.NET默认WinRAR为安全应用程序，导致在RAR压缩文件中的恶意软件，能够避开防病毒软件侦测

台湾趋势科技研究开发部技术经理潘明杰日前在第八届台湾黑客年会（HIT）上，首度揭露.NET Framework 4.0信任机制的一项软件设计上的逻辑漏洞，并现场示范，在WinRAR压缩程序中的恶意网页，如何躲过防病毒软件和微软操作系统安全机制侦测，顺利安装并执行。

数联资安副总经理张裕敏表示，为了安全性，企业应该积极修复该漏洞。但他也观察到，许多企业因为担心修复.NET漏洞后，会担心无法使用其他企业开发的应用程序，这也造成许多企业对于修复.NET漏洞并不积极，让.NET漏洞成为许多企业的隐忧。

使用ClickOnce部署方式应避免设信任网站

潘明杰表示，微软Windows Vista以上版本的操作系统中，会有UAC（使用者账号控制）、DEP（数据执行禁止）等安全控管功能，限制用户安装某些应用程序，甚至必须取得管理员（Administrator）的权限才能安装。但在.NET中，为了简化Web部署应用程序的便利性，提供了ClickOnce的部署方式。

潘明杰说，目前微软有两个与.NET远程执行应用程序相关的漏洞， MS11-044主要是让黑客远程执行程序代码以发动攻击，若已完成漏洞修补，浏览器在执行网页应用程序时会进行网络检查，安装网页应用程序时也会出现安装程序的警告窗口；而MS12-035除了在安装网页应用程序时会提出警告窗口，也特别针对安装在本地端的应用程序，进行检查并出现安装警告窗口。

根据潘明杰的研究，黑客若要利用.NET漏洞发动攻击，可以透过部署网页应用程序的ClickOnce技术，从网页、浏览器端发动攻击。由于.NET很多应用程序都会透过浏览器进行安装，他说，倘若IT人员因为不喜欢看到安装程序警告窗口，将某些网站设为信任的安全网页，黑客便可将恶意软件植入该安全网站中，使用者一旦开启该网页，因为不会出现任何安装程序的警告窗口，用户的计算机便会被植入该恶意软件。他说：「这种信任网站的设定，大幅增加企业的资安风险。」

另一个风险则是储存在本地端的浏览器应用程序XBAP（XAML Browser Application）。

潘明杰说，如果用户收到一个电子邮件，其中包含有恶意软件在内的HTML 5档案或是浏览器应用程序XBAP，因为这个电子邮件储存在本地端，使用者点选到恶意HTML 5档案时，就会安装该恶意软件。他认为，IT人员在部署各种网页应用程序时，应避免将HTML 5档案储存在本地端，以减少误点恶意HTML 5网页的风险。

企业应修补.NET漏洞

不过，修补微软MS11-044和MS12-035的漏洞后，并不意味着.NET Framework 4.0用户安全无虞。潘明杰在黑客年会上示范，将.NET组件和恶意HTML档案包在WinRAR压缩文件中，使用者执行压缩文件时，并不会出现任何安装程序警告窗口，解开压缩文件后，使用者若直接点选档案清单上的HTML恶意档案，在不会出现任何安装应用程序的警告窗口，就可以成功安装该应用程序。

也就是说，.NET Framework将WinRAR视为安全的应用程序，用户在默认的安全程序中执行.NET应用程序时，不会出现任何警告窗口。所以WinRAR压缩文件中的恶意网页，就可以绕过防毒和微软安全机制，将恶意软件植入用户的计算机。

张裕敏表示，从潘明杰的研究可以发现，企业为了确保.NET开发的系统安全性，修补MS11-044和MS12-035是当务之急，在浏览器安全限制上，不要轻易将任何应用程序或网站设为完全信任的应用程序或网站，在此同时，使用者在执行各种应用程序时，也不要轻易执行安装来路不明的HTML档案，确保用户计算机的安全性。他也建议，IT人员可清查企业内计算机，让不需要安装.NET的计算机就不用安装，可以提升计算机系统的安全性。