攻防实战：深入剖析最新IE7.0 0day漏洞利用代码

核心提示： 1. SACL 法（仅适用于 Vista）[Unicode]Unicode=yes[Version]signature="$CHICAGO$"Revision=1[File Security]"%ProgramFiles%CommonFilesSystemOl

1. SACL 法（仅适用于 Vista）

[Unicode]
Unicode=yes
[Version]
signature="$CHICAGO$"
Revision=1
[File Security]
"%ProgramFiles%CommonFilesSystemOle DBoledb32.dll",2,"S:(ML;;NWNRNX;;;ME)"

将以上内容保存为 BlockAccess_x86.inf

然后在命令提示符里执行 SecEdit /configure /db BlockAccess.sdb /cfg <inf file>

其中 <inf file> 为 inf 文件路径。若成功会看到“任务成功结束”的提示。

2. 禁用 Row Position 功能法

HKEY_CLASSES_ROOTCLSID{2048EEE6-7FA2-11D0-9E6A-00A0C9138C29}

打开注册表编辑器，将此键删除即可。

3. 取消 DLL 注册法

在命令提示符中输入 Regsvr32.exe /u "%ProgramFiles%Common FilesSystemOle DBoledb32.dll"即可

4. 权限设置法

在命令提示符中输入 cacls "%ProgramFiles%Common FilesSystemOle DBoledb32.dll" /E /P everyone:N

Vista 系统则需要输入3个命令：

takeown /f "%ProgramFiles%Common FilesSystemOle DBoledb32.dll"
icacls "%ProgramFiles%Common FilesSystemOle DBoledb32.dll" /save %TEMP%oledb32.32.dll.TXT
icacls "%ProgramFiles%Common FilesSystemOle DBoledb32.dll" /deny everyone:(F)

其中第一种方法影响最小（只影响 IE 对此 DLL 的访问）。

五.经验及感受

Microsoft在12月份已经连续发布了多个安全漏洞和补丁，网管人员现在疲于应付补丁情况。而这次的IE7 0day到今天还没有公布安全补丁，这也充分证明了代码设计人员在代码写出来之后从事代码校验和检查是一件多么重要的事情。Microsoft作为一个著名的国际大公司在代码安全上已经很注重检查和跟踪了，尚且出了这么多次安全漏洞，我们国内的一些公司在代码审核上基本上毫不设防，值得我们深思！！！

本次分析只是一次简单的分析和测试，由于水平有限，没有深入的跟踪下去，如有不当之处希望大家多多指教，也希望欢迎大家多多提供安全线索，俺以及安天365团队（antian365.com）将免费为您进行安全检测。谢谢大家耐心看完本文，不到之处请指正。