針對視窗Server service漏洞攻擊現身

微軟在10月23日針對視窗中Server service安全漏洞釋出MS08-067緊急安全更新，當時微軟即表示該漏洞非常危險，而且可被用來建置蠕蟲攻擊程式，資安業者果然在近日就發現了針對該漏洞的蠕蟲攻擊。

SANS網路風暴中心Joel Esler在周四（11/4）表示，目前至少知道有兩隻利用MS08-067漏洞攻擊的變種蠕蟲，其中有一隻透過P2P網路Emule散布。包括卡巴斯基實驗室、微軟及Sophos都已偵測到相關的蠕蟲攻擊，不過各業者有不同的命名，包括Win32.MS08-067.g、Win32/MS08067.gen!A或Mal/Generic-A等。

賽門鐵克安全回應中心在周三（11/3）表示，他們在周三發現首隻針對MS08-067漏洞的蠕蟲攻擊程式W32.Wecorl，他們相信該蠕蟲是源自於中國，因為它鎖定Windows 2000中文版。

同一天他們也發現另一隻W32.Kernelbot.A蠕蟲，該蠕蟲具備傀儡（bot）功能，含有一區域可下載另外包括攻擊及散布單元的模組，以及可進行阻斷式服務攻擊的指令。

事實上，在微軟發表MS08-067緊急安全更新的兩天後，就已出現相關的攻擊程式及木馬程式，攻擊程式是由Immunity Security所開發，並提供給旗下付費會員，而首隻針對該漏洞的TSPY_GIMMIV.A木馬程式則可用來竊取使用者帳號及系統資訊，或造成安全程式無法執行。當時Immunity研究人員表示此一Server service漏洞非常容易攻擊。

根據微軟的說明，該漏洞影響所有的視窗版本，特別是舊版作業系統，在系統收到惡意的遠端呼叫程序請求時可能會導致遠端執行程式。

US-CERT呼籲使用者儘快部署MS08-067更新程式，或是安裝防毒軟體並確保有最新的病毒碼資料。（編譯/陳曉莉）