上网就躲不过:IE7 0day漏洞攻防

1、漏洞简介

　　IE7ODay的危险不仅仅表现在攻击上的隐蔽性高，在攻击方面可利用的软件范围和攻击手段也非常多。在微软网站上可以看到这个漏洞的编号是“961051”，如图所示。

2、导致该IE7漏洞出现的原因，主要是由于XML解析字符串SRC片段时导致，由于SRC字符串当中的r?r非正常宇符导致对象分配失败，而失败后的内存指针没有被释放，继续在利用，当这个指针被人为指向了一段特殊的堆地址，并且这段地址被ShellCcxie覆盖过的话，调用这个指针就会导致有溢出。

　　利用IE7 0day溝洞，黑客可以轻易地构造出带有攻击性的网页代码，并可以将这个恶意代码植入任意的网页——所有通过IE内核访问网页的软件都可以被插人攻击代码，并让没有安装补丁的用户中招。如，傲游、世界之窗、腾讯TT、Office系统软件、Outlook、某些网游的登陆界面，等等。

　　黑客利用IE7 0day漏洞最好的方法，就是通过用户信任的网站进行挂马。因此，使用IE浏览器访问网站已经成了一个危险的举措了，除非已经安装了补丁。此漏洞存在于：

　　>WindowsInternetExplorer7

　　>WindowsInternetExplorer7forWindowsXP

　　>WindowsInternetExplorer7forWindowsServer2003

　　>WindowsInternetExplorer7forWindowsServer2003IA6A

　　>WindowsInternetExplorer7inWindowsVista

3、漏洞利用代码实测

　　在网络中有相当多的安全网站都给出了如下漏洞利用代码，通过这些代码可以实现IE7 0day漏洞的攻击。下面和win7之家一起来看看是如何实现这项人侵任务的：

　　(1)至“http://winxppro.ys168.com/”中下载“IE7 0day漏洞利用代码.txt”，修改后缀名为.htm,即将文本文件修改为网页文件。

　　(2)双击这个网页文件后，IE浏览器会提示：“为了协助保护您的资讯安全性，InternetExplorer已限制这个网页执行指令档或可以存储您电脑的ActiveX控制项，其他选项请按这里.......”，如图所示。

4、从windows xp开始，这样的提示就屡屡出现了。比方说，播放Flash动画时就会出现这样的提示。因此，很多IE用户就会毫不犹豫地单击提示框，并在弹出的菜单中选择“允许阻止的内容”，如图所示。

5、注意：如果不单击注意框并允许阻止的内容运行，就可以避免下载病毐到本地。

　　(3)允许被封锁的内容后，IE会再弹一个安全性警告，点击“是”后，代码就开始执行了，如图所示。

6、(4)在单击“是”按钮后，网页文件将会自动从网络中下载木马程序到当前计算机中，并使用cmd.exe文件进行木马等恶意程序的调用。这样，就实现了系统的入侵。

　　3、木马利用剖析

　　利用IE7Oday漏洞可以展开形式多样的攻击，比方说可以实现如下的“网马”人侵：

　　(1)申请一个免费空间，这个空间必须支持FTP登录，以便将制作完成的木马程序上传到网站空间中，假设此木马程序的下载地址是“http://bbs.duze.net/mm.exe”0

　　(2)下载“IE7Oday漏洞免杀网马生成器”，并在如图所示对话框的“木马地址”栏中输入木马网址。

7、(3)单击“生成网马”按钮后，在弹出的如图所示提示框中单击“OK”按钮。这个生成的网页在目标机器中只会执行一次，除非清空IE的缓存，否则不会再执行。

8、(4)使用FTP工具将生成的“IE7Wm.htm”文件上传到申请的免费空间中，如图所示。