iT邦幫忙

18

駭客收割SQL Injection成果 發動Flash零時差攻擊

駭客已經在昨天下午開始發動Flash的零時差攻擊,而上週發現的十萬網頁遭SQL Injection攻擊,就是在替此次的零時差攻擊佈局。
本週二(5/27)開始,安全廠商紛紛發現已有駭客開始針對Adobe Flash發動大規模零時差攻擊(Zero Day Attack),利用具備rootkit功能的後門程式,竊取使用者帳號密碼。使用者在Adobe釋出修補程式前,最好先將Flash關閉。

包括趨勢科技、阿碼科技、WebSense等資安業者上週都發稿指出,駭客針對中文網頁發動大規模SQL Injection攻擊。一夜之間有十萬個網頁遭植入惡意程式,且可能是同一集團所為,台灣也有數千個知名大站受影響。

當時就已有資安廠商推測,犯罪集團正在進行大規模網站佈局,等待下一個瀏覽器零時差攻擊出現後大量收割。包括趨勢科技、賽門鐵克、阿碼科技等資安廠商也都在昨天開始發現駭客發動Flash零時差攻擊。

趨勢科技Trend Lab在昨天發現首次針對Flash的零時差攻擊,並已將最新危險網頁加入WRS中。趨勢科技資深技術顧問戴燊指出,駭客是透過已在上波攻擊受害的網站中,將使用者轉址到預藏swf檔案的網頁,使用者就會自動執行Flash而受害。也就是說,上波受害的十萬中文網頁現在都有危險。

阿碼科技執行長黃耀文則表示,駭客已經在昨天下午開始發動Flash的零時差攻擊,而上週發現的十萬網頁遭SQL Injection攻擊,就是在替此次的零時差攻擊佈局。

他說,上週許多被植入的javascrip都是空的,並不會作用,也因此包括Google搜尋的危險網站警告、或是阿碼的Hack Alert都偵測不到。一直等到駭客現在手上已經掌握了漏洞後發動零時差攻擊,加上又是透過使用率相當高的Flash,因此影響力會相當大。

賽門鐵克是透過全球智慧偵測網路發現Flash零時差攻擊的情形,賽門鐵克資深技術顧問莊添發表示,昨天凌晨接到總部訊息告知,有駭客利用Flash的swf檔案進行攻擊,且是大量的、自動化工具。

他進一步指出,這次的攻擊主要是利用SQL Injection植入scrip,如在Google輸入「dota11」就可找到上萬筆被植入此程式的網站,使用者點入那些網站時,惡意程式就會自動呼叫執行swf檔,使用者也會因此受害。

黃耀文進一步解釋此次攻擊的特殊之處,他說,先前駭客都是靠手動的方式,透過SQL Injection入侵,且掛在網站上的攻擊並非零時差,而是當使用者某些元件中沒有安裝修補程式時才會受害。此次卻是自動化的攻擊,並且透過Flash進行大量零時差攻擊,使用者可能根本不會注意到,不過影響力會相當大。

零時差攻擊雖然並非新模式,不過戴燊指出,利用Flash漏洞的零時差攻擊還是第一次。先前例如微軟Windows在去年傳出的動態游標檔案(.ani)的漏洞,也是零時差攻擊的案例。

由於零時差攻擊只能等待軟體廠商釋出更新修補程式,Adobe已得知此訊息,正在加緊修補中。因此在尚未安裝更新程式前,使用者最好暫時先關閉Flash,才能確保安全。


0
john651216
iT邦研究生 1 級 ‧ 2008-05-29 17:19:07

謝謝分享

0
fanylu60
iT邦研究生 1 級 ‧ 2008-05-29 19:25:43

謝謝分享

0
yce701116
iT邦研究生 1 級 ‧ 2008-05-29 22:44:54

感謝提供此資訊

0
jcck20008
iT邦研究生 1 級 ‧ 2008-06-01 16:04:48

謝謝分享

0
fishk
iT邦大師 6 級 ‧ 2008-06-03 17:37:00

Adobe 已提供 Flash 更新程式了嗎?
我剛才在Adobe下載安裝 9.0 r124不知道是否已補了這個漏洞.

0
fishk
iT邦大師 6 級 ‧ 2008-06-03 17:50:21

目前在securityfocus有兩篇文章

1.http://www.securityfocus.com/bid/28695/info
2.http://www.securityfocus.com/bid/29386/info

第一篇說9.0 r124沒題,第二篇則說9.0 r124會受影響(可是前面註明Retired)
不知道是第二篇誤報,還是Adobe還沒提供更新程式???

0
jerry640
iT邦新手 1 級 ‧ 2008-06-04 13:46:36

謝謝分享

0
gric
iT邦高手 1 級 ‧ 2009-03-23 13:00:00

謝謝分享咯!

我要留言

立即登入留言