当前位置: 安全纵横 > 安全公告

一周安全动态(2011年01月27日-2011年02月03日)

来源:安恒信息 日期:2011-01

2011年1月第四周(01.27-02.03)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级

 

 

 

1. 安全新闻

1.1 专家票选2010年十大网络黑客技术

一个专家委员会公开投票评出2010年10大网络黑客技术。一个能够给在线银行交易造成威胁的网络黑客技术列为排在第一位的网络黑客技术。这种名为“Padding Oracle Crypto Attack”的黑客技术利用微软的Web框架ASP.NET保护AES加密Cookie的方式实施攻击。

如果Cookie中的加密数据被修改,ASP.NET处理它的方式就会导致应用程序泄露有关流量加密方式的信息。通过反复改变和泄露信息,黑客就能够推断出能够在加密密钥中消除哪些字节。这就会把未知的字节数量减少到足够少的程度以便进行猜测。
这个破解技术的开发者Juliano Rizzo和Thai Duong已经开发出一个执行这个破解任务的工具。

Padding Oracle Crypto Attack"通过投票被评为排名第一的黑客技术。参与投票的专家包括:InGuardians公司创始人Ed Skoudis;NoScript的作者Girogio Maone;Armorize首席执行官Caleb Sima;Veracode首席技术官Chris Wysopal;OWASP董事长兼首席执行官Jeff Williams;Independent Security Evaluators公司安全顾问Charlie Miller;IOActive入侵测试经理Dan Kaminsky;Mitre公司的Steven Christey;White Hat负责运营的安全副总裁Arian Evans。

这个排名是由Black Hat、OWASP和White Hat Security赞助实施的。这些黑客技术的细节将是下个月在德国举行的IT-Defense 2011会议上演示的主题。

下面是投票评出的10大黑客技术中的其余9项黑客技术。

2. Evercookie — 这个技术能够让Java脚本创建隐藏在浏览器中8个不同位置的Cookie,从而使人们很难消除这些Cookies。Evercookie能够让黑客识别机器,即使传统的Cookie已经被删除。这个技术是Samy Kamkar创建的。

3. Hacking Autocomplete(破解自动填表功能)— 如果打开某些浏览器的自动填写网站表格的功能,恶意网站上的脚本就能够迫使这个浏览器利用存储在受害人计算机中的各种数据填写个人数据。这个技术是Jeremiah Grossman创建的。

4. 利用缓存注入攻击HTTPS — 向浏览器缓存注入恶意Java脚本库能够让黑客攻破SSL保护的网站。在缓存清除之前这个攻击都会起作用。在排名100万之内的网站中几乎一半的网站都使 用Java脚本库。这个技术是Elie Bursztein、Baptiste Gourdin和Dan Boneh创建的。

5. 利用点击劫持和HTTP参数污染绕过CSRF保护 — 绕过跨站请求假冒防御并且欺骗受害者泄露自己的电子邮件身份。使用这些技术,攻击者能够重置受害人的口令并且获得访问受害者账户的权限。这个技术是Lavakumar Kuppan创建的。

6. IE8中的通用XSS — IE8有跨站脚本保护功能。这个利用安全漏洞的代码能够绕过这个保护措施,允许以恶意的方式不适当地提交网页。

7. HTTP POST拒绝服务攻击 — 将HTTP POST页头发送给服务器,让服务器知道发送了多少数据,然后这个数据以非常慢的速度发出,吞噬服务器的资源。当许多这种数据同时发出的时候,服务器就被 压垮了。这个技术是Wong Onn Chee和Tom Brennan创建的。

8. JavaSnoop — 附加在目标机上的Java代理与JavaSnoop工具进行通讯,测试这台机器上的应用程序的安全漏洞。这可以用作安全工具,也可以作为黑客工具,主要取决于用户的意图。这个技术是Arshan Dabirsiagh创建的。

9. 火狐浏览器中的CSS历史破解,无需用于内部网端口扫描的JavaScript — 用于定义HTML呈现方式的层叠样式表(CSS)可用于在受害者访问网站时获取浏览器历史。这个历史信息可用于对受害者实施钓鱼攻击。这个技术是 Robert "RSnake" Hansen创建的。

10. Java程序DNS重新绑定攻击 — 两个Java程序将浏览器导向两个攻击者控制的网站,迫使浏览器绕过其DNS缓存,从而使浏览器容易受到DNS重新绑定攻击。这个技术是Stefano Di Paola创建的。

1.2 专攻国内云安全的木马出现

来自AVG的消息,最近从微软的恶意软件保护中心公布的报告得知:在中国出现一个通过视频插件方式传播的Bohu木马病毒,它不但可以绕过各种杀毒软件的查杀。甚至还能直接阻断杀软跟“云”之间的沟通,阻止杀毒软件的和服务器的联系和升级。

根据该报告的解释:Bohu病毒会将随机数据加到自身文件,从而变成文件大小惊人的木马。以阻止基于哈希散列的检测。为云查杀引擎上传分析可疑程序制造障碍。

通常云安全杀毒软件扫描文件后,将文件的哈希散列发送到云服务器,以确定服务器上是否有该文件的可用信息。当一个病毒的哈希结果不断变化时,服务器将无法及时识别它。

此病毒大多被捆绑在一些播放器的安装文件中,在浏览某些非主流视频网站,如果用户被某些视频内容所诱惑,可能会点击安装这些特定的播放器。

其可能的出现形式如下:


安装播放器的同时,这些恶意的安装包会给系统安装一个基于SPI的数据过滤服务,然后通过过滤特定数据包,阻隔杀毒软件客户端和云端的通讯。

如果使用冰刃查看系统的SPI服务列表存在额外的netplayone.dll服务(不限于此名称),则证明系统已经中毒。


Bohu目前主要的变种被检测为:Dropper.Generic2.BJOV和Dropper.Generic2.BJMC。目前包括AVG,卡巴斯基,Avast等多款杀毒软件已经提供针对该木马的防御措施。

1.3 黑客盗取2870万欧元的碳排放额

据香港《文汇报》消息,欧盟前日发表声明称,奥地利、波兰、希腊等成员国的国家注册系统近日遭黑客入侵,被盗去约值2870万欧元的200万碳排放额,并于碳交易现货市场出售,欧盟因此宣布暂停该市场交易一周,是历来最长的停市。

欧盟碳排放交易体系(EU-ETS)是全球规模最大的跨国温室气体排放额交易系统,去年交易额达900亿欧元。去年多国记录碳排放额的国家注册系统遭黑客入侵,欧盟委员会已要求各国收紧有关系统的保安,但部分国家一度因无法负担而拒绝加强防范。

EU-ETS多次成为不法之徒的目标,去年他们向有关系统的客户发送电邮,成功骗取对方的口令,迫使多国暂停碳交易。欧盟跨境警队“欧洲警察”估计,在2008年和2009年,罪犯在有关碳排放权的骗案中,获利近500万欧元。

1.4 英国举办全国网络安全竞赛

英国近日举办了全国网络安全竞赛,该赛事是英国首次全国性地寻找网络安全专业人才。活动中产生了两位优胜者,包括一位年轻的网络安全爱好者,至今仍然在学校里为高中会考而学习。

“英国网络安全挑战赛”是一个更广泛的在线和面对面系列竞赛,由知名的安全、教育及政府组织支持,应对该领域技能型专业人才短缺的担忧。参加竞赛的 人必 须要展示他们惊人的计算(在线安全难题)速度和技能,这些计算由普华永道(PwC)OneSecurity风险管理组设计。

普华永道会计师事务所(PwC) 风险管理总监Jay Abbott说:“我们在这一阶段设计的计算比较难解,在完成这些难题的人中,很少有以真正高标准操作的。”“我们想要鼓励那些不需要把网络安全作为合法职业考虑的人,同时又要明确最有才华的人。”

Edward Godfre是第一轮计算挑战赛(18岁以下组)的冠军。他是一名16岁的网络安全爱好者,在多塞特郡的特托马斯·哈德耶学校 (Thomas Hardy School)为他的A级考试做准备。虽然不是专业人士,Edward还是参加了南安普敦大学举办的“国家计算挑战赛” (National Cipher Challenge),并解决了每一轮的难题,进入“维吉尼亚算法”级。

Senad Zukic 是第二轮和第三轮的冠军。他说:“我是一个专业程序员,但不是安全领域的。我的工作基本上是网站或是桌面应用程序,不过我总是喜欢编码和计算,但却从来没 有机会进入这个领域。作为一名爱好者,我喜欢与安全相关的工作,加密、隐写术、取证、网络基础设施安全等所有有趣的工作。”

“英国网 络安全挑战赛”负责人Judy Baker说:“对这些计算的反应,说明了我们国家网络安全能力的水平,以及我们国家在这个领域所具有的雄心,而那些参加 这些难题测试的人,正是挑战赛想要寻找的人。”“已经有赞助方表示,他们有可能会见表现出高水平能力的应试者。”

同时来自英国的四个小组被选中参加第二轮的“网络防御竞赛”(Network Defence Competition)。这是一个由QinetiQ赞助并组织的竞赛,是“网络安全挑战赛”三个组成部分之一。这个竞赛侧重于网络设计、建立和防御技术。

这次竞赛分成两个类别:家庭网络和小型企业网络。在九月份有几个小组同时进入了两个类别的比赛,两个类别中各有两个小组被挑选出来于2011年初, 到 QinetiQ在范堡罗(Farnborough)的门户设施所在地参加面对面的比赛,他们将在那里决出胜负,成为自己所在类别的最终胜利者。

QinetiQ负责安全业务的总经理Alasdair Rodger说:“在QinetiQ,我们有一支优秀的团队负责今年首轮英国网络安全挑战赛 的网 络防御挑战。”“所有的入选者都给我们留下了深刻的印象,鼓励我们去了解有多少年轻人正在考虑从事网络安全职业。一月份QinetiQ的网络防御挑战赛正 在热身阶段,对每个参赛者来说,它将会是一次非常艰难而又令人兴奋的比赛。”

“通常,在宴会上,当你说你的工作与计算机有关时,人们的目光通常毫无变化。”为牛津郡阿宾顿反病毒软件公司Sophos工作的Ross McKerchar说道。该公司是帮助举办“网络安全挑战赛”并使之成功的组织之一。

McKerchar表示不存在夸大网络空间袭击对日常生活造成的威胁。“许多人认为如果他们的计算机中了病毒并没有什么关系。他们没有意识到的是病毒可能会盗取你的银行信息、盗用你的身份,利用你的计算机作为攻击其他网站的基地。”

1.5 2016年网络安全防护花销将达到100亿美元

国外媒体报道,来自ABI研究机构的最新数字表明,在未来五年内,投入到网络安全防护上面的花销将会翻倍。这些花销主要在统一威胁管理,VPN,网络准入控制,防火墙和入侵检测系统等方面,预计将由去年的60亿美元上升到2016的100亿美元。

大多数投资的增长,其目的在于改进企业IT系统和准入技术。ABI解释说,所谓的改进包括日益复杂的企业网络和更好的利用云服务,以及在办公室 中智能手机和平板电脑的应用。另外,移动性也被考虑在企业网络安全中。通信的聚合,社交网络和智能手机的使用量增长证明了环境中有着潜在的威胁。

随着计算机终端变得更加多样和复杂,企业面临的风险也在增加。小型和中型的企业更容易遭遇安全风险,因为他们的资源和预算都有限。

目前厂商正在响应市场的需求,试图采用云安全技术来降低安全部署成本。

2. 本周关注病毒

2.1 病毒名称:Trojan.Win32.StartPage.qbl(木马病毒)
警惕程度 ★★★

该病毒会在桌面上生成一个和原来的IE图标完全相同的图标,用户打开这个假的IE图标就会访问黑客指定的网站。病毒还会劫持浏览器的搜索引擎和多种第三方浏览器软件,到达提高网站点击率的目的,并且还会在后台下载安装流氓软件。

2.2 病毒名称:病毒名称:Worm.Win32.DownLoader.ns(蠕虫下载器)
警惕程度 ★★★★

该病毒运行后会关闭大量杀毒软件进程并创建注册表劫持项以躲避对其查杀。然后病毒会感染EXE、RAR、Html、ASP文件,用户在打开被感染的文件后,病毒会自动执行,如果打开被感染的网页文件后,会通过挂马的方式下载病毒,并且能通过U盘传播。病毒会创建IE进程,通过BT下载方式,从黑客指定的服务器上下载病毒种子文件和木马病毒。

2.3 病毒名称:病毒名称:病毒名称:Trojan.PSW.Win32.GenFxj.a(木马病毒)
警惕程度 ★★★

这是一个通过聊天工具传播的木马下载器病毒。黑客以“我的照片”或“艳照”等诱惑性文件名诱使用户接收病毒打开,当用户运行这些文件后,电脑就会感染木马下载器病毒,导致不断下载最新盗号木马病毒。

3. 安全漏洞公告

3.1 Sun SunScreen Firewall本地权限提升漏洞

Sun SunScreen Firewall本地权限提升漏洞

发布时间:

2011-1-25

漏洞号:

BUGTRAQ ID: 45963

漏洞描述:

SunScreen Firewall是Sun Microsystem的运行在Solaris操作系统下的防火墙。
SunScreen Firewall在实现上存在安全漏洞,本地攻击者可利用此漏洞以root权限执行任意命令。

安全建议:

厂商补丁:
Sun
---
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://sunsolve.sun.com/security

 

3.2 Oracle Sun Java System Portal Server本地安全漏洞

Oracle Sun Java System Portal Server本地安全漏洞

发布时间:

2011-1-25

漏洞号:

BUGTRAQ ID: 45898
CVE(CAN) ID: CVE-2010-4431

漏洞描述:

Sun Java System Portal Server是Sun Java Platform企业级版本的一个组件,支持广泛的企业级计算需求的软件系统。
Sun Java System Portal Server的Proxy子组件在实现上存在安全漏洞,本地攻击者可通过HTTP协议利用此漏洞以提升的权限执行某些操作,获取某些数据的访问权。

安全建议:

厂商补丁:
Oracle
------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.oracle.com

 

3.3 Oracle Database Server Database Vault本地信息泄露漏洞

Oracle Database Server Database Vault本地信息泄露漏洞

发布时间:

2011-1-25

漏洞号:

BUGTRAQ ID: 45855
CVE(CAN) ID: CVE-2010-4420

漏洞描述:

Oracle Database Vault是一款商业性质的数据库安全产品。
Oracle Database Vault在实现上存在安全漏洞,本地攻击者可利用此漏洞获取受影响应用程序管理员的会话ID。

安全建议:

厂商补丁:
Oracle
------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.oracle.com

 

3.4 Iconfidant SSH服务器密钥交换缓冲区溢出漏洞

Iconfidant SSH服务器密钥交换缓冲区溢出漏洞

发布时间:

2011-1-24

漏洞号:

 

漏洞描述:

Iconfident SSH是运行在基于VxWorks系统上的SSH服务器。
Iconfident SSH在实现上存在安全漏洞,远程攻击者可利用此漏洞造成栈缓冲区溢出和执行任意代码。
此漏洞源于服务器的密钥交换功能的边界错误,在处理发送到服务器的特制客户端主密钥报文时,如果客户端主密钥报文的特定长度字段的长度超过0x4000,可造成静态缓冲区溢出。

安全建议:

厂商补丁:
Icon Labs
---------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.icon-labs.com/

 

3.5 Sybase EAServer多个远程安全漏洞

Sybase EAServer多个远程安全漏洞

发布时间:

2011-1-24

漏洞号:

BUGTRAQ ID: 45809

漏洞描述:

Sybase EAServer是高性能、可伸缩、安全、开放的应用服务器,适用于适用多层架构的电子门户和互联商务解决方案。
Sybase EAServer在实现上存在绕过安全限制和目录遍历漏洞,远程攻击者可利用此漏洞执行任意代码或泄漏敏感信息。

安全建议:

厂商补丁:
Sybase
------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.sybase.com/home