你DEP了嗎?

阿碼科技非官方網站在日前公告了IE 7 零時差攻擊(Zero Day Attack) 重大威脅警訊，剛剛讀到保哥的文章，提及昨日真的發現有客戶收到Mail，點擊連結就被植入木馬的情事(雖然無法證實是否就是利用該漏洞攻擊)，大驚!

零時差攻擊是指軟體被發現有漏洞後，在廠商還來不及出修補更新前，就有人開發針對該漏洞攻擊的病毒、蠕蟲、木馬等惡意程式。由於軟體在修補漏洞前尚無任何防備，惡意程式如入無人之境，得以為所欲為。

聽來挺可怕的，不過光發抖也不是辦法，我們還是要有積極一點的作為。避用IE7是不錯的主意，不過我還是很有興趣了解這波攻擊的原理，面對可疑狀況時，比較能辨別是真的中鏢或另有原因。

Google了一下，發現目前查得到的資料有限，大多指向Knowsec Team的那篇文章，文章裡並沒有提及太多技術細節(也許是基於負責任揭露的原則吧?)，不過由其中提到的"内存越界"、"开启DEP保护"等線索推敲，應屬於緩衝區溢位攻擊(Buffer Overflow Attack)的一種。若是如此，如Windows版本為XP SP2以後的OS，CPU又支援NX，開啟DEP防護(Date Execution Prevention)應該就可大幅降低中箭落馬的機會。千萬別因某些程式的不相容，一氣之下就把DEP給關閉。真有不相容問題，建議針對特定程式關閉DEP即可，別嫌重就把防彈衣給脫了。

另外，關於中毒的徵兆，目前看到的是IE會開啟cmd.exe及下載/執行ko.exe木馬程式。不過，駭客界人才濟濟，也許過兩天就會有其他品種的新攻擊手法出籠，因此看到cmd.exe/ko.exe很有可能是中鏢，但沒看到卻不代表沒事。(搞資安就是要如此草木皆兵才稱得上是"政治正確"，很辛苦吧!)

既然講到DEP，順道還是要為另一個被罵到臭頭的"好東西"說幾句公道話--害Vista背負罵名的凶手之一，那個惱人至極的UAC(User Access Control)。

我不知為什麼大家都這麼痛恨它，Google一下vista+uac，搜尋結果的第一頁有一半的文章在教你怎麼關掉它，真是諷刺極了。(讓我不禁想到在Share Ware網站上看過網友酸溜溜的評語: 這軟體唯一有用的功能是它的移除程式)

雖然我也覺得UAC很煩人，但打死我都不會關上它! 如果你研究過木馬、病毒是如何潛行鑽營，也發現過防毒軟體黑名單比對法下的漏網之魚，就會覺得忍受Vista/Windows 2008有人走近就大聲嚷嚷的歇斯底里，好過家當被搬個精光後的不勝唏噓。

安全，是要付出代價的!