北京7月7日凌晨1点(美国当地时间7月6日10点),微软公司向全球用户发布了最新的安全通告(SecurityAdvisory972890),证实了WindowsXP、WindowsServer2003系统的视频控件(MicrosoftVideoActiveXControl)中存在一个漏洞(360安全中心命名为“MPEG-2视频”0day漏洞)。利用该漏洞,黑客可在用户使用IE浏览器时,无需用户做任何操作就能获得对用户电脑的本地控制权。微软声称,互联网上已经出现针对这一漏洞的攻击。
微软在通告中表示,目前尚未发现针对该视频控件全部类标识的恶意利用,但建议WindowsXP和WindowsServer2003的用户取消IE浏览器对所列类标识的支持。虽然Vista和Windows2008用户不受该漏洞的影响,但微软亦建议这些用户取消对该控件的支持。用户可通过手工设置注册表的方式,来禁止IE浏览器中运行视频控件。
微软在通告中声称,目前正全力研制漏洞补丁,但并未透露发布安全补丁的具体日期。据360安全专家介绍,“MPEG-2视频”0day漏洞是360安全中心在7月4日通过恶意网页监控系统发现的。
360安全专家透露说,微软在给360安全中心的反馈邮件中,就360安全中心第一时间向微软公司通报该漏洞的详细信息表示感谢,并表示期待今后能与360安全中心在安全领域保持更良好的长期合作关系。
据悉,该漏洞由DirectShow视频开发包的相关组件产生,与今年5月曝出的“DirectShow视频开发包”0day漏洞属于同一类型,极易被黑客利用进行“网页挂马”攻击,使访问者的电脑自动下载安装任意木马程序。360安全专家表示,
打开360安全卫士的网页防火墙功能,能有效拦截此类恶意网页,避免用户因无意中点击而被“中招”。 来自360安全中心的监控数据称,截至7月6日24时,至少有3494家网站被“挂马”,相应“挂马网页”数高达44136个。360安全卫士已为用户拦截了3560483次“挂马”攻击。这意味着,已经数百万用户受到攻击。
附1
:微软安全通告链接 http://www.microsoft.com/technet/security/advisory/972890.mspx 附2
:微软安全通告972890内容部分译文,仅供参考 微软确认附件所列的类标识为msvidctl.dll中此AciveX控件所有的类标识,目前未有针对此控件所有类标识的设计利用。对于windowsxp和Windows2003的用户,微软建议用户对IE取消针对所列类标识的支持。对于Vista和Windows2008用户,虽然不受影响但作为深度防御的手段,微软亦推荐用户取消对此控件的支持。
用户可通过手工设置注册表中此控件的killbit来禁止此COM对象的实例化,从而达到防止IE中运行此控件的目的。这种手工的方式禁止IE中运行微软视频控件,不会影响应用软件的兼容性。
替换下表所列类标识{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}
对值为{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}的类标识设置killbit,请粘贴下列文字到类似Notepad的文本编辑器。然后保存为扩展名为.reg的文件:
WindowsRegistryEditorVersion5.00
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveXCompatibility\{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}]
"CompatibilityFlags"=dword:00000400
双击此.reg文件即可应用此修改到单个系统。企业用户可使用组策略跨域实施。
类标识 {011B3619-FE63-4814-8A84-15A194CE9CE3}
{0149EEDF-D08F-4142-8D73-D23903D21E90}
{0369B4E5-45B6-11D3-B650-00C04F79498E}
{0369B4E6-45B6-11D3-B650-00C04F79498E}
{055CB2D7-2969-45CD-914B-76890722F112}
{0955AC62-BF2E-4CBA-A2B9-A63F772D46CF}
{15D6504A-5494-499C-886C-973C9E53B9F1}
{1BE49F30-0E1B-11D3-9D8E-00C04F72D980}
{1C15D484-911D-11D2-B632-00C04F79498E}
{1DF7D126-4050-47F0-A7CF-4C4CA9241333}
{2C63E4EB-4CEA-41B8-919C-E947EA19A77C}
{334125C0-77E5-11D3-B653-00C04F79498E}
{37B0353C-A4C8-11D2-B634-00C04F79498E}
{37B03543-A4C8-11D2-B634-00C04F79498E}
{37B03544-A4C8-11D2-B634-00C04F79498E}
{418008F3-CF67-4668-9628-10DC52BE1D08}
{4A5869CF-929D-4040-AE03-FCAFC5B9CD42}
{577FAA18-4518-445E-8F70-1473F8CF4BA4}
{59DC47A8-116C-11D3-9D8E-00C04F72D980}
{7F9CB14D-48E4-43B6-9346-1AEBC39C64D3}
{823535A0-0318-11D3-9D8E-00C04F72D980}
{8872FF1B-98FA-4D7A-8D93-C9F1055F85BB}
{8A674B4C-1F63-11D3-B64C-00C04F79498E}
{8A674B4D-1F63-11D3-B64C-00C04F79498E}
{9CD64701-BDF3-4D14-8E03-F12983D86664}
{9E77AAC4-35E5-42A1-BDC2-8F3FF399847C}
{A1A2B1C4-0E3A-11D3-9D8E-00C04F72D980}
{A2E3074E-6C3D-11D3-B653-00C04F79498E}
{A2E30750-6C3D-11D3-B653-00C04F79498E}
{A8DCF3D5-0780-4EF4-8A83-2CFFAACB8ACE}
{AD8E510D-217F-409B-8076-29C5E73B98E8}
{B0EDF163-910A-11D2-B632-00C04F79498E}
{B64016F3-C9A2-4066-96F0-BD9563314726}
{BB530C63-D9DF-4B49-9439-63453962E598}
{C531D9FD-9685-4028-8B68-6E1232079F1E}
{C5702CCC-9B79-11D3-B654-00C04F79498E}
{C5702CCD-9B79-11D3-B654-00C04F79498E}
{C5702CCE-9B79-11D3-B654-00C04F79498E}
{C5702CCF-9B79-11D3-B654-00C04F79498E}
{C5702CD0-9B79-11D3-B654-00C04F79498E}
{C6B14B32-76AA-4A86-A7AC-5C79AAF58DA7}
{CAAFDD83-CEFC-4E3D-BA03-175F17A24F91}
{D02AAC50-027E-11D3-9D8E-00C04F72D980}
{F9769A06-7ACA-4E39-9CFB-97BB35F0E77E}
{FA7C375B-66A7-4280-879D-FD459C84BB02}
缓解因素:
使用Vista和Windows2008服务器版本的用户不受影响是因为在这两个操作系统中传递数据给IE的这个控件是被限制的。
IE在windows2003和Windows2008下缺省以受限模式运行。此模式称为“增强安全配置”,其实质是为IE定制了一组设置来降低用户或管理员下载运行服务器上的一段特定内容。这对于未加入IE可信网站区的网站来说是一种有效的降低风险的手段。
缺省状况下,所有MSOutlook和OutlookExpress在限制网站区打开HTML格式的邮件。限制网站区的功能禁止ActiveScripting和ActiveX控件,这样就降低了此漏洞被利用的风险。但是双击邮件中的链接仍然会暴露在此漏洞攻击下。
在网页攻击的情形,攻击者通常需要架设一个网站,设计能利用此漏洞的网页并诱使用户点击。通常攻击者会将此链接置于邮件或聊天信息中来诱使用户点击。但是攻击者是无法直接迫使用户点击链接的。
即使攻击者成功利用漏洞获得本地用户的权限,仍然可以通过限制本地用户的权限来控制受到的影响。
附3:
部分“挂马”网站与“挂马网址”(注:为保护用户,链接已作特殊处理。
360安全卫士用户开启网页防火墙后不受此类“挂马网页”影响)
37度医学网:
挂马网址:hxxp://www.37c.com.cn/doctor/lcsj/xyzl.asp?ID=14972
手机门户捉鱼网:
挂马网址:hxxp://club.joyes.com/announce/announce.aspx?BoardID=813&ID=21417171
金地集团
挂马网址:hxxp://zy.gemdale.com/HR.asp
中国军网
挂马网址:hxxp://blog.chinamil.com.cn/user1/97wen/index.html
中国佛教网
挂马网址:hxxp://www.cnbuddhism.com/
西安电子科技大学
挂马网址:hxxp://zsb.xidian.edu.cn/baosong/index.asp
中国社会科学院
挂马网址:hxxp://www.cass.net.cn/file/20081030202662.html
中国政府采购招标网
挂马网址:hxxp://www.chinabidding.org.cn/B2bInfoDetails.aspx?bid=425
中国机电网
挂马网址:hxxp://www.djwxw.com/chinamotor/pro_content_2.asp?id=34615
京东方网
挂马网址:hxxp://www.boe.com.cn/Joinjdf/Accession/rsggnry.asp?id=74
冶金自动化研究设计院
挂马网址:hxxp://www.arim.com/ContentDetail.aspx?cid=358
古城热线
挂马网址:hxxp://wed.xaonline.com/ypnew_view.asp?id=3696
贵州信息港
挂马网址:hxxp://house.gz163.cn/secondhand/secondhand_detail.aspx?bhid=425448
《读者》杂志官方网站
挂马网址:hxxp://www.duzhe.com/common/right_dz.htm
中国饲料行业信息网
挂马网址:hxxp://business.feedtrade.com.cn/sca_tlist.asp?scasort=3
中国新能源网
挂马网址:hxxp://www.newenergy.org.cn/html/0096/6190928087.html
孟州地税网
挂马网址:hxxp://www.mzds.gov.cn
红星美凯龙官网
挂马网址:
hxxp://www.chinaredstar.com/knowledge_show.asp?aboutus_menu_id=3&news_id=637
云南地产门户网站
挂马网址:hxxp://www.ynlsw.cn/default3_1.asp
铁道兵网
挂马网址(首页):hxxp://www.cntdb.com/
天天营养网
挂马网址:hxxp://yys.51ttyy.com/pingce/ceshi/19.html
中国食品展会网
挂马网址:hxxp://www.foodexpo.cn/corp/
中视音像挂马网址:hxxp://www.szcctv.net/product_class.asp?ClassID=4