修补完成马上就破功，骇客多次针对VBScript发动零时差攻击,,然而，使用者有乖乖的

原标题：修补完成马上就破功，骇客多次针对VBScript发动零时差攻击

图片来源: Common△Vulnerabilities△and△Exposures△Lists 一般来说，为了减少电脑系统的弱点，成为有心人士渗透的管道，我们会每隔一段时间，就安装软件厂商提供的修补程式。然而，使用者有乖乖的定期更新软件，难...

图片来源:

Common△Vulnerabilities△and△Exposures△Lists

一般来说，为了减少电脑系统的弱点，成为有心人士渗透的管道，我们会每隔一段时间，就安装软件厂商提供的修补程式。然而，使用者有乖乖的定期更新软件，难道就不会遭受攻击吗？最近，趋势科技的资安团队，他们与同公司里，推动找寻零时差漏洞计划的Zero△Day△Initiative（ZDI）合作，发现微软7月的例行发布软件更新的修补星期二（Patch△Tuesday）中，微软才在11日刚针对VBScript提供了修补软件，隔日（12日），便出现能破解的恶意软件，可对于已经完成更新的电脑下手攻击，微软则是在这个月的例行性修补中，加入防堵上述攻击手法的更新软件。

骇客以同样手法再次渗透，研究团队认为该弱点未来还会再被继续利用

这个弱点被列为CVE-2018-8373，影响范围涵盖了所有版本的VBScript引擎。不过，该研究团队指出，由于微软在Windows△10秋季更新版（RS3）后，上述指令码处理引擎预设为关闭，因此较新版本的作业系统，应不致直接遭到波及。

但趋势的研究团队发现，利用前述弱点的攻击手法，与今年4月中出现的CVE-2018-8174，其中出现的恶意软件，程式码所采用的混淆手法一致，而且都是针对VBScript下手，因此认为这2起攻击，应该是相同的骇客组织所为。甚至，他们认为，未来攻击者还会再利用相同软件的弱点，做为渗透的管道。

同时，为了指出骇客都是利用同样的弱点，该团队也表示，这里面攻击手法，是利用VBSCRIPT.DLL的新型态弱点，称做滥用释出的记忆体区块（Use△After△Free，UAF）。

从趋势科技7月初取得的恶意档案样本来看，发现针对VBScript弱点的CVE-2018-8373（左图），手法与右图5月微软才刚完成修补的CVE-2018-8174，程式码所采用的混淆内容，可谓是极其相似。因此，该团队认为，有可能是同样的骇客所为。（图片来源：趋势科技资安博客）

根据通用弱点资料库（Common△Weakness△Enumeration，CWE）的定义，所谓上述滥用释出的记忆体区块，指的是借着让程式参照一块刚释放的记忆体区块，导致上述的程式当掉、能加入执行过程中非预期的参数，或是执行特定的程式码等。

但是，这种相似的变种攻击，却以多个CVE加以列管，而厂商只能不停的针对被发现的弱点，加以处理，并非提供用户端一劳永逸的防治同类型攻击措施。从CVE编号来看，上述提到的2个弱点，很难联想有所关连，而对于企业的弱点管理上，资讯人员可能需要对于各项漏洞逐项评估后，才能安装更新，非常耗时费力。

前述资安团队也提到，微软在较新版本的Windows中，直接采取了停用VBScript的做法，可见锁定被发现的弱点修补，很可能就是只能治标而无法治本，若是使用者想要免于受到这样的攻击，或许便需以前述停用Windows相关功能的方式，辅以其他的资安防护机制，才能弥补不断安装软件更新，却赶不上骇客攻击速度的现况。

零时差攻击与漏洞修补的不对等攻防

趋势科技提到了前述的2起攻击事件，应为同样的骇客所为。也针对这起事件调查的奇虎资安团队，则是在他们的博客发表研究成果，指出骇客正在不断利用VBScript引擎弱点的情形，映证了趋势科技的推论。该团队指出，包含趋势科技在7月发现的CVE-2018-8373，今年一共至少出现了3起锁定VBScript引擎的弱点。

值得留意的是，从奇虎团队提供多次攻击出现的时间点来看，微软发布相关的修补软件日期，都是在次月的例行性安全性更新，换言之，零时差漏洞的修复，间隔长达20天到1个月之久，然而骇客组织却能在微软修补完成的隔日，对于已经刚完成修补的电脑发动攻击，因此这样的现象，也反映端点电脑的防护，不能只倚赖软件厂商的漏洞修补。

针对趋势发现的CVE-2018-8373弱点，奇虎资安研究团队汇整了有关的攻击事件，最早可追溯到今年的4月。不过，微软都是在通报之后的隔月例行更新，才提供相关的修补软件，时间间隔了20天到35天之久。（资料来源：360威胁情报中心）

而依据他们反组译前述攻击中出现的恶意档案，都是Office文件型态的样本，该研究团队也在其中，找到了趋势科技仅揭露了部分内容的恶意网址（http:// windows-updater△[.] net/realmuto/wood.php-who=1-----），然后奇虎的团队发现，上述网址所属的网域，正是他们在今年5月公布，DarkHotel发动的持续性进阶威胁攻击中，该骇客组织使用的网域名称之一。

橙山网（Csnd.net）简评：然而，使用者有乖乖的定期更新软件，难...图片来源: Common△Vulnerabilities△and△Exposures△Lists 一般来说，为了减少电脑系统的弱点，成为有心人士渗透的管道，我