日前,卡巴斯基實驗室發現了在Silverlight應用程式中存在一個危險的零日漏洞,為百萬用戶帶來安全隱患。
本周三,在一篇博文中,網絡安全公司卡巴斯基表示,該漏洞將允許攻擊者獲取進入到受感染計算機的權限並執行惡意代碼竊取秘密情報,並且可以隨他們的意志實施監視,並造成大規模的破壞。
Silverlight中文名為「微軟銀光」,是由微軟公司開發的一種新的Web呈現技術,藉助該技術,您將擁有內容豐富、視覺效果絢麗的交互式體驗。支持來自全球的數百萬PC用戶在不同的作業系統上安裝操作,框架內的安全漏洞被報導的現象並不常見,但是,這些漏洞可能是具有災難性的。
Microsoft Silverlight遠程代碼執行漏洞(CVE-2016-0034),是在Ars Technica(美國知名科技博客媒體)報導了出售漏洞利用與監視工具的Hacking Team和Vitaliy Toropov(一名獨立的漏洞開發者)之間的可疑聯繫後被發現的。有資料表明,Toropov曾試圖將微軟Silverlight的零日漏洞出售給Hacking Team。
該漏洞無法引起Hacking Team的興趣,卻引起了卡巴斯基的注意。
據安全公司卡巴斯基的說法,研究表明Toropov是一個活躍的開源漏洞資料庫(OSVDB)貢獻者,2013年時,他曾發表了描述了Silverlight的漏洞的POC報告(只是證據,證明該漏洞存在,但並不是利用方法,無法直接利用)。
卡巴斯基公司說,通過分析,代碼中的一些獨特的串脫穎而出,充當了公司檢測技術的樣本衝刷了利用該漏洞實施網絡攻擊的痕跡。
卡巴斯基公司稱:「如果Toropov曾經試圖出售零日漏洞給Hacking Team,那麼他也極有可能對其他間諜軟體廠商做了同樣的事」。 「作為這次活動的結果,其他的網絡間諜活動可以積極地使用該漏洞去攻擊、感染不知情的受害者。」
結果,卡巴斯基其中一家客戶被代碼攻擊,經過卡巴斯基對攻擊進行分析,發現有人利用了Silverlight中的未知漏洞,並隨後將這個問題報告給微軟。
Costin Raiu,卡巴斯基實驗室的全球研究和分析團隊主任說:「雖然我們不知道我們發現的這個漏洞,是否正是被Ars Technica的文章中提到的,但是我們有充分的理由相信它確實是相同的。」
對比Vitaliy Toropov前期的作品,我們發現最新的漏洞發掘者與以Toropov名義發表的關於OSVDB的POC報告的是同一個人。同時,我們也不能完全排除我們發現了又一個Silverlight零日漏洞的可能性。
1月12日星期二,針對CVE-2016-0034漏洞,微軟已經發布了最新的補丁,2016年微軟Windows用戶必須儘快去更新他們的系統了。
*原文:ZDNet ,編譯/晶顏123,轉載須註明來自FreeBuf黑客與極客(FreeBuf.COM)