不让黑客侵入微软IE，解密攻击DNS漏洞方式

邹铮

   DNS devolution的技术来为服务器搜索网络。这就是问题的症结所在。如果要在wpad.co.uk上搜寻DNS信息，Windows电脑实际上已经脱离了IDG网络，而正在另一台来路不明的电脑上进行DNS搜寻。

　　微软说Windows操作系统在与互联网上其他电脑连接时阻止这种连接的漏洞又重新出现，这可能导致一些客户受到网络攻击。

　　漏洞主要会影响到美国以外的企业用户。从理论上来讲，应该是攻击者开发出来的用来将用户重新定向至恶意网站。

　　微软原本在1999年修补了这个漏洞，但是最近在Windows系统中又再次发现该漏洞，并且微软公司随后在新西兰召开的黑客大会上公布了这个漏洞。“这是先前报道过的漏洞的变化体，之前的漏洞是当某些客户端设置被设置时被发现的。”Mike Reavey说，他是微软公司的安全反应中心的部门经理。

　　漏洞与Windows系统在某种配置下寻找DNS(Directory Name Service，域名系统)信息有关。

　　理论上，任何版本的Windows都可能受到这个漏洞的影响，不过微软公司星期一举行了咨询会来向客户们解释哪些Windows配置处于危险之中，并且为客户提供了一些可能的应变方法。微软公司还表示他们正在努力发布解决该问题的补丁。

　　攻击可能的方式：当一个Windows系统专门配置了自己的DNS Suffix(域名系统后缀)，系统就会在一个网络代理自动发现(WPAD)服务器上自动搜索网络DNS信息。这个服务器通常是值得信赖的机器，并且在受攻击者自己的网络中运行。

　　WPAD服务器是用来免去手动配置使Windows系统在网络中运行的。而DNS后缀是用来连接网络中某些领域的电脑以及简化管理的。

　　为了使电脑更简便地找到WPAD服务器，Windows使用了一项称为DNS devolution的技术来为服务器搜索网络。例如，如果一台IDG电脑被给与的DNS后缀为corp.idg.co.uk，它就会在wpad.corp.idg.co.uk自动寻找WPAD服务器。如果这样做没有找到，它就会尝试wpad.idg.co.uk然后再尝试wpad.co.uk。

　　这就是问题的症结所在。如果要在wpad.co.uk上搜寻DNS信息，Windows电脑实际上已经脱离了IDG网络，而正在另一台来路不明的电脑上进行DNS搜寻。

　　Reavey说这个问题只会影响那些以“第三级或者更高级”域名开头的域名用户，这意味着即使有DNS后缀设置，用户在像idg.com或者dhs.gov这样的网络中也不会受到影响。

　　攻击者注册了第二级域名(如co.uk或者co.nz)内的“wpad”域名，他们可以将用户在不知情的情况下重新定位至恶意网站，受攻击者可能认为自己正在访问他们银行的网站，但是事实上，他可能已经进入了钓鱼网站。

　　“这种攻击方法非常阴险，因为很多人都没有意识到正在发生的事情，”Cricket Liu说，他是DNS设备生产商Infoblox公司的建筑副总裁。到目前为止，Reavey说，微软公司还没有听说这种攻击正在实施的消息。

　　那些设置了自己的代理服务器或者在网络中有一个WPAD服务器的用户不会受到太大的威胁，微软公司表示。

　　尽管如此，根据发现这一漏洞的新西兰安全研究人士表示，很多客户可能受到影响。Beau Butler，正好拥有wpad.co.nz域名，专家估算单在新西兰，就会有大约16万人受到影响。Butler现在不能立即对这件事情做出评论，但是在当地Linux社区网站上，他表示说，他正在收集来自这一域名的网络服务器数据。