北京安域领创科技有限公司北京安域领创科技有限公司安全服务通告报告周期 :2017 年 10 月第二周 (2017 年 10 月 9 日年 10 月 15 日 )

Size: px

Start display at page:

Download "北京安域领创科技有限公司北京安域领创科技有限公司安全服务通告报告周期 :2017 年 10 月第二周 (2017 年 10 月 9 日年 10 月 15 日 )"

导尚
5 years ago
Views:

1 安全服务通告报告周期 :2017 年 10 月第二周 (2017 年 10 月 9 日年 10 月 15 日 )

2 目录 1 本周漏洞通告漏洞一 :Apache Tomcat 远程代码执行漏洞漏洞二 :PHPCMS V9.6.3 后台存在 CSRF 漏洞和任意文件写入漏洞漏洞三 :Joomla! 组件 Ajax Quiz SQL 注入漏洞漏洞四 :Apache NiFi XML 外部实体注入漏洞漏洞五 :Microsoft Windows SMB Server 远程代码执行漏洞漏洞六 :NexusPHP staffbox.php 文件 SQL 注入漏洞本周病毒木马通告本周流行病毒木马统计 Trojan.Win32.BHO.hdz( 木马病毒 ) 病毒木马防范措施安全事件通告本周国内外安全事件通告征信巨头 Equifax 遭黑客入侵约 1100 万美国车主信息遭泄漏思科 SDL 开发库被爆存在严重远程代码执行漏洞勒索软件 Locky 再现新变种, 使用扩展名.Asasin 加密文件 CVE :Windows SMB 安全漏洞预警全球首家发现新型攻击使用微软 Office 0day 漏洞紧急预警通知关于 DNSmasq 存在多个高危漏洞的安全公告漏洞简介... 26

3 4.1.2 漏洞危害漏洞影响范围修复建议关于 Microsoft Windows SMB Server 存在远程代码执行漏洞的安全公告漏洞简介漏洞危害漏洞影响范围修复建议... 30

4 1 本周漏洞通告 1.1 漏洞一 :Apache Tomcat 远程代码执行漏洞发布时间更新时间 CNVD-ID 漏洞危害级别 CNVD 高危影响产品 Apache Tomcat <= 漏洞类型远程代码执行漏洞 Apache Tomcat 是一个流行的开源 JSP 应用服务器程序漏洞描述 Apache Tomcat 存在远程代码执行漏洞, Apache Tomcat 启用 HTTP PUT 后, 攻击者通过构造的请求, 可上传任意 JSP 文件到服务器, 造成远程代码执行目前厂商已经发布了升级补丁以修复这个安全问题, 请到漏洞解决方案厂商的主页下载 : 漏洞二 :PHPCMS V9.6.3 后台存在 CSRF 漏洞和任意文件写入漏洞发布时间更新时间

5 CNVD-ID 漏洞危害级别影响产品 CNVD 高危酷溜网 ( 北京 ) 科技有限公司 PHPCMS V9.6.3 漏洞类型多个漏洞 PHPCMS 是一套基于 PHP 和 Mysql 架构的网站内容管理系统漏洞描述 PHPcms V9.6.3 版本后台存在 CSRF 漏洞和任意文件写入漏洞攻击者可利用该漏洞远程写入木马文件, 获取网站服务器管理权限漏洞解决方案厂商尚未提供漏洞修补方案, 请关注厂商主页及时更新 : 漏洞三 :Joomla! 组件 Ajax Quiz SQL 注入漏洞发布时间更新时间 CNVD-ID 漏洞类型漏洞危害级别 CNVD Sql 注入漏洞高危影响产品 Joomla! Ajax Quiz 1.8 Joomla! 是美国 Open Source Matters 团队开发的一套漏洞描述开源的内容管理系统 (CMS) Joomla! 组件 Ajax Quiz 存在 SQL 注入漏洞攻击者可以 2

6 利用漏洞获取数据库敏感信息漏洞解决方案目前没有详细解决方案提供 : 漏洞四 :Apache NiFi XML 外部实体注入漏洞发布时间更新时间 CNVD-ID 漏洞危害级别漏洞类型 CNVD 高危命令执行漏洞影响产品 Apache Nifi Apache Group NiFi Apache NiFi 是处理和分发数据的系统漏洞描述 Apache NiFi 至版本在实现上存在 XML 外部实体注入漏洞, 攻击者通过 XXE 攻击可上传包含恶意代码的模板, 访问敏感文件目前厂商已经发布了升级补丁以修复这个安全问题, 请到漏洞解决方案厂商的主页下载 : 3

7 1.5 漏洞五 :Microsoft Windows SMB Server 远程代码执行漏洞发布时间更新时间 CNVD-ID 漏洞类型漏洞危害级别 CNVD 远程代码执行漏洞高危 Microsoft Windows Server 2008 R2 for x64-based Systems SP1 0 Microsoft Windows Server 2008 for 32-bit Systems SP2 Microsoft Windows Server 2008 for Itanium-based Systems SP2 影响产品 Microsoft Windows Server 2008 for x64-based Systems SP2 Microsoft Windows 7 for 32-bit Systems SP1 Microsoft Windows 7 for x64-based Systems SP1 Microsoft Windows Server 2008 R2 for Itaniumbased Systems SP1 Microsoft Windows Windows Server 2012 Microsoft Windows Server 2012 R2 4

8 Microsoft Windows RT 8.1 Microsoft Windows Server 2016 Microsoft Windows 10 Version 1607 for x64-based Systems 0 Microsoft Windows 10 Version 1607 for 32-bit Systems 0 Microsoft Windows 10 for 32-bit Systems Microsoft Windows 10 for x64-based Systems Microsoft Windows 10 Version 1511 for 32-bit Systems Microsoft Windows 10 Version 1511 for x64-based Systems Microsoft Windows 10 Version 1703 for 32-bit Systems Microsoft Windows 10 Version 1703 for x64-based Systems Microsoft Windows 8.1 for 32-bit systems Microsoft Windows 8.1 for x64-based systems Microsoft Windows 是美国微软 (Microsoft) 公司发布漏洞描述的一系列操作系统 Sever Message Block(SMB) 是其中的一个为计算机提供身份验证用以访问服务器上打印机和文件系统的组件 5

9 Microsoft Windows SMB Server 存在远程执行代码漏洞, 远程攻击者可利用漏洞在目标系统上执行任意代码, 失败的攻击将导致拒绝服务漏洞解决方案用户可联系供应商获得补丁信息 : 漏洞六 :NexusPHP staffbox.php 文件 SQL 注入漏洞发布时间更新时间 CNVD-ID 漏洞危害级别漏洞类型影响产品 CNVD 高危 Sql 注入漏洞 NexusPHP NexusPHP 1.5.beta NexusPHP 是中国 Nexus 团队开发的一套使用 PHP 编写的资源分享社区解决方案漏洞描述 NexusPHP 1.5.beta 版本中存在 SQL 注入漏洞远程攻击者可通过向 staffbox.php 文件发送 setanswered 参数利用该漏洞执行任意的 SQL 命令漏洞解决方案厂商尚未提供漏洞修复方案, 请关注厂商主页更新 : 6

10 2 本周病毒木马通告 2.1 本周流行病毒木马统计 Trojan.Win32.BHO.hdz( 木马病毒 ) 病毒危险级别 : 该病毒运行后查找主流杀毒软件进程, 并尝试将其结束同时病毒还将修改用户的注册表, 以便实现开机自启动除此之外, 该病毒还在后台连接黑客指定网址, 并为恶意网址刷流量, 占用大量网络资源用户一旦中毒, 有可能出现网络拥堵等现象 2.2 病毒木马防范措施针对出现的计算机病毒, 我们可以采用以下的措施进行防护 : 安装正版防病毒软件, 并及时进行升级, 不使用盗版或者来历不明的软件, 特别不能使用盗版的杀毒软件, 对未知程序要使用查毒软件进行检查, 未经检查的可执行文件不能拷入硬盘, 更不能使用, 将硬盘引导区和主引导扇区备份下来, 并经常对重要数据进行备份当计算机屏幕出现一些无意义的显示画面或异常的提示信息屏幕出现异常滚动而与行同步无关系统出现异常死机和重启动现象系统不承认硬盘或硬盘不能引导系统计算机自动产生鸣叫系统引导或程序装入时速度明显减慢, 或异常要求用户输入口令文件或数据无故地丢失, 或文件长度自动发生了变化磁盘出现坏簇或可用空间变小, 或不识别磁盘设备编辑文本文件时, 频繁地自动存盘等现象时, 使用反病毒软件进行检测发现病毒立即清除, 将病毒危害减小到最小限度备份硬盘引导区和主引导扇区的数据, 经常对重要的数据进行备份 7

11 定期给系统打补丁, 将系统补丁升级至最新对插入电脑的光盘,u 盘进行杀毒后再运行禁止访问不良网页, 或打开非法链接的邮件关闭系统不使用的端口服务, 如 3389, 等 8

3 安全事件通告 3.1 本周国内外安全事件通告 3.1.1 征信巨头 Equifax 遭黑客入侵约 1100 万美国车主信息遭泄漏据华尔街日报报道, 由于全球征信巨头艾可飞 (Equifax) 今年遭遇网络攻击, 至少约 1090 万名美国司机的驾照信息被泄漏 ; 目前美国多个联邦以及州政府部门正在调查此事, 美国司法部已经展开刑事调查据了解, 全球总共约有 1.

12 3 安全事件通告 3.1 本周国内外安全事件通告征信巨头 Equifax 遭黑客入侵约 1100 万美国车主信息遭泄漏据华尔街日报报道, 由于全球征信巨头艾可飞 (Equifax) 今年遭遇网络攻击, 至少约 1090 万名美国司机的驾照信息被泄漏 ; 目前美国多个联邦以及州政府部门正在调查此事, 美国司法部已经展开刑事调查据了解, 全球总共约有亿名用户的信息遭到泄漏, 其中包括社会安全号码生日以及地址等信息当用户登陆艾可飞网站查询信用评估信息时, 用户被要求提供身份信息, 比如驾照信息以验证身份结果, 这个验证网页成为了黑客们发动网络攻击的切入点而驾照作为身份验证的常用方式, 顾客的驾照信息遭到大量泄漏与窃取艾可飞公司周二表示, 在总共近 1.5 亿名受影响客户中, 绝大部分用户是美国人 ; 9

另外英国 1520 万条用户记录也遭到泄漏, 其中包括近 70 万名用户的敏感信息艾可飞表示,2011 至 2016 年期间的 1450 万条记录不包含会将英国消费者置于危险之中信息艾可飞表示, 公司将通过电子邮件的方式照会 693665 名受影响的英国用户, 并向他们免费提供艾可飞以及第三方公司研发的降低风险产品, 从而最小化刑事犯罪的风险从今年 5 月中旬到 7 月底,

13 另外英国 1520 万条用户记录也遭到泄漏, 其中包括近 70 万名用户的敏感信息艾可飞表示,2011 至 2016 年期间的 1450 万条记录不包含会将英国消费者置于危险之中信息艾可飞表示, 公司将通过电子邮件的方式照会名受影响的英国用户, 并向他们免费提供艾可飞以及第三方公司研发的降低风险产品, 从而最小化刑事犯罪的风险从今年 5 月中旬到 7 月底, 艾可飞遭遇了黑客网络攻击, 但是公司直至 9 月 7 日才公布相关信息艾可飞公司的做法招致了消费者监管当局以及立法者的强烈批评之后, 艾可飞与公司首席执行官首席信息官以及首席安全官分道扬镳艾可飞欧洲总裁帕特里西奥雷蒙 (Patricio Remon) 表示 : 对于关注以及受到黑客非法入侵行为影响的所有人, 我再次向你们致以最诚挚的歉意在这里, 我想再次强调, 保护顾客以及消费者数据一直是我们的首要目标前艾可飞公司 CEO 理查德史密斯 (Richard Smith) 表示, 今年 3 月, 艾可飞曾被警告称公司一个或者多个系统中存在软件安全危险, 但是由于人为以及技术失败双重原因, 公司未能及时修复这些问题作为一家征信公司, 艾可飞为银行以及其他信用机构保存着海量用户信息, 以帮助 10

14 银行等判断用户拖欠违约的概率而本次黑客攻击事件已经遭到了多个联邦以及州政府机构的调查, 其中包括美国司法部的刑事调查介入艾可飞本月初还表示, 约 8000 名加拿大消费者的信息也遭到了泄漏, 较之前预估的 10 万名大幅减少 ; 公司将向受影响客户发布电子邮件通知, 并通过免费信用监测身份防盗服务来降低事件影响思科 SDL 开发库被爆存在严重远程代码执行漏洞 SDL(Simple DirectMedia Layer) 是一套开放源代码的跨平台多媒体开发库, 提供了数种控制图像声音输出入的函数, 让开发者只要用相同或是相似的代码就可以开发出跨多个平台 (Linux Windows Mac OS X 等 ) 的应用软件目前,SDL 多用于开发游戏模拟器媒体播放器等多媒体应用领域 SDL 已被用于开发了数百种游戏, 包括由 Valve 制作的游戏以及 VLC 媒体播放器最近, 思科 Talos 团队的研究人员在 SDL 中发现了两个高危的远程代码执行漏洞研究员 Yves Younan 发现,SDL 受到内存损坏漏洞的影响, 可以通过使用库来处理特制文件, 之后就能在目标机器上远程执行任意代码 Talos 团队表示, 攻击中会用到一个可以触发漏洞的 XCF 文件 XCF 是流行的图像编辑工具 GIMP 所使用的格式第一个漏洞是一个整数溢出 (CVE ) 漏洞, 可以通过调用 CreateRGBSurface 11

15 函数创建新的 RGB 曲线时触发思科在其咨询中表示 : 传递给该函数的足够大的宽度和高度值可能会导致乘法运算溢出, 从而导致分配的内存太少, 随后的内存写入就会超出范围第二个漏洞是 SDL_image 映像文件加载库的 XCF 属性处理功能中的一个缓冲区溢出漏洞 (CVE ) 思科说 : 这个漏洞是由于从文件中读取的数据和随后使用的数据之间的验证不足造成在这种情况下, 从 XCF 镜像文件中读取的 id 和 length 属性值无需验证就直接被使用, 这可能会导致基于堆栈的缓冲区溢出这些漏洞影响的产品包括 SDL 和 SDL_image 思科表示, 在 SDL 中这两个漏洞似乎被修复了, 但在该版本的发行说明中并未提及任何安全修复勒索软件 Locky 再现新变种, 使用扩展名.Asasin 加密文件 10 月 10 日勒索软件 Locky 的一个变种 Asasin 被发布, 使用扩展名.asasin 加密文件目前, 此变种正通过垃圾电子邮件进行分发, 电子邮件主题类似于文件 invoice_95649_sign_and_return.pdf 已完成发件人显示为 RightSignature, 发件地址为 document@rightsignature.com 12

16 值得庆幸的是, 这些分发垃圾邮件的人员似乎不太会正确添加附件, 这导致大多数收件人无法正常看到这些附加许多邮件中的附件都只是显示为下面图片中所示的一组 base64 编码文本, 而没有真实的文件被添加到附件中此外, 即使在少数邮件中看到了正常的附件, 也是一些.7zip 或.7z 文件, 这也导致很多没有安装解压软件的收件人无法打开它们 13

之间并没有什么太大的区别最大的变化是, Asasin 在加密文件时, 它会修改文件名并追加.asasin 扩展, 而不是.

17 当然, 值得注意的是, 这些.7zip 或.7z 文件中包含了 VBS 文件当 VBS 文件被执行时, 将会从远程站点下载 Asasin 的可执行文件并执行 Asasin 和之前 ykcol 之间并没有什么太大的区别最大的变化是, Asasin 在加密文件时, 它会修改文件名并追加.asasin 扩展, 而不是.ykcol 当重命名文件时, 它使用格式 [first_8_hexadecimal_chars_of_id] - [next_4_hexadecimal_chars_of_id] - [next_4_hexadecimal_chars_of_id] - [4_hexadecimal_chars] - [12_hexadecimal_chars].asasin 14

这意味着文件名为 1.png 的文件在被加密后, 其文件名将变更为 E87091F1-D24A- 922B-00F6B112-72BB7EA6EADF.asasin 当 Asasin 完成对计算机文件的加密后, 它会删除下载的可执行文件然后, 会显示一个赎金票据, 提供有关如何支付赎金的信息这些赎金票据的名称也已经更改为 asasin.htm 和 asasin.

18 这意味着文件名为 1.png 的文件在被加密后, 其文件名将变更为 E87091F1-D24A- 922B-00F6B112-72BB7EA6EADF.asasin 当 Asasin 完成对计算机文件的加密后, 它会删除下载的可执行文件然后, 会显示一个赎金票据, 提供有关如何支付赎金的信息这些赎金票据的名称也已经更改为 asasin.htm 和 asasin.bmp, 赎金金额依旧为 25 比特币 ( 约值 1.2 美元 ) 与 ykcol 刚被发布出来时一样, 短期内都不会有解密. asasin 文件的方法恢复加密文件唯一的方法是通过文件备份, 或者是你足够幸运能够通过卷影副本恢复成功 Asasin 同样也会试图删除卷影副本, 但在极少数情况下, 由于某种原因 Asasin 的这个操作也存在失败的概率因此, 如果你没有可行的文件备份, 卷影副本依旧会是你恢复加密文件的最后手段 15

3.1.4 CVE-2017-11780:Windows SMB 安全漏洞预警 Windows 系统安全更新 2017 年 10 月 10 日, 微软发布了 2017 年 10 月安全更新公告, 修补了多个高危漏洞, 根据公告描述受影响的系统从 Windows Server 2008 到 Windows 10 都包含 : Windows 10

19 3.1.4 CVE :Windows SMB 安全漏洞预警 Windows 系统安全更新 2017 年 10 月 10 日, 微软发布了 2017 年 10 月安全更新公告, 修补了多个高危漏洞, 根据公告描述受影响的系统从 Windows Server 2008 到 Windows 10 都包含 : Windows Windows Windows Server 2016 Windows Windows 10 RTM Windows 8.1 Windows Server 2012 R2 Windows Server 2012 Windows 7 Windows Server 2008 R2 Windows Server

20 软件更新摘要 : 同时也包含客户端安全更新, 特别是已经有在利用的 Office 漏洞 : Internet Explorer Microsoft Edge Office SharePoint 漏洞可利用情况根据公告,CVE 的 Windows SMB(SMBv1) 远程代码执行漏洞攻击成功率很高, 利用代码一旦公开可能会有恶意攻击者用来制造蠕虫传播 ; 在局域网情形中 CVE 的 Windows Search 远程代码执行漏洞也是通过 SMB 连接远程触发, 攻击成功后即可控制目标计算机 ; 同时 CVE 的 Windows DNSAPI 远程执行代码漏洞, 也可能受到攻击者建立的一台恶意 DNS 服务器的虚假响应而被攻击 ; 而 CVE 的 Microsoft Office 内存损坏漏洞利用样本已经出现在攻击行动中, 建议尽快安装安全更新补丁和采取相应的缓解措施保护系统安全运行影响版本范围其中 CVE 的 Windows SMB(SMBv1) 远程代码执行漏洞影响如下系统版本 : Windows 10 for 32-bit Systems Windows 10 for x64-based Systems Windows 10 Version 1511 for 32-bit Systems Windows 10 Version 1511 for x64-based Systems Windows 10 Version 1607 for 32-bit Systems 17

21 Windows 10 Version 1607 for x64-based Systems Windows 10 Version 1703 for 32-bit Systems Windows 10 Version 1703 for x64-based Systems Windows 7 for 32-bit Systems Service Pack 1 Windows 7 for x64-based Systems Service Pack 1 Windows 8.1 for 32-bit systems Windows 8.1 for x64-based systems Windows RT 8.1 Windows Server 2008 for 32-bit Systems Service Pack 2 Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation) Windows Server 2008 for Itanium-Based Systems Service Pack 2 Windows Server 2008 for x64-based Systems Service Pack 2 Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation) Windows Server 2008 R2 for Itanium-Based Systems Service Pack 1 Windows Server 2008 R2 for x64-based Systems Service Pack 1 Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation) Windows Server 2012 Windows Server 2012 (Server Core installation) Windows Server 2012 R2 Windows Server 2012 R2 (Server Core installation) Windows Server 2016 Windows Server 2016 (Server Core installation) 18

22 微软更新指南 : 其中 CVE 的 Windows Search 远程代码执行漏洞影响如下系统版本 : Windows 10 for 32-bit Systems Windows 10 for x64-based Systems Windows 10 Version 1511 for 32-bit Systems Windows 10 Version 1511 for x64-based Systems Windows 10 Version 1607 for 32-bit Systems Windows 10 Version 1607 for x64-based Systems Windows 10 Version 1703 for 32-bit Systems Windows 10 Version 1703 for x64-based Systems Windows 7 for 32-bit Systems Service Pack 1 Windows 7 for x64-based Systems Service Pack 1 Windows 8.1 for 32-bit systems Windows 8.1 for x64-based systems Windows RT 8.1 Windows Server 2008 for 32-bit Systems Service Pack 2 Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation) Windows Server 2008 for Itanium-Based Systems Service Pack 2 Windows Server 2008 for x64-based Systems Service Pack 2 Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation) Windows Server 2008 R2 for Itanium-Based Systems Service Pack 1 19

23 Windows Server 2008 R2 for x64-based Systems Service Pack 1 Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation) Windows Server 2012 Windows Server 2012 (Server Core installation) Windows Server 2012 R2 Windows Server 2012 R2 (Server Core installation) Windows Server 2016 Windows Server 2016 (Server Core installation) 微软更新指南 : 其中 CVE 的 Windows DNSAPI 远程执行代码漏洞影响如下系统版本 : Windows 10 for 32-bit Systems Windows 10 for x64-based Systems Windows 10 Version 1511 for 32-bit Systems Windows 10 Version 1511 for x64-based Systems Windows 10 Version 1607 for 32-bit Systems Windows 10 Version 1607 for x64-based Systems Windows 10 Version 1703 for 32-bit Systems Windows 10 Version 1703 for x64-based Systems Windows 8.1 for 32-bit systems Windows 8.1 for x64-based systems Windows RT

24 Windows Server 2012 Windows Server 2012 (Server Core installation) Windows Server 2012 R2 Windows Server 2012 R2 (Server Core installation) Windows Server 2016 Windows Server 2016 (Server Core installation) 微软更新指南 : 其中 CVE 的 Microsoft Office 内存损坏漏洞影响如下 Office 版本 : Microsoft Office Compatibility Pack Service Pack 3 Microsoft Office Online Server 2016 Microsoft Office Web Apps Server 2010 Service Pack 2 Microsoft Office Web Apps Server 2013 Service Pack 1 Microsoft Office Word Viewer Microsoft SharePoint Enterprise Server 2016 Microsoft Word 2007 Service Pack 3 Microsoft Word 2010 Service Pack 2 (32-bit editions) Microsoft Word 2010 Service Pack 2 (64-bit editions) Microsoft Word 2013 RT Service Pack 1 Microsoft Word 2013 Service Pack 1 (32-bit editions) Microsoft Word 2013 Service Pack 1 (64-bit editions) Microsoft Word 2016 (32-bit edition) 21

25 Microsoft Word 2016 (64-bit edition) Word Automation Services(Microsoft SharePoint Server 2013 Service Pack 1) Word Automation Services(Microsoft SharePoint Server 2010 Service Pack 2) 微软更新指南 : 缓解措施 ( 安全应急建议等 ) 紧急 : 目前攻击代码已经出现强烈建议尽快安装安全更新补丁优先措施 : 个人电脑开启防火墙拦截外部访问本机 TCP445 端口, 服务器开启安全策略限制指定 IP 访问本机 TCP445 端口补丁更新 : 可以通过系统自带的更新功能打补丁, 也可以单独安装具体的补丁, 对应版本参考如下微软更新指南 : 找到对应的系统版本, 点击 Security Update 即可下载单独的补丁安全配置 : 如果某些特殊环境下的系统不方便打补丁, 可以参考如下安全配置进行变通处理针对 CVE 的 Windows SMB(SMBv1) 远程代码执行漏洞, 可以参考如何在 Windows 和 Windows Server 中启用和禁用 SMBv1 SMBv2 和 SMBv3 的指南 : CVE 的 Windows Search 远程代码执行漏洞, 可以参考禁用 WSearch 服务的方法 : 22

26 安全应急建议 :Windows SMB 的漏洞在历史上出现过严重蠕虫传播攻击, 强烈建议尽快更新安全补丁和继续关注安全威胁动态全球首家发现新型攻击使用微软 Office 0day 漏洞北京时间 10 月 11 日凌晨, 微软发布了新一轮安全更新, 修复了 Office 的高危漏洞 (CVE ) 该漏洞几乎影响微软目前支持的所有 Office 版本, 黑客发送利用该漏洞的恶意 Office 文件, 没有打补丁的用户点开文件就会中招, 成为被控制的肉鸡作为全球首家发现并向微软报告该漏洞细节的安全厂商,360 安全团队在漏洞发现后紧急升级了热补丁, 在官方补丁未发布前就实现了对该漏洞攻击的有效检测和防御同时,360 通过与微软安全团队的积极配合, 火速推进了该漏洞补丁的发布, 使其在发现一周内得以妥善修复在官方公告中, 微软对 360 的贡献进行了公开致谢图 : 微软官方对 360 安全团队进行公开致谢 2017 年至今, 黑客针对广大用户日常必备的办公软件进行的 0day 攻击呈增长趋势攻击者利用该漏洞诱导用户打开藏有恶意代码的 Office 文件, 从而在系统上执行任意命令, 达到控制用户系统的目的, 甚至还可能将该漏洞应用于 APT( 高级持续性威胁 ) 攻击美国五角大楼网络安全服务商趋势科技旗下的 ZDI( 零日计划 ) 项目组也把该漏洞列为本月最危险安全漏洞 23

图 :ZDI 把该漏洞列为本月最危险安全漏洞 9 月下旬,360 安全团队首次监测到利用本次 Office 0day 漏洞的真实攻击, 攻击者使用针对性的钓鱼文档, 诱使用户点击包含漏洞攻击程序的恶意 Word 文档, 在受害者电脑中驻留一个以文档窃密为主要功能的远程控制木马这是中国安全厂商首次在全球范围内率先捕获使用未公开 0day 漏洞的真实定向攻击!

27 图 :ZDI 把该漏洞列为本月最危险安全漏洞 9 月下旬,360 安全团队首次监测到利用本次 Office 0day 漏洞的真实攻击, 攻击者使用针对性的钓鱼文档, 诱使用户点击包含漏洞攻击程序的恶意 Word 文档, 在受害者电脑中驻留一个以文档窃密为主要功能的远程控制木马这是中国安全厂商首次在全球范围内率先捕获使用未公开 0day 漏洞的真实定向攻击! 这种攻击方式与常见的 Office 宏病毒不同, 在打开宏文档时,Office 通常会发出警告, 但利用该漏洞的攻击却没有任何提示, 再加上文档文件历来给人们的印象就是无毒无害, 人们一般难以察觉和防御, 相关的 0day 漏洞利用也很容易传播泛滥 360 集团创始人兼 CEO 周鸿祎曾说过, 如今, 网络安全不仅是网络本身的安全, 而是国家安全社会安全基础设施安全城市安全人身安全等更广泛意义上的安全大安全时代, 网络犯罪呈现爆发式样的增长, 针对特定目标的, 国家和地区级的网络攻击不断出现而目前, 在流行的高级威胁攻击中, 黑客远程入侵客户端最喜欢的漏洞就是 Office 0day 漏洞 2014 年, 俄罗斯黑客利用微软 Windows 系统中的 SandWorm( 沙虫 ) 漏洞 (CVE ) 对欧美国家政府北约, 以及乌克兰政府展开间谍活动该漏洞通过 Office 文档就可以触发, 甚至能绕过大部分主动防御类软件 ; 2017 年, 摩诃草组织主要针对中国巴基斯坦等亚洲地区国家进行网络间谍活动, 24

28 以窃取敏感信息在鱼叉邮件攻击中, 摩诃草组织频繁使用的正是针对微软 Office 系列的文档漏洞 (CVE 等 ); 2017 年, 在黑客奥斯卡 Pwnie Awards 上, 最佳客户端安全漏洞奖得主是一个由 MacAfee 研究员发现的 Office 0day 漏洞 (CVE ), 通过一个特殊的字符串, 就可以远程控制 Office, 甚至实现 APT 攻击看似无害的 Office 一旦出现漏洞, 很可能威力惊人在大安全时代, 漏洞是网络战争中的尖端武器, 而利用成本低, 经常被用于攻击高价值企事业单位的 Office 文档漏洞则像是精确制导的导弹, 针对目标进行精确打击面对恶意文档攻击,360 安全专家提醒广大用户, 需要提高安全意识, 不要打开来路不明的 Office 文档, 相关单位也需要警惕此类 0day 漏洞的定向攻击同时, 建议广大用户及时使用 360 安全卫士安装最新的漏洞补丁, 检测并清除在隐藏在电脑中存在漏洞攻击程序的文档 25

29 4 紧急预警通知 4.1 关于 DNSmasq 存在多个高危漏洞的安全公告近期, 国家信息安全漏洞共享平台 (CNVD) 收录了 DNSmasq 多个安全漏洞 (CNVD CNVD CNVD CNVD CNVD CNVD CNVD ) 远程攻击者可在目标系统上执行任意代码造成服务崩溃或窃取内存敏感信息, 影响范围涉及服务器终端 ( 包括移动终端 ) 操作系统发行版本及相关组件, 且当前利用方法已经公开, 有可能诱发大规模攻击漏洞简介 DNSmasq 是一款广泛使用的开源软件, 提供 DNS DHCP 路由器广告和网络引导服务在 DNS 服务中,DNSmasq 可以通过缓存 DNS 请求来提高对访问过的网址的连接速度 ; 在 DHCP 服务,DNSmasq 可以用于为局域网电脑分配内网 ip 地址和提供路由它还被广泛用于智能手机和便携式热点, 并支持虚拟化框架中的虚拟网络支持的平台包括 Linux( 与 glibc 和 uclibc) Android * BSD 和 Mac OSx Dnsmasq 包含在大多数 Linux 发行版和 FreeBSD OpenBSD 和 NetBSD 的端口系统中此外,Dnsmasq 对 IPv6 网络也提供了完整支持近日谷歌安全研究人员发现 Dnsmasq 存在 7 个高危漏洞, 相关漏洞详情如下 : 26

上述漏洞可以通过 DNS 和 DHCP 协议远程触发, 在特定情况下, 攻击者通过构造特定数据包请求, 导致远程代码执行信息泄露和拒绝服务 CNVD 对上述漏洞的综合评级均为高危 4.1.

30 上述漏洞可以通过 DNS 和 DHCP 协议远程触发, 在特定情况下, 攻击者通过构造特定数据包请求, 导致远程代码执行信息泄露和拒绝服务 CNVD 对上述漏洞的综合评级均为高危漏洞危害漏洞影响范围十分广泛, 涉及 Linux 以及 Android 操作系统发行版本以及多个自身组件版本, 也波及到一些网络设备或终端设备固件 CNVD 用户组成员单位华为公司对 27

31 其生产的产品情况进行了风险自查, 在已排查的有可能采用相关组件的 HG8021H HG8045A HG8045A2 HG8245A HG8247H 多款路由器中, 确认未受漏洞影响漏洞影响范围远程攻击者可在目标系统上执行任意代码造成服务崩溃或窃取内存敏感信息, 影响范围涉及服务器终端 ( 包括移动终端 ) 操作系统发行版本及相关组件, 且当前利用方法已经公开, 有可能诱发大规模攻击修复建议 DNSmasq 2.78 版本已修复了这些漏洞, 用户可通过链接 : 自行更新如未能更新, 可以采用以下临时解决方案 : 必要情况下, 请关闭影响 DNSmasq 安全的配置选项 ; 使用白名单机制, 这样可以使 DNSmasq 服务限制访问权限 ; 使用可信的 DNS 服务 4.2 关于 Microsoft Windows SMB Server 存在远程代码执行漏洞的安全公告近日, 国家信息安全漏洞共享平台 (CNVD) 收录了 Microsoft Windows SMB Server 远程代码执行漏洞 (CNVD , 对应 CVE ) 远程攻击者成功利用漏洞可允许在目标系统上执行任意代码, 如果利用失败将导致拒绝服务漏洞简介 Microsoft Windows 是美国微软公司发布的一系列操作系统服务器信息块 (SMB) 28

32 是一个网络文件共享协议, 它允许应用程序和终端用户从远端的文件服务器访问文件资源 2017 年 10 月 10 日微软漏洞补丁日修复了多个安全漏洞, 其中一个为 Microsoft WindowsSMB Server 远程执行代码漏洞, 根据官方描述该漏洞如果被成功利用, 远程攻击者可在目标系统上执行任意代码, 否则将导致拒绝服务 CNVD 对该漏洞的综合评级为高危综合业内各方研判情况, 该漏洞影响版本范围跨度大, 一旦漏洞细节披露, 将造成极为广泛的攻击威胁, 或可诱发 APT 攻击漏洞危害远程攻击者成功利用漏洞可允许在目标系统上执行任意代码, 如果利用失败将导致拒绝服务漏洞影响范围漏洞影响如下 : Microsoft Windows 10 Version1607 for 32-bit Systems Microsoft Windows 10 Version1607 for x64-based Systems Microsoft Windows 10 for 32-bitSystems Microsoft Windows 10 forx64-based Systems Microsoft Windows 10 version1511 for 32-bit Systems Microsoft Windows 10 version1511 for x64-based Systems Microsoft Windows 10 version1703 for 32-bit Systems Microsoft Windows 10 version1703 for x64-based Systems Microsoft Windows 7 for 32-bitSystems SP1 Microsoft Windows 7 for x64-basedsystems SP1 Microsoft Windows 8.1 for32-bit Systems 29

33 Microsoft Windows 8.1 forx64-based Systems Microsoft Windows RT 8.1 Microsoft Windows Server 2008R2 for Itanium-based Systems SP1 Microsoft Windows Server 2008R2 for x64-based Systems SP1 Microsoft Windows Server 2008for 32-bit Systems SP2 Microsoft Windows Server 2008for Itanium-based Systems SP2 Microsoft Windows Server 2008for x64-based Systems SP2 Microsoft Windows Server 2012 Microsoft Windows Server 2012R2 Microsoft Windows Server 修复建议微软官方发布了升级补丁修复该漏洞,CNVD 建议用户尽快升级程序, 打开 Windows Update 功能, 然后点击检查更新按钮, 根据业务情况下载安装相关安全补丁, 安装完毕后重启服务器, 检查系统运行情况临时解决方案 : 1 使用最小权限原则 2 避免使用客户端软件从关键系统访问未知的或不可信的主机 3 避免使用客户端应用程序连接到未知的或不可信的主机 30

课程标题

课程标题微软月度信息安全公告 2013 年 10 月苏鹏特约讲师议程安全公告 MS13-080~MS13-087 问与答 2013 年 10 月安全公告概述新发布的安全公告严重级 MS12-080~083 重要级 MS12-084~087 MSRC 通告安全等级 Microsoft Security Response Center (MSRC) 使用严重程度等级来帮助确定漏洞及相关的软件更新紧急性

北京安域领创科技有限公司 北京安域领创科技有限公司 安全服务通告 报告周期 :2017 年 10 月第二周 (2017 年 10 月 9 日 年 10 月 15 日 )

北京安域领创科技有限公司北京安域领创科技有限公司安全服务通告报告周期 :2017 年 10 月第二周 (2017 年 10 月 9 日年 10 月 15 日 )