有研究人員指出,微軟於本月釋出的MS09-008更新並沒有妥善修補相關的DNS漏洞,因為先前遭到攻擊的客戶將持續被攻擊。
MS09-008總計修補4個DNS及WINS伺服器安全漏洞,惹爭議的為CVE-2009-0093的中間人攻擊漏洞。當視窗DNS伺服器使用動態更新並在ISATAP(Intra-Site Automatic Tunnel Addressing Protocol,內部站點自動通道定址協議),及WPAD(Web Proxy Auto Discovery,讓瀏覽器自動發現代理伺服器的功能)尚未於DNS中註冊前,駭客可以欺騙網路伺服器並將網路流量導到其他網站。
根據微軟的說明,微軟修改了視窗DNS伺服器及WINS伺服器處理WPAD與ISATAP註冊的方式來解決該安全漏洞。
不過,nCircle安全研究人員Tyler Reguly表示,該漏洞是由於微軟允許使用者在啟動DNS動態更新時可設定WPAD登錄,採用自動偵測設定的IE會尋找此一WPAD設定值並自相關的伺服器下載代理伺服器設定,駭客可以趁機執行中間人攻擊。
Reguly指出,微軟的解決方案是檢視那些已在DNS伺服器中被建置的WPAD登錄,並僅對那些尚未被設定的值新增登錄清單防堵列表,因此,當使用者的DNS伺服器已含有WAPD的登錄數值而且在部署MS09-008之後,該登錄數值不會再被加入防堵清單中,假設該WPAD登錄之前已受到攻擊,那麼就算已執行該修補程式仍會遭受到中間人攻擊。
PandaLabs總監Luis Corrons亦呼應了Reguly的看法。他以Conficker蠕蟲為例,指出就算使用者先前遭到Conficker感染,但在下載修補程式後就不會再受到影響,然而MS09-008更新程式並非如此,如果使用者先前就因為該漏洞受到攻擊,在執行該更新程式後仍會繼續被攻擊。
對此一爭議,微軟在安全研究暨防禦部落格中聲明,當DNS伺服器在更新前已設有WPAD或ISATAP登錄時,就不會把這些名稱加入防堵清單,而且會持續回應相關的詢問,為了讓許多客戶可以合法使用該功能,這是必要的。
至於對安全研究人員指責先前受到攻擊的部份仍會持續被攻擊,微軟表示,這並不是安全更新所要解決的,安全更新是要協助系統抵抗未來的攻擊,而非回復過去已被攻擊的情況,同時,該更新並未實際更改用戶現有的配置,而且更新時亦無從知道該WPAD登錄究竟是網管還是駭客所配置的。
微軟建議網管可以手動確認現有WPAD與ISATAP登錄的位址,或是編輯DNS防堵列表。(編譯/陳曉莉)
熱門新聞
2026-01-12
2026-01-12
2026-01-12
2026-01-12
2026-01-12
