当前位置: 安全纵横 > 安全公告

一周安全动态(12月23日-12月30日)

来源:安恒信息 日期:2010-12

一周安全动态(12月23日-12月30日)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级

 

 

 

1. 安全新闻

1.1 威海一男子被辞退后假冒“黑客”敲诈被抓获

大众日报威海讯 江某被公司辞退后,私自修改了公司邮箱的密码,然后以“黑客”身份向公司索要3万元钱。12月13日,环翠区警方将犯罪嫌疑人抓获。

12月10日上午,威海市一家公司的邮箱无法登录,后来公司经理的QQ收到一条消息:“我是‘黑客’,你公司的邮箱已被我破解了。”经理立即报警,警方立案侦查。当晚,那名“黑客”又上线和经理聊起来,提出要3万元“赎金”。12月13日,环翠警方在荣成将“黑客”抓获。原来,此人是因业绩不良被该公司辞退的业务员江某。

1.2 荷兰银行被黑客盗取500余万欧元

新华网海牙12月21日电 一群网络黑客从荷兰银行中盗取了500余万欧元。荷兰媒体21日报道说,虽然有部分款项已被追回,但迄今仍有300多万欧元去向不明。

据《电讯报》21日报道,荷兰警方在今年3月抓捕了13名犯罪嫌疑人,指控他们进行网络盗窃等犯罪行为。最初的调查并未发现这些嫌疑人的犯罪活动与荷兰银行有关,不过,后来警方通过对相关赃款的回溯调查最终发现:这些嫌疑人通过操纵银行系统而窃取了500余万欧元。

荷兰警方和荷兰银行目前拒绝就此透露更多信息。但消息人士说,这些网络黑客操纵荷兰银行内部系统完成盗窃之后,先将巨款转入一名荷兰同伙的账户,而后分拆成不同数额多次转入比利时、匈牙利以及其他一些国家同伙的账户中。据悉,目前仅追回约200万欧元。

荷兰银行协会表示,通常情况下,如果没有内部人协助,黑客几乎不可能侵入银行系统实施盗窃,但这起案件中“似乎没有荷兰银行工作人员参与”。

1.3 印度开展网络安全审查 重要政府机构网站漏洞百出

环球网记者仲伟东12月23日报道,印度媒体称,由于印度联邦中央调查局(CBI)近日遭到黑客攻击,印度对其所有部级部门的网站和各级政府网站开展了安全审查,结果发现其中约有280个网站容易受到黑客攻击,许多“至关重要”的政府机构网站也位列其中,还包括印度海军和印度国家档案馆等部门的网站。

印度时报》23日报道称,印度的网络安全审查发现许多政府网站都面临网络入侵的风险,而一些印度中央机构网站因为由私人机构负责代理,更是漏洞百出。

报道指出,上述网站由于未能定期接受安全审查,故而面临极高的网络入侵风险。还有消息人士透露,此前遭到黑客攻击的中央调查局网站从2007年起,就再也未曾接受过安全审查。不过这起黑客攻击案件也让印度开始警醒,此后,印度各级政府网站都被要求严格遵循印度国家信息中心所制定的网络安全准则和规范。同时印度信息产业和通信部还要求印度国家信息中心增加人力,以保证各级政府网站服务器的安全。

1.4 IE浏览器曝出"圣诞"高危漏洞 威胁九成中国网民

中新网12月23日电 今日,360安全中心发布橙色安全警报称,IE浏览器出现一个最新的高危“圣诞”0day漏洞,可以导致木马远程入侵网民的电脑,影响IE6、IE7、 IE8及所有IE内核浏览器。据悉,国内“IE系”浏览器整体覆盖率高达93%以上,九成以上的中国网民电脑将受到该漏洞的威胁。截至发稿前,360安全中心已经紧急启动漏洞预警机制,目前360安全卫士“网盾”模块能够成功防御网上公开的漏洞攻击代码。

360 安全专家石晓虹博士介绍说,IE“圣诞”漏洞是一个典型的远程代码执行漏洞,它是通过特定方式重复导入CSS样式表而触发漏洞。也就是说,当网友使用IE 浏览器打开一个利用该漏洞挂马的网页时,电脑就会自动下载运行黑客设定的木马,使自己的重要帐号和个人隐私被木马窃取。

经分析,由于IE “圣诞”0day漏洞影响面广、对最新流行的“Win7+IE8”组合也极具杀伤力,未来很可能会成为挂马网页的主要攻击目标。360安全中心监测数据表明:目前国内共计有120余万个挂马网页,其中包括大批热门的小说网站和游戏网站,此外还有众多教育类和机构类网站也被黑客入侵挂马,360安全卫士“网盾”模块每天拦截的挂马网页攻击数量超过800万次。

“如果黑客利用IE0day漏洞来传播近期泛滥的‘网购’木马,其危害将特别严重。” 根据石晓虹介绍,国内主要的网上银行和网上支付平台只支持IE内核的浏览器,而圣诞节到元旦期间网上购物活动非常活跃,如果黑客借机传播“购物”木马,通过漏洞将木马潜伏在受害网友的电脑中,监视并篡改网上支付链接,就会使受害网友把购物或转账的钱直接打进黑客的账户里。

据悉,目前微软官方网站已对此漏洞发布了安全公告(CVE-2010-3971),建议用户安装并及时更新安全软件,但并没有透露何时将发布补丁。为此,360安全中心提示用户,近期上网时不要随便打开陌生人发来的链接和电子邮件,应注意定期扫描查杀木马,可以降低网上支付交易的风险。

附:360安全中心关于IE“圣诞”0day漏洞的技术分析

该漏洞是通过import方式重复导入CSS样式表导致的一个指针引用错误,通过unicode字符串的CSS样式表控制地址。

网上公开的漏洞攻击代码运用了一种最新的攻击方式,漏洞利用了.net库中没有经过ASLR随机地址的一个库文件,这个漏洞库是.net库的".NET IE mime filter DLL"。

漏洞触发后进入这个库的地址空间范围,通过ROP shellcode(Return Oriented Exploitation) 的方式绕过了IE8 DEP。同时,一些安全软件的部分网页防护功能也会因此失效。

不过,该漏洞攻击存在一个前提条件,就是需要恶意网页的访问者电脑中安装“.NET库”。目前“Win7+IE8”默认安装了“.NET库”,可以被黑客利用漏洞直接攻击“Win7+IE8”组合,再配合一个本地提权漏洞就可以绕过其“低权限保护模式”;Windows XP则没有默认安装“.NET库”,因此黑客进行大规模挂马攻击还需要开发兼容的攻击代码。

360安全卫士“网盾”模块能够成功防御网上公开的漏洞攻击代码。目前360安全中心正在进一步评估漏洞威胁,预期将通过产品更新来彻底为用户免疫漏洞攻击。

1.5 外媒评25年来10大黑客攻击事件排行榜

1988年11月:塔潘·莫里斯VS全球

泡泡网资讯频道12月19日 随着维基泄密的影响撼动全球,一些作为维基解密支持者出现的黑客进行的无休止的网络攻击,让互联网巨头们头疼不已,更为众多政府和企业的网络管理员带来了恐慌。

上周进行的网络攻击规模空前,吸引了数千名业余黑客参与攻击。与真正黑客不同,这些“脚本小子”(script kiddies)-使用软件对Visa、万事达和PayPal进行攻击,并非是媒体所指真正意义的黑客战士,他们是利用鼠标点击发起攻击的业余黑客。

自从电脑发展的初期,真正的黑客就一直针对政府、企业和大型机构的网络进行残酷、破坏性的攻击,其中许多人也因此被监禁,并被判处罚金。另一些人则转入“地下”。幸运的人则开始正常的职业生涯,成为网络安全领域的专家。

日前,美国新闻网站The Daily Beast评选出了过去25年中10大最具破坏性的黑客攻击事件。以下为该网站列出的最著名的黑客攻击、蠕虫攻击以及分布式拒绝服务攻击(DDoS)事件:



罗伯特·塔潘·莫里斯(Robert Tappan Morris)1988年成为康奈尔大学(Cornell University)的研究生,他研制出一种自我复制的蠕虫,并赋予它使命:确定互联网的规模(go out to determine the size of the internet)。事与愿违,蠕虫的复制无法控制,它感染了数千台电脑,造成了数百万美元的损失,并促使美国政府针对电脑创建了应急响应(create a emergency response for computers)。

由于意外的失误,莫里斯最终被指控违反计算机欺诈与滥用法案(Computer Fraud & Abuse Act),被判处1万美元罚金,及400小时社区服务。莫里斯的源代码存放于一个黑色3.5英寸软盘中,在波士顿科学博物馆(Boston Museum of Science)中进行展示。

2009年7月:不知名VS美国和韩国




Mydoom蠕虫病毒

在2009年7月的3天中,韩国大量日报、大型在线拍卖厂商、银行和韩国总统的网站 ,以及白宫和五角大楼的网站受到分布式拒绝服务的多轮攻击,逾16.6万台电脑受到影响。部分人士认为,朝鲜无线通讯部门利用Mydoom蠕虫病毒的后 门,进行了这次攻击。但这一消息并未得到证实。

1999年3月:大卫·史密斯VS微软Word & Excel



大卫·史密斯(David L. Smith)在1999年发布了一个计算机病毒。史密斯使用被盗的美国在线账号,向美国在线讨论组Alt.Sex发布了一个感染Melissa病毒的 Word文档。史密斯的病毒通过电子邮件传播,使得被感染电脑的邮件过载,导致像微软、英特尔、Lockheed Martin和Lucent Technologies等公司关闭了电邮网络。

这一事件造成8000万美元损失。由于释放病毒,史密斯面临10年监禁和5000美元罚金,史密斯最终仅服刑20个月。后来大卫·史密斯成为FBI特工,专门负责调查计算机病毒案件。有趣的是,大卫·史密斯是被另外一个与FBI合作的黑客乔纳森·詹姆斯追踪到的。

2009年8月:俄罗斯VS博客主Cyxymu




博客主Cyxymu在livejournal的页面

由于俄罗斯黑客进行的分布式拒绝服务攻击,拥有数亿用户的社交网站在2009年夏天经历了数小时的拥堵和中断服务,黑客声称其目的是为了让博客主 Cyxymu禁声。Facebook安全主管马克斯.凯利(Max Kelly)表示,这是针对Cyxymu通过多种方式同时进行攻击,以使别人不能跟他联系。

1999年8月:乔纳森·詹姆斯VS美国国防部



乔纳森·詹姆斯(Jonathan James)是历史上最著名的电脑黑客,他在1999年入侵美国国防威胁降低局(Defense Threat Reduction Agency)的军用电脑,并获取了数千份机密信息、注册信息,以及控制国际空间站上生活环境的价值170万美元软件。

入侵被发现后,美国国家航空与宇宙航行局关闭了网络,并花费数千美元进行安全升级。詹姆斯在2007年自杀。

2008年11月:无名人士VS微软Windows




Conficker蠕虫病毒

自2008年末,Conficker蠕虫病毒利用了微软操作系统中的大量漏洞。Conficker蠕虫病毒一旦控制被感染机器,它将大量电脑连接成可由病毒创造者控制的一个大型僵尸网络。自从首次被发现,Conficker蠕虫病毒已经感染了全球数百万电脑和商业网络。

2000年2月:黑手党男孩VS雅虎、CNN



15岁的迈克尔·凯尔(Michael Calce)—又名黑手党男孩(Mafiaboy)—在2000年2月利用分布式拒绝服务攻击了雅虎,并随后攻击了CNN、eBay、戴尔和亚马逊等公司 的服务 器。凯尔被加拿大警方逮捕,面临3年监禁,凯尔最终被判处在青少年拘留中心(juvenile detention center)8个月的监禁,并交纳250美元捐款。

2008年1月:匿名VS山达基教




山达基教的Scientology.org站点

黑客利用分布式拒绝服务针对山达基教(Church of Scientology)的Scientology.org站点进行了攻击。黑客攻击的目的是:通过反向洗脑,来将民众从山达基教中解救出来。安全专家根 据对分布式攻击所派生的流量监测认为,攻击为中等规模攻击。安全专家指出,攻击并非是一或者二个人所为。

2002年2月:拉莫VS《纽约时报》




在此之前,无家可归的黑客-艾德里安.拉莫(Adrian Lamo)因从Kinko连锁店和星巴克咖啡馆攻击《纽约时报》等公司的服务器而名声大振。2002年2月拉莫入侵Grey Lady数据库,在一列Op-Ed投稿人中添加了自己的名字,并在Lexis-Nexis中搜索自己。

联邦调查局表示,Lexis-Nexis搜索共造成《纽约时报》30万美元损失,拉莫也面临15年监禁。拉莫最终被判缓刑2年,以家拘禁6个月,并处以6.5万美元罚金。

1990年6月:鲍尔森VS洛杉矶KIIS FM电台




凯文·鲍尔森(Kevin Poulsen)是一位青年电话黑客。为了成为洛杉矶KIIS FM电台“周五赢辆保时捷”(Win a Porsche By Friday)节目的第102位获胜呼入者,鲍尔森攻击了电话线路。在随后几个月中,鲍尔森还对一位好莱坞女明星的电话进行窃听,并攻击了军队及美国联邦 调查局的电话。

联邦调查局指控鲍尔森犯有系列诈骗及洗钱罪。鲍尔森被判入狱51个 月,并被判为损坏的广播站支付5.6万美元罚金。鲍尔森同时被判三年禁止接触电脑。鲍尔森现在是连线杂志的记者,他还运营着博客Threat Level blog。Threat Level blog在今年6月6日首先报道了美国陆军情报分析员布拉德利·曼宁(Bradley Manning)是维基解密消息源的消息。

2. 本周关注病毒

2.1 病毒名称:Worm.Win32.Autorun.etr(蠕虫病毒)
警惕程度 ★★★

该病毒通过U盘等可移动存储设备传播,病毒会双进程守护的功能,下载大量木马病毒,给用户造成很大安全隐患。

2.2 病毒名称:Trojan.Win32.KillAV.cvi(木马病毒)
警惕程度 ★★★★

病毒运行后利用了大多数常用软件安装驱动的技术绕过了几乎所有杀毒软件的主动防御并将它们杀掉。病毒屏蔽杀毒厂商网站,使用户无法及时获取帮助。同时还具有机器狗的功能,穿透还原系统替换系统文件。病毒随后会不断在用户电脑中下载大量盗号木马,窃取用户关键信息。

2.3 病毒名称:Trojan.DL.Win32.Edog.ac(机器狗木马)
警惕程度 ★★★★

该病毒运行后会用病毒自带的EXE文件替换掉正常的系统文件,系统启动时就会运行该病毒文件,以此试图关闭多种主流杀毒软件和安全工具。病毒还会解除杀毒软件和安全工具对IE的保护,利用IE浏览器从黑客指定网站对病毒本身进行更新。

3. 安全漏洞公告

3.1 IBM Lotus Mobile Connect HTTP请求预设访问限制绕过漏洞

IBM Lotus Mobile Connect HTTP请求预设访问限制绕过漏洞

发布时间:

2010-12-23

漏洞号:

CNNVD-201012-305

漏洞描述:

IBM Lotus Mobile Connect是一款通信软件平台,可为企业提供了一个移动虚拟私人网络。
IBM Lotus Mobile Connect(LMC) 6.1.4之前版本中的Connection Manager禁用了针对HTTP Access Services (HTTP-AS)的http.device.stanza黑名单功能。远程攻击者可以借助包含不允许User-Agent头的HTTP请求绕过预设的访问限制。

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://www-01.ibm.com/support/docview.wss?uid=swg27020327

 

3.2 Microsoft Windows未明漏洞

Microsoft Windows未明漏洞

发布时间:

2010-12-22

漏洞号:

CNNVD-201012-288

漏洞描述:

Microsoft Windows是微软发布的非常流行的操作系统。
Microsoft Windows中存在未明漏洞。该漏洞可产生未知影响和攻击向量。

安全建议:

目前厂商还没有提供此漏洞的相关补丁或者升级程序,建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.microsoft.com/windows/

 

3.3 HP OpenVMS Integrity Servers权限提升漏洞

HP OpenVMS Integrity Servers权限提升漏洞

发布时间:

2010-12-23

漏洞号:

CNNVD-201012-290

漏洞描述:

HP OpenVMS是HP Integrity或AlphaServer服务器中使用的操作系统。
Integrity服务器上基于Itanium平台的HP OpenVMS 8.3,8.3-1H1,以及8.4版本中存在未明漏洞。本地用户可以借助未知向量获取特权或者导致拒绝服务。

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://h30046.www3.hp.com/subSignIn.php

 

3.4 Linux Kernel 'drivers/acpi/debugfs.c'本地权限提升漏洞

Linux Kernel 'drivers/acpi/debugfs.c'本地权限提升漏洞

发布时间:

2010-12-23

漏洞号:

CNNVD-201012-297

漏洞描述:

Linux Kernel是开放源码操作系统Linux所使用的内核。
Linux kernel 2.6.36.2之前版本中的ACPI子系统为debugfs custom_method文件使用了0222许可。本地用户可以通过在ACPI翻译表中放置本地ACPI方法获取特权。该漏洞与在 drivers/acpi/debugfs.c文件中的acpi_debugfs_init函数有关。

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://git.kernel.org/?p=linux/kernel/git/torvalds/linux-2.6.git;a=commit;h=ed3aada1bf34c5a9e98af167f125f8a740fc726a

 

3.5 Linux kernel security_file_mmap函数限制绕过和空指针引用漏洞

Linux kernel security_file_mmap函数限制绕过和空指针引用漏洞

发布时间:

2010-12-23

漏洞号:

CNNVD-201012-296

漏洞描述:

Linux Kernel是开放源码操作系统Linux所使用的内核。
Linux kernel 2.6.37-rc6之前版本的mm/mmap.c文件中的install_special_mapping函数没有进行预期的 security_file_mmap函数调用。本地用户可以借助特制的汇编语言应用程序绕过预设的mmap_min_addr限制并可能进行空指针解引用攻击。

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://git.kernel.org/?p=linux/kernel/git/torvalds/linux-2.6.git;a=commit;h=462e635e5b73ba9a4c03913b77138cd57ce4b050