任何問題總有解決的辦法。我們知道,計算機系統要與Windows的更新站點進行交互,就必須使用后臺智能傳輸服務,即所謂的BITS。BITS利用用戶系統未用的帶寬來下載補丁和更新文檔。它還使得Windows服務器更新服務、系統管理服務器以及微軟的即時通信產品的文件傳輸更加容易。在許多系統中包含BITS功能,如Windows XP Service Pack 1、Windows 2000 Service Pack 3以及現在最新的Windows操作系統。
我們發現,作為當前操作系統(如Windows XP和Windows Vista等)一部分的Windows防火墻允許BITS發送和接收來自互聯網的數據,卻不會激發任何警告。
很顯明,通過劫持這種服務,在試圖利用Windows漏洞時,惡意軟件的作者能夠快速地繞過其主要的障礙。繞過防火墻的過濾器能夠在無需警告用戶的情況下實現惡意文件的安裝。即使用戶采用了基于網絡的防火墻,并盡力區分BITS可以下載的數據和絕對不能下載的數據。BITS活動的低帶寬消耗和異步傳輸特性也會使得防火墻難于檢測任何惡意活動。
事實上,這種攻擊并不是由Windows更新的缺陷引起的。任何攻擊者都沒有也不可能將惡意文件上傳到微軟的網站上用于BITS下載。要讓攻擊工作,用戶必須先下載Win32/Jowspry并執行它。也只有這樣這種特洛伊木馬程序才能BITS安裝額外的惡意軟件。想要惡意地使用BITS,特洛伊木馬程序需要存在于用戶計算機上。BITS并非最初感染的攻擊源。一旦將自身安裝到計算機上,惡意軟件就用這樣一種機制繞過防火墻技術。
我們權且將這種攻擊稱之為Windows更新攻擊,迎戰這種攻擊的最佳方法在于在公司的用戶中增強防范意識,教育他們如何處理來自未知或意外的源站點的信息(包括鏈接和文檔、程序等)。這就會減少用戶下載Jowspry或其它能夠感染計算機的惡意程序的機會。一些安全專家建議將BITS限制為只能給經核準的或可信任的站點或鏈接。然而,許多第三方的軟件廠商用它來發布軟件更新,這種限制就會引起不少麻煩,你需要仔細維護經認可的站點,需要籌劃該將哪些站點列入優良者名單。
雖然這種攻擊只不過是眾多攻擊中的小菜一碟,不過卻向我們展示了各種攻擊日益增加的復雜性和驚人的發展速度,并可以幫助我們深入理解Windows操作系統本身。
