微软Jet资料库引擎零时差变异攻击手法通告
技服中心近期发现骇客透过微软Windows作业系统内建之Jet资料库引擎（Jet Database Engine）弱点对政府机关进行新型变异手法之攻击，由于此攻击手法极具威胁性，请各单位严加注意与防范。


Microsoft Jet资料库引擎为内建于Windows作业系统中的资料库处理元件，该元件于2007年11月间被揭露具有可执行任意程式的弱点，而相关的攻击也已经在实际环境中大量出现。此弱点至今尚未修补，尚属零时差攻击，各单位需提高警觉。


传统上利用该弱点的攻击手法多半是经由寄送夹带特殊设计之*.mdb（Access档案）附件之恶意电子邮件，诱骗使用者开启。然而多半使用者对于*.mdb档案开启机率不高，也使得这类攻击手法的成功率降低。


近期技服中心发现骇客使用新型变异手法包装该弱点，可能使成功机率大幅提升。此变异攻击手法是透过Word文件引用恶意mdb中的资料，间接开启含有恶意程式之mdb档案，进而触发弱点并植入恶意程式。由于使用者对于 Word文件的警戒心较低，因此可能大幅提升开启恶意附件的机率，也提升该攻击的威胁性。


在实际的攻击案例上，骇客会透过电子邮件一次寄送二个Word文件，其中一个是真正Word格式的文件档，另外一个其实是伪装成Word副档名之mdb格式档案；当使用者开启其中真正的Word文件档时，即会触发此弱点。不过该攻击案例中，二个档案必须同时另存于同一路径下才会成功。


技服中心也发现其他进阶的攻击案例，骇客将该两个档案利用ZIP或RAR压缩后，直接寄送压缩档附件给使用者，意图迫使使用者将附件档案解压缩后放置于同一路径下开启，以增加成功机率。


这次的攻击是使用Word档案引入恶意mdb档案进行攻击，而类似的技术也可以应用在其他软体中，例如使用Excel或PowerPoint档案中引入恶意mdb，因此未来不排除可能有利用其他格式配合此弱点的攻击手法出现，请各单位严加注意。若发现可疑的攻击，请联络技服中心。

影响平台：执行于Windows 2000、Windows XP及Windows Server 2003 SP1以下（含SP1）


影响等级：高


建议措施：1. 请勿开启未受确认之电子邮件附件档案。
　　　　　2. 此弱点目前尚待厂商提供修补程式。


参考资料：1. http://www.microsoft.com/technet/...ry/950627.mspx
　　　　　2. http://www.securityfoc...d/28398/
　　　　　3. http://www.cve.mitre.org/cgi-bin/c...=CVE-2008-1092


资料来源：国家资通安全会报技术服务中心