2012年2月23日 星期四

研究人員公布pcAnywhere攻擊程式碼


研究人員公布pcAnywhere攻擊程式碼

Norman說,現在確定的是能夠透過他所發現的pcAnywhere漏洞執行阻斷式服務攻擊,該攻擊程式碼影響所有的版本,包括最新版及已部署修補程式的版本。

在程式碼外洩之後,即使經歷了建議使用者暫時停用pcAnywhere、釋出pcAnywhere修補程式,但賽門鐵克(Symantec)仍阻擋不了外界利用外洩的pcAnywhere程式碼找到攻擊之道。

Alert Logic安全研究總監Johnathan Norman近日透過Pastebin網站公布了幾行簡單的程式,宣稱可用來摧毀pcAnywhere中用來設定代管服務的awhost32,而且連最新的pcAnywhere 12.5都難逃一劫。

Norman說,現在確定的是能夠透過他所發現的pcAnywhere漏洞執行阻斷式服務攻擊,該攻擊程式影響所有的版本,包括最新版及已部署修補程式的版本。

賽門鐵克在今年1月初證實該公司的防毒軟體程式碼遭竊,初期表示只有Symantec Endpoint Protection 11.0及Symantec Antivirus 10.2兩款企業端產品受到影響,但最後坦承遭竊的還有Norton Internet Security、Norton System Works與pcAnywhere等。印度駭客組織Lords of Dharmaraja宣稱是他們入侵了賽門鐵克的伺服器並取得了上述產品的程式碼。

賽門鐵克原本認為外洩的程式版本老舊,不會帶來太大威脅,但隨後發現該意外為pcAnywhere客戶帶來了安全風險,因此在1月下旬警告客戶可能招致中間人攻擊,並建議pcAnywhere用戶暫停使用該工具,繼之於1月底釋出程式修補pcAnywhere 12.0與pcAnywhere 12.1。

駭客組織與賽門鐵克談判破裂,並於2月初公開pcAnywhere的程式碼後,不少資安研究人員就開始分析這些程式碼。雖然早有專家擔心,即使外洩的是舊版程式,開發人員仍可利用程式碼的設計邏輯與方法找到攻擊的途徑。資安業者InfoSec Institute於部落格上則指出,pcAnywhere的核心功能已使用多年,最新的12.5版亦沿用同樣的程式碼。

InfoSec Institute還說,駭客現在擁有pcAnywhere產品的所有細節與各種元件的程式碼,pcAnywhere已成為pcEverywhere,現在他們知道賽門鐵克用來更新現有防毒產品的LiveUpdate系統如何運作,而且可自程式碼中看到任何攻擊之處。

賽門鐵克已得知Norman所張貼的攻擊程式,並正進行調查。(編譯/陳曉莉)

引用自《iThome

沒有留言:

張貼留言