当前位置: 安全纵横 > 安全公告

一周安全动态(2012年2月16日-2012年2月23日)

来源:安恒信息 日期:2012-2

2012年2月第三周(2.16-2.23)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级

 

 

 

1. 安全新闻

1.1 报告分析:52%中国网站存在漏洞风险

刚刚过去的2011年,用“互联网‘资料泄露’元年”来形容恰好不过,网站漏洞问题受到业界高度重视。据国内某知名网站安全检测平台统计,目前国内网站最常见的高危漏洞为跨站漏洞和SQL注入漏洞;此外,已经被黑客入侵篡改的网站中,个人和企业网站数量最多,合计占83%,政府网站占比则达到13%,也在一定程度上受到黑客攻击的影响。

媒体从某安全公司发布的《2011年度互联网网站安全报告》中了解到,去年底多家网站泄密危机主因在于网站漏洞遭黑客利用。而据检测平台对随机抽取的93233个国内网站分析发现,存在高危漏洞的网站比例高达36%,存在中危漏洞的网站则有16%,两者合计比例高达52%,国内网站安全防护能力仍有待完善。

据悉,2011年全球多家企业、机构网站陆续遭受安全威胁。自去年3月份以来,RSA被攻击导致SecurID令牌身份信息被盗、索尼公司7700万信息泄露、美国花旗银行被入侵、微软MSN遭大规模盗号等重大安全事件接连发生。在国内,CSDN等多家网站数千万账号密码被黑客公开,更是让网站安全问题暴露在大众视野中。

在钓鱼、挂马等恶意网站方面,报告中重点提到,国内钓鱼网站正在呈现“虚假购物、虚假中奖、彩票预测、金融证券”并存的多样化欺诈模式,“微博钓鱼”、“模仿聊天登陆窗口钓鱼”等攻击方式也渐成主流;不过,随着免费安全软件的普及,挂马网站攻击数量已开始大幅缩水,由去年1月的8707万次,锐减至去年12月的210万次。对此,业内人士建议,网站管理者应从强化网站安全意识、定期进行网站安全检测、实时监控网站安全状况等方面提升安全性,杜绝重大网络安全事件的重复发生。

 

1.2 富士康网络遭黑客入侵 大量内部信息被公开

据国外媒体报道,一家名为SwaggSec的黑客组织公开了富士康网络的大量内部信息,其中包括可登陆数个在线采购网站和内部网的邮件账号和密码。此事件似乎是为了抗议该公司为其员工提供恶劣的工作环境。

黑客利用富士康内部的一名员工所使用的IE浏览器上未修复的漏洞,侵入了该公司的网络服务器。经证实,被公开的账户登陆信息能够用来登陆富士康不只一个的服务器。

目前服务器已经被关闭。该公司所有的邮件账号和密码都被黑客公开,其中包括CEO郭台铭。

富士康的管理员正关闭外网访问,但目前还不能确定该公司是否有敏感数据遭到泄露。此事件涉及的服务器大部分都是客户内部网络。。

 

1.3 联合国网站又遭黑客篡改 内部资料遭泄露

一名黑客近日侵入了联合国网站,在网站上发布了一个所谓的“网络安全漏洞清单”,还泄露了一些联合国网站的内部资料。据报道,联合国秘书长发言人内西尔基(Martin Nesirky)表示,黑客攻击已被及时确认。内西尔基在一份正式声明中说:

“此次黑客攻击联合国网站的案件仍在调查中,目前获得的证据显示黑客试图从数据库中获得一些敏感数据和内容,但黑客不能对内容进行修改,而且黑客的攻击行为没有对公众访问联合国网站造成影响。”

针对联合国网站的黑客攻击引发了互联网安全专家的担忧,Identity Finder的安全分析师泰特斯(Aaron Titus)认为,联合国的网站缺乏对网路安全的最基本保护,安全条件堪忧。

据统计,近期除了联合国的网站外,有多个媒体的网站遭到黑客的袭击,一些个人隐私数据被黑客泄露在了互联网上。互联网安全专家呼吁各国政府,加强对一些网站的安全设置,避免出现更大范围的黑客袭击 。

 

1.4 调查发现:繁荣的云计算加剧网络犯罪率

2012年中小企业会将更多的重点投入到云计算当中,随着中小企业对于云计算关注的升温,对于云计算出现的安全隐患问题也再次引起了人们的重视,2011年9月多伦多的科技新闻网站ITBusiness.ca就300名中小企业调查人群显示,约35%的人表示对于云计算最关注的仍然是安全问题。

今天大多数云提供商都以在自己的服务器上运行云计算所需的软件服务,并且提供了一个完整的应用程序,在这个模式中,供应商来确保客户的云服务是安全的。


各供应商云计算服务对照表

而客户也必须提高安全意识,积极的寻找可能的防御洞,并确保在离开供应商之前来将备份磁盘加密。

无论云服务提供商的安全性如何好,异地云计算意味着数据是基于一个公共网络之间的业务和服务,所以如果您传输的是敏感数据,那么在传输的时候应该被加密。而数据备份的另一个好处就是当云提供商终止提供服务的时候,在不安全的情况中,云计算出现的需求可以确保您可以将数据进行备份。


图片来源于网络

随着网络犯罪的成本越来越高,企业调查网络犯罪的Ponemon研究所在去年夏天在密歇根州特拉弗斯城进行的研究表明,美国企业每年花在防范网络犯罪方面的话费为5.9亿美元。本次调查较2010年7月Ponemon的调查同比增长了56%。


图片来源于网络

Ponemon研究所已研究了多年网络犯罪,尽管只有两次调查,但是这个特殊的调查依然得到了美国企业的高度重视。其董事长兼创始人拉里Ponemon说:网络犯罪中的犯罪分子将比现实生活中的犯罪更为复杂。

小结:2012年对于云计算的威胁依然存在,黑客的不断攻击也加强了云计算的维护成本,如何才能在节约成本的同时做到安全防护依然是2012年对云计算的一大考验。

 

1.5 日韩军队构建网络安全体系

近年来,日本各个领域的网络泄密事件多发,就连机密信息最应得到保障的军事领域也不例外,因此,日本军方的网络安全工作也受到越来越多的关注。为应对越来越频繁和猖狂的黑客攻击,日军情报机构早已认识到互联网情报侦察的重要性。2000年10月22日,日防卫厅作出决定,在下一个中期防卫力量整备计划中正式开始“电脑战——侵入敌方的电脑、破坏其指挥和通信系统、以造成敌方混乱”的研究。日本防卫厅在2000年度的预算中,共拨款13亿日元作为电脑安全对策费。此外,他们还将建立一个包括陆上、海上和航空自卫队的“网络部队”,针对网络攻击构建实践性的防卫体系。

日本自卫队自1997年起,就开始推行办公电脑“政府配给制”,在自卫队内部使用自制配发的专用电脑,防止军事信息外泄。但由于相关工作进展缓慢,很多人将个人电脑和移动储存设备带到自卫队内混用,致使机密信息泄露事件不断。

2005年,日本海上自卫队某护卫舰军官擅自将保存有秘密信息的移动存储设备带到自己家里,并将信息保存在家庭的电脑上。后来,这台电脑感染病毒,导致相关信息泄密,当事者受到停职处分。此后,自卫队又发生多起类似原因导致的泄密事件。针对这种情况,日本自卫队在2007年普及了一种密码软件,文件被保存到移动储存设备时,会被自动编译为密码。

此外,日本自卫队还效仿五角大楼的做法,组建了一支“网络部队”。平时的主要任务是专门负责进行诸如反黑客、反病毒入侵,对军人上网和军队网站进行24小时监视,旨在加强提高网络攻击能力,防止泄密,同时对电子密码安全性进行监视、调查,保证其安全性。而在战时,“网络部队”则专门从事网络攻击与防御,并准备在未来信息战中,打“网络瘫痪战”。

韩国军队在网络安全管理上是由国防信息战中心监查军人上网情况,禁止涉密计算机上网。目前,韩国政府已经将行政网络和个人电脑的网络彻底分离,并阻止外部人员接近行政网络。军方已经从2010年开始禁止使用U盘等储存媒介,以防止情报泄露或感染病毒。虽然如此,韩国军方仍急需加强网络司令部的力量,因为据韩国舆论认为,来自朝鲜等方面黑客的网络攻击可能性日益加大,相比之下,韩军的网络战争执行能力相当脆弱。目前,韩军已经培养了数万名信息战专业人员。韩国执行网络作战的主要机构是2003年11月成立的韩军机务司令部国防信息战中心。韩军机务司令部国防信息战中心目前由数十名业务精干的人员组成。他们对韩国国防计算机网和互联网进行24小时实时监控,以防止军人泄密发生。据了解,每次韩军进行应对紧急情况的演习时,该中心都要参与。此外,韩军规定:不要在网上散布各种涉及国家机密的内容;更不可出于好奇心和虚荣心,去做一些偷拍和探听军事设施的活动,用作网上的谈资;不要将涉及国家机密的内容保存在可以上互联网的机器上。韩国媒体还报道了韩军强化网络战司令部的一系列“宏伟计划”:韩国国防部计划大幅扩充网络战司令部兵力,使人数从现有的500余人翻一番,并在未来3年之内将兵力再翻一到两番,而长远计划更是要打造成一个由大将指挥、兵力数万的网络战部队。同时,现在隶属于国防部情报本部的网络战司令部还将升格为国防部的直辖部队,以便执行攻击性网络作战任务。报道说,韩军网络司令部现有500余人,今后将增加1倍人力。报道称,军方将在国军网络司令部设参谋长和参谋部门,但目前尚未研究是否将目前为准将的司令也进行升格。

据韩国《每日经济》网站援引军方消息报道说,军方计划在3年内将网络战兵力增加到2000至4000人,主要负责网络战和电子战等各种未来作战。军方的长期构想则是,打造一支类似美军网络司令部规模的大将级指挥的数万人的网络部队。对于此次网战司令部的大幅扩军,韩军方表示是为了应对来自黑客的攻击。网络司令部一旦升格为国防部的直属部队,司令官的权限和组织职能就会得到进一步强化,韩军对付网络战和电子战的态势也就会发生180度大转变。报道称,网络司令部的扩充和升格意味着韩军正在将应对朝鲜网络作战时的战略重心从“防御”转向“攻击”。据称,目前韩军的军事武器研发主要以国防科学研究所等几个部门为重点,是以制造有形武器为重心的,而现在已经到了需要关注研发无形的网络武器的时候了。《每日经济》网站还报道说,韩军不仅要研发寻找发动攻击的原点并进行反攻的武器,而且要开发网络导弹等攻击性武器。自2010年1月成立以来,韩军网络司令部从民间招募了一大批拥有很强实战经验的黑客。除了培养和招募网军,网络司令部还在韩美联合军演和演习期间,进行网络攻防演习。

 

2. 本周关注病毒

2.1 病毒名称:Trojan.Win32.FakeMS.zn(木马病毒)
警惕程度★★★

该变种木马是由delphi编译的一种极具欺骗性质的木马。该木马运行之后会释放以下文件:C:\WINDOWS\system32\kspoold.exe。将kspoold.exe作为服务加载,实现随系统启动的目的。紧接着,释放一个与木马源文件名称相同的doc文件,并删除木马源文件。木马还会查询注册表获取键盘布局类型,并开启后门连接远程控制服务器,用户计算机被黑客远程控制 。

2.2 病毒名称:Trojan.Win32.Fednu.ubs(木马病毒)
警惕程度★★★★

该病毒运行后,会释放病毒驱动程序,替换系统服务并结束杀毒软件。为进一步扩大传播范围,病毒会通过局域网和U盘进行传播。电脑中毒后还会被开设后门,成为黑客肉鸡,不断下载盗号木马。

2.3 病毒名称:Trojan.Win32.Injection.b(注射虫木马)
警惕程度★★★★

该病毒运行后,会将自身复制到%Application Data%文件夹下并6个随机字母命名。病毒会修改注册表启动项,实现开机随系统自启动,并删除源文件。该病毒的传播行为属于蠕虫,通过在U盘等可移动设备根目录下生成autorun.inf进行传播。病毒会对系统API添加钩子,使得每一个新运行的程序进程中都包含病毒代码,开启后门。病毒后门功能强大,会主动连接一个IRC服务器。黑客可以通过后门实施盗取用户的社交网站账号密码、下载其它病毒木马等行为。

 

3. 安全漏洞公告

3.1 Microsoft Windows ‘afd.sys’本地权限提升漏洞

Microsoft Windows ‘afd.sys’本地权限提升漏洞

发布时间:

2012-02-16

漏洞号:

CVE-2012-0148

漏洞描述:

Microsoft Windows是微软发布的非常流行的操作系统。
基于64位平台的Microsoft Windows XP SP2版本,Windows Server 2003 SP2版本,Windows Vista SP2版本,Windows Server 2008 SP2版本、R2版本和R2 SP1版本,Windows 7 Gold版本、SP1版本中的Ancillary函数驱动的afd.sys中存在漏洞,该漏洞源于未能正确验证从用户模式传递到Windows内核的输入的方式。本地用户可利用此漏洞借助特制的应用程序获取权限。也称“AfdPoll权限提升漏洞”。

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:http://technet.microsoft.com/en-us/security/bulletin/ms12-009

 

3.2 Microsoft .NET Framework任意代码执行漏洞

Microsoft .NET Framework任意代码执行漏洞

发布时间:

2012-02-16

漏洞号:

CVE-2012-0015

漏洞描述:

Microsoft .NET Framework是一个流行的软件开发工具包。
Microsoft .NET Framework 2.0 SP2版本和3.5.1版本中存在漏洞,该漏洞源于未能正确计算缓冲区长度。远程攻击者可利用此漏洞借助(1)特制的XAML浏览器应用程序(也称XBAP),(2)特制的ASP.NET应用程序或(3)特制的.NET架构应用程序,执行任意代码,也称“.NET Framework堆内存破坏漏洞”。

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:http://technet.microsoft.com/zh-cn/security/bulletin/ms12-016

 

3.3 Microsoft Windows Server ‘afd.sys’本地权限提升漏洞

Microsoft Windows Server ‘afd.sys’本地权限提升漏洞

发布时间:

2012-02-16

漏洞号:

CVE ID: CVE-2011-3479

漏洞描述:

Microsoft Windows是微软发布的非常流行的操作系统。
Microsoft Windows Server 2003 SP2版本的Ancillary函数驱动中的afd.sys中存在漏洞,该漏洞源于未正确验证从用户模式传递到 Windows 内核的输入的方式。本地用户可利用此漏洞借助特制的应用程序获取权限。也称“Ancillary Function Driver权限提升漏洞”。

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://technet.microsoft.com/en-us/security/bulletin/ms12-009

 

3.4 PHP ‘timezone’函数内存泄露漏洞

PHP ‘timezone’函数内存泄露漏洞

发布时间:

2012-02-16

漏洞号:

CVE-2012-0789

漏洞描述:

PHP是一款免费开放源代码的WEB脚本语言包,可使用在Microsoft Windows、Linux和Unix操作系统下。
PHP 5.3.9之前版本中的timezone函数中存在内存泄露漏洞,该漏洞源于未被php_date_parse_tzfile缓存正确处理。远程攻击者可利用该漏洞通过触发许多strtotime函数调用导致拒绝服务(内存消耗)。

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://www.php.net/ChangeLog-5.php#5.3.9

 

3.5 Cisco IronPort跨站脚本漏洞

Cisco IronPort跨站脚本漏洞

发布时间:

2012-2-16

漏洞号:

CVE-2012-0340

漏洞描述:

Cisco IronPort 6.5.3之前版本的管理接口中存在跨站脚本漏洞。远程攻击者可利用该漏洞借助未明向量注入任意web脚本或者HTML,也称bug ID72410.

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://tools.cisco.com/security/center/viewAlert.x?alertId=25045