当前位置: 安全纵横 > 安全公告

一周安全动态(2012年6月14日-2012年6月21日)

来源:安恒信息 日期:2012-6

2012年6月第三周(6.14-6.21)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级

 

 

 

1.安全新闻

1.1 黑客联盟战苹果 黑客宣称iOS 6已越狱

苹果2012年度的WWDC大会上公布了iOS 6操作系统,并称全新的iOS 6系统拥有200个新功能特性。然而离苹果发布iOS 6 beta版还不到24小时,肌肉男MuscleNerd便在Twitter上宣布已经在自己的iPod Touch 4G上成功越狱iOS 6 beta版。这对想越狱的朋友是个利好消息,但是他同时也透露了越狱之后Cydia会一直遇到崩溃的问题。


肌肉男在Twitter上称已越狱iOS 6(图片来自网络)

 

去年当iOS 5发布时,肌肉男MuscleNerd也是在一个iPod Touch 4G设备安装了苹果最新发布的iOS 5,然后宣布其已经成功越狱iOS 5,不过和当初MuscleNerd越狱iOS 5一样,当前iOS 6也不是完美越狱,越狱后该设备需要PC辅助启动。


肌肉男的iPod Touch 4G已经越狱(图片来自网络)

 

随后,著名的iOS黑客团队iPhone Dev-Team和Chronic Dev-Team也证实了肌肉男MuscleNerd的说法,iOS 6的确会破坏Cydia运行。不过,目前苹果发布的只是iOS 6测试版,等到iOS 6正式版发布还有3-4个月时间,在这期间苹果还会不断的提升自己系统的抗越狱能力,不过我们相信任何系统都存在漏洞,iOS黑客终究会找出越狱的方法。

一句话点评:大神威武,希望iOS 6正式版的越狱不要让我们苦等。

 

1.2 史上最惨烈的九大黑客攻击事件

 

刚刚发生的LinkedIn密码泄露事件在世界黑客史上简直不值一提。今天,我们就来回顾一下过去十年里最严重的几起网络安全事件,其中就包括在中国轰动一时的Gmail用户账号遭入侵事件。

小心黑客!随着科技的进步,人们可能认为网络安全性也在与日俱增。不过事实并非如此。如果历史有什么值得借鉴的地方,那就是被黑客袭击(甚至反复袭击)总是难以避免。光是上个星期,就有两家公司不幸中招:先是俄罗斯黑客在网上公布了600万名商务社交网站LinkedIn用户的密码,然后eHarmony也遭到了手法类似的网络袭击,很有可能是同一拨人所为。现在,我们就来回顾一下过去十年里最严重的几起网络安全事件。

 

索尼PlayStation Network

时间:2011年4月

受影响人数:7,700万

索尼(Sony)在线游戏和电影服务的一次看似普通的故障演变成了史上最严重的网络安全事故之一。去年四月,黑客们侵入了7,700多万个PlayStation Network的账户,泄露的信息包括1,200万张未加密的信用卡号码,以及用户全名、密码和消费记录等用户信息。然而,这次灾难对于索尼来说只是个开始,索尼旗下的索尼在线娱乐(Sony Online Entertainment)和索尼影业(Sony Pictures)也先后遭到黑客袭击。

 

Epsilon

时间:2011年3月

受影响人数:6,000万

Epsilon是世界上最大的电子邮件营销公司之一,它的任务是帮助百思买(Best Buy)、第一资本(Capital One)、沃尔格林(Walgreens)等客户向顾客发送促销邮件。去年四月,该公司遭到了一次钓鱼式网络袭击,黑客利用虚假的定制邮件追踪用户的密码和财务细节等保密信息。在此案中,Epsilon公司约有100多个企业客户的约6,000万封顾客邮件遭到泄露。

 

RSA Security

时间:2011年3月

受影响人数:4,000万人

去年还有另一次令人瞩目的网络攻击,黑客袭击了存储巨头EMC公司安全部门RSA的服务器,盗取了4,000多万个政企雇员的身份验证指令牌信息,这些身份验证指令牌是用来连入企业和政府网络的钥匙。【据高德纳咨询公司(Gartner Research)称,近80%的银行都使用这种验证指令牌。】自从遇袭后,RSA已经花了6,600多万美元来监控相关客户的信息。

 

高客传媒

时间:2010年12月

受影响人数:130万

高客传媒(Gnosis)旗下有Gizmodo、Jezebel和Jalopnik等知名博客,它一向习惯报道新闻,而不是自己制造新闻。不过2010年12月,一群自称“灵知”( "Gnosis" )的黑客在网上公布了一个500兆的文件,其中包括130万高客传媒注册用户的用户名、电子邮件和密码等信息。这个黑客团体称:“我们之所以攻击高客传媒是因为他们彻头彻尾的傲慢。”

 

美国在线

时间:2006年8月

受影响人数:65万

2006年,美国在线(AOL)突然公布了一个文件,其中含有65万多名用户的搜索信息。虽然流出文件中的用户名与ID号是随机配对的,但是凭借流出信息的其它内容——如社保号码、地址等,还是可以追踪到这些用户。虽然后来美国在线删除了这个文件,但是信息已经外传。美国在线在一份声明中表示:“这是个大麻烦,我们对此深感愤怒和沮丧。用新的调查工具接触学术界本来是一次无害的尝试。但它显然没有经过适当的审查。如果经过了适当的审查,那么它也许马上就会被阻止。”

 

Monster.com

时间:2007年8月

受影响人数:130万

利用从招聘网站Monster.com的用户邮件中复制的证书,黑客侵入了这个热门招聘网站的招聘服务系统,盗走了近130万名求职者的简历信息,其中包括他们的姓名、住址、电话号码和电子邮件地址等。袭击的源头最终被锁定为乌克兰的一家主机托管公司的两台服务器,以及一批安装了恶意软件程序的个人电脑。

 

tjx公司

时间:2006年12月

受影响人数:9,400万

如果2006年TJX公司的灾难能留给我们什么教训的话,那就是不管多大的企业也难逃黑客的攻击。TJX旗下运营着T.J. Maxx和Marshalls等品牌的2,000多家零售店,但却因安全漏洞而泄露了至少了9,400万个国内外账户信息,包括信用卡、借记卡和支票信息等。10个月后,Visa表示这次袭击至少造成了6,800万美元的涉及诈骗的损失。

 

谷歌等

时间:2009年12月

受影响范围:21家公司

这次袭击是史上最复杂的网络袭击之一。据谷歌(Google)表示,除谷歌之外,还有其他20家公司也是这起来自中国的网络袭击的受害者。黑客的目标之一是要侵入中国人权活动分子的Gmail账号,但谷歌同时也表示,最大的损失还是它的知识产权,不过谷歌并未详细说明。黑客当时通过旧版IE浏览器的一个漏洞侵入了谷歌的基础架构。

 

CardSystems Solutions

时间:2005年6月

受影响人数:4000万

2005年6月,黑客侵入了信用卡公司CardSystems Solutions的服务器,盗走了超过4,000万张Visa卡和万事达卡的信用卡信息,包括持卡人姓名、账号和验证码等。要盗走这些信息其实并不太难,因为CardSystems Solutions对大多数信息都未加密。事发几个月后,这家公司就被电子支付服务商Pay By Touch公司收购了——如今后者也早已倒闭。

 

1.3 打工仔自学黑客技术 窃网吧虚拟币被拘

犯罪嫌疑人袁某虽然学历不高,但计算机技术却比一般人精通的多。自从接触电脑之后,袁某就喜欢上黑客技术,经常利用业余时间学习这方面知识,现在袁某可以熟练利用木马进行盗号。

空有理论,拿网吧电脑练练手

2012年5月3日晚上9点左右,袁某来到吴江经济开发区辖区内一网吧上网,袁某虽然对黑客技术小有了解,但从未真正实践过,闲来无事的袁某就想利用的自己的技术,测试一下这家网吧的安全性。

产生这一想法后,袁某从网上下载了所需要的一系列软件,开始实施自己的计划。袁某利用电脑端口漏洞,轻而易举倾入网吧电脑主机内,创建了一个新用户,并提升为管理员,这样,袁某和网吧网管都可以控制电脑,并且网管还不会发现在后台运作的袁某。完全控制网吧电脑之,袁某利用网吧充值平台给自己两个QQ号分别充值了100个Q币,充完200个Q币后,袁某下线关机走了。

小试牛刀,谋划开展二次行动

2012年5月底的一天,袁某再次来到这家网吧,袁某发现网吧漏洞还没有修复,此时,在网吧充值平台上给自己QQ号充值的Q币用完了,袁某就想着再给自己搞一点,顺便可以将多余的以低价卖给别人,赚点外快。

不过,这次袁某发现网吧的网管在前台电脑前,他不敢像上次那样明目张胆的给自己充值。袁某想出了一个更加高明的方法,记录下工作人员输入的平台用户名和密码,袁某窃取了5000个虚拟币。

虚拟币是网吧用来给顾客充值话费、游戏点卡和Q币等一系列服务的,不能直接转化为现实货币,但是可以在网络上交易。
袁某将两次窃得的5200个虚拟币都充到了自己的QQ,变成了Q币,一部分自己用掉了,但是实在太多用不完,另一部分以低价卖给了别人。

QQ号追踪,黑客高手也落网

虽然袁某的黑客技术很高,但他没有想到公安机关的侦查技术更高一筹。侦查民警通过网吧充值平台得到了袁某的QQ号,立即上报网监部门布控,网监部门即刻对袁某的QQ号进行监测,最终于2012年6月6日在一家网吧内将正在上网的袁某抓获。
在确凿的证据面前,袁某对自己的罪行供认不讳,现袁某已被公安机关依法刑事拘留。

 

1.4 黑客偷你的密码干什么?

击报道显示,约有650万LinkedIn用户密码被放到了网上,不过还没有电子邮箱地址可以追溯到具体账号。

这看上去让人松了一口气,不过又引出了一大串疑问:黑客把大家的密码放出来给所有人看,这葫芦里究竟卖的是什么药?这些密码一旦公之于众,谁还会继续用呢?

周三的新闻听起来像是标准的硅谷冷笑话。俄罗斯黑客窃取了600万LinkedIn账户密码。难道他们把“世界上最大的职业网络”误翻成了“大家都在用的职业网络”?他们下一步要黑哪一家,谷歌+么?窃取这些账户之后,他们还打算干嘛,到黑市上卖简历吗?嫌LinkedIn邀请注册邮件还不够多,所以要利用联系人列表来发垃圾邮件么?

 

漠不关心者有之,冷嘲热讽者有之,但是还有一小掇人高度重视这次LinkedIn被攻击事件:安全专家。

上文几个恶搞问题最有可能的答案是:不、不、是的、是的。第一个问题,俄罗斯黑客又不傻,他们才不关心你到底有没有在用LinkedIn。第二个问题,他们并没有紧接着攻击谷歌——谷歌太难攻了——而是攻击了人气很旺的约会网站一派和谐(eHarmony)。第三个问题,窃取简历等个人信息几乎可以肯定是黑客计划的一部分,那可是潜在的金矿。第四个问题,伪装熟人发邮件是黑客请君入瓮的主要手段。这比自称是尼日利亚王子的邮件可信多了。

目前还不清楚此次攻击所造成的影响。LinkedIn和一派和谐现在还没有给个说法,也许是因为他们根本还没查出来究竟哪里出了问题。不过计算机安全方面的专家越来越肯定,这起事件本身远比这两家公司所说的要复杂险恶。

警告:注册了LinkedIn或者一派和谐的用户要小心了。如果你在其他网站上用了同样的用户名,特别是像贝宝(Paypal)和脸谱这样的高危网站——就更要特别小心了。如果注册了这两个网站,就要马上去改密码。(别轻举妄动,先看完这篇文章再改!)
最初的攻击报道显示,约有650万LinkedIn用户密码被放到了网上,不过还没有电子邮箱地址可以追溯到具体账号。这看上去让人松了一口气,不过又引出了一大串疑问:黑客把大家的密码放出来给所有人看,这葫芦里究竟卖的是什么药?这些密码一旦公之于众,谁还会继续用呢?如果没有遭到“破解泄漏”的用户密码就安全吗?

安全专家作了这样一个惊人的假设:黑客把这些密码公布出来,是为了让公众帮助他们破解其中一部分密码。如果用户密码不在公布之列,很有可能意味着用户的账户已经不安全了。黑客有可能已经暗中掌握了密码。如果假设成立,黑客没有公布电子邮箱地址等个人信息也就合情合理了。黑客并非没有得到这些个人信息,而是他们将其“雪藏”了,为的是有朝一日能到黑市上卖给犯罪黑客组织。

赛门铁克专家马里安·梅里特(Marian Merritt)称,有组织的黑客攻击大多是由犯罪团伙策划的,意在谋财。其次是“黑客活跃分子”组织所为,比如“匿名(Anonymous)”和 “LulzSec”。这些团伙的主要目标是恶心、揭露、阻遏以及恐吓他们的攻击目标,主要与黑客意识形态格格不入的大公司。攻击LinkedIn的手法跟LulzSec有相似之处,比如去年夏天索尼公司100万用户个人信息失窃。不过,没有任何黑客活跃分子声称对此事负责,而且这些数据最先公布在俄罗斯专注于密码破解论坛的事实表明,公开密码只是此番攻击的副产品,而决不是主要目标。

这些网络骗子拿到密码想干什么呢?数据安全企业Sophos的高级安全顾问切斯特·维斯涅夫斯基(Chester Wisniewski)说,用途很多。对于全世界的黑客来说,大批量泄漏的密码正好可以拿来更新他们所谓的“彩虹表(rainbow table)”——巨大的数据库,可作为破解加密密码的数字钥匙,称之为“哈希(Hash)”。最安全的网站使用另一层密码加密,称之为“放盐(salting)”,如此一来,同样是用了“123456”这串密码,两个用户的哈希是不一样的。可是LinkedIn没有这样做,结果就是同样的钥匙可以解锁一大批使用同一个密码串的用户,此法不仅可以用在LinkedIn上,还可以用在采取同一种哈希算法的网站上。(一派和谐的算法甚至更弱,同样没有“放盐”。)

如果黑客同时拥有用户的电子邮箱地址和密码——多数分析师怀疑他们会这么做——这些信息同样可以直接针对LinkedIn和一派和谐用户。网络骗子得手之后,首先要做的是运行软件,用同样的电子邮箱地址和密码组合来登录其他网站,看看是不是可以得到大家的财务或者社交账号。

LinkedIn账号上的个人信息也是某种网络攻击的理想目标,称之为“鱼叉式网络钓鱼(spear phishing)”。前国家安全局安全分析师马库斯·卡雷(Marcus Carey)说,钓鱼者的如意算盘是引诱他人下载流氓软件或者通过发送貌似正常的邮件让收件人泄露敏感信息。马库斯如今是网络安全企业快 7(Rapid7)的研究员。这些消息看上去是老板或者同事发来的,或者伪装成一封与用户业务相关的电子邮件,比如要求报价或者特定服务。由于这类邮件不像是垃圾邮件,攻击目标往往会放松警惕。

因为鱼叉式网络钓鱼需要网络罪犯的照看和单独关注,所以仅会针对高价值目标——比如专家或者企业高管。这些人恰好又是LinkedIn的核心会员。

还有一种钓鱼几乎始终伴随着类似针对LinkedIn还有一派和谐的攻击,从某种角度来说,它是最诡计多端的。网络上图谋不轨者知道,很多人会读到包括本文在内的文章,并且会随之修改密码。正确的办法是直接登录LinkedIn或者一派和谐网站去修改。错误的做法是点击一封看似来自官方的邮件中的链接,然后被这个链接带到一个冒充的官方网站,并且照上面的提示重置密码。如果黑客在此之前没有得到密码,那么只要用户老老实实的照着他们设下的圈套输入密码,他们就得逞了。别被骗了。密码被人偷走就够郁闷的了。把密码亲自送上门就更悲摧了。

 

1.5 Linux之父谈Win8:UEFI安全启动难挡黑客

 

所有的Windows 8硬件设备都将默认采用UEFI(统一可扩展固件接口)的安全启动(Secure Boot),防止未经授权的引导装载程序(OS Loader)在BIOS中启动,UEFI只启动通过认证的引导装载程序,而恶意软件则无法再利用这种方法攻击用户。

当然了,这引起了Linux社区的不满,尽管微软表示这并不会将其它操作系统关在门外(通过设置PC固件可以控制任何操作系统执行安全启动,而并非只是Windows系统),自由软件基金会(Free Software Foundation,FSF)还曾呼吁大家抵制微软的这一举措,认为这意味着获得微软认证的计算机无法启动未授权操作系统,“安全启动”应该称为“受限启动”。

Fedora、红帽(Red Hat)都找到了应对办法,与微软签订协议,通过电子签名来提供他们自己的Windows 8系统兼容UEFI安全启动键。不少Linux爱好者都痛恨这种妥协,但是又无可奈何。然而,Linux之父Linus Torvalds对此并不以为然。
Linus Torvalds表示:“我当然不是UEFI粉丝,但是我理解为什么你想要签名启动等等。”Torvalds认为微软拿出Windows 8 UEFI安全启动并不能真正地让系统安全起来。

“我认为,真正的问题是聪明的黑客将绕过整个认证问题。签名是一个很有用的工具,但是它并不能解决所有的安全问题,而且我认为一些人有点太在意它了。”

 

2.本周关注病毒

2.1 病毒名称:Worm.Win32.FakeFolder.bk(蠕虫病毒)
警惕程度★★★

该病毒运行后为躲避杀毒软件查杀,会试图结束当前运行的安全软件进程,通过创建注册表劫持项阻止杀毒软件再次启动,甚至还会删除安全软件图标并使其隐藏。病毒作者为避免病毒被手工删除,会破坏操作系统的安全模式,并让用户无法打开注册表编辑器。最终,病毒会在桌面上创建多个钓鱼网站的快捷方式,使用户进入黑客指定网站,为其带来巨大经济利益。

 

2.2 病毒名称:Trojan.Win32.OnlineGames.hk(木马病毒)
警惕程度★★★

该病毒是一个网游盗号木马,该病毒运行后会通过键盘记录、读取游戏窗口信息和内存信息等方式盗取多种流行网络游戏的账户密码,对网游玩家威胁极大。

 

2.3 病毒名称:Trojan.PSW.Win32.QQPass.flr(木马病毒)
警惕程度★★★

木马运行后,首先检测电脑是否正在运行QQ,如果存在,木马会关闭QQ,并将病毒文件替换成QQ程序,当用户再次打开QQ时,就会自动运行木马病毒。被替换的“QQ”从图标上和登录界面上都与正常程序极为相似,用户很难分辨真伪。只是一些功能并未完善,如“登陆状态更改按钮”、“设置按钮”点击无效果等细节差别。如果用户在木马界面输入了账号和密码并登录后,QQ账号密码就会被盗。

 

3.安全漏洞公告

3.1 Microsoft IE中心元素远程代码执行漏洞(MS12-037)

Microsoft Windows数字证书欺骗漏洞

发布时间:

2012-06-12

漏洞号:

CVE ID: CVE-2012-1523

漏洞描述:

Microsoft Internet Explorer是微软公司推出的一款网页浏览器。
Microsoft Internet Explorer 访问已经删除的对象时存在远程代码执行漏洞。攻击者可利用当前用户权限执行任意代码以破坏内存。

安全建议:

厂商补丁:
Microsoft已经为此发布了一个安全公告(ms12-037)以及相应补丁:
ms12-037:Cumulative Security Update for Internet Explorer (2699988)
链接:http://www.microsoft.com/technet/security/bulletin/ms12-037.mspx

 

3.2 Microsoft IE Title元素更改远程代码执行漏洞

Microsoft IE Title元素更改远程代码执行漏洞

发布时间:

2012-06-12

漏洞号:

CVE ID: CVE-2012-1877

漏洞描述:

Microsoft Internet Explorer是微软公司推出的一款网页浏览器。
IE访问已经删除的对象时存在远程代码执行漏洞,攻击者可利用当前用户权限执行任意
代码以破坏内存。

安全建议:

建议临时解决方法:
如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:
* 设置互联网和内联网安全区域设置为“高”
* 配置IE在运行活动脚本之前提示或直接禁用。
厂商补丁:
Microsoft已经为此发布了一个安全公告(ms12-037)以及相应补丁: ms12-037:Cumulative Security Update for Internet Explorer (2699988)
链接:http://www.microsoft.com/technet/security/bulletin/ms12-037.mspx

 

3.3 Apple iTunes执行任意代码和拒绝服务漏洞

Apple iTunes执行任意代码和拒绝服务漏洞

发布时间:

2012-06-13

漏洞号:

CVE ID: CVE-2012-0672,CVE-2012-0677

漏洞描述:

iTunes是一款媒体播放器的应用程序,2001年1月10日由苹果电脑在旧金山的Macworld Expo推出,用来播放以及管理数字音乐和与视频文件,是管理苹果iPod的文件的主要工具。
Apple iTunes在捆绑的WebKit中存在有漏洞版本,并且在处理特制的M3U (".m3u")文件列表时存在错误可被利用造成堆缓冲区溢出,执行任意代码,从而控制用户系统。该漏洞不影响OS X Lion系统上的应用。

安全建议:

厂商补丁:

Apple
Apple已经为此发布了一个安全公告(HT5318)以及相应补丁:
HT5318:About the security content of iTunes 10.6.3
链接:http://support.apple.com/kb/HT5318

 

3.4 IBM WebSphere Sensor Events多个输入验证漏洞

IBM WebSphere Sensor Events多个输入验证漏洞

发布时间:

2012-06-12

漏洞号:

BUGTRAQ ID: 53859

漏洞描述:

IBM WebSphere Sensor Events可提供创建和管理企业级传感器的中间件基础架构。
IBM WebSphere Sensor Events在实现上存在P001414 XSS、文件路径遍历、不安全HTTP方法、searchView.jsp中的deferredView.jsp XSS问题内的P001538跨站脚本执行漏洞, 攻击者可利用这些漏洞窃取Cookie身份验证凭证、执行非法操作或泄漏敏感信息。

安全建议:

厂商补丁:
IBM
IBM已经为此发布了一个安全公告(4032733)以及相应补丁:
4032733:WebSphere Sensor Events interim fixes - IC83621 and IC83623
链接:http://www-304.ibm.com/support/docview.wss?uid=swg24032733

 

3.5 F5 BIG-IP远程root用户验证绕过漏洞

F5 BIG-IP远程root用户验证绕过漏洞

发布时间:

2012-06-11

漏洞号:

CVE ID: CVE-2012-1493

漏洞描述:

F5 BIG-IP产品可为企业提供集成的应用交付服务,如加速、安全、访问控制与高可用性。
BIG-IP 11.x 10.x 9.x平台在实现上允许未验证用户绕过身份验证并以root用户登录到设备,对应下面公钥的SSH私钥是公开的,并出现在所有有漏洞的设备中:
ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAIEAvIhC5skTzxyHif/7iy3yhxuK6/OB13hj

PqrskogkYFrcW8OK4VJT+5+Fx7wd4sQCnVn8rNqahw/x6sfcOMDI/Xvn4yKU4

t8TnYf2MpUVr4ndz39L5Ds1n7Si1m2suUNxWbKv58I8+NMhlt2ITraSuTU0NG

ymWOc8+LNi+MHXdLk= SCCP Superuser
其指纹码是:
71:3a:b0:18:e2:6c:41:18:4e:56:1e:fd:d2:49:97:66
如果攻击者获取设备完全控制权,则可进一步发动针对相关网络中其他主机的攻击。

安全建议:

临时解决方法:
如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:
* 通过BIG-IP自身或者边界防火墙设置,仅允许可信任IP对SSH服务端口的访问。
厂商补丁:
F5
目前厂商已经在下列版本中修复了这个安全问题:
F5 BIG-IP 9.4.8-HF5 及之后版本
F5 BIG-IP 10.2.4 及之后版本
F5 BIG-IP 11.0.0-HF2 及之后版本
F5 BIG-IP 11.1.0-HF3 及之后版本
F5 Enterprise Manager 2.1.0-HF2 及之后版本
F5 Enterprise Manager 2.2.0-HF1 及之后版本
F5 Enterprise Manager 2.3.0-HF3 及之后版本
厂商安全公告地址:http://support.f5.com/kb/en-us/solutions/public/13000/600/sol13600.html