微軟修正DNS弱點防網路釣魚

| | | | | | 1則回應

    

微軟本月共發表了兩項定期安全更新。分別是被列為次嚴重等級，可讓攻擊者偽造正常DNS請求的回應訊息，把網路流量導向他處，並得以藉此進行釣魚攻擊的內容偽造弱點；另一項則是被列為最高危害的重大等級、可能造成遠端執行程式碼的Windows URI（Uniform Resource Identifier，通用資源標示字串）漏洞。

兩個漏洞所影響的微軟產品與版本不盡相同。DNS漏洞影響及於微軟伺服器作業系統Windows 2000 Server 與 Windows Server 2003的所有版本；Windows URI則要在Windows XP 和 Windows Server 2003上才可能產生漏洞。

本月份安全更新項目有兩項，資安業者與微軟呼籲用戶儘快進行產品更新。

賽門鐵克在其資安應變中心的公開訊息中表示，由於DNS服務乃透過一組亂數產生識別碼來確認使用者網址與IP位置配對的需求，但微軟在其Windows Server所提供的DNS識別碼產生機制的複雜性(entropy)不夠，導致採用Windows DNS服務的網站可能輕易被駭客破解其識別馬，並透過偽造的連線需求來污染DNS快取，再把使用者轉引到不正確的IP位址進行釣魚攻擊，與傳統網釣多半先透過電子郵件吸引使用者連上釣魚網站的手法大不相同。

微軟則在安全公告中表示已提高DNS交易識別碼的隨機性來解決該弱點。

微軟的DNS並非首次傳出漏洞或瑕疵。今年四月， Windows 2000 Server和Windows Server 2003也同樣傳出漏洞，但微軟卻在事發後一個月才修復，造成駭客利用該漏洞取得主機權限用來向其他電腦發動分散式阻斷服務攻擊(DDoS)、濫發垃圾郵件等零時差攻擊的事件。

至於另一項URI漏洞，根據微軟公告，存在於Windows Shell，當使用者連上駭客蓄意製作的網頁時，便可能讓駭客取得較高權限，任意由遠端執行程式碼。不過微軟表示，目前僅發現在Windows XP 和 Windows Server 2003上使用IE 7.0瀏覽器的使用者會遭受攻擊。

所謂URI，乃類似網址(URL)，為網際網路的相關協定之一，是在網址的半形冒號「:」前後，以特定規則顯示網路上或本機可用資源以協助定位的協定。例如ftp:、http:、mailto:等，都屬URI的一種。

微軟修正的這項URI漏洞其實並非首次出現。今年七月，開原碼網頁瀏覽器Firefox亦被發現存在該項漏洞，但卻是必須在電腦上同時安裝IE與Firefox的情況下，漏洞才能夠被駭客利用。