当前位置: 安全纵横 > 安全公告

一周安全动态(2012年5月3日-2012年5月10日)

来源:安恒信息 日期:2012-5

2012年5月第二周(5.3-5.10)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级

 

 

 

1. 安全新闻

1.1 国家计算机病毒中心发现利用微软漏洞进行的恶意攻击

国家计算机病毒应急处理中心通过对互联网的监测发现,恶意攻击者正在利用微软最新发布的4月安全公告中的漏洞进行攻击,提醒用户小心谨防。

专家说,恶意攻击者利用该漏洞制造出畸形的doc或rtf等格式文件,通过电子邮件、Web网页等形式传播。一旦计算机用户点击打开畸形文件,操作系统就会被恶意攻击者远程控制,进而窃取系统中个人私密信息数据,下载其他病毒、木马等恶意程序文件。

微软4月安全公告中的漏洞为CVE-2012-0158,即MS12-027,是Winodws常用控件中允许远程执行代码漏洞,危害等级为“严重”。该漏洞可能允许远程执行代码,如果用户访问一个网站,旨在利用此漏洞的特制内容。但是在所有情况下,攻击者无法强制用户访问此类网站。相反,攻击者必须诱使用户访问该网站,方法通常是让用户单击电子邮件或及时聊天工具消息中的链接以使用户链接到攻击者的网站。

目前,该畸形文档嵌入多个恶意木马程序和欺骗性文档,一旦计算机用户打开这些格式的文档,该病毒就会被运行,随后主动连续释放出多个其他恶意木马程序文件,并打开具有欺骗性内容的正常格式的文档。

针对已经感染该类型恶意木马程序的计算机用户,专家建议立即升级系统中的防病毒软件,进行全面杀毒。未感染的用户建议尽快到微软官方网站下载其漏洞补丁程序,及时弥补存在的漏洞。同时,打开系统中防病毒软件的“系统监控”功能,从注册表、系统进程、内存、网络等多方面对各种操作进行主动防御。

专家说,Microsoft已经为此发布了安全公告以及相应补丁程序,地址如下:http://www.microsoft.com/technet/security/bulletin/MS12-027.asp。

 

1.2 研究称Mac病毒Flashback令黑客日入一万美元

北京时间5月2日消息,网络黑客上个月对苹果Mac电脑发起冲击,迅速酿造了到目前为止规模最大的Mac病毒攻击事件。而据研究者发现,黑客进攻Mac有着财务方面的动机,估计受到感染的Mac电脑每天能给病毒的创造者带来1万美元的收入。

这个名为Flashback的病毒以Mac用户为目标,通过Java软件中的一个安全漏洞感染这些用户的电脑。甲骨文已在2月底发布补丁来填补这个漏洞,但苹果直到今年4月初才发布了补丁。在这六个星期时间里,Flashback感染了50多万台Mac电脑。这种病毒通过特别穷凶极恶的方式蔓延,与大多数病毒不同的是,一般的病毒通常都要用户点击恶意链接或打开有病毒的附件才会受到感染,但Flashback则会在用户访问被劫持的网站时自动下载到电脑中,这些网站经常都是被感染的WordPress博客。

安全研究者发现,Flashback利用受感染的Mac电脑来进行点击欺诈活动,也就是人为操纵用户对网站广告的点击来换取回扣。赛门铁克的研究者对Flashback的编码进行了研究,发现被感染用户如果通过谷歌搜索“玩具”(TOY)这个关键词,那么就会被导向一个站点,其结果是攻击者(而非谷歌)获得每点击8美分的收入;而在通常情况下,搜索这个关键词会将用户导向玩具反斗城的网站。

在此次病毒感染的高峰时期,最多有60万台Mac电脑受到了感染。根据赛门铁克研究者的估测,Flashback能给攻击者带来每天1万美元的收入。在苹果发布安全补丁的两个星期以后,受感染的用户人数从60万人减少到了14万人。但在上周,另一家计算机安全公司Intego的研究者发现,Flashback的最新变种Flashback.S仍在继续通过同一个Java安全漏洞散播。

Intego研究者并未说明这种新变种被黑客用来做些什么,但赛门铁克的研究者对新变种的部分编码进行分析后称,它能象Flashback那样连通同样的命令和控制服务器。研究者表示:“假定这种变种的意图与Flashback一样是合理的。”

为了消灭Flashback病毒,苹果鼓励用户进行软件更新。用户还可在苹果的支持网站上下载Flashback删除工具,这种工具能让用户知道自己的电脑是否已被感染。

安全专家曾在2008年预测称,当苹果在PC市场上所占份额达到16%,且Windows反病毒软件达到80%的杀毒功效时,Mac用户将成为黑客更加频繁的攻击对象,而这一天已经不再遥远。根据反病毒对比实验室AV-Comparatives的估测,苹果当前在PC市场上所占份额为12%,而反病毒软件的杀毒功效已经达到95%。

 

1.3 黑客来袭 你的企业邮箱安全吗?

黑客通过侵入企业邮箱盗走企业资金在国内已经频繁发生,企业邮箱的安全性再一次成为互联网热点话题。企业邮箱作为企业信息化的通讯工具,各大邮件系统厂商采取各种安全措施来防御互联网黑客的冲击,但为何企业邮箱被侵入频率居高不下呢?一方面取决于邮件系统产品的安全措施是否有利,但另一方面则体现在个人用户的邮箱安全意识,这方面往往为人所忽略。

根据互联网调查,首先,企业邮箱的品牌小,安全系数低最容易被黑客攻击。其次,大部分网民安全意识不高,特别是企业邮箱密码,作为黑客入侵的最后一道安全防线,一小部分用户直接采用连串的数字、生日号或者姓名作为密码,此类密码安全性极低,非常容易被破解;大部分用户采用安全度较高的密码,但长年累月都采用同一个密码,只要黑客稍微花多点时间,此种密码也易破解。一旦密码被破解,邮箱被黑客侵入,被盗用来发垃圾邮件是小事,邮件被篡改,产生资金纠纷或者法律纠纷,会直接给企业带来形象和物质上的损失。

如何督促用户采用复杂度高的密码,如何促使用户定期更改密码,如何提高用户邮箱安全意识,这些都成为普及企业邮箱的难题。提供邮件服务器高度安全防范模块的邮件系统针对这些用户密码管理难题,强化了邮箱密码安全控制功能,从多方面加强用户邮箱密码安全。因此选择像网易企业邮箱这样的专业品牌会使公司的安全系数得到提高。网易采用 ssl加密,SSL是Secure Socket Layer的缩写,中文名为安全套接层协议层。使用该协议后,您提交的所有数据会首先加密后,再提交到网易邮箱,从而可以有效防止黑客盗取您的用户名、密码和通讯内容,保证了您内容的安全。如果有需要也可以采用pgp加密。

强比科技小编教你怎么“操作设置”,使企业邮箱更安全

管理员登陆后台管理平台→系统设置→安全设置

系统管理员通过启用密码安全控制,可以强制用户在第一次登陆系统时修改密码,防止被别人侵入账号,并设置密码更改周期,一旦用户在所设周期内没有修改密码,账号将被锁定,用户需要找管理员申请解除账号。通过这些措施,可以极大的提高用户密码安全意识。

管理员启用密码复杂度检查后,对于不符合要求的用户密码,系统可以自动进行校验,并显示检查结果。

系统管理员登录后台管理→系统检查

密码复杂度校验主要是检查密码是否包含用户名,密码是否全是数字或者字母,密码长度是否少于8位,这类密码安全度都很低。通过检查结果,系统可以针对密码安全,提醒用户修改成复杂度高的密码,加强用户的密码安全意识。

通过各种主动或者被动的方式,进一步加强用户密码安全,防止用户密码邮箱被盗。当系统检测到用户邮箱密码被盗,并被利用来发垃圾邮件时,系统当即锁定该账户邮箱。用户只有修改密码后并找管理员解锁才能继续正常使用邮箱,这从另一个层面上保障了用户邮箱的安全。

选择专业的品牌,像网易企业邮箱,webmail,pop和smtp均采取SSL银行级加密传输技术,采用超越MD5加密技术的SHA-1技术,密码验证机制超过五次密码登陆不正确,就会暂时挂起该IP 1小时,防止恶意登陆。 缓存处理机制,防止爬虫获取邮件缓存,同时将数据保存在内部网络,防止数据窃取。

 

1.4 电子邮件系统领域迎来安全大考

2011年底,国内多家知名网站卷入“密码门”事件,大量用户注册信息包括邮箱账号和密码被泄露,给中国互联网用户带来极大困扰,与此同时,企业邮箱由于承载了大量机密的商业资料,也成为黑客们破解和钓鱼的重要目标,如何在越来越复杂的互联网环境中保证电子邮件的安全,成为邮件系统领域面临的首要问题。

近日,网易联营公司盈世旗下的电子邮件系统Coremail宣布已经通过国家保密局的严格检测,成为业内首家获得国家级安全认证的品牌。

国家保密局涉密信息系统安全保密测评中心(简称国家保密局)是行业内最权威的国家级检测机构,对用于涉密信息系统的产品进行安全性检测,通过检测的产品经国家保密局审核批准后,发放《涉密信息系统产品检测证书》,并列入国家保密局批准的在涉密信息系统中使用的产品目录。这是业界公认的含金量极高的一项认证,知名IT公司如华为等,都将其入侵防御、防火墙、安全审计等产品都纳入该中心的监测认证范围中。

据了解,Coremail邮件系统通过国家保密局的检测,除了凭借全面的安全防御体系之外,还有多层次的密码安全保护策略:

1. SSL安全连接:使用加密技术对客户端与服务器的通讯进行加密,保证通讯安全,有效防止用户密码和邮件内容被侦听窃取;

2. 弱密码策略:提供弱密码检查工具,找出使用弱密码的用户。通过弱密码策略,提高用户密码强度,使得邮箱账号难以被猜测;

3. 密码有效期:某一特定时间后,强制邮箱用户修改密码才能继续使用邮件;

4. 防猜密码:用户被猜密码超过频率限制时,出现图形验证码和IP账号自锁定,入正确密码和验证码方可解锁;

5. 邮件及附件密级:发送邮件时可选择邮件和附件密级,并且实现邮件密级和收件人密级对应。

随着互联网的飞速发展,信息安全的课题日益重要,完善涉密信息安全标准,规范涉密计算机信息系统和安全认证必定成为趋势。Coremail邮件系统率先通过国家保密局的认证之后,势必抬高本行业的准入门槛,现有的电子邮件技术厂商将会纷纷跟进,而没有能力获此资质的企业将会被迅速淘汰,整个行业在迎来安全大考的同时,也使得用户得到了更有力的安全保障。

 

1.5 微软紧急修复Hotmail安全漏洞

微软紧急发布一个补丁,修复Hotmail网络邮件服务中的一个严重的安全漏洞。这个安全漏洞能够让黑客重置Hotmail账户的口令,使其拥有者无法登录并且让攻击者访问那个用户的收件箱。微软发布这个补丁是因为一些黑客已经在网络上积极地利用这个安全漏洞。

微软紧急发布一个补丁,修复Hotmail网络邮件服务中的一个严重的安全漏洞。这个安全漏洞能够让黑客重置Hotmail账户的口令,使其拥有者无法登录并且让攻击者访问那个用户的收件箱。微软发布这个补丁是因为一些黑客已经在网络上积极地利用这个安全漏洞。一个安全新闻网站报道称,一些黑客正以每个账户20美元的价格提供攻破Hotmail账户的服务。

计算机安全人员是在4月初发现这个安全漏洞的并且很快通知了微软。这个安全漏洞涉及到Hotmail软件处理用户重置口令时必须来回传送的数据的方式方面。

这个安全漏洞的细节泄露之后,一些黑客找到了设法绕过这个方式的方法。利用火狐浏览器的一个插件攻击,黑客能够获取用户和Hotmail服务器之间传送的他们的攻击目标的账户控制数据。

随着这个安全漏洞的知识的传播,一些黑客开始以攻破Hotmail账户赚钱。还有一些人在YouTube网站发布视频,实时介绍攻破Hotmail账户的方法。

目前还不清楚有多少Hotmail账户遭到黑客利用这个安全漏洞的攻击。 不过,遭到攻击的用户会知道,因为这些用户发现他们无法访问自己的Hotmail账户。

由于这个安全漏洞被积极地利用,微软用一天多的时间找到了修复这个安全漏洞的方法并且更新了Hotmail。现在,黑客在操纵数据交换的时候会得到一个报错的信息。微软对于这个安全补丁发表了一个简短的声明称,用户不需要采取进一步的措施。

 

2. 本周关注病毒

2.1 病毒名称:Worm.Win32.FakeFolder.bg(蠕虫病毒)
警惕程度★★★

该该病毒运行后为躲避杀毒软件查杀,会试图结束当前运行的安全软件进程,通过创建注册表劫持项阻止杀毒软件再次启动,甚至还会删除安全软件图标并使其隐藏。病毒作者为避免病毒被手工删除,会破坏操作系统的安全模式,并让用户无法打开注册表编辑器。最终,病毒会在桌面上创建多个钓鱼网站的快捷方式,使用户进入黑客指定网站,为其带来巨大经济利益。

 

2.2 病毒名称:“Dropper.Win32.QQPass.cjs(QQ密码释放者)”
警惕程度★★★

病毒运行后释放盗号文件“TTPAdvCtrl.dll”,该文件假冒某知名音乐播放软件,并隐藏在其软件安装目录下,极为隐蔽。病毒主体创建傀儡进程,篡改系统升级服务后,指向盗号文件TTPAdvCtrl.dll实现病毒自启动。最终,病毒通过扫描QQ程序,破坏QQ保护文件,创建消息钩子,清除自动登陆文件,结束进程,迫使用户重新登陆,在输入帐户和密码时,病毒劫持用户输入的信息,将其发送到黑客指定服务器中。

 

2.3 病毒名称:Trojan.Win32.Inject.gah(注射虫木马病毒)
警惕程度★★★★

该病毒运行后,会将自身复制到%Application Data%文件夹下,并6个随机字母命名。病毒会修改注册表启动项,实现开机随系统自启动,并删除源文件。该病毒的传播行为属于蠕虫,通过在U盘等可移动设备根目录下生成autorun.inf进行传播。病毒会对系统API添加钩子,使得每一个新运行的程序进程中都包含病毒代码,开启后门。病毒后门功能强大,会主动连接一个IRC服务器。黑客可以通过后门实施盗取用户的社交网站账号密码、下载其他病毒木马等行为。

 

3. 安全漏洞公告

3.1 Samba mount.cifs本地安全限制绕过漏洞

Samba mount.cifs本地安全限制绕过漏洞

发布时间:

2012-05-02

漏洞号:

BUGTRAQ ID: 52742

漏洞描述:

Samba是一套实现SMB(Server Messages Block)协议、跨平台进行文件共享和打印共享服务的程序。
Samba mount.cifs在fstab文件实际检查之前即对特定目录进行了chdir,因为mount.cifs安装为setuid,这会允许攻击者通过检查错误响应枚举系统文件和目录,从而绕过安全限制、执行非法操作、识别root文件和目录。

安全建议:

厂商补丁:
Linux
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.kernel.org/

 

3.2 Citrix Provisioning Services Server远程代码执行漏洞

Citrix Provisioning Services Server远程代码执行漏洞

发布时间:

2012-05-02

漏洞号:

BUGTRAQ ID: 53330

漏洞描述:

Citrix Provisioning Services能够创建一套使用流技术传输物理和虚拟服务器的镜像,从而降低存储需求,实现快速、一致而可靠的应用部署。

Citrix Provisioning Services服务在处理特制报文请求时存在错误,可被利用执行任意代码。

安全建议:

厂商补丁:
Citrix
Citrix已经为此发布了一个安全公告(CTX133039)以及相应补丁:
CTX133039:Vulnerability in Citrix Provisioning Services Could Result in Arbitrary Code Execution
链接:http://support.citrix.com/article/CTX133039

 

3.3 DEDECMS 5.7之前版本远程SQL注入漏洞

DEDECMS 5.7之前版本远程SQL注入漏洞

发布时间:

2012-04-29

漏洞号:

 

漏洞描述:

DEDECMS是织梦内容管理系统,国内一款基于PHP+MySQL的技术开发的,支持多种服务器平台的PHP网站内容管理系统。

DEDECMS 5.7之前版本在实现上存在SQL注入漏洞,dedecms安装之后默认即开启漏洞模块,远程攻击者可能利用此漏洞非法操作数据库,导致泄露敏感信息或控制应用。

安全建议:

厂商补丁:
Dedecms
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.dedecms.com/products/dedecms/

 

3.4 Apache Qpid非法访问安全限制绕过漏洞

Apache Qpid非法访问安全限制绕过漏洞

发布时间:

2012-04-30

漏洞号:

BUGTRAQ ID: 53305
CVE ID: CVE-2011-3620

漏洞描述:

Apache Qpid(Open Source AMQP Messaging)是一个跨平台的企业通讯解决方案,实现了高级消息队列协议。
Apache Qpid 0.12在通过群集用户名连接群集时没有验证SASL证书的密码,可通过恶意的代理非法访问群集。

安全建议:

厂商补丁:

Apache Group
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://httpd.apache.org/

 

3.5 Samsung NET-i Viewer 'msls31.dll' ActiveX缓冲区溢出漏洞

Samsung NET-i Viewer 'msls31.dll' ActiveX缓冲区溢出漏洞

发布时间:

2012-05-01

漏洞号:

BUGTRAQ ID: 53317

漏洞描述:

Samsung NET-i Viewer是免费的监控软件,启用了三星DVR和其他网络产品的中央监控功能。
Samsung NET-i Viewer在对用户提供的输入进行边界检查验证时存在缓冲区溢出漏洞,攻击者可利用此漏洞执行任意代码。

安全建议:

厂商补丁:
Samsung
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.samsung.com/