目录 1 本周漏洞通告漏洞一 : 用友财务系统存在多个漏洞漏洞二 : 格尔安全认证网关系统存在多处命令执行漏洞漏洞三 :Cisco Prime Home 身份验证绕过漏洞漏洞四 :Oracle MySQL MariaDB

北京安域领创科技有限公司安全服务通告报告周期 :2016 年 11 月第二周 (2016 年 11 月 07 日 -11 月 13 日 )

目录 1 本周漏洞通告... 1 1.1 漏洞一 : 用友财务系统存在多个漏洞... 1 1.2 漏洞二 : 格尔安全认证网关系统存在多处命令执行漏洞... 2 1.3 漏洞三 :Cisco Prime Home 身份验证绕过漏洞... 3 1.4 漏洞四 :Oracle MySQL MariaDB 和 PerconaDB 提权漏洞... 4 1.5 漏洞五 : 施耐德 140NOE77101 以太网模块 IP 协议存在拒绝服务漏洞... 5 1.6 漏洞六 : 亿捷信宽带计费系统存在多个漏洞... 6 1.7 漏洞七 :Microsoft Windows 本地安全权限子系统服务拒绝服务漏洞... 7 2 本周病毒木马通告... 9 2.1 本周流行病毒木马统计... 9 2.1.1 Worm.Netsky!1.A4B9( 蠕虫病毒 )... 9 2.1.2 Trojan.Win32.BHO.hdz( 木马病毒 )... 9 2.2 病毒木马防范措施... 9 3 安全事件通告... 11 3.1 本周国内外安全事件通告... 11 3.1.1 印度驻 7 国使馆网站数据库遭黑客泄露... 11 3.1.2 OAuth2.0 部署不当, 数十亿 Android App 账户存泄露风险... 13 3.1.3 Gmail 存高危漏洞, 用户帐号可被轻松破解... 16 3.1.4 大战一触即发! 美国黑客已做好还击俄罗斯的准备... 20 3.1.5 Mirai 僵尸网络的战火还在弥漫, 利比亚已经沦陷!... 24 4 紧急预警通知... 28

4.1 Microsoft 发布 2016 年 11 月安全更新... 28

1 本周漏洞通告 1.1 漏洞一 : 用友财务系统存在多个漏洞发布时间 2016-11-07 更新时间 2016-11-07 CNVD-ID 漏洞危害级别影响产品漏洞类型 CNVD-2016-08312(sql 注入漏洞 ) CNVD-2016-08313( 文件上传 ) 高危用友网络科技股份有限公司用友财务系统 Sql 注入文件上传用友财务系统是一套财务管理软件 (sql 注入 ) 用友财务系统 /target/services/userinfoweb?wsdl 页面存在 SQL 注入漏洞攻击者利用漏洞可获取数据库信息用友财务系统是一套财务管理软件 ( 文件上传漏洞 ) 漏洞描述用友财务系统存在文件上传漏洞漏洞 payload : http://target/taskmanager/ebanktaskservlet?m=1& taskjson=cnvdtest&taskname=../../r9iportal/upload /cnvd.jsp%00&optiontype=create 提交以上请求, 允许攻击者利用漏洞上传任意脚本文件, 获得服务器权限漏洞解决方案厂商尚未提供漏洞修补方案, 请关注厂商主页及时更新 : http://www.yonyou.com/ 1

1.2 漏洞二 : 格尔安全认证网关系统存在多处命令执行漏洞发布时间 2016-11-07 更新时间 2016-11-07 CNVD-ID 漏洞危害级别影响产品漏洞类型 CNVD-2016-09983 高危上海格尔软件股份有限公司格尔安全认证网关系统命令执行格尔安全认证网关为网络应用提供基于数字证书的高强度身份认证服务和高强度数据链路加密服务漏洞描述格尔安全认证网关系统存在多处命令执行漏洞攻击者利用漏洞可构造请求, 执行任意命令, 写入 webshell, 获取服务器权限, 构成敏感信息泄露目前厂商已经发布了升级补丁以修复此安全问题, 补丁获漏洞解决方案取链接, 用户可联系厂商获取相关补丁包 "SSL5.2.4_Sec_Enhance.160126" 2

1.3 漏洞三 :Cisco Prime Home 身份验证绕过漏洞发布时间 2016-11-07 更新时间 2016-11-07 CNVD-ID 漏洞类型漏洞危害级别 CNVD-2016-10639 身份验证绕过高危影响产品 Cisco Prime Home <=5.1.1.6 Cisco Prime Home <=5.2.2.2 Cisco Prime Home 是美国思科 (Cisco) 公司的一套基于标准的远程管理和配置解决方案该方案提供家庭连接设备的统一视图的可视性降低家庭网络运营成本和提高了漏洞描述用户体验等功能 Cisco Prime Home 5.1.1.6 及之前的版本和 5.2.2.2 及之前的版本中的 web-based 图形用户界面存在身份验证绕过漏洞攻击者可通过发送特制的 HTTP 请求利用该漏洞获取全部管理员权限用户可参考如下供应商提供的安全公告获得补丁信息 : 漏洞解决方案 https://tools.cisco.com/security/center/content/cisc osecurityadvisory/cisco-sa-20161102-cph 3

1.4 漏洞四 :Oracle MySQL MariaDB 和 PerconaDB 提权漏洞发布时间 2016-11-08 更新时间 2016-11-08 CNVD-ID 漏洞类型漏洞危害级别 CNVD-2016-06489 提权漏洞高危影响产品 MariaDB MariaDB Oracle MySQL <=5.5.51 Oracle MySQL <=5.6.32 Oracle MySQL <=5.7.14 Oracle MySQL MariaDB 和 PerconaServer 都是数据库管理系统 MySQL 是美国甲骨文 (Oracle) 公司的产品 MariaDB 是美国 MontyProgramAb 公司和美国漏洞描述 MariaDB 基金会共同开发的产品 PerconaServer 是美国 Percona 公司开发的产品 PerconaXtraDBCluster 是一套可扩展的开源的用于 MySQL 集群的解决方案 Oracle MySQL MariaDB 和 PerconaDB 中存在提权漏洞攻击者可利用该漏洞获取 root 权限, 完全控制系统用户可参考如下供应商提供的安全公告获得补丁信息 : 漏洞解决方案 http://www.mysql.com/https://mariadb.org/https:// www.percona.com/ 4

1.5 漏洞五 : 施耐德 140NOE77101 以太网模块 IP 协议存在拒绝服务漏洞发布时间 2016-11-08 更新时间 2016-11-08 CNVD-ID 漏洞危害级别漏洞类型影响产品 CNVD-2016-07838 高危 Ip 协议拒绝服务漏洞施耐德 (Schneider Electric) 140NOE77101 140NOE77101 是施耐德公司 Quantum 系列 PLC 的以太网通讯模块漏洞描述 140NOE77101 以太网模块 IP 协议存在拒绝服务漏洞, 该漏洞产生的原因是 NOE 模块接收全部分段并重组报文时总长度超过了 65535 字节, 导致 NOE 模块出现内存分配错误, 触发 TCP/IP 堆栈崩溃漏洞解决方案目前厂商暂无补丁发布,( 无补丁信息 ), 请持续关注该厂商官网 5

1.6 漏洞六 : 亿捷信宽带计费系统存在多个漏洞发布时间 2016-11-10 更新时间 2016-11-10 CNVD-ID 漏洞危害级别影响产品漏洞类型 CNVD-2016-08279( 弱口令漏洞 ) CNVD-2016-08278(sql 注入漏洞 ) 高危北京慧森亿信网络科技有限公司亿捷信宽带计费系统弱口令 sql 注入亿捷信宽带计费系统是支持多种用户认证方式 ( 弱口令 ) 亿捷信宽带计费系统存在弱口令漏洞存在默认口令 hsj/hsj jixunadmin/ jixunadmin 允许攻击者利用漏洞漏洞描述获取敏感信息亿捷信宽带计费系统是支持多种用户认证方式 (loginname 存在 sql 注入 ) 亿捷信宽带计费系统 loginname 参数存在 SQL 注入漏洞允许攻击者可以利用漏洞获取敏感信息漏洞解决方案厂商尚未提供漏洞修补方案, 请关注厂商主页及时更新 : http://www.passart.cn/ 6

1.7 漏洞七 :Microsoft Windows 本地安全权限子系统服务拒绝服务漏洞发布时间 2016-11-11 更新时间 2016-11-11 CNVD-ID 漏洞危害级别 CNVD-2016-10944 高危 Microsoft Windows Server 2008 for x64-based Systems R2 Microsoft Windows 7 for 32-bit Systems SP1 Microsoft Windows 7 for x64-based Systems SP1 Microsoft Windows Vista x64 Edition SP2 Microsoft Windows Server 2008 for x64-based Systems SP2 影响产品 Microsoft Windows Server 2008 for Itanium-based Systems SP2 Microsoft Corporation Microsoft Windows Vista SP2 Microsoft Windows Server 2008 for 32-bit Systems SP2 Microsoft Windows Windows Server 2012 Microsoft Windows 8.1 Microsoft Windows RT 8.1 SP0 7

Microsoft Windows Server 2012 R2 Microsoft Windows 10 Microsoft Windows 10 1511 Microsoft Windows 10 1607 Microsoft Windows Server 2016 Microsoft Windows Server 2008 R2 for x64-based Systems SP1 Microsoft Windows Server 2008 R2 for Itaniumbased Systems SP1 漏洞类型拒绝服务 Microsoft Windows 是美国微软 (Microsoft) 公司发布的一系列操作系统漏洞描述 Microsoft Windows 本地安全权限子系统服务存在拒绝服务漏洞远程攻击者利用漏洞通过一个精心设计的请求包可导致拒绝服务攻击用户可参考如下供应商提供的安全公告获得补丁信息 : 漏洞解决方案 https://technet.microsoft.com/library/security/ms16-137 8

2 本周病毒木马通告 2.1 本周流行病毒木马统计 2.1.1 Worm.Netsky!1.A4B9( 蠕虫病毒 ) 病毒危险级别 : 病毒系统创建线程搜索磁盘中的相关文件, 从中提取 email 地址并发送带毒邮件还会将自己复制到系统共享目录下, 从而借助用户主动下载邮件共享目录等途径释放大量恶意软件电脑中毒后, 用户将面临隐私信息被盗财产安全威胁等问题 2.1.2 Trojan.Win32.BHO.hdz( 木马病毒 ) 病毒危险级别 : 病毒运行后查找主流杀毒软件进程, 并尝试将其结束同时病毒还将修改用户的注册表, 以便实现开机自启动除此之外, 该病毒还在后台连接黑客指定网址, 并为恶意网址刷流量, 占用大量网络资源用户一旦中毒, 有可能出现网络拥堵等现象 2.2 病毒木马防范措施针对出现的计算机病毒, 我们可以采用以下的措施进行防护 : 安装正版防病毒软件, 并及时进行升级, 不使用盗版或者来历不明的软件, 特别不能使用盗版的杀毒软件, 对未知程序要使用查毒软件进行检查, 未经检查的可执行文件不能拷入硬盘, 更不能使用, 将硬盘引导区和主引导扇区备份下来, 并经常对重要数据进行备份当计算机屏幕出现一些无意义的显示画面或异常的提示信息屏幕出现异常滚动而与行同步无关系统出现异常死机和重启动现象系统不承认硬盘或硬盘不能引 9

导系统计算机自动产生鸣叫系统引导或程序装入时速度明显减慢, 或异常要求用户输入口令文件或数据无故地丢失, 或文件长度自动发生了变化磁盘出现坏簇或可用空间变小, 或不识别磁盘设备编辑文本文件时, 频繁地自动存盘等现象时, 使用反病毒软件进行检测发现病毒立即清除, 将病毒危害减小到最小限度备份硬盘引导区和主引导扇区的数据, 经常对重要的数据进行备份定期给系统打补丁, 将系统补丁升级至最新对插入电脑的光盘,u 盘进行杀毒后再运行禁止访问不良网页, 或打开非法链接的邮件关闭系统不使用的端口服务, 如 3389,23 135 445 139 等 10

3 安全事件通告 3.1 本周国内外安全事件通告 3.1.1 印度驻 7 国使馆网站数据库遭黑客泄露 6 日, 黑客 Kapustkiy 在 Twitter 上发贴, 通过 Pastebin 共享网站, 泄露了印度驻瑞士马里罗马尼亚意大利马拉维南非和利比亚大使馆网站数据库 11

随后, 安全记者联系到了 Kapustkiy, 并询问了数据的真实性据 Kapustkiy 透露, 他和朋友 Kasimierz 过去曾是白帽黑客, 但后来, 为了获得媒体关注, 同时迫使更多网站管理员认真考虑网络安全问题, 遂决定转为灰帽黑客他们利用目标网站的 SQL 注入漏洞成功获得了数据库访问权限据他们的尝试确认, 许多印度大使馆网站都存在该类型漏洞在他们泄露的 7 个印度使馆网站数据库信息中, 包括姓名电子邮箱地址和电话号码严重来说, 这类数据将会威胁到印度外交人员的安全, 因为使馆工作人员一直是国家支持黑客进行网络间谍攻击活动的主要目标据 FireEye3 月报告, 针对外交事务实施网络间谍活动的 Ke3chang APT 组织正在对印度驻世界各地的使馆人员发起了网络攻击 ; 而据 Palo AltoNetworks 5 月分析发现, Ke3chang 组织仍在活跃, 该 APT 组织由 FireEye 于 2013 年首次发现专家表示, Ke3chang 只是以全球外交官为目标的网络攻击行动之一为此, 为保护数据安全, 各国大使馆应该采取适当的安全防护措施目前, 黑客所泄露数据看似真实, 其中所涉及的印度使馆网站一直处于无法访问状 12

态印度官方还未作出任何声明和回应 3.1.2 OAuth2.0 部署不当, 数十亿 Android App 账户存泄露风险香港大学的三名安全研究人员发现, 众多支持单点登录的 App 没有正确部署 OAuth2.0 认证协议, 攻击者可利用此漏洞远程登陆任何用户的 App 账户 Ronghai Yang Wing Cheong Lau 和 Tianyu Liu 调查了美国和中国最热门的 600 个 Android 应用, 发现 182 个应用支持单点登录服务, 这其中有 41% 没有正确部署 OAuth2.0 协议具体问题 OAuth 认证是什么? 许多社交网络平台, 包括新浪微博 Google Facebook 等, 都在使用 OAuth 2.0 认证协议这个认证协议可以让用户在一处登录后, 通过认证已有的身份, 登录第三方服务, 而不需要提供其它信息比如下图 : App 开发者应当如何实现 OAuth 认证? 13

当用户通过 OAuth 登录第三方应用时, 该应用将检验用户 ID 提供方 ( 比如新浪微博 ) 是否提供了正确的认证信息如果认证信息正确,OAuth 将从微博处得到一个访问 token, 然后发放给第三方 App 的服务器访问 token 发放后,App 服务器将向微博索取用户认证信息, 进行验证, 而后让用户使用微博登录信息登录这个第三方 App App 开发者实际如何部署 OAuth 认证? 研究人员发现, 许多 Android App 的开发者并没有正确地核对微博等 ID 提供方发来 14

的信息的有效性这些第三方 App 并没有验证上文提到的访问 token, 以核查用户与 ID 提供方是否关联 ; 第三方 App 服务器只检查了这个信息是否由一个有效的 ID 提供方发出这种部署给了攻击者可乘之机, 他们可以下载存在此漏洞的 App, 使用自己的信息登录, 通过建立服务器, 修改新浪微博等 ID 提供方发送的数据, 将自己的用户名改为目标对象的用户名影响范围攻击者可以利用这种方法, 泄露用户敏感信息, 或者以用户名义在相应 App 上操作在接受福布斯采访时,Lau 表示 OAuth2.0 部署问题其实是个基础性的错误但是, 影响范围却可能很严重攻击者如果黑入旅游 App, 可以获得用户的完整行程信息 ; 如果黑的是酒店预订 App, 可以预定房间并让受害用户支付 ; 攻击者也有可能盗取地址银行账户等个人信息 OAuth 协议挺复杂的许多第三方开发商都是小本经营, 他们没有能力大多数时候, 他们用的是 Google 和 Facebook 的推荐, 但是如果他们不正确操作的话, 他们的 App 就很容易受到攻击研究人员发现有 OAuth 部署问题的各类 App 总共有 24 亿的下载量, 专家估计将有 10 亿不同的手机 App 账户可能被劫持下图列出了存在此漏洞的 App 类型 : 15

北京安域领创科技有限公司是否影响 iphone 用户研究人员并没有测试 ios 设备但他们认为这个攻击在苹果 App 上一样可以实现虽然他们的攻击是在 Android 平台演示的但是这个 exploit 与平台无关任何 ios 或者 Android 用户只要曾经用过存在此漏洞的 App 都会受到影响 3.1.3Gmail 存高危漏洞用户帐号可被轻松破解日前来自巴基斯坦的一名学生以及安全研究人员在 Gmail 上发现了一个高危漏洞它可以让黑客轻松劫持任何 Gmail 邮箱帐号这并不是巴基斯坦黑客第一次发现如此关键的漏洞众所周知 Gmail 允许世界各地的用户使用多个邮件地址并将其关联或链接到 16

Gmail,Gmail 允许用户设置转发地址 ( 二级邮箱 ), 这样在用户收到电子邮件的时候, 他的转发邮箱也会收到相同的邮件, 事实上, 这两个模块是最容易受到身份认证和验证绕过攻击的它类似于账户接管, 不同的就是, 黑客可以通过确认邮件的所有权来劫持 Email 并发送邮件而此次发现的漏洞正是跟 google 的 Gmail 主账号和其他邮箱帐号绑定方式有关在 google 未对其做出修复前, 黑客仍可轻松破解 Gmail 用户帐号如果黑客知道了某位用户跟 Gmail 账号绑定的二级邮箱帐号, 那么他只要向特定收件人发送一封验证邮件即可获取主账号技术细节有关该漏洞, 在 Gmail 具体操作中, 相关部分包括了 : 账户和导入 > 用这个地址发送邮件, 转发模块这是一个逻辑漏洞, 它允许黑客从 Gmail 中劫持邮件地址任何与 Gmail 的 SMTP 关联或连接的邮件地址都会受到这种安全问题的威胁, 它包括 @ gmail.com,@ googlemail.com 和 @ googleemail.com 等众所周知, 不管电子邮件发送与否,Gmail 都会给我们一个邮件发送的回弹报告, 如果我们发送的邮件地址不存在或者处于离线状态,Gmail 就会回弹一个主题为投递状态通知的邮件, 在邮件里会讲明投递失败的原因 Mehtab 还指出, 发生以下情况中的任何一种, 邮件地址就容易被劫持 : 1. 收件人的 SMTP 处于离线状态 ; 2. 收件人已停用了邮箱 ; 17

3. 收件人不存在 ; 4. 收件人确实存在, 但已经屏蔽了发件人在以上情况下, 收件人不能从黑客的地址接收任何电子邮件, 而黑客最需要的就是一个投递状态通知, 因为这个通知邮件包含了验证码激活链接和一个完整信息, 发送到黑客想关联的地址进行验证然后, 黑客就可以用验证码去验证和确认电子邮件地址的所有权, 这实际上就是违背了验证的初衷这个过程在电子邮件转发模块也适用, 并且这里也容易受到攻击其实, 在整个过程中, 黑客所想要的就是邮件的回弹以下就是该种攻击具体的实施过程 : 攻击者企图通过向 Google 发送邮件获取某一邮箱账号的所有权 Google 会向该邮件地址发送一封认证邮件进行验证但由于该邮箱账号无法收取该封邮件, 于是 google 的邮件就会发回到实际发送者 ( 即黑客 ) 手中,( 此时 ) 邮件中则还提供了验证码黑客就可以利用这个验证码并获得该账号的所有权有这样一种情形, 攻击者可以通过伎俩欺骗受害者撤销其账户, 或者欺骗受害者停 18

用他的 ( 受害者 ) 邮件地址, 这样, 他就不能接收来自外部的邮件, 如果账户拥有者停用账户, 黑客就可以通过退回的包含验证码的邮件来轻松劫持他的邮件地址另外, 转发部分的确认也会受到影响由于上述文字太累赘,Mehtab 用更形象的文字来解释了整个攻击过程 : 1. 攻击者试图获取 xyz@gmail.com 的所有权 ; 2.Google 会将电子邮件发送到 xyz@gmail.com 进行确认 ; 3. 由于 xyz@gmail.com 无法接收电子邮件, 电子邮件会退回给 Google; 4.Google 会在收件箱中向攻击者发送一条包含验证码的失败通知 ; 5. 攻击者获取验证码并获得了 xyz@gmail.com 的所有权在确认所有权后黑客就可以掌控整个账户, 用以发送邮件甚至充当间谍当然, 整个过程令人啼笑皆非,Mehtab 并没有得到该有的奖金, 但是谷歌又承认了他的调查结果并把他列在了 Hall of Fame 的名单中 19

3.1.4 大战一触即发! 美国黑客已做好还击俄罗斯的准备根据 NBC 新闻网披露的顶级机密文件以及一位匿名高级情报官员透露的信息, 美国军方黑客目前已经成功入侵了俄罗斯的电力网络通信网络和克林姆林宫的控制系统这也就意味着, 当美国认为有必要的时候, 美国的那些秘密网络武器将可以直接对这些设施发动网络攻击网络战争一触即发? 美国的政府官员曾不止一次地在公开场合表示, 俄罗斯中国以及很多其他国家的黑客已经在美国的部分基础设施中秘密安装了恶意软件在专业军事用语中, 这种做法被称为布置战场这样一来, 攻击者不仅随时可以通过网络攻击来切断目标国家主要城市的网络链接, 而且甚至还可以切断城市的供电虽然美国表面上这样说, 但是人们普遍认为美国同时也在对敌国做着同样的事情 NBC 新闻网所披露的机密文件和美国情报机构的一名官员也证实了, 美国现在的确在准备跟俄罗斯进行网络战如果俄罗斯还想破坏美国总统大选活动, 那么网络大 20

战将一触即发根据美国情报官员透露的信息, 美国方面非常担心俄罗斯将会使用其网络攻击能力来干扰即将在下周举行的美国总统大选活动美国并不希望俄罗斯攻击自己的关键基础设施, 如果俄罗斯黑客真的这样做的话, 那么这种行为毫无疑问地将会被视作一种挑起战争的行为但是极具讽刺意味的是, 俄罗斯此前已经涉嫌参与了多个针对美国的网络恶作剧, 包括发布虚假文件以及通过社交媒体账号散布虚假信息等活动就在北京时间的上周六, 黑客 Guccifer 2.0 ( 美国情报官员认为这名黑客此前是俄罗斯情报机构的官员 ) 通过 Twitter 公开警告称, 他将会从系统内部监控美国总统大选的整个过程美国政府将积极应对根据 NBC 新闻网在北京时间上周五所发布的信息, 美国政府目前正在组织各类人力资源和物力资源以应对这种安全威胁, 而这种情况在历届美国总统大选进程中是从未出现过的美国情报官员表示 : 只有当美国受到网络威胁, 或者是在举办某些重大活动时, 美国才会部署网络武器以应对突发事件美国军方官员也不止一次地在公开场合表示, 美国拥有目前全世界最先进的网络技术, 但是他们并不会讨论这些网络武器的细节内容, 因为网络武器的数据属于美国的绝对机密美国国际战略研究中心 (CSIS) 的网络安全专家 James Lewis 在接受采访时表示, 美国黑客已经成功入侵了敌国的计算机基础设施, 这里所谓的敌国包括俄罗斯中国伊朗和朝鲜据他所述, 美国这种类似军事信息侦查的入侵活动已经持续多年了自从人类之间出现战争之后, 军事侦察就是在为战争做准备工作, 而美国的这一行为只 21

是网络版的军事侦察 2014 年, 美国国家安全局的局长 Mike Rogers 向美国国会报告称, 美国的敌对方正在对美国进行定期的电子情报侦察活动, 所以敌国将有可能随时干扰或破坏美国的一些工业控制系统, 例如化工设备和污水处理设备等等 Mike Rogers 当时说到 : 所有的这一切使我不得不相信, 我们的工业基础设施迟早会遭到敌国黑客的攻击, 这只是时间问题如果这种攻击事件一旦发生, 肯定会对美国的经济和政局带来非常巨大的影响需要注意的是,Rogers 局长并没有提到美国针对敌国网络系统所进行的渗透活动但是美国网络司令部的前任法律顾问 Gary Brown 认为,NSA 针对敌国网络系统所进行的这一系列黑客入侵需要提前植入网络武器才可进行由此看来, 美国在应对网络安全问题时的确做了多手准备对于像美国这样如此重视网络安全国家来说, 这也没有什么好令人惊讶的 Gary Brown 在接受 NBC 新闻网采访时表示 : 你已经获取到了敌国网络系统的访问权限, 你可以对它们做任何你想做的事情大多数情况下, 你可能只会从这些网络系统功能中收集数据, 但是你也可以利用这种访问权限来进行一些有针对性的网络攻击 22

Brown 和其他的一些安全研究专家其实也已经注意到了, 奥巴马政府在处理网络问题上似乎并不愿意采取积极的行动即便是美国此前曾遭到了俄罗斯黑客的一系列攻击, 奥巴马政府也没有采取强硬的应对策略但是现在网络攻击将有可能影响美国的总统大选, 奥巴马政府是否还会坐视不管呢? 一位美国政府官员告诉 NBC 新闻网, 政府已经给俄罗斯方面发出了警告, 如果俄罗斯仍然打算通过网络攻击来干扰下周的总统大选, 那么美国将会采取必要手段这段警告的言下之意想必就是 : 如果俄罗斯对美国的关键基础设施发动网络攻击的话, 美国将会采取一种积极的防御策略, 即通过网络攻击来关闭俄罗斯的某些关键系统北大西洋公约组织 (NATO) 的前任指挥官 James Stavridis 在接受 NBC 新闻网采访时表示 : 美国已经部署好了足够的人力资源和物力资源以积极应对任何形式的网络攻击如果美国遭到了严重的网络攻击, 那么我们首先会做以下三件事情 : 首先, 我们会采取措施以抵御这次网络攻击, 这绝对是我们的首要任务其次, 我们会在第一时间将有关此次攻击的详细信息公布出来, 无论攻击者采用的是哪一种网络攻击方式, 我们都会将它们公之于众第三, 我们会予以回应, 这是毋庸置疑的无论攻击者对我们做了什么, 我们都会全部还给他们美国此前的确使用过网络武器值得一提的是, 美国曾经也在军事行动中使用过网络武器, 所以使用网络武器也不是没有过先例在 2003 年针对伊拉克的入侵战争中, 美国间谍曾尝试入侵伊拉克的网络系统入侵成功之后, 美方间谍不仅向伊拉克部队的军事官员发送了诱降信息, 而且也临时切断了巴格达地区的供电网络 23

在 2009 年和 2010 年, 美国曾于以色列展开了合作, 外界普遍认为著名的震网病毒 (Stuxnet) 就是此次合作的产物 2016 年的今天, 美国网络司令部正在对伊斯兰国展开一系列的网络活动根据知情人士透露给 NBC 新闻网的信息, 这一系列网络活动包括使用社交媒体披露激进分子的位置信息以及发送虚假命令来制造混乱总结实际上, 到底什么才是网络战? 是网络冲突还是网络间谍活动? 我们目前对此仍然没有一个明确的定义 Brown 表示 : 我们希望大家都能够遵循互联网的一系列准则和规范, 我们鼓励大家这样做但如果有人一定要越界的话, 我们一定会毫不手软地予以回应 3.1.5 Mirai 僵尸网络的战火还在弥漫, 利比亚已经沦陷! 前言 10 月份,Mirai 僵尸网络攻击了美国西海岸地区, 致使半个美国的网络中断与此 24

同时, 全球开始进入紧急防御状态, 加强网络防护万万没想到的是,Mirai 僵尸网络的攻击行为并没有结束安全专家 MalwareMustDie 指出, 本周利比亚也遭受了一次大规模的 DDoS 攻击, 全国断网, 对金融行业造成了很大的损害, 攻击源头还是 Mirai 僵尸网络事件详情安全研究员 Kevin Beaumont 介绍, 其实大规模的 DDoS 攻击几天以前就开始了, 主要针对利比亚的一些网络供应商 Beaumont 推测这次 Mirai 僵尸网络针对的不仅仅是利比亚, 而是整个非洲国家依据它们发送的 25

一条信息, 他将这次的僵尸命名为 Shadows Kill 过去几周内, 我们接二连三的发现有针对利比亚国家重要基础设施的短暂的攻击我们知道, 利比亚国家的网络普及并不高, 它主要依赖于一条海底光缆 ACE 提供带宽, ACE 的带宽为 5.1Tbps, 它不只是为利比里亚一个国家使用, 而是在整个非洲西海岸共享从我们的监视中可以看出, 在被攻击期间, 利比亚全国的网络均处于脱机状态这次攻击很令人担忧, 因为 Mirai 僵尸网络的操纵者完全有能力攻陷掉利比亚整个国家的系统这次利比亚遭受的攻击流量超过了 500Gbps, 足以让利比亚整个国家的网络脱机从我们的监视中可以看到, 在攻击期间, 利比亚整个国家的网站都挂掉了不幸的是, 由于 Mirai 恶意软件的源码已经泄露到了网上, 所以对于攻击者来说很容易创建或者租一个僵尸网络来帮助他们发动攻击 Flashpoint 用 Shodan 搜索引擎搜索了全球存在安全问题的超过 500000 台物联网设备, 拥有安全问题设备最多的国家有越南 (80000 台 ), 巴西 (62000 台 ), 土耳其 (40000 台 ) 26

大规模的 DDoS 攻击仍然是网络服务商最大的威胁, 并且物联网设备由于天生缺乏安全性能, 很容易成为攻击者攻击的载体物联网的厂商需要特别的关注它们产品的安全性能关于僵尸 Mirai 僵尸网络的能力及影响关于 Mirai 僵尸网络, 我联系到了安全专家 MalwareMustDie, 并询问了几个问题 1. Mirai 僵尸网络的能力都有哪些呢? Mirai 僵尸网络可以制造出极大的灾难, 比如美国半个国家的网络瘫痪和利比亚全国的网络瘫痪如果想阻止这种攻击的发生, 要么是抓捕僵尸网络背后的操纵者, 进行严惩, 要么就下架所有受影响的物联网设备然而, 从现如今的响应速度上看, 非常的滞后, 照此下去, 圣诞节过着新年时可能还会有更多的国家和服务商被攻陷 2. 英国和法国有可能被 Mirai 僵尸网络攻陷吗? 如果他们能找到攻击端口, 也是可以的美国在网络方面实力是非常强大的, 都可以在几小时内被大规模的宕机, 所以攻击英国和法国也是有可能的总结近期发生的这两次 DDoS 攻击事件归根结底是, 有人将 Mirai 源码公布在了网上, 给攻击者制造了一个很便利的攻击条件 27

4 紧急预警通知 4.1 Microsoft 发布 2016 年 11 月安全更新 11 月 8 日, 微软发布了 2016 年 11 月份的月度例行安全公告, 共含 14 项更新, 修复了 MicrosoftWindows Internet Explorer Edge Office Office Services SQL Server 和 WebApps 中存在的 67 个安全漏洞其中,5 项远程代码更新的综合评级为最高级严重级别利用上述漏洞, 攻击者可提升权限, 远程执行任意代码 CNVD 提醒广大 Microsoft 用户尽快下载补丁更新, 避免引发漏洞相关的网络安全事件下表所示为了微软本月安全公告详情, 更多情况请参阅微软的官方网站最高严重等级公告 ID 公告标题和执行摘要重启要求受影响的软件和漏洞影响 Microsoft Edge 累积安全更新程序 (3199057) 严重 Microsoft Windows 此安全更新程序修复了 Microsoft Edge 中的漏洞如果用户使用 MS16-129 Microsoft Edge 查看经特殊设计需要重启的网页, 那么其中最严重的漏洞可能允许远程执行代码成功利用这远程代码执行 Microsoft Edge 些漏洞的攻击者可以获得与当前用户相同的用户权限与拥有管理 28

用户权限的用户相比, 帐户被配置为拥有较少系统用户权限的客户受到的影响更小 Microsoft Windows 安全更新程序 (3199172) 重要此安全更新程序修复了 Microsoft MS16-130 Windows 中的漏洞如果经本地身份验证的攻击者运行经特殊设计的应用程序, 那么这些漏洞中最远程代码执行需要重启 Microsoft Windows 严重的漏洞可能允许远程执行代码 Microsoft Video Control 安全更新严重程序 (3199151) 此安全更新程序修复了 Microsoft Windows 中的一个漏洞如果 Windows Video Control 无法正确 MS16-131 处理内存中的对象, 该漏洞可能允需要启动 Microsoft Windows 许远程代码执行成功利用此漏洞远程代码执行的攻击者可以在当前用户的上下文中运行任意代码但是, 攻击者必须首先诱使用户在网页或电子邮件中打开经特殊设计的文件或 29

程序 Microsoft Graphics Component 安全更新程序 (3199120) 严重此安全更新程序修复了 Microsoft Windows 中的漏洞如果用户访问恶意网站时 Windows 动画管 MS16-132 理器无法正确处理内存中的对象, 需要重启 Microsoft Windows 则最严重的漏洞可能允许远程代远程代码执行码执行成功利用此漏洞的攻击者可以安装程序 ; 查看更改或删除数据 ; 或者创建拥有完全用户权限的新帐户 Microsoft Office 安全更新程序 (3199168) 重要 Microsoft Office 此安全更新程序修复了 Microsoft Office 中的漏洞如果用户打开经 MS16-133 特殊设计的 Microsoft Office 文件, 那么这些漏洞中最严重的漏洞可能允许远程执行代码成功利用远程代码执行可能需要重启 Microsoft Office Services 和 Web Apps 这些漏洞的攻击者可以在当前用户的上下文中运行任意代码与拥有管理用户权限的客户相比, 帐户 30

被配置为拥有较少系统用户权限的客户受到的影响较小公用日志文件系统驱动程序安全更新程序 (3193706) 重要此安全更新程序修复了 Microsoft Windows 中的漏洞当 Windows 通用日志文件系统 (CLFS) 驱动程 MS16-134 序不正确地处理内存中的对象时, 该漏洞可能会允许特权提升在本地攻击情形中, 攻击者可能通过运特权提升需要重启 Microsoft Windows 行经专门设计的应用程序控制受影响的系统, 从而利用漏洞成功利用漏洞的攻击者可以在权限提升的环境中运行进程 Windows 内核模式驱动程序安全更新程序 (3199135) 重要此安全更新程序修复了 Microsoft MS16-135 Windows 中的漏洞如果攻击者登录受影响的系统并运行可能利用这些漏洞并控制受影响的系统权限提升需要重启 Microsoft Windows 的经特殊设计的应用程序, 最严重的漏洞可能允许特权提升 31

SQL Server (3199641) 安全更新程序重要此安全更新程序修复了 Microsoft SQL Server 中的漏洞最严重的漏 MS16-136 洞可能允许攻击者获得用于查看更改或删除数据或创建新帐户的权限提升可能需要重启 Microsoft SQL Server 提升特权此安全更新程序通过更正 SQL Server 句柄指针强制转换方式来修复这些最严重的漏洞 Windows 身份验证方法安全更新重要程序 (3199173) 此安全更新程序修复了 Microsoft Windows 中的漏洞更严重的漏洞可能允许特权提升为了利用此漏洞, 攻击者可能需要先使用有效 MS16-138 的用户凭据对已加入域的目标系需要重启 Microsoft Windows 统进行身份验证成功利用此漏洞权限提升的攻击者可能会将其权限从未授权用户帐户提升为管理员攻击者可随后安装程序 ; 查看更改或删除数据 ; 或者创建新帐户攻击者随后可以通过本地执行用于操作 32

NTLM 密码更改请求的经特殊设计的应用程序来尝试提升 Microsoft 虚拟硬盘驱动程序安全更新程序 (3199647) 重要此安全更新程序修复了 Microsoft MS16-138 Windows 中的漏洞 Windows 虚拟硬盘驱动程序不正确地处理用户对某些文件的访问攻击者可以权限提升需要重启 Microsoft Windows 通过利用此漏洞在不打算提供给用户的位置中操作文件 Windows 内核安全更新程序 (3199720) 重要此安全更新程序修复了 Microsoft Windows 中的漏洞如果攻击者运行经特殊设计的应用程序来访 MS16-139 问敏感信息, 此漏洞可能允许特权需要重启 Microsoft Windows 提升已本地身份验证的攻击者可权限提升能会尝试通过运行经特殊设计的应用程序来利用此漏洞攻击者可能会利用此方法获得访问不打算提供给用户的信息的权限 MS16-140 引导管理器安全更新程序 (3193479) 重要需要重启 Microsoft Windows 33

此安全更新程序修复了 Microsoft Windows 中的一个漏洞如果实际存在的攻击者安装受影响的引安全功能绕过导策略, 此漏洞可能会允许安全功能绕过 MS16-141 Adobe Flash Player 安全更新程序 (3202790) 严重 Microsoft Windows 此安全更新程序修复了 Adobe Flash Player 在 Windows 8.1 Windows Server 2012 Windows Server 2012 R2 Windows RT 8.1 远程代码执行需要重启 Adobe Flash Player Windows 10 和 Windows Server 2016 所有支持版本上安装时的漏洞 Internet Explorer 累积安全更新程 Microsoft 序 (3198467) 严重 Windows 此安全更新程序修复了 Internet MS16-142 Explorer 中的漏洞如果用户使用需要重启 Internet Explorer 查看经特殊设计的网页, 那么其中最严重的漏洞可远程代码执行 Internet Explorer 能允许远程执行代码成功利用这些漏洞的攻击者可以获得与当前 34

用户相同的用户权限如果当前用户使用管理用户权限登录, 那么攻击者便可控制受影响的系统攻击者可随后安装程序 ; 查看更改或删除数据 ; 或者创建拥有完全用户权限的新帐户 35

目录 1 本周漏洞通告 漏洞一 : 用友财务系统存在多个漏洞 漏洞二 : 格尔安全认证网关系统存在多处命令执行漏洞 漏洞三 :Cisco Prime Home 身份验证绕过漏洞 漏洞四 :Oracle MySQL MariaDB

目录 1 本周漏洞通告漏洞一 : 用友财务系统存在多个漏洞漏洞二 : 格尔安全认证网关系统存在多处命令执行漏洞漏洞三 :Cisco Prime Home 身份验证绕过漏洞漏洞四 :Oracle MySQL MariaDB