微软通告MPEG视频存在漏洞 承认已受到攻击

　　北京7月7日凌晨1点(美国当地时间7月6日10点)，微软公司向全球用户发布了最新的安全通告(Security Advisory 972890)，证实了Windows XP、Windows Server2003系统的视频控件(Microsoft Video ActiveX Control)中存在一个漏洞。利用该漏洞，黑客可在用户使用IE浏览器时，无需用户做任何操作就能获得对用户电脑的本地控制权。微软声称，互联网上已经出现针对这一漏洞的攻击。

　　微软在通告中表示，目前尚未发现针对该视频控件全部类标识的恶意利用，但建议Windows XP和Windows Server 2003的用户取消IE浏览器对所列类标识的支持。虽然Vista和Windows 2008用户不受该漏洞的影响，但微软亦建议这些用户取消对该控件的支持。用户可通过手工设置注册表的方式，来禁止IE浏览器中运行视频控件。

　　微软在通告中声称，目前正全力研制漏洞补丁，但并未透露发布安全补丁的具体日期。据360安全专家介绍，“MPEG-2视频”0day漏洞是360安全中心在7月4日通过恶意网页监控系统发现的。

　　360安全专家透露说，微软在给360安全中心的反馈邮件中，就360安全中心第一时间向微软公司通报该漏洞的详细信息表示感谢，并表示期待今后能与360安全中心在安全领域保持更良好的长期合作关系。

　　据悉，该漏洞由DirectShow视频开发包的相关组件产生，与今年5月曝出的“DirectShow视频开发包”0day漏洞属于同一类型，极易被黑客利用进行“网页挂马”攻击，使访问者的电脑自动下载安装任意木马程序。360安全专家表示，打开360安全卫士的网页防火墙功能，能有效拦截此类恶意网页，避免用户因无意中点击而被“中招”。

　　来自360安全中心的监控数据称，截至7月6日24时，至少有3494家网站被“挂马”，相应“挂马网页”数高达44136个。360安全卫士已为用户拦截了3560483次“挂马”攻击。这意味着，已经数百万用户受到攻击。

　　附1：微软安全通告链接

　　http://www.microsoft.com/technet/security/advisory/972890.mspx

　　附2：微软安全通告972890内容部分译文，仅供参考

　　微软确认附件所列的类标识为msvidctl.dll中此AciveX控件所有的类标识，目前未有针对此控件所有类标识的设计利用。对于windows xp和Windows 2003的用户，微软建议用户对IE取消针对所列类标识的支持。对于Vista和Windows 2008用户，虽然不受影响但作为深度防御的手段，微软亦推荐用户取消对此控件的支持。

　　用户可通过手工设置注册表中此控件的kill bit来禁止此COM对象的实例化，从而达到防止IE中运行此控件的目的。这种手工的方式禁止IE中运行微软视频控件，不会影响应用软件的兼容性。

　　替换下表所列类标识{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}

　　对值为{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}的类标识设置kill bit, 请粘贴下列文字到类似Notepad的文本编辑器。然后保存为扩展名为.reg的文件：

　　Windows Registry Editor Version 5.00

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}]

　　"Compatibility Flags"=dword:00000400

　　双击此.reg文件即可应用此修改到单个系统。企业用户可使用组策略跨域实施。

　　类标识

　　缓解因素：

　　· 使用Vista和Windows2008服务器版本的用户不受影响是因为在这两个操作系统中传递数据给IE的这个控件是被限制的。

　　· IE在windows2003和Windows2008下缺省以受限模式运行。此模式称为“增强安全配置”，其实质是为IE定制了一组设置来降低用户或管理员下载运行服务器上的一段特定内容。这对于未加入IE可信网站区的网站来说是一种有效的降低风险的手段。

　　· 缺省状况下，所有MS Outlook和OutlookExpress在限制网站区打开HTML格式的邮件。限制网站区的功能禁止Active Scripting和ActiveX控件，这样就降低了此漏洞被利用的风险。但是双击邮件中的链接仍然会暴露在此漏洞攻击下。

　　· 在网页攻击的情形，攻击者通常需要架设一个网站，设计能利用此漏洞的网页并诱使用户点击。通常攻击者会将此链接置于邮件或聊天信息中来诱使用户点击。但是攻击者是无法直接迫使用户点击链接的。

　　· 即使攻击者成功利用漏洞获得本地用户的权限，仍然可以通过限制本地用户的权限来控制受到的影响。

　　附3：部分“挂马”网站与“挂马网址”(注：为保护用户，链接已作特殊处理。)

　　37度医学网：

　　挂马网址：hxxp://www.37c.com.cn/doctor/lcsj/xyzl.asp?ID=14972

　　手机门户捉鱼网：

　　挂马网址：hxxp://club.joyes.com/announce/announce.aspx?BoardID=813&ID=21417171

　　金地集团

　　挂马网址：hxxp://zy.gemdale.com/HR.asp

　　中国军网

　　挂马网址：hxxp://blog.chinamil.com.cn/user1/97wen/index.html

　　中国佛教网

　　挂马网址：hxxp://www.cnbuddhism.com/

　　西安电子科技大学

　　挂马网址：hxxp://zsb.xidian.edu.cn/baosong/index.asp

　　中国社会科学院

　　挂马网址：hxxp://www.cass.net.cn/file/20081030202662.html

　　中国政府采购招标网

　　挂马网址：hxxp://www.chinabidding.org.cn/B2bInfoDetails.aspx?bid=425

　　中国机电网

　　挂马网址：hxxp://www.djwxw.com/chinamotor/pro_content_2.asp?id=34615

　　京东方网

　　挂马网址：hxxp://www.boe.com.cn/Joinjdf/Accession/rsggnry.asp?id=74

　　冶金自动化研究设计院

　　挂马网址：hxxp://www.arim.com/ContentDetail.aspx?cid=358

　　古城热线

　　挂马网址：hxxp://wed.xaonline.com/ypnew_view.asp?id=3696

　　贵州信息港

　　挂马网址：hxxp://house.gz163.cn/secondhand/secondhand_detail.aspx?bhid=425448

　　《读者》杂志官方网站

　　挂马网址：hxxp://www.duzhe.com/common/right_dz.htm

　　中国饲料行业信息网

　　挂马网址：hxxp://business.feedtrade.com.cn/sca_tlist.asp?scasort=3

　　中国新能源网

　　挂马网址：hxxp://www.newenergy.org.cn/html/0096/6190928087.html

　　孟州地税网

　　挂马网址：hxxp://www.mzds.gov.cn

　　红星美凯龙官网

　　挂马网址：

　　hxxp://www.chinaredstar.com/knowledge_show.asp?aboutus_menu_id=3&news_id=637

　　云南地产门户网站

　　挂马网址：hxxp://www.ynlsw.cn/default3_1.asp

　　铁道兵网

　　挂马网址(首页)：hxxp://www.cntdb.com/

　　天天营养网

　　挂马网址：hxxp://yys.51ttyy.com/pingce/ceshi/19.html

　　中国食品展会网

　　挂马网址：hxxp://www.foodexpo.cn/corp/

　　中视音像

　　挂马网址：hxxp://www.szcctv.net/product_class.asp?ClassID=4

相关阅读：

　　7月6日消息，继昨天率先针对微软Windows“MPEG-2视频”0day漏洞发布红色安全警报后，360安全中心今天下午公布了利用该漏洞的最新网络攻击数据。截至6日晚18时，至少有2966家网站被“挂马”，相应“挂马网页”数高达34102个，占当日新增恶意网址总数的60%以上。360安全卫士已为用户拦截了1006068次“挂马”攻击。

　　据360安全专家石晓虹博士介绍，目前被木马产业链利用进行“挂马攻击”的TOP100网站中有一半都是色情网站，但也不乏各行各业的知名网站，包括中国政府采购招标网、激动网、中国社会科学院官网、金地集团官网、中国新能源网、中国电机网、中国佛教网、中央民族大学、西安科技电子大学网站等网站。石晓虹指出，48小时内拦截量超过百万级，该数字还在以几何级数增长。这个速度创下了木马产业链针对微软0Day漏洞进行“挂马”攻击的新纪录，而该漏洞也因此成为2009年以来的最严重网络安全威胁。

　　据介绍，“MPEG-2视频”0day漏洞与今年5月曝出的“DirectShow视频开发包”漏洞属同一类型，主要影响目前用户规模最大的Windows XP和2000系统。网民一旦访问相应挂马网页，如不采取有效的安全防护措施，浏览器会先假死数秒，随后电脑将自动下载运行由黑客指定的“AV终结者”变种，进而下载大量网游盗号木马及广告木马。

　　安全专家认为，每次Windows操作系统或主流第三方软件曝出0day漏洞，由于没有官方补丁的修复，都会引发大面积网络攻击，而目前最主要的攻击方式就是“网页挂马”。以去年末IE浏览器 的XML 0day漏洞为例，它是由国内黑客挖掘、研究攻击代码，并立刻成为挂马网页的主要利用方式。在微软官方发布正式补丁之前，由于360安全中心推出临时补丁，国内的挂马疫情得到遏制，整体安防水平较高的美国反而成为IE XML漏洞的挂马重灾区，被业内的研究人员在博客中戏称为“墙里开花墙外红，国内黑客把战火烧到了奥巴马的后花园”。

　　与此前不同的是，MPEG-2视频0day漏洞的爆发极为迅猛。360安全专家分析说，IE XML漏洞从出现征兆到大面积挂马应用的周期在一周左右，而这次漏洞攻击代码在48小时内就被黑客挂到了近3000家网站，很多色情网站“挂马”几乎同步完成，可以视为木马产业规模化运作的标志性事件。

　　据透露，360工程师在监控到对MPEG-2视频0day漏洞的攻击事件急剧增长时，甚至发现安徽一名中学生在其博客中都贴出了漏洞攻击代码，说明该新型漏洞已成为毫无门槛的攻击利用目标。360安全专家呼吁所有Windows XP及2000用户尽快开启360安全卫士的网页防火墙功能，并同时建议广大网友使用360安全浏览器，可以自动识别所访问网页是否为暗藏木马和病毒的恶意网址，并自动启用“超强安全”模式打开，从而能最大程度地帮用户防范未知风险。

　　附：被不法分子利用微软“MPEG-2视频”0Day漏洞进行“挂马”攻击的部分网站和“挂马网址”(注：为保护用户，链接已作特殊处理。360安全卫士开启网页防火墙后不受这些“挂马网页”的影响)

　　金地集团

　　挂马网址：hxxp://zy.gemdale.com/HR.asp

　　中国军网

　　挂马网址：hxxp://blog.chinamil.com.cn/user1/97wen/index.html

　　中国佛教网

　　挂马网址：hxxp://www.cnbuddhism.com/

　　西安电子科技大学

　　挂马网址：hxxp://zsb.xidian.edu.cn/baosong/index.asp

　　中国社会科学院

　　挂马网址：hxxp://www.cass.net.cn/file/20081030202662.html

　　中国政府采购招标网

　　挂马网址：hxxp://www.chinabidding.org.cn/B2bInfoDetails.aspx?bid=425

　　中国机电网

　　挂马网址：hxxp://www.djwxw.com/chinamotor/pro_content_2.asp?id=34615

　　京东方网

　　挂马网址：hxxp://www.boe.com.cn/Joinjdf/Accession/rsggnry.asp?id=74

　　冶金自动化研究设计院

　　挂马网址：hxxp://www.arim.com/ContentDetail.aspx?cid=358

　　古城热线

　　挂马网址：hxxp://wed.xaonline.com/ypnew_view.asp?id=3696

　　贵州信息港

　　挂马网址：hxxp://house.gz163.cn/secondhand/secondhand_detail.aspx?bhid=425448

　　《读者》杂志官方网站

　　挂马网址：hxxp://www.duzhe.com/common/right_dz.htm

　　中国饲料行业信息网

　　挂马网址：hxxp://business.feedtrade.com.cn/sca_tlist.asp?scasort=3

　　中国新能源网

　　挂马网址：hxxp://www.newenergy.org.cn/html/0096/6190928087.html

　　孟州地税网

　　挂马网址：hxxp://www.mzds.gov.cn