Windows惊现新漏洞 各方支招急围堵

    1月初，Windows操作系统处理遭破坏的.WMF文件的方式被发现存在新漏洞。一时间美国众多IT媒体就此事展开报道，众多专家也提出了一些紧急应对措施。为此，本文整理了IDG相关媒体及博客的有关信息，向读者介绍应对这一漏洞的具体方法。

    美国时间2005年12月底，美国多家安全公司警告，即便运行Windows XP和Windows Server 2003的系统全面打上了补丁，也会遭到恶意黑客的攻击。安全公司声称，黑客能够通过这些操作系统处理遭破坏的.WMF（Windows元文件）图像文件的方式存在的新近发现的一个漏洞来实施攻击。这些公司之所以把该漏洞称为“零日(Zero-day)”，是因为在没有补丁或者认证的变通办法可以堵住漏洞的情况下，恶意黑客能够很好地利用这种漏洞。

    安全公司警告，如果用户进行以下操作，机器就有可能遭到攻击:

    ● 访问提供漏洞的恶意网站;

    ● 在Windows图片和传真查看器中打开恶意的.WMF文件;

    ● 在Windows 浏览器中预览恶意的

    .WMF文件。

    据VeriSign公司旗下的iDefense安全公司的快速响应小组主管Ken Dunham声称，一旦恶意黑客发现更多针对系统可以自动实施攻击的方式，譬如使用电子邮件、即时信息或者文件共享，这类攻击的数量就会急剧增加。

    当时，攻击只是限于这种方式: 把广告软件和间谍软件安装在被感染的机器上，不过当时Dunham在通过电子邮件的采访中就预见到：“在今后几天里，你可能会看到特洛伊木马及更多的恶意代码出现。”

    当时还没有可以堵住这种漏洞的安全补丁。虽然有人在网上提出了一些变通办法，但Dunham只认可这一种方法: 禁用处理.WMF文件。用户应当点击任务栏上的“开始”按钮，然后点击“运行”，输入: regsvr32 /u shimgvw.dl，更改对话框出现时点击“OK”。

    Dunham还警告，与.WMF有关的漏洞还危及.EMF文件，他在通过电子邮件的警告中写道: “黑客仍有可能通过其他文件类型如.EMF来利用漏洞。”禁用WMF文件的变通办法有助于缓解易受攻击的Windows XP/2003计算机面临的攻击。该变通办法可能会影响缩略图或者其他图像在计算机上面的显示。

    与此同时，微软的公关公司Waggener Edstrom的一位发言人在电子邮件中写道: 微软公司正在对“Windows中可能出现的漏洞”进行调查。“一旦完成调查工作，微软将采取适当措施保护我们的用户; 措施可能包括通过每月的发布方法提供补丁程序，或者发布安全公告，这取决于用户需求。”

    当时，微软鼓励用户采用它所建议的安全做法，www.microsoft.com/protect上面有详细介绍。如果用户认为自己的机器被感染，可以与微软的产品支持小组取得联系。进行这种联系的方式各不一样，这要看用户在什么地方。http://support.microsoft.com/security提供了更多信息。

    Dunham把该威胁描述为“重大威胁”，Secunia公司将其评为“极其严重”，而赛门铁克公司则把其列为“二级”威胁（“四级”是最严重的威胁）。Secunia把下面这些系统列为易受攻击的操作系统: Windows Server 2003数据中心版、Windows Server 2003企业版、Windows Server 2003标准版、Windows Server 2003 Web版、Windows XP家庭版和Windows XP专业版。

    微软介绍临时措施

    虽然微软承诺一旦完成对WMF安全漏洞的调查工作，就提供安全补丁，但在没有发布之前，微软于美国时间1月2日提出了几个临时办法可以保护用户的系统和网络免受潜在攻击。

    据微软声称: “如果你是Windows OneCare的用户、而且当前的安全级别是绿色，那么你已经得到了保护，可以远离利用该漏洞企图攻击系统的已知恶意软件。”如果不是，另外有几个防御办法，包括以下几种:

    ● 消除Windows shimgvw.dll文件的注册信息。在单一系统上的命令行提示符输入命令: regsvr32 -u %windir%system32shimgvw.dll，应当能实现这种功能。“这种变通方法的效果好于仅仅试图过滤掉带有WMF扩展名的文件,”据安全公司F-Secure声称，因为有些恶意的WMF文件会使用其他的文件扩展名加以伪装。

    ● Ilfak Guilfanov已在hexblog.com上发布了临时补丁。F-Secure 声称:“他是Interactive Disassembler Pro的主要开发者，可能是世界上最优秀的低层Windows专家之一。”安全公司iDefense Inc.声称，它对这个补丁进行了测试，证实它确实有效; 里面似乎没有恶意代码。不过他也强调，该补丁“仍来自独立来源而不是来自实际开发商，所以应当给予相应的对待。”SANS Institute也声称，他对该补丁“进行了逆向工程、评估及审查”。Guilfanov建议: 一旦微软发布了官方补丁，就应当卸载他作为变通办法的这个补丁。

    ● “把IE浏览器配置成高安全级别，”iDefense在几个保护方法列表当中提议。

    ● 封阻在过去与恶意活动有关的几个IP地址，据SANS的Johannes Ullrich声称。SANS因特网风暴中心的日志上公布了详细资料。

    iDefense的发言人Ken Dunham在电子邮件公告中说: “WMF漏洞已迅速成为一大威胁，特别是因为经过长长的节日周末之后又恢复了工作周。如今形势日益严峻，因为迄今为止声称恶意站点的网站有数百个，得到证实的已有数十个，还有更多的网站在共享公共和专有数据。按照惯例，某个漏洞在七天或者更短的时间内迅速大规模传播就会导致重大事件。”

    专家: 不要等待微软！

    但美国时间1月3日Computerworld.com消息称，1月初，因特网风暴中心（ISC）的安全研究人员督促Windows用户立即安装非官方的安全补丁，不要坐等微软采取行动、发布补丁。

    他们提出建议之前，已出现了针对Windows 98直到XP版本操作系统对采用WMF格式的恶意文件进行处理的方式所存在的漏洞发动的新一轮攻击。包括iDefense和F-Secure在内的多家安全研究公司声称，这种漏洞通过标题为“happy new year”的电子邮件消息加以传播，邮件携带名为HappyNewYear.jpg的恶意文件附件，这其实是经过伪装的WMF文件。虽然文件被标为JPEG文件，但Windows会识别内容是WMF文件，于是试图执行里面含有的代码。

    微软在早些时候的安全公告中声称，想利用通过电子邮件的WMF漏洞，“必须诱使用户点击恶意电子邮件里面的链接，或者打开利用该漏洞的附件。”

    F-Secure公司的首席研究官Mikko Hypponen在他公司的博客上写道，不过，单单浏览含有受感染文件的文件夹，或者甚至允许文件由Google Desktop这些桌面搜索实用程序来检索也会引发该漏洞的有效载荷。

    此外，一种新漏洞的源代码在网上广泛传播，这样就可以生成使用不同有效载荷的新的攻击手法。研究人员说，譬如，文件HappyNewYear.jpg就会企图下载Bifrose后门程序。

    据ISC网站上评述重大IT安全问题的连续评论《Handler’s Diary》表明，ISC的工作人员惊讶于该威胁具有的严重性，已在周末加班工作，认可并改进了由Ilfak Guilfanov开发的非官方补丁，以解决WMF问题。

    Tom Liston在该日志中写道: “我们对这个补丁进行了非常认真细致的审查。它的功能正如宣传的那样; 也可以安全卸载。我们认为，它既安全又有效。你不能坐等微软的官方补丁出来，也不能任由你的系统未加以保护。”

    ISC在该日志中提供了指向经过审查的该版本补丁的链接，包括为安装在企业系统上而设计的一个版本。Liston写道，虽然ISC认识到企业用户会觉得安装非官方补丁难以接受，但“不管能不能接受，这种情况下你总得信赖某个人。”

    Guilfanov已在个人网站上发布了他开发的补丁。http://www.hexblog.com/2005/12/wmf_vuln.html上附有他对补丁的介绍。

    不是所有计算机都容易受到WMF威胁的攻击: 运行非Windows操作系统的计算机不受影响。

    据iDefense安全公司的快速响应小组主管Ken Dunham声称，到目前为止，运行Windows数据执行预防（DEP）软件的Windows机器至少可以安全地远离WMF攻击。不过，微软声称，软件DEP提供不了预防该威胁的保护作用，不过硬件DEP可能有所帮助。

    微软: 等我们发布补丁！

    虽然一些安全研究人员忠告Windows用户应赶紧安装非官方补丁以堵住操作系统显示图形文件方面的漏洞，但微软公司于美国时间1月3日表示，希望用户再等一个星期就能下载官方安全补丁。

    问题出在众多版本的Windows处理Windows元文件（WMF）格式的方式上。如果易受攻击的计算机打开精心创建的WMF文件，就会被迫执行任意代码。微软在去年12月28日发布了第一份安全公告，声称它已在去年12月27日接到了有关该问题的通知，调查有没有必要开发补丁。

    如今，微软更新了公告内容，声称已完成补丁开发工作，现正在进行测试，以便下周发布。公告称: “微软建议用户下载及部署针对WMF漏洞的安全补丁，我们定于2006年1月10日发布。”

    去年12月28日，微软发布第一份安全公告时就承认了问题隐患。随后，它更新了公告内容，建议用户禁用操作系统里面受感染的部分: shimgvw.dll，以降低风险。微软警告，这种补救方法的副作用就是，这会导致Windows图片和传真查看器无法正常工作。另有人声称，这方法还会阻止IE浏览器无法显示数字照片的缩略图。

    微软以外的安全研究人员另有想法: 他们不是禁用shimgvw.dll，而是主张加以改动，以便单单封阻被认为有危险的功能。去年12月31日，编程人员Ilfak Guilfanov开发了非官方补丁，它可以在不影响Windows图形显示功能的前提下减小受攻击的危险。

    最新的动态就是，对于到底是安装已经可以使用的第三方补丁堵住Windows WMF漏洞好，还是等微软公司的官方补丁出来好，用户和分析师显得意见不一。

    微软提前发布官方补丁

    美国东部时间1月5日下午5点微软提前发布了WMF漏洞的官方补丁。微软称，使用Windows Server升级服务的企业用户会自动收到升级提示。而其他用户可在以下网址手工下载该补丁：http://www.microsoft.com/technet/security/bulletin/ms06-001.mspx。

    据悉，这是微软历史上开发、测试、发布补丁周期最短的一次，大约用了9～10天的时间，而且它还同时针对所有平台发布了23种语言版本。