2008 年10月28日,北京– 微软于北京时间2008年10月24日发布了紧急安全公告MS08-067,以修复Windows系统的“Server” 服务中存在的一个远程代码执行漏洞。远程攻击者可通过向存在该漏洞的系统发送恶意构造的网络报文实施攻击,最终可能完全控制目标系统。目前已经有针对该漏洞的攻击代码示例被公开,微软为此已于2008年10月27日发布安全通告(英文)。预计,近期将会是攻击或蠕虫病毒发起的高峰期,蠕虫爆发模式可能类似于2003年的冲击波病毒(Blaster)。尽管自2003年以来Windows XP及Server 2003已在系统安全性方面(如Windows防火墙、数据执行保护等)进行加强保护,使得蠕虫爆发规模和影响不会如冲击波严重,微软仍建议各位用户及时进行安全更新,以降低计算机面临的安全风险。
该漏洞会影响所有 Windows 操作系统,对于 Microsoft Windows 2000、Windows XP 和 Windows Server 2003 的所有支持版本,此安全更新的等级为“严重”;对于 Windows Vista、Windows Server 2008 和 Windows 7 Beta 的所有支持版本影响较小,此安全更新的等级为“重要”,试图透过该漏洞入侵的攻击者,必须通过系统身份验证程序并且突破Vista和Server 2008的内存安全保护和用户访问控制等保护,才有可能触发该漏洞造成危害。
除了发布操作系统更新程序之外,微软也已经在安全威胁研究与响应中心(Malware Protection Center)中,发布可供 Microsoft Forefront与Microsoft OneCare 使用的更新,以防范利用此漏洞传播的已知蠕虫病毒和查杀可能被用以进行蠕虫制作的恶意代码示例。当前的微软安全产品将已知的蠕虫病毒标记为TrojanSpy:Win32/Gimmiv.A。目前,微软也已将利用该漏洞进行攻击的网络报文特征经由 Microsoft Active Protections Program 与 Microsoft Security Response Alliance Program 等渠道,告知与微软合作的信息安全厂商,协助他们提供相关更新与防护措施。
如果用户怀疑已经受到与该漏洞相关的攻击,建议采取下列3个步骤进行保护:
1. 开启 Windows 防火墙,注意事项具体参见安全公告中提供的步骤;
2. 运行系统更新或直接访问安全公告中的更新程序地址,立即下载安装该安全更新程序;
3. 如果您发现TCP139和TCP445端口的通信激增,或系统出现异常,或网络拥堵等症状,可与微软或您的防病毒软件或安全设备厂商联系寻求支持,以判断是否因攻击引起;
相关安全信息如下:
http://www.microsoft.com/technet/security/bulletin/ms08-oct.mspx(英文)
http://www.microsoft.com/china/technet/security/bulletin/ms08-067.mspx
http://www.microsoft.com/technet/security/advisory/958963.mspx(英文)
