揭穿基于病毒的修复程序

  • 布鲁斯·施奈188滚球网站尔
  • ZDNet
  • 7月31日,2000

微软(Microsoft Corp.)软件安全漏洞的最新情况是一个复杂的故事,我们可以从中学到很多东西……所以让我们按时间顺序来考虑。

6月27日,乔治冈因斯基发现了新漏洞在Windows 95上运行的Internet Explorer(4.0或更高版本)和Microsoft Access(97或2000)中,98,NT 4或2000。攻击者可以通过让用户阅读HTML电子邮件(而不是附件)或访问网站来危害用户的系统。

这是个严重的问题,这可能导致新的和有毒的邮件软件。但它要求在受害者的计算机上安装Microsoft Access,哪一个,虽然很常见,决不是万能的。利用这种弱点的病毒传播的范围不会像说,梅丽莎。在任何情况下,微软在7月14日发布了一个补丁,我敦促大家安装它。

进入无

7月17日,SAN(系统管理,网络,研究所发布了一封电子邮件,警告人们“Windows工作站中发现的最危险的缺陷”。

我真的弄不懂这封电子邮件;这似乎主要是为了吸引媒体报道。其中有些含糊得令人怀疑:“我们进一步开发了这个漏洞,并意识到这是过去几年Windows工作站最严重的漏洞之一。”如何?没有人说。

其中一些人吹嘘道:“微软要求我们在得到修复之前不要发布细节。”“发布细节”?但最初的Bugtraq帖子很有说明性,SAN也没有发布任何新的内容。

仍然,SANS电子邮件比Bugtraq公告或微软补丁得到了更多的宣传,所以抱怨是很难的。

但是sans的声明有一个更令人不安的部分:“可能可以自动修复这个漏洞,通过电子邮件,而不是要求每个用户采取行动。这一概念类似于使用稍微修改过的病毒来提供对感染的免疫力。SANS将为第一个向我们提供实用的自动化解决方案的人提供500美元的奖金(以及几分钟的声誉),迅速地,容易地,以及(相对地)无痛地保护所有易受攻击的系统。”(本段不再出现在网站上,上面写着“获奖作品已收到”。)

不要这么快!

这真的是,很愚蠢的想法,我们应该立即停止这种想法。每隔一段时间,就会有人想出一个主意:永远使用病毒。写一个病毒,利用一个特定的安全漏洞,以关闭该漏洞听起来特别诗意。

第一,该补丁没有审计跟踪。没有系统管理员想说:“嗯,我确实尝试用病毒感染我们的系统来解决问题,但我不知道它是否适用于所有情况。”

第二,没有办法测试病毒是否能在互联网上正常工作。它会阻塞邮件服务器并关闭网络吗?当所有的邮件客户端都被修补时,它会正确地自毁吗?它将如何处理自身的多个副本?

第三,很容易出错,也很难从中恢复过来。实验,大部分都是无意识的,证明病毒很难成功调试。

有些病毒被编写出来是为了无害地传播,但由于代码中的bug而造成了破坏。完全有意的实验证明,在你的一般办公环境中,成功修补一台机器的代码在另一台机器上无法工作,有时会有致命的结果。

把两者结合起来充满危险。每个曾经自动化过软件分发的系统管理员都有过这样的经历:“我只是自动地,按下按钮,同时销毁数百台机器上的软件!”经验。这就是你可以用的系统停止;当您发现问题时,自传播系统甚至不允许您关闭它们。

另一个安全漏洞

在任何情况下,SANS的声明更让人困惑的是,微软同时宣布了另一个漏洞。我认为这个问题甚至比没有公布的问题更严重。(该漏洞于7月2日首次被发现,但于7月18日被独立发现并发布在Bugtraq上。)

Microsoft Outlook或Outlook Express中的缓冲区溢出允许攻击者通过向受害者的计算机发送电子邮件来执行任意代码。在Outlook Express,受害者甚至不需要打开或预览电子邮件。他所要做的就是下载它。在前景,他必须读它。

这是坏消息。好消息是,它只是安装了POP或IMAP的用户的一个漏洞;使用Outlook默认公司配置的用户不易受到攻击。(链接到商业ISP的家庭用户更容易受到攻击。)因此,利用这种弱点的病毒将是危险和令人不快的,但不会肆无忌惮地扩散。

微软有一个解决方案。原来的那个,7月18日发布,要求你升级你的Outlook或Outlook Express版本,但两天后,微软做了正确的事情,并为所有版本发布了一个补丁。

SANS于7月21日发布了另一封电子邮件,更可怕的警告是:“请在今天回家之前解决这个问题。如果你已经回家,回到办公室去修好。”在我看来,这一警告完全把威胁夸大了,发出这种警告是不负责任的。SANS让它听起来像是已经在进行的病毒攻击,不是有一天会被利用的新漏洞。

在之前的警告之后,它在噪音中消失了。当我收到第二封sans电子邮件时,我认为这是对第一个弱点的另一个提醒。我敢打赌,许多用户同样感到困惑,也忽略了它。

要吸取的教训

这里有几个教训。

  • 计算机程序有两种漏洞,这两种攻击很好地说明了这一点。第一,它们存在与所运行的操作系统的基本设计以及选择的程序互连方式相关的漏洞;访问攻击证明了这一点。第二,它们有基于编码错误的漏洞;缓冲区溢出问题就是一个例子。
  • 仅仅释放一个补丁是不够的。新闻界经常误解这一点。他们认为顺序是:公开脆弱性,释放补丁,安全性已恢复。事实上,它不是那样工作的。在安装补丁之前,不会重新获得安全性。尽管这两个漏洞都已修补,我预测使用它们的攻击工具。许多用户只是懒得安装这些补丁。为了公开这两个漏洞,SANS值得称赞。
  • 耸人听闻的弱点会适得其反。这两个漏洞都很严重,但两者都不具有纪念意义。把某件事称为“最危险的缺陷”会导致人们对其他缺陷轻视。我担心公众完全无法确定什么是重要的。我们已经看到过失败的病毒,以及其他猖獗的人。我们已经看到了看起来很严重但毫无意义的漏洞,还有那些微不足道的,被一次又一次利用的。sans需要有理性的声音,不夸张。
  • 写病毒来利用漏洞是个坏主意,即使该病毒的目标是关闭该漏洞。病毒就其本质而言,以混乱和不受控制的方式传播;良好的系统管理是不可能的。
  • 仍然存在许多严重的漏洞在微软的产品,以及产品之间的相互作用,等待被发现。

类别:电脑及资讯保安

布鲁斯·施奈尔的照片,Per 188滚球网站Ervland。

188滚球网站Schneier on Security是一个个人网站。所表达的意见不一定是…的意见IBM弹性.