微软公司于北京时间27日上午发布了新的安全通告2963983,通报一个已经被用于恶意攻击的、针对IE浏览器的安全漏洞CVE-2014-1776。这是4月8日微软停止XP更新服务后的第一个远程0day漏洞。目前360安全卫士“XP盾甲”可防护针对该漏洞攻击的样本。
该漏洞是IE浏览器的远程代码执行漏洞,由美国安全公司FireEye最早发现,根据微软安全响应中心和FireEye的分析,该漏洞影响微软IE6、IE7、IE8、IE9、IE10和IE11浏览器,由于XP已经停止更新,所以在通告上受影响系统并未列出XP,但由于Windows 2003 + IE6IE8的组合也受影响,基本可以肯定XP也是受影响的。
目前的攻击样本专门针对于IE9~IE11,并结合了一些新的攻击手法,绕过Windows的DEP+ASLR机制,以及尝试绕过微软的EMET防护。
据FireEye公司发布的公告,该漏洞被认为用于一项名为“Operation Clandestine Fox”的间谍行动。漏洞攻击样本使用“堆风水”技术,利用SWF文件来操纵IE中的堆,并破坏Flash Vector Object来构造任意内存读写,绕过微软Windows的ASLR+DEP防护机制,同时,样本试图使用一项已经公开的绕过微软EMET保护的技术,来绕过EMET保护。
根据目前公开的信息,360安全卫士“XP盾甲”可以防护这个攻击,XP盾甲应用程序加固引擎的ROP攻击防护和ShellCode攻击防护,可以拦截漏洞样本中使用的攻击技术,保护用户不受该漏洞攻击样本的影响。
(微软MSRC安全公告BLOG:
http://blogs.technet.com/b/msrc/archive/2014/04/26/microsoft-releases-security-advisory.aspx)
(公告详情:https://technet.microsoft.com/en-US/library/security/2963983)