当前位置: 安全纵横 > 安全公告

一周安全动态(2011年11月10日-2011年11月17日)

来源:安恒信息 日期:2011-11

2011年11月第二周(11.10-11.17)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级

 

 

 

1. 安全新闻

1.1 以色列军方和情报机构网站瘫痪 疑与黑客有关

以色列军方和情报机构网站11月6日全部瘫痪。两天前,一个黑客团伙威胁将攻击以色列网络。

以色列国防军、国家安全总局即“辛贝特”、情报和特勤局即“摩萨德”机构网站当天均瘫痪。辛贝特一名发言人告诉法新社记者:“我们可以证实,网站已瘫痪数小时,正在调查。”以色列国防军一名发言人同样证实,网站瘫痪数小时。

不清楚网站瘫痪是否直接关联黑客攻击。以色列官员拒绝作出回应。

11月4日,一家知名视频网站发布一段视频,一个名为“匿名的”黑客团伙指认以色列 “在公海上演海盗行径”,拦截两艘赴加沙地带援助船,威胁将报复以色列政府。

视频名为“一封‘匿名的’致以色列政府公开信”,不清楚是否为这一黑客团伙自己发布。“如果你们继续拦截赴加沙地带援助船……我们将别无选择,只有反击,”这一团伙说。它警告将不停地攻击以色列电脑系统。

以色列2007年以来封锁加沙地带。加拿大籍“解放”号和爱尔兰籍“自由”号援助船上搭乘着欧美国家27名活动人士和价值3万美元药品,4日下午赴加沙地带途中遭以色列海军拦截。

 

1.2 公安部提示:谨防黑客入侵企业电邮套取汇款

日前,公安部刑事侦查局发布警方提示,提醒外贸型企业谨防违法犯罪人员利用黑客技术入侵企业电子邮箱,篡改账号套取国外客户汇款。

据了解,今年以来,一种利用黑客技术入侵外贸企业电子邮箱,并通过该邮箱向与该企业有贸易往来的国外客户发送篡改的收款账号、户名,以此骗取国外客户汇款的案件频频发生,严重损害了这些企业的经济利益和合作信誉。

据介绍,此类案件多具备以下特点:一是犯罪嫌疑人多以非洲籍人员为主,一般均在境外作案,其开设账户所持证件多为伪造或变造的外国护照,单靠国内警方开展侦查工作难度很大;二是作案手法均是运用黑客技术拦截、入侵企业电子邮箱,向与其有资金往来的国外客户发送篡改的银行账号和户名,且与原来的账号和户名极为相似,具有很强的欺骗性,国外客户极易上当误将货款等资金汇入该账户;三是被骗的国外客户往往在汇款一段时间后未收到订购货物或者经电话联系才发现上当受骗继而报案,错过了最佳的侦查时机。

公安部刑事侦查局提醒外贸型企业,要提高对此类犯罪的防范意识,主动开展对国外贸易伙伴的宣传、提示,并切实加强对本单位电子邮箱的安全管理措施,科学制定并严格执行跨国资金往来的安全渠道和程序,汇款前认真进行电话、传真或其他方式的确认,尽最大可能防止此类案件的发生。

 

1.3 学生黑客为“炫技”攻击县政府网站被拘留

近日,(福建)周宁县政府互联网服务器先后两次遭到黑客恶意攻击,导致部分县政府成员单位网站无法正常访问,其中县公安局门户网站首页及后台页面也被修改。

该县公安局自开通门户网站以来,一直为周宁籍在外乡贤提供办理户籍和出入境证照等业务的咨询及相关表格下载服务。然而10月26日晚10时和10月27日中午12时,网站先后两次遭到恶意入侵而无法正常使用。得知情况后,县公安局网安中队民警立即着手调查。10月31日,民警成功抓获涉案嫌疑人汤某。

据了解,汤某是一名在校学生,平时学了一些电脑编程技术知识,为证明自己的能力,竟打起了入侵政府网站的念头。据汤某交待,其在成功入侵网站后,还先后在QQ微博、浪淘沙等网站上发帖炫耀。

鉴于汤某年少,认罪态度诚恳且是初犯,警方对其处以治安拘留。(宁德晚报 何瀚锐 魏淑华)

 

1.4 企业老总花费6000元雇黑客盗取软件

南京一家网络公司去年投入100多万自主研发了一套软件,获得国家版权,在市场上很受欢迎。可是最近该公司发现,上海一家印刷公司正在使用一款和自己所研发的差不多的软件,但是却没有向自己支付一分钱。警方侦查发现,原来是上海这家公司嫌软件的价格贵,就花6000元辗转雇来一名黑客盗窃了该软件。警方将黑客刘某抓获,发现他是国内一所顶尖大学的毕业生,现任职某高校软件工程师。据介绍,这是南京警方破获的首起非法获取计算机信息系统数据案件。

投资100万研发的软件被偷了

据南京雨花台公安分局介绍,前不久雨花台软件园警务室的民警在走访某网络科技有限公司时,公司负责人郭总反映:2010年5月,公司投入100余万元巨资成功开发了一款网络软件“CMY网络印刷系统”。今年7月这套软件获得国家版权,很多公司试用后,认为软件的功能非常强大,纷纷签订使用协议。然而,好景不长,8月20日,公司就接到客户反馈,上海某印刷公司正在使用一款功能差不多的软件。

郭总请来软件的研发人员,对这一软件进行了分析,结果显示,两种软件架构、框架、使用功能完全一样。公司的业务部门也提供了一条信息。今年7月底,上海这家印刷企业还曾主动打来电话,表示想与公司签订使用协议,但最终双方由于价格原因没有谈拢。从时间上看,上海这家企业肯定来不及在这么短的时间里自行开发出相似的软件平台。

软件工程师向民警反映,近期,正常只有自己能进入的CMY网络印刷系统存放的服务器,多次被不明身份的IP地址侵入。

企业老总出6000元请人去“偷”软件

警方介绍说,南京现在在大力发展软件产业,如果企业花巨资开发的软件被别人盗用,技术一旦扩散,企业甚至有可能破产。保护知识产权,公安机关责无旁贷。雨花台公安分局网警大队迅速成立专案组。专案组前后历时一个月,转战上海、合肥、珠海,终于查明了案情。

据警方介绍,今年7月底,上海这家印刷公司与受害的南京网络公司确实曾联系过使用软件的事宜,但最终双方没有谈拢。原因一是因为上海公司认为租赁价格太高,二来上海公司认为把自己的全部经营信息都放在别人的服务器上,容易泄密。

于是,上海公司老板闵某找到了与公司有业务联系的一家台资企业网管黄某,希望请他帮忙设计出与CMY网络印刷系统功能差不多的操作平台。打开“CMY网络印刷系统”界面一看,黄某觉得完成这个任务很困难,需要组建一个专业团队,花费几个月时间攻关才行。黄某向闵某表示,自己做不出来,但是可以去“偷”。闵某表示认可,并给了黄6000元。

黑客毕业于名牌大学,“出场费”只要500元

据警方介绍,黄某之所以愿意冒险去“偷”,也有他的打算。他早就发现闵某的印刷公司效益不错,自己也想改行。这事成了之后,一方面能捞点外快,还能拉近与闵的关系,或许可以转投对方去发展。最关键的是把“CMY网络印刷系统”抓在自己手上,就能掌握闵的全部客户信息,以防不测,真可谓是一举多得。

但黄某技术有限,不但做不出来,偷也偷不成。他又想到了一个熟人:某著名教育网站的网管夏某。夏某在网上对“CMY网络印刷系统”捣鼓了一番,竟然发现自己水平还是有差距,久攻不下,于是只好通过网络发帖,把任务下发给网络高手刘某。

民警介绍说,刘某毕业于国内一所顶尖大学,被捕前还被某高校聘为软件工程师,是个长期混迹于网上黑客论坛的顶尖高手。对他来说,攻击某个服务器,把里面的程序偷出来只不过几个小时的事。由于认为盗窃南京公司软件的任务太“小儿科”,刘某仅仅开价500元就揽下了这笔活。很快,南京公司花了一百余万开发的软件就被刘某成功盗取,并被闵某的印刷厂用上了。

南京首起非法获取计算机信息系统数据案件

警方介绍说:在软件行业,黑客盗窃的情况其实是比较普遍的。过去,我国法律对这种情况的界定不是很明确,黑客进入政府机关、军事部门等要害部门的服务器,会被认定为犯罪。可是黑客侵入企业的服务器,受害企业往往很少报警,通常只是对服务器的漏洞进行修补,或通过直接与黑客谈判解决问题。

而“非法获取计算机信息系统数据罪”虽然在2009年刑法修正案出台后就有了,但究竟什么样的行为才构成此罪却一直模模糊糊难以界定。今年9月1日,国家最高法院对此出台了最新的司法解释(《刑法》285条修订),对这种黑客攻击企业的行为性质有了明确的界定。

据介绍,南京雨花台公安分局破获的这起案件是南京警方破获的首起非法获取计算机信息系统数据案件。目前,非法侵入南京这家网络公司服务器,盗窃服务器数据资料的闵某、黄某、夏某和刘某均涉嫌非法获取计算机信息系统数据罪被警方刑事拘留。

警方介绍说,“CMY网络印刷系统”的功能强大,黄某、夏某和刘某都是懂行的人,警方侦查显示,三人都对这一软件的全部原代码进行了备份,准备在网上叫卖。如果他们的行为得逞,南京这家网络公司不但面临百万投资打水漂的境地,企业的生存都或许会遭遇困境。值得庆幸的是,警方及时侦破此案,将黑客抓获,所有技术信息都没有外泄。

通讯员 李志刚 本报记者 焦哲

小链接:

何为非法获取计算机信息系统数据罪?

指违反国家规定,侵入国家事务、国防建设、尖端科学技术领域以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,情节严重的行为。违反国家规定,侵入前款规定以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。

 

1.5 YouTube视频表明黑客组织或攻击美总统预选活动

CNET科技资讯网 11月8日 国际消息:疑似来自黑客组织Anonymous的一段YouTube视频表明,该组织似乎有意破坏在爱荷华州的总统预选活动。

视频解说词称,共和党和民主党都令人们失望,建议12月27日占领共和党和民主党选举机构的办公室,使明年1月3日的爱荷华州总统预选活动不能正常举行。总统竞选活动的目的是欺骗公众参与投票。

有人怀疑这段YouTube视频的真实性。毕竟,上个周末Facebook和福克斯新闻(Fox News)的网站都因遭到疑似来自Anonymous的攻击而宕机。Anonymous否认参与了对Facebook的攻击。《得梅因纪事报》报道称,对爱荷华州总统预选活动的威胁来自Anonymous。

业界人士指出,如果真正的目的是破坏总统预选活动,造成社会和政治事件,还有比秘密组织然后突然发动攻击更有效的方法吗?通常情况下,Anonymous会在发动攻击数天前发出预警,这段视频提供的预警时间超过1个月。

 

2. 本周关注病毒

2.1 Trojan.Win32.Fednu.trk(木马病毒)
警惕程度★★★

病毒运行后,会释放病毒驱动程序,替换系统服务并结束杀毒软件。为进一步扩大传播范围,病毒会通过局域网和U盘进行传播。电脑中毒后还会被开设后门,成为黑客肉鸡,不断下载盗号木马。

2.2 Worm.Win32.Autorun.twe(蠕虫病毒)
警惕程度★★★

该病毒通过U盘等可移动存储设备传播,病毒会双进程守护的功能,下载大量木马病毒,给用户造成很大安全隐患。

2.3 Backdoor.Win32.Farfli.r(后门病毒)
警惕程度★★★★

该病毒运行之后,会在系统目录中释放病毒文件,随后将自身注入到系统进程Svchost.exe进程中,从而实现了自动启动、隐身等效果。病毒加载后,将会监控用户计算机的桌面,远程对用户计算机进行监控,对用户的隐私、网上银行账户、游戏账号、以及计算机中的涉密文件伺机进行盗取,同时,该病毒完全运行起来后,用户计算机运行速度将显著降低,给用户造成严重安全风险。

 

3. 安全漏洞公告

3.1 IBM FP5 拒绝服务漏洞

IBM FP5 拒绝服务漏洞

发布时间:

2011-11-10

漏洞号:

CVE-2011-1373

漏洞描述:

基于UNIX平台的的IBM FP5之前的DB2 9.7版本中存在未明安全漏洞。当Self Tuning Memory Manager (STMM)功能和AUTOMATIC DATABASE_MEMORY设置配置好之后,本地用户可借助未知向量导致拒绝服务(守护进程崩溃)。

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://www-01.ibm.com/support/docview.wss?uid=swg1IC70473

 

3.2 Microsoft Windows 远程执行代码漏洞

Microsoft Windows 远程执行代码漏洞

发布时间:

2011-11-10

漏洞号:

CVE-2011-2016

漏洞描述:

Microsoft Windows Vista是微软发布的非常流行的操作系统。
Windows Mail 和 Windows 会议室处理 DLL 文件加载的方式中存在一个远程执行代码漏洞。成功利用此漏洞的攻击者可以完全控制受影响的系统,并可随后安装程序,查看、更改或删除数据,或者创建拥有完全用户权限的新帐户。

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://technet.microsoft.com/en-us/security/bulletin/ms11-085

 

3.3 Microsoft Windows 特权提升漏洞

Microsoft Windows 特权提升漏洞

发布时间:

2011-11-10

漏洞号:

CVE-2011-2014

漏洞描述:

Microsoft Windows的Active Directory 中存在一个特权提升漏洞。攻击者可以通过使用以前吊销的证书向 Active Directory 域执行身份验证来利用此漏洞,并获取对网络资源的访问权限,或者使用证书与之相关联的特定授权用户的权限运行代码。

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://technet.microsoft.com/en-us/security/bulletin/ms11-086

 

3.4 Windows TCP/IP 远程执行代码漏洞

Windows TCP/IP 远程执行代码漏洞

发布时间:

2011-11-10

漏洞号:

CVE-2011-2013

漏洞描述:

Windows TCP/IP 堆栈中存在一个远程执行代码漏洞。该漏洞源于处理特制 UDP 数据包的持续数据流,成功利用此漏洞的攻击者可以运行内核模式中的任意代码,并可随后安装程序,查看、更改或删除数据,或者创建拥有完全用户权限的新帐户。

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://technet.microsoft.com/en-us/security/bulletin/ms11-083

 

3.5 Apache HTTP Server ‘server/util.c’ 输入验证漏洞

Apache HTTP Server ‘server/util.c’ 输入验证漏洞

发布时间:

2011-11-09

漏洞号:

CVE-2011-4415

漏洞描述:

Apache HTTP服务器是流行的开放源代码WEB服务器程序,可使用在Unix和Windows操作系统下。
Apache HTTP Server 2.0.x版本至2.0.64版本以及2.2.x版本至2.2.21版本中存在漏洞。由于server/util.c的ap_pregsub函数在启用mod_setenvif模块时不能限制环境变量值的大小,本地用户可通过带有特制SetEnvIf指示符的.htaccess文件导致拒绝服务(内存消耗或者空指针解引用)。

安全建议:

目前厂商还没有提供此漏洞的相关补丁或者升级程序,建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://secunia.com/advisories/45793