WMF攻击愈演愈烈　非官方修补程式再现

　　自去年12月27日发现微软Windows的WFM漏洞迄今，针对该漏洞的攻击愈演愈烈，众多资讯安全业者陆续发现WMF的攻击升温。 　　截自今年1月2日，VeriSign iDefense发现至少有67个网站有恶意WMF档，Akonix Systems也指出透过IM传递的恶意WMF档迄今使用了70种不同的档案名称进行攻击，赛门铁克（Symantec）则提升该漏洞威胁到第三等级。 　　根据SecurityFocus网站的说明，此一WMF漏洞将会危及Microsoft Windows XP、Server 2003、ME、98、2000 、2000 Server等作业系统。该存在于Windows Metafile档案格式的漏洞让骇客可以透过网站、电子邮件及即时传讯软体等各种管道进行攻击。 　　VeriSign iDefense指出，当使用者浏览那些含有恶意WMF档案的网站时，使用者的电脑很可能被感染到木马程式、广告程式、间谍程式，或是成为任由骇客操控的僵尸电脑。VeriSign iDefense除了已发现67个含有恶意WMF档案的网站，也继续侦测其他网站是否正针对此一WMF漏洞进行攻击。 　　即时传讯软体安全公司Akonix Systems在本周则拦截到70种不同档名的恶意WMF档透过IM进行攻击。 　　VeriSign iDefense在上周发现了一个夹带output.gif的垃圾邮件，该垃圾邮件欲说服有意投资的人去投资中国股票，但这个.gif的档案其实是恶意的WMF档案所伪装，意在闪避邮件过滤机制。 　　　　　另被发现的一只名为HappyNY.a的蠕虫假装成JPG档，但亦为WMF恶意档案，也是透过电子邮件传递，暗藏Nascene.C码以攻击WMF漏洞并能完全控制使用者电脑。 　　现在尚没有资讯安全业者能够指出真正受到该漏洞攻击的实际电脑数量，但赛门铁克也把原本列为第二威胁等级的WMF漏洞提升到第三等级。赛门铁克总计有四个威胁等级，以第四等级为最严重。上一次让该公司祭出第三威胁等级的是2004年7月的MyDoom.M病毒。赛门铁克表示该漏洞的威胁等级升高，是因为 从漏洞发现到微软修补程式推出之间出现了空窗期。 　　微软预计在下周二（1/10）推出WMF漏洞的修补程式，但除了已有一名独立安全软体开发人员Ilfak Guilfanov针对该漏洞提出修补程式外，本周资讯安全软体业者ESET也推出了非官方的修补程式。 　　有业者积极鼓吹企业在这非常时期仅能使用非官方修补程式以自保，包括资讯安全业者F-Secure及网路风暴中心（Internet Storm Center；ISC）。但Gartner副总裁John Pescatore则建议不要使用这些修补程式，并指出，使用者如果先安装了这个修补程式，之后当微软正式修补时，必须反安装原先的修补程式再安装新程式，这当中就有两个可能发生问题的机会。 　　Gartner建议企业先暂时采用URL拦阻功能，并杜绝所有的WMF档案。 　　在微软之前就有个人及资安软体销售商先行针对WMF漏洞推出修补程式，有业者认为这让微软脸上无光。但微软仍坚持要在定期修补日提供该修补程式，此外，微软也表示并没有看到很多针对该漏洞的攻击。 　　不过，参与微软修补程式测试的Gibson Research总裁Steve Gibson表示，微软的修补程式已接近完成，而且运作良好，他还认为微软可能在下周二之前就会提出修补程式。