臺灣趨勢揭露.NET信任機制有盲點

臺灣趨勢科技研究開發部技術經理潘明杰（網路暱稱Nanika）日前在第八屆臺灣駭客年會（HIT）上，首度揭露.NET Framework 4.0信任機制的一項軟體設計上的邏輯漏洞，並現場示範，在WinRAR壓縮程式中的惡意網頁，如何躲過防毒軟體和微軟作業系統安全機制偵測，順利安裝並執行。

數聯資安副總經理張裕敏表示，為了安全性，企業應該積極修復該漏洞。但他也觀察到，許多企業因為擔心修復.NET漏洞後，會擔心無法使用其他企業開發的應用程式，這也造成許多企業對於修復.NET漏洞並不積極，讓.NET漏洞成為許多企業的隱憂。

使用ClickOnce部署方式應避免設信任網站
潘明杰表示，微軟Windows Vista以上版本的作業系統中，會有UAC（使用者帳號控制）、DEP（資料執行禁止）等安全控管功能，限制使用者安裝某些應用程式，甚至必須取得管理員（Administrator）的權限才能安裝。但在.NET中，為了簡化Web部署應用程式的便利性，提供了ClickOnce的部署方式。

潘明杰說，目前微軟有兩個與.NET遠端執行應用程式相關的漏洞， MS11-044主要是讓駭客遠端執行程式碼以發動攻擊，若已完成漏洞修補，瀏覽器在執行網頁應用程式時會進行網路檢查，安裝網頁應用程式時也會出現安裝程式的警告視窗；而MS12-035除了在安裝網頁應用程式時會提出警告視窗，也特別針對安裝在本地端的應用程式，進行檢查並出現安裝警告視窗。

根據潘明杰的研究，駭客若要利用.NET漏洞發動攻擊，可以透過部署網頁應用程式的ClickOnce技術，從網頁、瀏覽器端發動攻擊。由於.NET很多應用程式都會透過瀏覽器進行安裝，他說，倘若IT人員因為不喜歡看到安裝程式警告視窗，將某些網站設為信任的安全網頁，駭客便可將惡意程式植入該安全網站中，使用者一旦開啟該網頁，因為不會出現任何安裝程式的警告視窗，使用者的電腦便會被植入該惡意程式。他說：「這種信任網站的設定，大幅增加企業的資安風險。」

另一個風險則是儲存在本地端的瀏覽器應用程式XBAP（XAML Browser Application）。

潘明杰說，如果使用者收到一個電子郵件，其中包含有惡意程式在內的HTML 5檔案或是瀏覽器應用程式XBAP，因為這個電子郵件儲存在本地端，使用者點選到惡意HTML 5檔案時，就會安裝該惡意程式。他認為，IT人員在部署各種網頁應用程式時，應避免將HTML 5檔案儲存在本地端，以減少誤點惡意HTML 5網頁的風險。

企業應修補.NET漏洞
不過，修補微軟MS11-044和MS12-035的漏洞後，並不意味著.NET Framework 4.0用戶安全無虞。潘明杰在駭客年會上示範，將.NET元件和惡意HTML檔案包在WinRAR壓縮檔中，使用者執行壓縮檔時，並不會出現任何安裝程式警告視窗，解開壓縮檔後，使用者若直接點選檔案清單上的HTML惡意檔案，在不會出現任何安裝應用程式的警告視窗，就可以成功安裝該應用程式。

也就是說，.NET Framework將WinRAR視為安全的應用程式，使用者在預設的安全程式中執行.NET應用程式時，不會出現任何警告視窗。所以WinRAR壓縮檔中的惡意網頁，就可以繞過防毒和微軟安全機制，將惡意程式植入使用者的電腦。

張裕敏表示，從潘明杰的研究可以發現，企業為了確保.NET開發的系統安全性，修補MS11-044和MS12-035是當務之急，在瀏覽器安全限制上，不要輕易將任何應用程式或網站設為完全信任的應用程式或網站，在此同時，使用者在執行各種應用程式時，也不要輕易執行安裝來路不明的HTML檔案，確保使用者電腦的安全性。他也建議，IT人員可清查企業內電腦，讓不需要安裝.NET的電腦就不用安裝，可以提升電腦系統的安全性。文⊙黃彥棻