微軟修補FREAK及將近5年前的Stuxnet漏洞

微軟於本周的例行性安全更新中釋出了14個安全公告，總計修補44個安全漏洞，其中的MS15-031修補了最近成為熱門議題的FREAK（Factoring RSA Export Keys）漏洞。不過有資安研究人員發現，微軟還悄悄透過MS15-020修補了將近5年前與知名蠕蟲Stuxnet有關的漏洞。

MS15-031屬「重要」等級，修補的是編號為CVE-2015-0204的安全漏洞。CVE-2015-0204影響多個OpenSSL版本，主要是因OpenSSL用戶端會在非出口RSA金鑰的密碼交換中接受一個暫時的出口金鑰，而降低了此一交易期間的安全等級，可能因此造成中間人攻擊，允許駭客攔截用戶端與伺服器端的通訊。

造成該漏洞的原因之一是美國早期實施密碼技術出口管制，使得各種自美國出口的低階密碼套件在外流通，含有這些出口密碼套件的OpenSSL則被應用在Linux、Mac OS X與Windows等作業系統中。微軟坦承所有Windows平台都受到該漏洞的影響，並透過MS15-031進行修補。

不過，惠普安全研究中心（HPSR）旗下的零時差計畫（Zero Day Initiative, ZDI）團隊卻發現，微軟藉由本周的更新還修補了5年前與Stuxnet有關的安全漏洞。

此一屬「重大」等級的安全公告為MS15-020，依照微軟的說明，它修補了Windows中的多個漏洞，駭客可藉由傳遞惡意的DLL檔案攻陷該漏洞並執行遠端程式攻擊，並未提及它與Stuxnet的關聯。

ZDI團隊的資安研究人員Dave Weinstein表示，該安全公告解決的是微軟在2010年8月MS10-046所要修補的同一個漏洞，當時的MS10-046為一緊急更新，修補Windows Shell捷徑漏洞，該漏洞允許駭客利用夾帶惡意程式的捷徑檔案（LNK）進行遠端程式攻擊，且為Stuxnet的攻擊媒介。

Weinstein表示，Windows允許LNK檔案使用控制台檔案（CPL）中的客製化圖示，問題在於Windows的圖示是自執行或動態連結程式庫等模組載入。事實上，CPL檔案便是動態連結程式庫（Dynamic-link library，DDL），由於駭客能決定要載入哪些可執行的模組，因此便能在Windows shell中執行任意程式。

其實今年1月資安研究人員Michael Heerklotz便已發現2010年的MS10-046沒能解決該 漏洞，Weinstein則說MS15-020將可解決此一藏匿了多年的安全漏洞，並建議Windows用戶儘速修補。

在2009年即展開攻擊的Stuxnet蠕蟲藉由微軟Windows與可程式化邏輯控制器（PLC）的安全漏洞進行感染，主要攻擊伊朗的核能建設，可竊取機密資料還能掌控受駭系統，該蠕蟲隨後蔓延至全球上百個國家。

在此次微軟發表的14個安全公告中，有4個被列為可遠端執行程式的重大（Critical）更新，MS15-020即名列其中。（編譯/陳曉莉）