資安大事報

俗話說得好：「秀才不出門，能知天下事。」今日各種資訊傳播迅速，我們只要上網搜尋，就可以得到許多有用的資訊，關於資訊安全也是，許多廠商提供攻擊趨勢、弱點分析及病毒排行等資訊，如果能妥善運用，相信可以從中獲益。

在ISS的網站上，每天會公布AlertCon等級，它是一個網路風險判定標準，從最低AlertCon 1到最高AlertCon 4。在今年1月25日，因為SQL Slammer迅速的散播，造成嚴重的傷害，所以AlertCon的等級升到4級，3月公布Sendmail MTA安全漏洞讓AlertCon的等級升為3級，其他的時間，AlertCon大都位於一般警戒（AlertCon 1）和增進警戒（AlertCon 2）之間，也就是說，當出現高風險的漏洞和攻擊程式，AlertCon就會增高，我們也要預防可能出現的大規模攻擊。最新弱點

根據上個月公布的X-Force弱點資料庫，總共新增210項弱點及攻擊手法，包含70項高風險、99項中風險、41項低風險項目，鈺松國際表示，在這70項高風險中，「微軟RPC記憶體毀損」、「OpenSSH記憶體毀損」、「Sendmail郵件伺服器緩衝區溢位」及「ProFTPD ASCII 檔案遠端攻擊漏洞」等4項是值得關注的攻擊手法，其中微軟RPC記憶體毀損的弱點讓AlertCon等級由1提升至2。

微軟RPC記憶體毀損
微軟於9月10號公布編號MS03-039的安全公告，說明Windows RPC服務中的3個漏洞，其中一個會導致服務阻斷，另外兩個為緩衝區溢位漏洞，可讓駭客取得主機權限，從遠端入侵攻擊。X-Force也提醒企業，由於微軟之前編號MS03-026的漏洞，造成Blaster和Nachi（Welchia）的大規模攻擊事件，新發表的RPC服務漏洞，很有可能會出現新的蠕蟲，導致更嚴重的攻擊事件，必須持續注意。

OpenSSH記憶體毀損
OpenSSH是大部分 Unix系統預設的遠端登入方式，同時也是網路管理者連接網路設備、路由器、交換器時使用的安全通訊方式。X-Force於9月16日公布這個漏洞，當OpenSSH 處理緩衝區對應（Buffer Manipulation）時，若封包數量過於龐大，就可能會發生緩衝區溢位。X-Force建議將OpenSSH伺服器放置在外部網路的企業，立即至OpenSSH網站下載修補程式。

Sendmail郵件伺服器緩衝區溢位
同樣也是在9月16日公布的漏洞，由於Sendmail是普遍使用的郵件伺服器，而且這個弱點是藉由惡意的郵件內容所觸發，可以直接穿過防火牆，而不被查覺，建議企業儘速更新修正檔。

ProFTPD ASCII檔案遠端攻擊漏洞
ProFTPD是Unix作業系統上蠻彈性的FTP伺服器，X-Force發現ProFTPD的缺陷，並於9月22號公布。駭客如果透過ProFTPD將檔案上傳到有弱點的系統上，就可利用這些弱點，竊取或修改放在FTP伺服器上的資料。攻擊趨勢
病毒不死，只是變種越來越多

賽門鐵克最近公布的網路安全威脅研究報告指出，企業修補系統的時間越來越急迫，分析顯示攻擊者專注於較新的漏洞，64%被鎖定的漏洞，他們的發現時間都低於一年，而且大部分都是高風險的漏洞。

上述的結論，我們也由鈺松國際安全監控中心（SOC）所統計的資料得到驗證。今年9月，鈺松國際安全監控中心所監測到的高風險攻擊行為中，針對微軟IIS伺服器WebDAV弱點所進行的攻擊，比例高達41%，這個弱點在年初被公布，而且攻擊工具「Kaht」也於4月釋出，之前的「大陸網軍攻擊事件」便是利用此弱點進行攻擊。

第2位是針對微軟RPC DCOM弱點進行的攻擊，佔18%，雖然企業加強防護措施，使用者也已經更新修正檔，但仍有許多中毒的電腦持續向外發動攻擊，建議企業必須強制實行修補程式的管理政策，確保系統受到保護。之後是14%的IIS伺服器的弱點攻擊，7%的CodeRed病毒。

上面所列出的攻擊趨勢中，比較有趣的是2001年所出現的CodeRed病毒，至今仍然在網路上繼續流傳，顯示仍有企業未更新IIS伺服器，當然，有許多主機就是無法更新IIS，只是最好確定不會遭到病毒危害。

最後我們來看趨勢科技所公布的9月份十大病毒排行榜，第1名是由8月份冠軍Sobig.F蟬聯，感染率高達48%，第2名是感染率29%的Lovegate，值得注意的是，這2隻病毒都是以看似親友回函的信件主旨「RE：XXX」，鬆懈使用者的戒心。

在十大病毒中，第3位的NACHI.A和第7位的Blast是透過緩衝溢位漏洞攻擊，第6位的DASMIN.B是會下載色情程式的特洛依木馬，其他的病毒都是透過電子郵件感染，顯示電子郵件是病毒最主要的傳播途徑。雖然10大中沒有CodeRed，卻有誕生於1999年的Funlove和前科累累的Klez病毒（求職信病毒），也許正代表病毒不死，只是逐漸凋零。

另外，「混合式威脅」也逐漸成為主流，不論是Slammer或Blaster，都能夠快速滲透到其他主機，除了竊取機密資料或造成破壞，更會造成網路瓶頸，癱瘓企業網路。Microsoft Baseline Security Analyzer

微軟的MBSA（Microsoft Baseline Security Analyzer）是個不錯的檢測工具，它可以讓管理員掃描一部或多部 Windows電腦，檢查作業系統和其他元件（IIS、SQL Server）是否有安全性組態錯誤，以及是否更新最新的修正檔（Hotfix）。在預設組態中，MBSA會比對所掃描電腦上的檔案與登錄資料，如果與微軟網站上的資料不符，那就代表未安裝該修正檔。

一般而言，MBSA會掃描Windows作業系統的安全性問題，例如檔案系統類型、系統管理員群組成員等，並檢查是否使用空白或簡單密碼。除了Windows作業系統的修正檔，MBSA也會掃描其他相關產品的修正檔，例如IIS、SQL Server、Exchange Server及Internet Explorer等。

在微軟的網站上，可以下載最新的MBSA 1.1.1版，可惜只有英文介面，而且系統執行時必須檢查主機上的註冊表，所以僅支援Windows NT/2000/XP/2003等作業系統。掃漏洞，看風險

如果要推薦商用弱點評估產品，那筆者會建議FoundStone的產品，但它的售價頗高，如果沒有能力負擔，我們會建議使用其他的弱點評估產品，例如Shadow Security Scanner和Retina Network Security Scanner。如果技術能力夠，對Unix平臺也有一定的了解，免費的Nessus Security Checks也是不錯的工具之一，有需要的使用者可到www.nessus.org下載。

Shadow Security Scanner是許多安全專家推薦的弱點掃描工具，可能是因為它源自俄羅斯駭客，具備弱點掃描、DoS攻擊及帳號破解等功能，可說是相當專業的工具，而且弱點資料庫持續進行更新，相信能滿足一般人的需求。Shadow Security Scanner 6.3是最新的版本，可到www.safety-lab.com填寫資料後下載試用。文⊙陳世煌