解析Windows更新的攻击手段和防御方法

最近有关恶意程序"Win32/Jowspry"利用Windows更新服务向用户计算机下载文件，并引起各种灾难的报告给微软Windows用户敲响了警钟。一种应急方式是停止使用Windows更新，防止恶意文件的安装。但是，这如何能够保证Windows电脑全面更新以防御新的安全威胁呢?

　　幸运的是情况没有报道得那样严重，我们知道。要与Windows更新网站互动，一台Windows计算机使用后台智能传送服务(BITS)。BITS在后台运行并且集中没有使用的带宽下载补丁和更新程序。它还帮助Windows服务器更新服务、系统管理服务器和微软即时消息产品传输文件。最然这项服务原来并不是Windows的一部分，但是，它已经是Windows SP1、Windows 2000 SP3和现在的Windows操作系统的一部分。

　　作为当前操作系统的组件，这个内置的Windows防火墙允许BITS通过互联网发送和接收数据，并且不发出任何警告。通过劫持这项服务，恶意软件作者在利用Windows安全漏洞的时候能够快速绕过它们的一个主要障碍。绕过防火墙的过滤器功能可以使安装恶意软件不会引起任何提示性错误。甚至价格昂贵的基于网络的防火墙也很难区别BITS应该下载什么和不应该下载什么。BITS的低带宽和异步性质也使防火墙很难检测到任何恶意活动。

　　那么，为什么这种滥用有用的技术不会引起报警呢?这种攻击实际上不是由Windows更新程序的安全漏洞引起的。攻击者没有向微软网站装载让BITS下载的恶意文件。要让这种攻击奏效，用户必须首先下载并且执行Win32/Jowspry文件。只有到这个时候，这个木马软件才能够利用BITS安装额外的恶意软件。要恶意使用BITS，这个木马程序需要安装到用户的计算机中。BITS不是最初感染的攻击目标。它仅仅是恶意软件在把自己安装到用户计算机时用来绕过防火墙技术的一种机制。

　　与Windows更新攻击作斗争的最佳方法是加强用户之间的了解，教育用户了解处理来自不明的来源以及意料之外的来源的消息和文件的安全策略。这将减少用户下载Win32/Jowspry和其它感染计算机的恶意程序。一些专家建议把BITS的访问权限仅仅限制在批准的或者可信赖的网络地址。然而，由于许多第三方软件厂商使用它发布软件更新，这种方法作为绕过漏洞的措施有许多不便。这需要人们认真维护批准的网络地址的白名单。

　　虽然这种攻击漏洞表面上看很容易修复，但是，Windows更新攻击突出表明，攻击者的攻击手段越来越高级，他们对Windows操作系统的理解越来越深刻了。