26日-1日要闻回顾 IE新漏洞威胁巨大Web出现新攻击

　　【51CTO.com 独家特稿】本周（0326至0401）安全业界最重大的新闻是新的IE 0day漏洞被公开，该IE漏洞对Windows的大部分版本有效，是近年来少见的威胁巨大的IE漏洞；此外，本周初Microsoft还公开了另一个影响内网安全的Windows漏洞。其他方面，及时通讯的安全威胁迅速增加、Web安全领域的新攻击方式和产品市场上IBM推出中小企业级入侵拦截系统（IPS）等新闻也值得关注：

　　漏洞信息：IE 新漏洞威胁巨大，企业内网DNS/WINS安全不容忽视

　　新闻：周三，Mcafee下属的Avert实验室捕获一个利用IE 0day漏洞样本，测试显示，该漏洞影响使用IE 版本6和7的Windows平台，它利用了IE对ANI动画图标文件处理上的错误，并在后台自动下载并执行恶意软件。这个漏洞于周四被Microsoft确认，但针对该漏洞的补丁目前尚未发布。周五，国内的CISRT小组宣布，捕获会在被感染的网站主机上的网站页面自动插入ANI漏洞的利用代码的蠕虫。

　　分析：ANI漏洞可以说是今年年初以来对用户威胁最严重的漏洞。用户在使用IE或IE内核的浏览器浏览插入有ANI漏洞的网站时，会在不知不觉中被下载并安装恶意软件。从隐蔽性来说，ANI漏洞比去年中的MS06014漏洞相当，远超去年底的XML漏洞和今年年初的MS07004漏洞；无论用户使用的是Windows XP SP2加最新补丁还是最新的Windows Vista，也无法防御该漏洞的攻击，从范围上看，该漏洞的影响也是近两年来所罕见的。由于目前Microsoft尚无针对该漏洞的安全补丁，而相当一部分的反病毒软件也不能检测该IE漏洞的利用页面，笔者建议用户在Microsoft发布补丁或确认本机安装的杀毒软件可以检测该漏洞之前，只浏览可信站点，并随时监控系统是否有异常；或者暂时使用Firefox、Opera等第三方的非IE内核浏览器，以保证系统安全。

　　新闻：周四，Microsoft确认了存在于Web代理自动发现协议（WPAD）中的安全漏洞，该安全漏洞存在于Windows的DNS或WINS服务器中，允许攻击者在企业内网将自己伪装成一个合法的Web代理服务器，并将攻击对象的数据转向到该伪装代理服务器上。

　　分析：该漏洞和ARP欺骗攻击有一定程度的相似之处，DNS/WINS服务器没有对内网中的Web代理服务器进行身份识别，就将其添加到信任列表中是引发安全问题的原因。解决伪造Web代理服务器最好办法是关闭WPAD支持，如果有使用Web代理服务器的需要，设置DNS/WINS服务器使用静态的WPAD DNS/WINS地址。

　　威胁趋势：IM攻击迅速增加 Web安全的新威胁

　　新闻：周四，有消息显示，3月份针对即时通信（IM）的攻击迅速增加，比去年同期增长2倍。这些攻击的方式主要为传播垃圾信息和盗取用户的IM账户，常见的IM软件上均有相关的攻击报告。

　　看点：IM安全正成为安全领域继E-mail安全之后一个越来越热的方向。由于各个IM所使用的协议各不相同，大部分的IM厂商还采取对IM通信协议保密的做法，因此要建立适用于流行IM软件的通用型安全解决方案存在相当的技术难度。但是对特定的IM软件，可以采取和对应厂商合作开发的办法。IM服务器端使用的信息过滤方案、客户端使用的支持信息过滤和特定类型恶意软件清除的软件，都是可供选择的IM安全解决方案。

　　新闻：周四，在Black Hat Europe 上，研究人员展示了一种新的Web攻击方式：XSS+CSRF，XSS指 跨站脚本攻击，而CSRF指的是跨站请求伪造。 这种攻击方式的隐蔽之处在于攻击者通过XSS劫持用户的浏览，而CSRF能够控制用户当前的浏览器进程来访问攻击者希望访问的站点，通常是信用卡支付站点，并执行攻击者指定的操作。但在特定情况下，攻击者还能通过CSRF来控制用户浏览器访问内部网络。

　　看点：XSS＋CSRF攻击方法目前还处于概念和演示阶段，一次XSS＋CSRF攻击成功也需要相当严格的条件，但需要严格条件并不等于不可能——用户在计算机上保存了CSRF攻击目标网站的账户信息、或用户正在访问目标网站，都有可能使CSRF攻击成功。随着大型商业站点越来越流行使用单点登陆（Single Sign On）方式，也使用户遭受CSRF攻击的风险增加。XSS和CSRF两种攻击方式的结合，使攻击者的攻击从获得用户的账户密码转变为直接控制用户的浏览器完成指定操作，显然更容易隐藏攻击的发起和增加事后调查的难度。同时，如何防御这种新的Web安全威胁，也成为各大商业站点和安全业界需要面对的挑战和机遇。

　　产品新闻：中小企业的入门级硬件安全产品

　　新闻：周五，IBM下属的安全部门ISS推出了面向中小企业、金融终端和支付终端的入门级入侵拦截系统（IPS），该产品自带4个网络接口，支持2个网络分段和10Mbit/s流量下的入侵拦截操作。该产品预计售价将低于2000美元。

　　看点：硬件安全产品通常是昂贵的代名词，购买、部署、维护的巨额花费是企业获得高性能的安全防护的代价，也因此使中小型企业无力承担使用硬件安全产品的昂贵费用，而转而使用性能稍逊的软件安全产品或干脆不部署安全方案。IBM这次推出的入门级IPS打破了这一格局，给中小企业部署安全方案增加了新的选择。其他硬件安全厂商必定不会袖手旁观，也会在短时间内推出自己的中小企业硬件安全产品。笔者预计，面向中小企业的硬件安全市场将会迅速发展，入侵拦截、入侵检测、硬件防火墙、反病毒网关和安全网关等原本只有大型企业才能负担得起的硬件安全产品也会以入门版产品的形式进入这一市场，而低购买成本、免维护、性能，将是硬件安全产品在这一市场获得用户青睐的关键。