2013年12月3日存儲(chǔ)在線消息：微軟針對(duì)近日在Windows XP 和Windows Server 2003的核心部件上發(fā)現(xiàn)的零日漏洞發(fā)布了安全公告。公告指出，微軟Windows 核心 “NDProxy.sys” 地方權(quán)限升級(jí)漏洞 (CVE-2013-5065) 允許攻擊者在核心權(quán)限層面執(zhí)行任意代碼，該攻擊一旦成功，受感染的計(jì)算機(jī)將會(huì)被全面入侵。

目前賽門鐵克已經(jīng)監(jiān)測(cè)到利用這一漏洞進(jìn)行的攻擊威脅，并且能肯定此類攻擊從11月初以來(lái)變得異�；钴S。這種攻擊通過PDF途徑進(jìn)行傳播，這種PDF通常被附在郵件里，以 “syria15.10.pdf” 或者 “Note__№107-41D.pdf” 命名。此外，攻擊者也可能會(huì)將用戶吸引到事先準(zhǔn)備好的網(wǎng)站上，誘使其下載惡意文件從而進(jìn)行攻擊。

攻擊者通過漏洞成功侵入計(jì)算機(jī)之后，會(huì)釋放另一種惡意的木馬病毒，賽門鐵克早在十月份開始就觀察到這一現(xiàn)象，并且將這個(gè)木馬命名為“Trojan.Wipbot”，這種木馬病毒收集系統(tǒng)信息后就會(huì)主動(dòng)連接到一臺(tái)命令與控制服務(wù)器上。目前，賽門鐵克全球智能網(wǎng)絡(luò)的遙感勘測(cè)部門已經(jīng)收到了來(lái)自世界各個(gè)國(guó)家關(guān)于惡意PDF文件的報(bào)告，這其中包括印度、澳大利亞、美國(guó)、智利、匈牙利、德國(guó)、挪威和沙特。

賽門鐵克也將這種攻擊歸 為 Trojan.Pidief 或者是Suspicious.Cloud.7.F，通過以下防病毒檢測(cè)和入侵防御系統(tǒng)簽名可以有效檢測(cè)攻擊代碼并防御此類攻擊：

Bloodhound.Exploit.499

Web Attack: Malicious PDF File Download 6

對(duì)于本文提到的這個(gè)漏洞，目前還沒有可用的補(bǔ)丁，但是微軟已經(jīng)在安全公告里提供了應(yīng)急方案。和以往一樣，我們推薦安裝最新的補(bǔ)丁將計(jì)算機(jī)更新到最高版本，再加上賽門鐵克最新的針對(duì)企業(yè)和消費(fèi)者的安全防護(hù)解決方案來(lái)應(yīng)對(duì)這類攻擊。