙Windows使用者點擊以電子郵件訊息傳送的惡意PDF檔。 |
CVE-2013-0641 |
同上 |
IE零時差漏洞
CVE編號 |
描述 |
CVE-2012-4792 |
允許遠端攻擊者透過精心打造的網站,執行任意程式碼,進而觸發存取未正確配置或已被刪除的物件。 |
CVE-2013-1288 |
同上 |
(資料來源:賽門鐵克、FireEye,2013/7)
賽門鐵克建議上述所有應用程式都應更新到最新,包括防毒軟體與入侵防禦系統,此外避免開啟來自不受信任來源所提供的檔案,同時可採取多層次的安全機制,包括不可執行的以及隨機配置的記憶體位置,這樣都可增加駭客漏洞攻擊的難度。