2013年12月3日存储在线消息:微软针对近日在Windows XP 和Windows Server 2003的核心部件上发现的零日漏洞发布了安全公告。公告指出,微软Windows 核心 “NDProxy.sys” 地方权限升级漏洞 (CVE-2013-5065) 允许攻击者在核心权限层面执行任意代码,该攻击一旦成功,受感染的计算机将会被全面入侵。
目前赛门铁克已经监测到利用这一漏洞进行的攻击威胁,并且能肯定此类攻击从11月初以来变得异常活跃。这种攻击通过PDF途径进行传播,这种PDF通常被附在邮件里,以 “syria15.10.pdf” 或者 “Note__№107-41D.pdf” 命名。此外,攻击者也可能会将用户吸引到事先准备好的网站上,诱使其下载恶意文件从而进行攻击。
攻击者通过漏洞成功侵入计算机之后,会释放另一种恶意的木马病毒,赛门铁克早在十月份开始就观察到这一现象,并且将这个木马命名为“Trojan.Wipbot”,这种木马病毒收集系统信息后就会主动连接到一台命令与控制服务器上。目前,赛门铁克全球智能网络的遥感勘测部门已经收到了来自世界各个国家关于恶意PDF文件的报告,这其中包括印度、澳大利亚、美国、智利、匈牙利、德国、挪威和沙特。
赛门铁克也将这种攻击归 为 Trojan.Pidief 或者是Suspicious.Cloud.7.F,通过以下防病毒检测和入侵防御系统签名可以有效检测攻击代码并防御此类攻击:
Bloodhound.Exploit.499
Web Attack: Malicious PDF File Download 6
对于本文提到的这个漏洞,目前还没有可用的补丁,但是微软已经在安全公告里提供了应急方案。和以往一样,我们推荐安装最新的补丁将计算机更新到最高版本,再加上赛门铁克最新的针对企业和消费者的安全防护解决方案来应对这类攻击。