当前位置: 安全纵横 > 安全公告

一周安全动态(2011年03月03日-2011年03月10日)

来源:安恒信息 日期:2011-03

2011年3月第一周(03.03-03.10)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象,需对网络和主机进行必要的监控和升级。

 

 

 

1. 安全新闻

1.1 IBM:移动安全漏洞数量自2006年起增长八倍

来自IBM最新的X-Force趋势和风险报告中的数据显示,移动威胁的数量在过去的五年中增长了八倍多。IBM表示移动操作系统 的漏洞数量从2006年 的不到20个,发展到2010年的160多个,其中在2009年,漏洞数量急速增长,大约有 70个漏洞在那一年被发现。该报告还展示了受影响的移动操作系统的数量,在2006年没有操纵系统受影响,到2008年有四个,而在去年有14个操作系统受影响。

为了应对增长的移动威胁,Cross建议企业开始应用并跟踪针对智能手机和平板电脑的安全政策,企业应该鼓励员工在使用个人设备 工作时,多关注设备的安全问题。同时,Cross提供了五点安全建议:建立智能手机VPN访问;控制第三方和未签名应用程序的安装;建立屏保密码恢复机 制;建立遗失设备处理流程;评估智能手机的防病毒产品。

完整版的X-Force报告将在三月中旬正式发布。

1.2 "90后"黑客入侵网络运营商服务器

说起母亲,马阳在法庭上痛哭失声。

"黑客"一词,原指热心于计算机技术,水平高超的电脑专家,尤其是程序设计人员。但到了今天,黑客一词已被用于泛指那些专门利用电脑网络搞破坏或恶作剧的家伙。对这些人的正确英文叫法是Cracker,有人翻译成“骇客”。

黑客和骇客根本的区别是:黑客们建设,而骇客们破坏。

站在法庭中间的马阳,身材瘦小,囚服上有六个醒目的大字——建邺区看守所。在法庭上,马阳还曾振振有词地为自己辩解,但当他说起自己的母亲时,放声大哭。他说他想赚点钱,让自己和母亲都过上好日子。

昨天上午,经过两个多小时的庭审,马阳成为江苏首例因犯非法控制计算机信息系统罪被判刑的第一人,被判处有期徒刑10个月,罚金2000元。这意味着已经被拘留8个多月的马阳,很快就能回家看望母亲。

马阳对这个判决结果并没有什么不满,拭去泪痕的他,在庭审笔录上签字后,便被法警带上了警车,离开了法院。

侵入网络运营商服务器

2010年5月底的一天,苏州市56万ITV(网络电视点播服务)用户突然发现,不能登录网络了,就算接上了网络,网络电视不是卡,就是一点都看不了。用户立即向提供网络电视的运营商打去了投诉电话。

接下来,6月初的几天,这种情况多次出现。经过网络运营商工程师检查,服务器遭到了骇客攻击,工程师立即向建邺警方报警。

南京警方网络警察支队民警勘察发现,两台服务器中有一名叫“SQLDebugger”的文件夹,里面收藏了众多黑客软件,但创建者的身份不明。

据警方事后查实,这个“SQLDebugger”,就是入侵的骇客用户名。骇客使用这个名称,前前后后登录这家网络运营商服务器36次。而这个用户名,拥有服务器的最高管理权限。

大意留下攻击痕迹被抓获

在对攻击痕迹查找的过程中,警方找到了一个文本文件,里面留下了一个QQ号码,这正是马阳的QQ号。在法庭上,马阳说之所以留下QQ号码,是为了配合已 经上传到服务器里的黑客工具使用的。这个工具可以拦截网络运营商管理员的账户和密码,然后发送到马阳的qq号上,“这样就算我建立的账户被封了,我还能用 管理员账户再次进入服务器。”

马阳大意留下了攻击痕迹,这也暴露了自己的IP地址。根据IP地址查找,2010年6月22日,警方在成都市武侯区某小区的出租房内,将正在网上“抓肉鸡”的马阳抓获。

面对警方,马阳很爽快便承认自己就是“SQLDebugger”。

什么叫肉鸡,指的是中了木马,或者留了后门,可以被远程操控的机器。

自学黑客技术“占路收钱”

1990年9月,马阳出生于四川省江油市,初一时就辍学。2008年年底,马阳听说不少网游玩家都通过购买私密网络通道,玩网络游戏,“当时听说做得好,一个月就能赚一两万元”。

以前对黑客技术一窍不通的马阳,萌发了学黑客技术盗取IP地址卖钱的念头。他在网上自学黑客教程,还在网上结识了不少同道中人,交流黑客技术。

自觉技术成熟后,马阳便开始了抢占网络带宽的生意。马阳先是用黑客工具扫描国内有漏洞的服务器,然后侵入后建立最高权限的账户,再以这个服务器为跳板,侵入下一个服务器,目的是为了掩饰自己最初登录网络的IP地址,让网络安全专家抓不到自己。

当“肉鸡”达到一定数量后,就可以利用最后一个“肉鸡”霸占带宽。马阳的生意简单来说,就是“占路收钱”。他将别人的网络带宽占为己有,然后将这些带宽租用或出售给网民。

“20分钟就绕过了防火墙”

“我是在2010年4月时,找到这家公司的服务器的。”站在法庭上的马阳说,自己仅仅是用了一种黑客工具,扫描一个IP段,找出存在漏洞的服务器。“他们的服务器根本不设防,我用了20分钟就绕过服务器的防火墙,拿到了服务器的最高权限。”
马阳说,由于服务器不设防,肯定有不少黑客光顾过,所以服务器里存放的黑客工具,不一定就是自己的。

“我一开始不知道这是犯法的,我只是侵入了服务器,我没有在服务器里随意操作,没有窃取资料,无意中给网络用户造成了威胁,我很对不起他们,希望法院能对我从轻发落。”马阳痛哭出声,“我真的不是故意犯罪,我只是想赚点钱,让母亲和自己生活得好一点”。

建邺法院审理后认为,马阳违反国家规定,侵入计算机信息系统,对该计算机信息系统实施非法控制,情节严重,其行为已构成非法控制计算机信息系统罪。马阳归案后如实供述犯罪事实,庭审中自愿认罪,判处有期徒刑10个月,罚金2000元。

赚钱想让母亲生活好一点

在记者采访时,马阳说起了自己的身世:“我出生不久,父母就离婚了。2岁时,我父亲就去世了,我妈没有因为我判给了父亲就不管我,而是将我带在了身边,一直抚养我长大。”

而在昨天上午的旁听席上,除了众多媒体记者,马阳的亲人均没有到庭。

马阳的眼泪不停地顺着面颊滑落,声音几近哽咽,“那次,我妈突然跟我发火,说和我断绝关系,以后就再也找不到了。我被抓后,给老家叔叔写了一份信,把我 的事说了,希望叔叔能帮我联系到我妈。后来我妈给我写了一份信,说那次要断绝关系只是一时气话,她不会丢下我,让我好好改造,她等我回去。”

采访的最后,记者问马阳以后想做什么,马阳说自己还想从事和网络有关的工作,自己学了那么多黑客技术,肯定能在正规的网络公司,找到一份体面的工作,“我一定要让我妈过上好日子”。

1.3 黑客劫持海南省广电总台官网服务器被捕

海南2月24日电远在贵州安顺的犯罪嫌疑人柏留康利用互联网技术,侵入海南省广播电视总台的官方网站,对其服务器进行非法控制并多次登陆该服务器,在该服务器中上传 大量的黑客软件,且其明知利用该服务器对外进行DDOS攻击会导致该服务器网速变慢,影响该服务器的网络访问,仍利用该服务器对外进行数据发包,攻击其他 计算机,导致海南省广播电视总台的官方网站蓝网在近20个小时中无法正常运转。柏留康之行为涉嫌破坏计算机信息系统罪,2月17日,海南省海口市检察院对柏留康依法批准逮捕。

2010年12月10日,海南省公安厅公共信息网络安全监察处接到报案称,海南广播电视台的官方网站蓝网于2010年10月13日凌晨6点至当 日中午12点被攻击,服务器遭受堵塞导致不能正常运行,网页无法打开,后台无法登陆,导致蓝网瘫痪。2011年1月8日,海口市公安局查得该案的犯罪嫌疑 人在贵州省安顺市,在安顺市公安局公共信息网络安全监察支队的配合下,公安机关在安顺市将犯罪嫌疑人柏留康抓获。

据了解,2010年9月初,犯罪嫌疑人柏留康利用漏洞扫描软件在互联网上自动扫描时,发现海南省广播电视总台网站蓝网的服务器存在安全漏洞,破 解了该服务器中的来宾账户的密码,并通过远程连接的方式,将该账户的权限提升为管理员权限,从此获得了该服务器的完全控制权。2010年10月11日,犯 罪嫌疑人柏留康频繁上传黑客软件到蓝网的服务器中,2010年10月12日到13日中午13时近一天的时间里,犯罪嫌疑人柏留康在安顺市频繁远程登录蓝网 服务器,并使用此前上传的黑客工具软件对郑州的一个IP地址持续发放数据包进行DDOS溢出攻击。持续大量发送数据的操作造成在此期间蓝网服务器使用的 50M网络宽带严重堵塞,网站无法正常访问,后台也无法正常登陆,使海南省广播电视总台10月12日晚20:00—22:00举办的“风雨同舟”赈灾晚会 的网上同步直播受到严重干扰。

除上述犯罪事实外,侦查过程中还发现,犯罪嫌疑人柏留康还在网上建了一个叫“发客网”(www.888k.org)的网站,公开招揽收费攻击他 人网站或网吧的非法业务,多次在其他网站发布招揽收费攻击及收费招收黑客徒弟的广告。在柏留康的网络硬盘的一个文本文件中,保存了包括蓝网服务器管理员密 码在内的多个服务器登陆密码。因此,犯罪嫌疑犯柏留康还有实施其它机算机犯罪的重大嫌疑,现正在进一步侦查中。

1.4 网上银行仍是钓鱼网站主攻对象

钓鱼网站近期再度泛滥,网上银行仍旧成为钓鱼网站仿冒的主要对象。近日,一网民在微博上反映,他在进行网购交易支付时,账户里5.4万元莫名“蒸 发”,在几个小时内竟被分解流向一百多个网络账户。国内计算机安全机构披露,最近一周所截获的钓鱼网站就超过70万个,约有近400万名网民遭遇到钓鱼网 站不同程度的攻击。

最近一周,瑞星“云安全”系统共截获了1300多个假冒各类网上银行的钓鱼网站,这些银行利用与真实银行网站极为相似的域名和网页内容,诱骗用户信以为真,输入网银账号密码,可能导致钱财被盗。

监测发现,一些不法分子还通过传播“网银超级木马”变种病毒,配合钓鱼网站实施网上诈骗。黑客通过“诱导用户购物——感染买家电脑——劫持支付页面”, 就有可能能诈骗得手。在这个过程中,由于电脑没有明显中毒迹象,而虚假的支付页面制作又几可乱真,普通网民很难加以分辨。

1.5 伊朗将暂时卸载核电站核燃料 疑被病毒攻击

伊朗常驻国际原子能机构代表苏丹尼耶26日说,伊朗将暂时卸载布什尔核电站的核燃料。

苏丹尼耶当天在接受伊朗学生通讯社采访时说:“应俄罗斯要求,核燃料将从核反应堆堆芯中取出,以便进行多项试验和相关技术工作。试验结束后,核燃料将被重新装入堆芯。”

苏丹尼耶强调,伊朗一向把核反应堆安全问题放在首位,并按照最高国际安全标准建造核电站。

布什尔核电站位于伊朗南部港口城市布什尔附近,是伊朗首座核电站,设计装机容量为1000兆瓦。

1995年,伊朗与俄罗斯签署了总额为10亿美元的布什尔轻水反应堆核电站项目合同。俄方负责向伊朗提供核燃料、设备、技术以及人员培训等。

新闻分析

伊朗为何决定卸载?

分析人士:一定遇到了重大安全问题

伊朗为何要在布什尔核电站即将发电前卸载其核燃料?分析人士认为,原因是核电站系统遭受震网(Stuxnet)蠕虫病毒攻击。但伊朗对此予以否认。

去年7月,德国专家发现震网病毒后,伊朗、印度尼西亚、印度和美国等国均遭到这一病毒攻击。西方媒体当时猜测,震网病毒的目标是伊朗布什尔核电站。计算机专家认定这种病毒是专门为袭击离心机而设计的。专家分析,震网病毒能突然更改离心机中的发动机转速,这种突然的改变足以摧毁离心机运转能力且无法修复。

启动时间被一再拖延

舆论猜测:被病毒攻击了

事实上,自去年8月以来,布什尔核电站的启动时间被一再拖延就引发了舆论猜测:布什尔核电站受到震网病毒攻击。今年1月,英国《每日电讯报》、美国《纽约时报》等媒体报道,震网病毒侵入了布什尔核电站的计算机系统,对该核电站反应堆造成严重影响。但俄罗斯原子能公司及伊朗原子能组织均对此予以否认。

布什尔核电站位于伊朗南部港口城市布什尔附近,设计装机容量为1000兆瓦。20世纪70年代,伊朗与德国签署合同建造布什尔核电站。1979年伊朗爆发伊斯兰革命后,在美国反对下,德国停止了与伊朗的合作。1995年,伊朗与俄罗斯签署了总额为10亿美元的布什尔轻水反应堆核电站项目合同,俄方负责向伊朗提供核燃料、设备、技术以及人员培训等。由于涉及核能技术等问题,伊俄核电站合作一直受到西方国家指责,核电站的建设工期被一再拖延。

工作人员个人电脑染毒

重申:推迟供电与病毒没关联

去年9月底,伊朗国内数万个互联网终端感染蠕虫病毒。3天后,时任伊朗原子能组织主席萨利希宣布布什尔核电站须推迟两个月至今年1月前后供电,但未说明原因。有伊朗官员之前证实,布什尔核电站部分工作人员个人电脑感染这种病毒,但否认核电站主要计算机系统遭受病毒攻击。

去年10月4日,萨利希重申,布什尔核电站推迟供电与蠕虫病毒攻击没有关联。但他第二天承认布什尔核电站核反应堆附近一个燃料贮存池发生轻微泄漏,导致该电站启动过程延迟。

并网发电前夕这一“节骨眼”上

卸载核燃料

针对有媒体称美国和以色列是对布什尔核电站进行网络攻击的幕后主使一事,萨利希说:“西方不顾人们的健康和安全,它们会想方设法达到自己的目的,即便这会对人类社会造成威胁。”

分析人士认为,伊朗宣布在布什尔核电站并网发电前夕这一“节骨眼”上卸载该核电站核燃料,一定是遇到了重大安全问题,否则一直急于推进该核电站项目的伊朗不可能采取这样的“倒退”措施。

2. 本周关注病毒

2.1 病毒名称:Trojan.Clicker.Win32.Agent.ftu(木马病毒)
警惕程度 ★★★

病毒运行后会将自身复制到系统目录中,修改注册表键值并且不定期地访问黑客指定网站以提高其访问量。黑客借以获取利益,并造成网络带宽的浪费。染毒用户的计算机速度及网络速度都会变慢,给用户造成很大的不便和损害。

2.2 病毒名称:Trojan.PSW.Win32.OnlineGame.bch(木马病毒)
警惕程度 ★★★★

该病毒通过挂马网站传播,运行后会通过键盘记录、读取游戏窗口信息和内存信息等方式盗取多种流行网络游戏的账户密码,对网游玩家威胁极大。

2.3 病毒名称:Trojan.DL.Win32.Undef.svo(木马病毒)
警惕程度 ★★★

这是一个病毒下载器,病毒运行后链接黑客指定的病毒下载列表,随后根据这个下载地址列表下载很多流氓软件和病毒。

3. 安全漏洞公告

3.1 Microsoft Windows Kernel整数截断本地权限提升漏洞

Microsoft Windows Kernel整数截断本地权限提升漏洞

发布时间:

2011-3-1

漏洞号:

BUGTRAQ ID: 46136
CVE ID: CVE-2011-0045

漏洞描述:

Windows Kernel在实现上存在本地权限提升漏洞,攻击者可利用此漏洞以内核级别权限执行任意代码,从而完全控制受影响计算机。
此漏洞源于Kernel对跟踪事件的支持。由于畸形转换,Kernel为用户空间中的数据分配使用截断的长度。在填充此缓冲区时,Kernel将使用造成缓冲区溢出的另一个长度。这将造成内存破坏并导致执行任意代码。

安全建议:

厂商补丁:
Microsoft
---------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.microsoft.com/windowsxp/default.asp

 

3.2 Linux Kernel "ib_uverbs_poll_cq()"整数溢出漏洞

Linux Kernel "ib_uverbs_poll_cq()"整数溢出漏洞

发布时间:

2011-3-1

漏洞号:

BUGTRAQ ID: 46073
CVE ID: CVE-2010-4649

漏洞描述:

Linux Kernel的"ib_uverbs_poll_cq()"在实现上存在整数溢出漏洞,攻击者可利用此漏洞以提升的权限执行任意代码,使受影响内核崩溃,拒绝服务合法用户。
如果用户空间计入较大的cmd.ne,ib_uverbs_poll_cq()代码会出现整数溢出。对kmalloc()的调用将分配较小的缓冲区,导致 内存破坏。如果没有使用完resp,也会造成信息泄露。虽然目前仅存在使用此函数的RDMA设备,无权限用户空间也将调用此函数。

安全建议:

Debian
------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.debian.org/security/
Linux
-----
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.kernel.org/

 

3.3 vsftpd FTP Server "ls.c"远程拒绝服务漏洞

vsftpd FTP Server "ls.c"远程拒绝服务漏洞

发布时间:

2011-3-1

漏洞号:

BUGTRAQ ID: 46617
CVE ID: CVE-2011-0762

漏洞描述:

vsftpd是Very Secure FTP daemon的缩写,是UNIX类平台上安全的FTP服务器。
vsftpd在处理ls.c时存在远程拒绝服务漏洞,远程攻击者可利用此漏洞造成受影响应用程序崩溃,拒绝服务合法用户。

安全建议:

厂商补丁:
Vsftpd
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://vsftpd.beasts.org/

 

3.4 Samba "FD_SET"内存破坏漏洞

Samba "FD_SET"内存破坏漏洞

发布时间:

2011-2-28

漏洞号:

BUGTRAQ ID: 46597
CVE ID: CVE-2011-0719

漏洞描述:

Samba是一套实现SMB(Server Messages Block)协议、跨平台进行文件共享和打印共享服务的程序。
Samba在实现上存在安全漏洞,本地攻击者可利用此漏洞造成拒绝服务、提升权限或控制受影响系统。
此漏洞源于缺少对与"FD_SET"宏相关的文件描述符的边界检查,可通过选择特定文件描述符集破坏栈内存。

安全建议:

厂商补丁:
Samba
-----
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.samba.org/

 

3.5 Microsoft Visual Studio项目文件栈缓冲区溢出漏洞

Microsoft Visual Studio项目文件栈缓冲区溢出漏洞

发布时间:

2011-2-28

漏洞号:

BUGTRAQ ID: 46601

漏洞描述:

Microsoft Visual Studio(简称VS)是美国微软公司的开发工具套件系列产品。VS是一个基本完整的开发工具集,它包括了整个软件生命周期中所需要的大部分工具,如 UML工具、代码管控工具、集成开发环境等等。所写的目标代码适用于微软支持的所有平台,包括Microsoft Windows、Windows Mobile、Windows CE、.NET Framework、.NET Compact Framework和Microsoft Silverlight。
Microsoft Visual Studio在对用户提供的输入进行边界检查时存在远程栈缓冲区溢出漏洞,远程攻击者可利用此漏洞以当前用户权限执行任意代码。

安全建议:

厂商补丁:
Microsoft
---------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.microsoft.com/technet/security/