2009年7月5日,安启华(Anchiva)Web安全网关产品成功拦截到针对微软DirectShow组件零日漏洞的攻击。该组件在解析一个特殊构造的图片文件时,会产生溢出,从而执行攻击者的代码并已截获大量和该漏洞相关的攻击脚本,这些脚本被检测为:Trojan/JS.Shellcode.0F5D、Exploit/DirectShow.2D0F等。实际网络中拦截到的部分相关攻击如下图显示:
目前在中国地区该漏洞已经被攻击者大量使用,攻击者通过在被攻击网站上植入恶意连接,连接到攻击者的网站,该网站包含利用该漏洞的攻击脚本,用户在浏览被攻击站点时,会被引入到攻击者的网站,触发相关漏洞,执行有攻击代码的脚本。下面是自7月5日以来,Anchiva检测到的包含该漏洞攻击代码的部分网站:
? 6gerere3e.cn
? ccfsdee32.cn
? dx123.9966.org
? ccfsdee32.cn
? 3wjjyy.7766.org
? qy1999.9966.org
? 6gerere3e.cn
? 6gerere3e.cn
? news.85580000.com
? qitamove.kmip.net
? x16ake8.6600.org
? 9owe2211.cn
? ibm22.2288.org
? 9owe2211.cn
? d9mmmm.7766.org
? dnf.17xj.cn
? www.carloon.cn
? ww2.niupan.com
? www.huimzhe.cn
? www.26b.cn
? www.skytour.co.jp
? 97sewo.3322.org
? d212dddw.cn
? wa.wmdsmd.cn
? ucqh.6600.org
? d212dddw.cn
? shangdi.org
? 97sewo.3322.org
? ckt5.cn
? ww2.niupan.com
? bbs.zjol.com.cn
? n0m0n3.3322.org
? buffer-ad.qvodwf.com
? 66aaaaaa.com
? wf3gr.8800.org
? daizong1.3322.org
? www.carloon.cn
? 2525gt.3322.org
? n0m0n4.3322.org
? h65uj.8866.org
? n0m0n1.3322.org
? 45hrtt.8866.org
? wwwbaibu.3322.org
? abcwww.3322.org
? 23ret.3322.org
? 705kill360.3322.org
? vip762.3322.org
? 33qqkk2.3322.org
? 22ccf2.3322.org
? 8man7.3322.org
? n0m0n.3322.org
? 55hhje3.3322.org
? ddssaaa2.3322.org
? c1gg.3322.org
? n0m0n2.3322.org
? 2424yht.3322.org
? 0man8.3322.org
? qwertys.3322.org
? 8man5.3322.org
? vip4y.3322.org
? n0m0n3.3322.org
? 11dds3.3322.org
? mh1l.3322.org
? ds355.8866.org
据悉,微软已于今日(2009年7月7日)发布了相关的安全公告(Microsoft Security Advisory 972890), 公告建议暂时在IE中禁用该组件,并提供了相关设置工具(工具下载),但没有提及何时会发布相关补丁程序。
Anchiva安全研究员指出,每当出现一个新的涉及到Web的漏洞时,网站受攻击的风险就会加大,攻击者总会不失时机的对网站发起一轮新的攻击,以便利用这些网站进一步攻击未受保护的广大用户。网站管理者应加强网站的安全建设,Anchiva的Web应用防火墙系统可以为Web服务器提供相关的安全保护。
