2007年11月《安全天下事》

安全天下事

（2007年11月）文/江海客

      9月底，风险评估有关的一系列国家标准颁布，包括《信息安全风险评估规范》、《信息安全事件管理指南》、《信息安全事件分类分级指南》等，由国家信息中心的范红博士、和吴亚非老师领衔编写，国内多家主管部门和有关安全企业也参与了相关编写工作。从这个标准征求意见期间，就得到的国内安全界的广泛关注，这个标准的正式颁布也意味着国内的风险评估将走向体系化和定性定量化。
      9月一个概念也被人关注，面向中小企业的应用安全一体的解决方案，集中了库管、财务、OA和安全的低成本解决方案，不知道是否会真正获得中小企业用户的青睐。
      10.1黄金周期间，各反病毒公司依然严阵以待，担心出现当年，农历小年出现SQL.Slammer，五一出现震荡波等类似事件，造成措手不及，但最终虚惊一场，并没有严重的蠕虫不宣而战，一方面说明远程溢出在XP SP2和VISTA的DEP等保护机制的压制之下，空间日趋狭窄，另一方面也可以看到0day漏洞，使用日趋定向化、地下化。目前的传播也基本以软件绑定、网页挂马、U盘传播等为主，这些与大规模扫瞄植入相比都是较为慢速的传播条件。而同期各反病毒公司木马样本的捕获量则也在持续上升。
      另外值得关注的是感染式病毒的回潮，尽快我们对此很早就作出了预言，但近期表现非常明显，一些Downloader类的木马都开始采用这种方式，从而被我们归入了Virus的行列，不过这些病毒大部分并不是通过PE的结构注入感染，而采用了类似熊猫烧香的exebind的方式。
      一种针对IE的攻击方式也开始被主流安全企业所关注，那就是在挂马页面中建议用户下载一个微软的早期版本插件。由于早期版本是有漏洞的，一旦用户安装后就等于在IE上被打出了一个洞。这些控件包括Data Access和Dynamic HTML Editing Control等。但目前还没有安全团队来证实，这些控件是否在被做了修改或者在数字签名上作了手脚。这种攻计方法颇有庞统献连环计的味道，通过引入一个看似与安全无关的因素，来降低系统的安全性。
      近期针对IE的攻击中，还有一个来自Adobe的插件，这是一个格式漏洞，只要打开被特殊构造的pdf文件即可执行溢出代码。这个漏洞不仅影响到8.1和更早版本的Adobe Reader、Adobe Acobat，也因为adobe在IE上安装插件以便能够在浏览器中直接察看PDF文档从而在IE上形成了隐患，从而引入了更严重的安全威胁。而目前Adobe公司尚未发布补丁。针对这个漏洞，以安全为初衷的IE7也不能幸免，这从一个侧面也证明了以插件为攻击对象的危害性，