当前位置: 安全纵横 > 安全公告

一周安全动态(2011年02月10日-2011年02月17日)

来源:安恒信息 日期:2011-02

2011年2月第二周(02.10-02.17)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象,需对网络和主机进行必要的监控和升级。

 

 

 

1. 安全新闻

1.1 FBI调查黑客入侵纳斯达克 据称黑客入侵已一年

据《星洲日报》报道,美国纳斯达克市场(NASDAQ)营运者日前披露,有迹象显示其计算机的一个操作系统曾遭到网上黑客入侵,但是未有证据指出黑客已取得买卖纳斯达克上市股份的投资者资料。

美国最大的两个交易所运营商 NYSEEuronext和 DirectEdge表示,将会继续与纳斯达克市场的交易平台保持连接。客户订单将通过电子系统在各个平台中寻找最佳价格。

《路透社》报道指出,电脑黑客入侵纳斯达克市场的消息,对华尔街构成一次最新打击,因他们正努力在投资者和交易商心目中重塑去年因“闪电暴跌”而被损的形象。

《美联社》引述消息人士称,黑客入侵该作业平台已有逾1年时间,而且不止一次入侵,同时动机未明。

管理纳斯达克市场的NasdaqOMX在上周六指出,发现一个操作系统内有来历不明的残留档案,怀疑是黑客留下的,美国联邦调查局(FBI)及其它相关执法单位已参与此次调查。

黑客入侵的消息传出之际,正值美国股票共同基金的资金流动显示改善迹象,此前在金融危机后股票基金历经了数年资金外流,而去年5月历时20分钟的“闪电暴跌”,曾打压美国主要股指重挫,引发美国证监会(SEC)调查证券市场的稳定。

始自去年的美股大涨正开始吸引散户投资者撤离债市,重回股市。此时爆出纳斯达克市场遭黑客侵袭事件,真可谓祸不单行。

虽然此次事件本身不太可能对散户回归的趋势产生冲击,但维护市场信心事关重大,目前监管方对电子市场的稳定性感到忧心,而很多散户投资者认为眼下时运不济。

《中华工商时报》

1.2 知名黑客组织Anonymous攻击意大利政府网站

著名黑客组织“Anonymous”周日攻击了意大利政府网站,表达对意大利政治和经济形势的不满。

意大利媒体报道称,Anonymous对意大利政府网站www.governo.it发动了“分布式拒绝服务攻击(DDoS)”,攻击原因是“意大利政治和经济形势不稳定”。不过该网站并未立即被封锁。

分布式拒绝服务攻击是通过同时向网站发送大量的请求,使服务器无法处理大量处理而导致宕机。不过在攻击之前,意大利警方曾向网站管理员发出警告,使得其有时间采取反措施。

“Anonymous”是一个组织松散的全球黑客组织,此前曾攻击了埃及和突尼斯政府网站。上周四,也门总统萨利赫的网站presidentsaleh.gov.ye也遭到该黑客组织攻击,导致无法登录。

去年12月,Anonymous组织攻击了信用卡公司Visa和Mastercard的网站,作为对其封锁维基解密账户的报复。

1.3 英国首次全国性寻找网络安全专业人才

英国近日举办了全国网络安全竞赛,该赛事是英国首次全国性地寻找网络安全专业人才。活动中产生了两位优胜者,包括一位年轻的网络安全爱好者,至今仍然在学校里为高中会考而学习。

“英国网络安全挑战赛”是一个更广泛的在线和面对面系列竞赛,由知名的安全、教育及政府组织支持,应对该领域技能型专业人才短缺的担忧。参加竞赛的人必须要展 示他们惊人的计算(在线安全难题)速度和技能,这些计算由普华永道(PwC)OneSecurity风险管理组设计。

普华永道会计师事务所(PwC) 风险管理总监Jay Abbott说:“我们在这一阶段设计的计算比较难解,在完成这些难题的人中,很少有以真正高标准操作的。”“我们想要鼓励那些不需要把网络安全作为合法职业考虑的人,同时又要明确最有才华的人。”

Edward Godfre是第一轮计算挑战赛(18岁以下组)的冠军。他是一名16岁的网络安全爱好者,在多塞特郡的特托马斯·哈德耶学校(Thomas Hardy School)为他的A级考试做准备。虽然不是专业人士,Edward还是参加了南安普敦大学举办的“国家计算挑战赛” (National Cipher Challenge),并解决了每一轮的难题,进入“维吉尼亚算法”级。

Senad Zukic 是第二轮和第三轮的冠军。他说:“我是一个专业程序员,但不是安全领域的。我的工作基本上是网站或是桌面应用程序,不过我总是喜欢编码和计算,但却从来没有机会进入这个领域。作为一名爱好者,我喜欢与安全相关的工作,加密、隐写术、取证、网络基础设施安全等所有有趣的工作。”

“英国网络安全挑战赛”负责人Judy Baker说:“对这些计算的反应,说明了我们国家网络安全能力的水平,以及我们国家在这个领域所具有的雄心,而那些参加这些难题测试的人,正是挑战赛想要寻找的人。”“已经有赞助方表示,他们有可能会见表现出高水平能力的应试者。”

同时来自英国的四个小组被选中参加第二轮的“网络防御竞赛”(Network Defence Competition)。这是一个由QinetiQ赞助并组织的竞赛,是“网络安全挑战赛”三个组成部分之一。这个竞赛侧重于网络设计、建立和防御技术。

这次竞赛分成两个类别:家庭网络和小型企业网络。在九月份有几个小组同时进入了两个类别的比赛,两个类别中各有两个小组被挑选出来于2011年初,到 QinetiQ在范堡罗(Farnborough)的门户设施所在地参加面对面的比赛,他们将在那里决出胜负,成为自己所在类别的最终胜利者。

QinetiQ负责安全业务的总经理Alasdair Rodger说:“在QinetiQ,我们有一支优秀的团队负责今年首轮英国网络安全挑战赛的网络防御挑战。”“所有的入选者都给我们留下了深刻的印象,鼓励我们去了解有多少年轻人正在考虑从事网络安全职业。一月份QinetiQ的网络防御挑战赛正在热身阶段,对每个参赛者来说,它将会是一次非常艰难而又令人兴奋的比赛。”

“通常,在宴会上,当你说你的工作与计算机有关时,人们的目光通常毫无变化。”为牛津郡阿宾顿反病毒软件公司Sophos工作的Ross McKerchar说道。该公司是帮助举办“网络安全挑战赛”并使之成功的组织之一。

McKerchar表示不存在夸大网络空间袭击对日常生活造成的威胁。“许多人认为如果他们的计算机中了病毒并没有什么关系。他们没有意识到的是病毒可能会盗取你的银行信息、盗用你的身份,利用你的计算机作为攻击其他网站的基地。”

人民网

1.4 专家票选2010年十大网络黑客技术

一个专家委员会公开投票评出2010年10大网络黑客技术。一个能够给在线银行交易造成威胁的网络黑客技术列为排在第一位的网络黑客技术。

这种名为“Padding Oracle Crypto Attack”的黑客技术利用微软的Web框架ASP.NET保护AES加密Cookie的方式实施攻击。

如果Cookie中的加密数据被修改,ASP.NET处理它的方式就会导致应用程序泄露有关流量加密方式的信息。通过反复改变和泄露信息,黑客就能够推断出能够在加密密钥中消除哪些字节。这就会把未知的字节数量减少到足够少的程度以便进行猜测。

这个破解技术的开发者Juliano Rizzo和Thai Duong已经开发出一个执行这个破解任务的工具。

"Padding Oracle Crypto Attack"通过投票被评为排名第一的黑客技术。参与投票的专家包括:InGuardians公司创始人Ed Skoudis;NoScript的作者Girogio Maone;Armorize首席执行官Caleb Sima;Veracode首席技术官Chris Wysopal;OWASP董事长兼首席执行官Jeff Williams;Independent Security Evaluators公司安全顾问Charlie Miller;IOActive入侵测试经理Dan Kaminsky;Mitre公司的Steven Christey;White Hat负责运营的安全副总裁Arian Evans。

这个排名是由Black Hat、OWASP和White Hat Security赞助实施的。这些黑客技术的细节将是下个月在德国举行的IT-Defense 2011会议上演示的主题。

下面是投票评出的10大黑客技术中的其余9项黑客技术。

2. Evercookie — 这个技术能够让Java脚本创建隐藏在浏览器中8个不同位置的Cookie,从而使人们很难消除这些Cookies。Evercookie能够让黑客识别机器,即使传统的Cookie已经被删除。这个技术是Samy Kamkar创建的。

3. Hacking Autocomplete(破解自动填表功能)— 如果打开某些浏览器的自动填写网站表格的功能,恶意网站上的脚本就能够迫使这个浏览器利用存储在受害人计算机中的各种数据填写个人数据。这个技术是Jeremiah Grossman创建的。

4. 利用缓存注入攻击HTTPS — 向浏览器缓存注入恶意Java脚本库能够让黑客攻破SSL保护的网站。在缓存清除之前这个攻击都会起作用。在排名100万之内的网站中几乎一半的网站都使用Java脚本库。这个技术是Elie Bursztein、Baptiste Gourdin和Dan Boneh创建的。

5. 利用点击劫持和HTTP参数污染绕过CSRF保护 — 绕过跨站请求假冒防御并且欺骗受害者泄露自己的电子邮件身份。使用这些技术,攻击者能够重置受害人的口令并且获得访问受害者账户的权限。这个技术是Lavakumar Kuppan创建的。

6. IE8中的通用XSS — IE8有跨站脚本保护功能。这个利用安全漏洞的代码能够绕过这个保护措施,允许以恶意的方式不适当地提交网页。

7. HTTP POST拒绝服务攻击 — 将HTTP POST页头发送给服务器,让服务器知道发送了多少数据,然后这个数据以非常慢的速度发出,吞噬服务器的资源。当许多这种数据同时发出的时候,服务器就被压垮了。这个技术是Wong Onn Chee和Tom Brennan创建的。

8. JavaSnoop — 附加在目标机上的Java代理与JavaSnoop工具进行通讯,测试这台机器上的应用程序的安全漏洞。这可以用作安全工具,也可以作为黑客工具,主要取决于用户的意图。这个技术是Arshan Dabirsiagh创建的。

9. 火狐浏览器中的CSS历史破解,无需用于内部网端口扫描的JavaScript — 用于定义HTML呈现方式的层叠样式表(CSS)可用于在受害者访问网站时获取浏览器历史。这个历史信息可用于对受害者实施钓鱼攻击。这个技术是 Robert "RSnake" Hansen创建的。

10. Java程序DNS重新绑定攻击 — 两个Java程序将浏览器导向两个攻击者控制的网站,迫使浏览器绕过其DNS缓存,从而使浏览器容易受到DNS重新绑定攻击。这个技术是Stefano Di Paola创建的。

文/网界网

1.5 微软2011年2月安全公告公布

微软2月安全公告显示,本月漏洞补丁有3个“危急”级别、9个“重要”级别,危害较大的IE“圣诞”漏洞、Windows图形渲染引擎漏洞本次得到了修复。这两个漏洞的信息都已经在网上公开曝光多日,为此360安全卫士还分别发布过临时补丁。而本次公告中最值得关注的,是一个以潜伏期之长、威胁程度之高而刷新纪录的“长老”漏洞。以下是相关公告页面和危急程度的图形描述:
查看:Microsoft Security Bulletin Summary for February 2011



 

据360安全中心介绍,“长老”漏洞最早出现在1992年的早期Windows NT系统中,并影响到其后的所有Windows版本,比之前谷歌工程师发现的另一个Windows“高龄”漏洞还早一年。利用“长老”漏洞,木马病毒可以获得电脑的最高权限,从而轻而易举地破坏杀毒软件、防火墙、还原系统、沙箱等各类安全软件,使电脑丧失对木马病毒的抵抗力。

360安全中心是在2010年10月底独家发现“长老”漏洞的。发现该漏洞的巨大危害性后,360安全卫士紧急开发了独家的临时补丁,并主动为用户升级,比微软官方补丁早了两个月;同时,360迅速将技术细节通报给了微软应急安全响应中心(MSRC),以协助微软公司制作官方补丁。

按照微软惯例,其官方网站在发布补丁时,会对首先报告漏洞的机构或个人公开致谢。迄今为止,360安全中心是国内唯一获此殊荣的个人电脑安全厂商。在此前的2009年7月,360因独立发现“DirectShow视频开发包”漏洞同样获得了微软的致谢。


微软致谢360发现Windows潜伏19年漏洞


附:微软2011年2月补丁信息

1、Windows 内核权限提升漏洞(Windows“长老”漏洞)
安全公告:MS11-011;知识库编号:KB2393802;级别:重要
描述:本补丁修复了Windows内核中一处已经被公开披露的安全漏洞和一处秘密报告的安全漏洞,已经入侵系统的攻击者可能利用这些漏洞提升权限,进一步控制整个系统。
影响操作系统:Windows XP/2003/Vista/2008/Windows7

2、IE浏览器累积安全更新(IE“圣诞”漏洞)
安全公告:MS11-003;知识库编号:KB2482017;级别:危急
描述:本补丁修复了IE浏览器中存在的两处已经被公开披露的安全漏洞和两处秘密报告的安全漏洞,当存在漏洞的用户浏览攻击者精心构造的网站时,可能引发攻击者的恶意代码得到执行,安装恶意程序或窃取、篡改用户的隐私数据。
影响操作系统和软件版本:Windows XP/2003/Vista/2008/Windows 7 IE6/IE7/IE8

3、Windows图形渲染引擎远程代码执行漏洞
安全公告:MS11-006;知识库编号:KB2483185;级别:危急
描述:本补丁修复了Windows外壳图像处理组件中的一个已经被公开披露的安全漏洞,当存在漏洞的用户浏览攻击者精心构造的缩略图时,可能引发攻击者的恶意代码得到执行,安装恶意程序或窃取、篡改用户的隐私数据。
影响操作系统:Windows XP/2003/Vista/2008

4、微软Internet信息服务(IIS) FTP服务器远程代码执行漏洞
安全公告:MS11-004;知识库编号:KB2489256;级别:危急
描述:本补丁修复了微软Internet信息服务(IIS)的FTP服务器组件中存在的一处已经被公开披露的安全漏洞,当存在漏洞的IIS FTP服务器收到一个攻击者精心构造的FTP命令,将导致攻击者的恶意代码在服务器上得到执行,安装恶意程序或窃取、篡改用户数据。
影响操作系统:Windows Vista/2008/Windows 7

5、微软活动目录远程拒绝服务漏洞
安全公告:MS11-005;知识库编号:KB2478953;级别:重要
描述:本补丁修复了微软活动目录中存在的一处已经被公开披露的安全漏洞, 攻击者可能通过发送特殊的数据包给存在漏洞的服务器,导致服务器拒绝服务。
影响操作系统:Windows 2003

6、Windows OpenType压缩字体格式(CFF)驱动远程代码执行漏洞
安全公告:MS11-007;知识库编号:KB2485376;级别:危急
描述:本补丁修复了Windows OpenType压缩字体格式(CFF)驱动中存在的一处秘密报告的安全漏洞,当存在漏洞的用户浏览攻击者精心构造的网站时,可能引发攻击者的恶意代码以系统最高权限得到执行,安装恶意程序或窃取、篡改用户的隐私数据,并控制整个系统。
影响操作系统:Windows XP/2003/Vista/2008/Windows 7

7、微软Visio软件远程代码执行漏洞
安全公告:MS11-008;知识库编号:KB2434711、KB2434733、KB2434737;级别:重要
描述:本补丁修复了微软Visio软件中存在的两处秘密报告的安全漏洞,当存在漏洞的用户浏览攻击者精心构造的Visio文件时,可能引发攻击者的恶意代码得到执行,安装恶意程序或窃取、篡改用户的隐私数据。
影响软件版本:Visio 2002/2003/2007

8、Windows JScript和VBScript脚本引擎信息泄漏漏洞
安全公告:MS11-009;知识库编号:KB2475792;级别:重要
描述:本补丁修复了Windows JScript和VBScript脚本引擎中存在的一处秘密报告的安全漏洞,当存在漏洞的用户浏览攻击者精心构造的恶意网站时,可能引发信息泄漏,窃取用户的隐私数据。
影响操作系统:Windows 7/2008 R2

9、Windows CSRSS 本地权限提升漏洞
安全公告:MS11-010;知识库编号:KB2476687;级别:重要
描述:本补丁修复了微软Windows 客户端/服务器运行时子系统(CSRSS)中存在的一处秘密报告的安全漏洞,已经入侵系统的攻击者可能利用这个漏洞提升权限,进一步控制整个系统。
影响操作系统:Windows XP/2003

10、Windows内核驱动本地权限提升漏洞
安全公告:MS11-012;知识库编号:KB2479628;级别:重要
描述:本补丁修复了Windows内核驱动win32k.sys中存在的五处秘密报告的安全漏洞,已经入侵系统的攻击者可能利用这些漏洞提升权限,进一步控制整个系统。
影响操作系统:Windows XP/2003/Vista/2008/Windows 7

11、Windows Kerberos安全认证组件本地权限提升漏洞
安全公告:MS11-013;知识库编号:KB2478971、KB2425227;级别:重要
描述:本补丁修复了Windows Kerberos安全认证组件中存在的一处秘密报告的安全漏洞,已经入侵系统的攻击者可能利用这些漏洞提升权限,进一步控制整个系统。
影响操作系统:Windows XP/2003/Windows7

12、Windows本地安全认证子系统本地权限提升漏洞
安全公告:MS11-014;知识库编号:KB2478960;级别:重要
描述:本补丁修复了Windows本地安全认证子系统中一处秘密报告的安全漏洞,已经入侵系统的攻击者可能利用这些漏洞提升权限,进一步控制整个系统。
影响操作系统:Windows XP/2003

2. 本周关注病毒

2.1 病毒名称:Worm.Win32.DownLoader.ns(蠕虫病毒)
警惕程度 ★★★

该病毒使用驱动技术对自身释放的病毒文件和进程进行保护,隐藏自身模块,并对与病毒相关的注册表进行了保护。另外其注入动态库和安装驱动的方式也比较独特,能绕过大部分杀毒软件的主动防御。通过局域网、U盘和感染exe文件方式进行传播,最终病毒会访问黑客指定网站下载大量木马到用户电脑中。

2.2 病毒名称:Trojan.Clicker.Win32.Agent.fsv(木马病毒)
警惕程度 ★★★★

病毒运行后会将自身隐藏在QQ安装目录中,以躲避查杀,修改注册表键值并且不定期地访问3个网站以提高其访问量。黑客借以获取利益,并造成网络带宽的浪费。染毒用户的计算机速度及网络速度都会变慢,给用户造成很大的不便和损害。

3. 安全漏洞公告

3.1 IBM Lotus Domino iCalendar会议请求解析远程栈缓冲区溢出漏洞

IBM Lotus Domino iCalendar会议请求解析远程栈缓冲区溢出漏洞

发布时间:

2011-02-08

漏洞号:

BUGTRAQ ID: 46232

漏洞描述:

Lotus Domino是集电子邮件、文档数据库、快速应用开发技术以及Web技术为一体的电子邮件与群集平台。

Lotus Domino iCalendar在对用户提供的输入进行边界检查时存在远程栈缓冲区溢出漏洞,远程攻击者可利用此漏洞以系统级别执行任意代码,完全控制受影响系统。

安全建议:

厂商补丁:
IBM
---
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.ers.ibm.com/

 

3.2 Oracle Java "JFileChooser"安全策略绕过漏洞

Oracle Java "JFileChooser"安全策略绕过漏洞

发布时间:

2011-02-07

漏洞号:

BUGTRAQ ID: 46223

漏洞描述:

Java运行时环境(JRE)为JAVA应用程序提供可靠的运行环境。

Oracle Java "JFileChooser"在实现上存在安全策略绕过漏洞,远程攻击者可利用此漏洞覆盖或修改受影响计算机上的任意文件。

安全建议:

厂商补丁:

Ubuntu
------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

http://www.ubuntulinux.org/

 

3.3 IBM Lotus Domino Server "diiop"多个远程代码执行漏洞

IBM Lotus Domino Server "diiop"多个远程代码执行漏洞

发布时间:

2011-02-07

漏洞号:

BUGTRAQ ID: 46233

漏洞描述:

Lotus Domino是集电子邮件、文档数据库、快速应用开发技术以及Web技术为一体的电子邮件与群集平台。

IBM Lotus Domino在实现上存在多个远程代码执行漏洞,远程攻击者可利用此漏洞在服务器进程中执行任意代码或造成拒绝服务。

安全建议:

厂商补丁:

IBM
---
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

http://www.ers.ibm.com/

 

3.4 IBM Lotus Notes“cai://”URI Handler远程代码执行漏洞

IBM Lotus Notes“cai://”URI Handler远程代码执行漏洞

发布时间:

2011-02-07

漏洞号:

BUGTRAQ ID: 46236

漏洞描述:

Lotus Notes是由IBM开发的集成邮件、日历、即时消息、浏览器和业务协作应用,可用作Lotus Domino服务器应用的桌面客户端。

Lotus Notes在处理cai:// URIs中的畸形字符串时存在错误,“--launcher.library”交换将被注入并定向以从网络共享加载DLL,远程攻击者可利用此漏洞执行任意命令。

安全建议:

厂商补丁:
IBM
---
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.ers.ibm.com/

 

3.5 Apache Tomcat JVM远程拒绝服务漏洞

Apache Tomcat JVM远程拒绝服务漏洞

发布时间:

2011-02-03

漏洞号:

BUGTRAQ ID: 46166

漏洞描述:

Apache Tomcat是一个流行的开放源码的JSP应用服务器程序。

Apache Tomcat在实现上存在拒绝服务漏洞,攻击者可利用此漏洞造成拒绝服务攻击。

安全建议:

厂商补丁:
Apache Group
------------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://jakarta.apache.org/tomcat/index.html