当前位置: 安全纵横 > 安全公告

一周安全动态(2012年12月13日-2012年12月20日)

来源:安恒信息 日期:2012-12

2012年12月第三周(12.13-12.20)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级。

 

 

 

1.安全新闻

1.1 我国信息安全标准需与欧美看齐

俗话说:无规矩不成方圆。欧美国家之所以保持如此高的信息安全标准,并以此抬高中国企业进入市场的门槛,与其全面严格的法律法规密切相关。

政府牵头 法规成就高标准

美国是世界上最早建立和使用计算机网络的国家,也是信息产业发展最为迅速的国家,信息安全一直居于美国国家安全战略的高度。早在十年前美国便公布了《网络安全国家战略》以及《确保信息安全的国家战略》,确定了3个战略目标和5项优先行动,并通过为信息安全立法,来完善保障信息安全法规体系。另外,近年来美国相继制定了《信息自由法》、《总统档案法》、《联邦信息资源管理法》、《国家信息基础设施保护法案》、《反电子盗窃法》、《计算机犯罪强制法》等一系列法律法规,以确保国家安全。

美国陆续发布的一系列战略和规划,大大加强了政府对网络公司和通信设备公司的管制。值得一提的是,美国共和党控制的众议院于2012年4月通过了《网络情报共享与保护法》,以防止网络攻击,保护网络安全。

除美国外,欧盟今年也加大了信息安全工作力度,将其列入“欧洲数字化议程”,作为发展数字经济的重要保障。

据相关专家介绍:“在制订实施信息安全宏观政策方面,欧盟正在制定‘欧洲互联网安全战略’,计划改进欧洲网络与信息安全署的职能,并将其作为欧盟信息安全管理的核心机构;在网络数据和隐私保护领域,欧盟在2012年年初修订了《数据保护指令》,特别强调云计算和社交媒体等对消费者和销售者信息的保护义务;在信息基础设施安全保障方面,欧盟委员会2010年提出了《关于应对信息系统受攻击的指令》的提案,这一提案正在讨论修改之中,预计今后两年内将获通过并实施。”

具体到国家,在英国,政府建立了拥有独立管理权的信息安全评估中心(CSEC)。CSEC独立管理对中国企业在英国部署的电信基础网络设备和软件的安全评估,并将评估的结果提供给英国的运营商和政府。这样做的目的是试图减少中国企业在英国关键的电信基础网络中部署产品的威胁。

政府、企业配合默契 提升信息安全标准

与美国和欧盟相比,虽然我国早就意识到了信息安全的重要性和迫切性,但一直没有一整套行之有效的体系去保障信息安全。

“虽然每年在信息安全领域国家都投入大量的经费来支持信息安全技术研究和产业化推广工作,也制定了一些与信息安全相关的政策法规,但不能从根本上解决问题。强制性地把这个领域的市场交给中国的企业去发展是最行之有效的办法,可实现政府与企业的合力。”某业内人士告诉记者。

例如,近期美国政府对中兴与华为的调查,并不是由政府直接出面,而是众议院下属的情报委员会主导,而申请调查的则是思科等美国企业。这份报告本身没有任何的法律约束力,但如果报告通过议会,则可能迅速演变为立法,从而形成一个坚固的壁垒,无形中提升了信息安全标准。

“在此过程中,美国从企业申请调查、立法到政府介入的各个环节,都已经形成了一个通畅的体系,企业与政府达成了‘默契’。”某业内资深人士告诉记者。

“不仅在美国,在注重信息安全的欧盟,每次信息安全领域的调查也多是相关企业首先申请发起,政府相关部门会依照相关法规迅速跟进,如果针对某项调查缺乏相关法律依据,也会由此督促政府在法律上拾遗补缺,长此以往,其信息安全的标准也自然水涨船高。”该资深人士补充道。

综合治理 企业把好头道关

针对目前中国信息安全标准偏低的现实,中国IT治理研究中心相关人士建议:“应立足中国国情,建立健全具有中国特色的信息安全保障体系。包括信息安全法律保障机制、信息安全政治保障机制、信息安全管理机制、信息安全人才的培养和使用机制;参与进而主导制定国际信息网络规则,通过外交活动为确保信息安全营造良好的国际环境,建立‘国际信息新秩序’;着力加强自主知识产权技术和产品的研制,从最核心的层面——标准为切入点,制定中国主导的标准;建立公平有序的招标采购市场环境;加大对在华国外网络企业的安全审查、合规审计和监管力度。”

“只有从法规、监管、人才、宣传等方面综合治理,中国的信息安全标准才能得到根本性的提升,其中任何一个因素的偏废,都可能继续拉大我们与国外的差距。” 中国工程院院士、中科院计算所研究员倪光南对记者表示。

说到企业层面,互联网专家方兴东告诉记者:“相关企业可以采用源代码托管和首席安全官制度。首先可以采用的办法是源代码托管,很多国家都在采用这种办法对信息安全进行监管。但在中国更方便借鉴的是首席安全官制度,在欧美很多国家的大企业都有这样一个职位,首席安全官既是公司的员工,也受国家安全部门直接管理,在涉及到安全领域的大量采购时他拥有一票否决权。国内的一些央企或者大型企业也有必要设立这样一个职位。”

据记者了解,早在10年前,IBM就宣布任命全球首任"首席安全官"。目前,越来越多的企业开始设置相关的职位。目前,设有"首席安全官"的国际企业除了IBM外,还有微软、柯达、花旗、Facebook、宝洁等,相比之下,"首席安全官"对于中国企业而言,还是一个新鲜事物,尚需迎头赶上。

“我国目前在信息安全标准及相关法规方面与欧美存在差距,中国企业理应首先从企业内部建立良好的信息安全监测和评估机制,做到防患于未然,这对于能否充分发挥和改进我国相关法规,提升所在行业信息安全标准也至关重要。”业内人士呼吁。

1.2 2012十大安全事件回顾 Flame成“毒”王

2012很快就要过去了,除了12月21日是世界末日的谎言即将被证明外,我们也会迎来2013年人生的新篇章,在这破旧迎新之际,就让我们一起回顾下2012年业界发生的十大安全事件。

1.Mac OS X史上最严重的病毒——Flashback

虽然Mac OS X上的病毒Flashback出现在2011年底,但直到2012年4月它才大规模爆发。在鼎盛时期,Flashback感染了超过70万台Mac电脑,是目前为止已知感染Mac OS X最多的病毒。

怎么可能会感染这么多Mac OS X呢?有两个主要因素,一方面是Java的CVE-2012-0507漏洞,另一方面是当涉及到安全问题那些Mac“死忠”用户的冷漠。

Flashback的出现在Mac OS X历史上有重大意义,因为它的出现打破了Mac系统刀枪不入的神话,同时也证实了病毒大规模的爆发,的确可以影响到非Windows平台。

2.史无前例的高危害性病毒Flame和Gauss恶意软件

最复杂的病毒Flame:Flame 可以说是最具颠覆性、最复杂的病毒,该病毒能够运用包括键盘、屏幕、麦克风、移动存储设备、网络、WiFi、蓝牙、USB和系统进程在内的所有可能条件去 收集信息。另外它用上了5种不同的加密算法、3种不同的压缩技术,和至少5种不同的文件格式,包括一些其专有格式。此外感染的系统信息以高度结构化的格式 存储在SQLite等数据库中,病毒文件达到20MB之巨(代码打印出来的纸张长度达到2400米)。有专家称,全面了解Flame病毒至少有10年时间。

最令人印象深刻的是,Flame可以使用一个假的微软证书去执行针对Windows Updates的一个中间人攻击,这使得它能在一眨眼功夫感染全补丁的Windows 7电脑,这些操作毫无疑问很复杂,但Flame做到了。

Flame的存在有着重大意义,因为它表明高度复杂的病毒可以存在多年而不被发现。据估计,Flame病毒至少存在有5年时间了,此外,Flame病毒还重新定义了零日漏洞(zero-days)的概念——通过“上帝模式”这个中间人的方法进行传播。

Flame的兄弟Gauss病毒:当 Flame病毒被人们发现后,研究员们又继续研究有多少这样的病毒被安置,随后人们发现了Gauss病毒。Gauss同样是一个很厉害的病毒,有些东西至 今为止仍然是一个谜,它安装了一个叫Palida Narrow的特殊字体,有效负载部分则用特殊方式加密,为此俄罗斯卡巴斯基实验室研究人员还向民众求助,请求帮忙破解Gauss恶意软件一个加密部分。

3.Android系统威胁呈爆炸性增长

2011年针对Android的恶意病毒呈现了高速度的增长,到了2012年针对Android的恶意软件继续以爆炸般惊人速度的增长,而下面的图表则更清楚地显示和证实了这一点。

总体而言,2012年一共发现了超过35000个Android恶意软件,这一数字是2011年的六倍,同时这也是自2005年收到所有恶意软件样本数量的五倍。

造成这一形象可以归纳为两个原因:经济与平台。首先,得承认Android已经成为非常受欢迎的平台,有超过70%的市场份额,成为了最广泛的移动 操作系统。其次开放的操作系统,能够轻松地创建应用和各种各样的应用市场相结合,这不可避免地位Android平台带来了安全问题。

展望未来,这一增长趋势将毫无疑问地持续下去,就像多年前的Windows饱受恶意软件困扰一样。

4.大规模密码泄露事件:LinkedIn等网站密码遭泄露

2012年6月,世界最大的商业客户社交网站LinkedIn遭到黑客攻击,使得超过650万的LinkedIn网站用户密码遭到泄露。虽然使用 SHA1加密,但安全研究人员使用快速地GPU卡惊人地恢复了85%的原始密码,SHA1正是以前密码保护的标准方式,而现在已经没什么作用。通过这个事 件明白,一些Web开发人员必须加强密码加密存储方面的课程学习。

除此之外,包括Dropbox、Last.fm和Gamigo都遭遇黑客入侵和用户账户信息泄露事件,其中Gamigo更是有超过800万个密码被泄露。

这些密码泄露事件显示,在这个云时代,数以百万计的账户信息放在互联网高速连接的服务器上,数据泄露正呈现新的维度,大家应特别加强信息安全意识。

5.Adobe的证书盗窃和无处不在的APT

2012年9月27日,Adobe宣布发现两种恶意程序,它们使用了有效地Adobe代码签名证书。据悉Adobe的数字证书被安全地存放HSM 中,HSM是一个特殊的加密装置,这使得黑客的攻击行为会变得更加复杂。尽管如此,攻击者仍然搞定服务器并执行了签发数字证书的请求。

这一具有针对性且一系列具有连锁性地复杂威胁行为通常被描述为APT(即高级持续性威胁,具体解释请见:维基百科),事实上,包括Adobe这样的著名公司正成为这些高级持续攻击者潜在的目标。

6.DNSChanger服务器被关闭

DNSChanger是活跃在2007年至2011年的DNS劫持软件。它会通过修改计算机的DNS设置,指向他们自己的服务器来感染电脑。通过这种方法,用户在浏览网页的时候就会被插入广告,在该软件鼎盛时期,大约感染了超过四百万台计算机。

随后美国联邦调查局(FBI)宣布将关闭与DNSChanger恶意软件相关的服务器,这将使得被感染的电脑无法访问互联网。不过FBI后来同意保持在线服务器到2012年7月9日,让那些感染用户有时间去杀毒。

7.Madi不间断地间谍行动

在2011年末和2012年上半年,一个不断持续活动的病毒渗透到整个中东,并针对性地扩散到伊朗、以色列和阿富汗等国家的个人计算机系统,随后卡 巴斯基实验室和高级威胁检测公司Seculer合作发现了这个病毒,根据攻击者使用的某些特定的字符串,并把这个病毒命名为“Madi”。

尽管Madi病毒相对简单,但它通过社会工程学等战术成功地让世界各地的受害者妥协。

8.Java的零日漏洞

首先要提的是,Java曾造成Mac电脑受到广泛攻击,在Mac OS X遭到Flashback攻击后,苹果公司采取了大胆的措施,禁用了数百万用户Mac OS X中的Java。另外需要指出的是,自二月份以来尽管有一个补丁能够有效修复漏洞,但苹果的用户仍然在该漏洞下暴露了几个月,这些得归结于苹果行动缓慢。 要知道Mac OS X中的补丁机制和Windows不一样,对于Windows,Java漏洞补丁是直接由甲骨文发布,而对Mac电脑用户,这一补丁得交给苹果。

如果这还不够,那还有另外一个事例:2012年8月一个Java零日漏洞(CVE-2012-4681)刚发现后,就被用于疯狂的攻击,后来该漏洞还被黑客制作成行之有效地攻击工具包,这导致世界各地数以百万计的电脑感染病毒。

另外,在对部分用户计算机进行分析后发现,超过30%的用户仍然安装有老旧和易受攻击的Java版本。

9.“恶毒”软件Shamoon出现

今年8月中旬,一种具有高度破坏性的恶意软件被用于针对沙特阿拉伯国家石油公司的攻击中,虽然只有30000台电脑感染这个恶意软件,但这些电脑都被完全摧毁。

这个叫Shamoon的恶意软件很恶毒,不仅盗窃用户电脑中的数据,它还会将盗窃后的电脑数据永久删除,甚至包括主引导记录,从而导致系统完全瘫痪,不能开机。

发现Shamoon具有重大意义,因为它提出了使用Wiper恶意软件的想法,Wiper是一个极具破坏性的有效负载,目前它的细节很多都还未知,只知道它的存在就是为了大规模破坏数据。

10.针对网络设备的大规模攻击

2012年10月,研究员Fabio Assolini在网上发表了一篇使用单一漏洞攻击的文章,文章详细介绍了2011年在巴西,攻击者使用两个恶意脚本和40个恶意DNS服务器进行攻击的 详细过程。这使得受影响的硬件制造商达到六家,同时这也导致大规模的DSL调制解调器攻击和数百万的巴西互联网用户成为受害者。

2012年3月,巴西CERT小组证实,超过450万的调制解调器在攻击中被攻破,同时各种欺诈活动也被这些网络罪犯滥用。

另外Recurity实验室安全研究员Felix ‘FX’ Lindner发现了华为家庭路由器存在安全漏洞,随后美国政府决定调查华为间谍活动的风险。

华为和DSL路由器在巴西的漏洞攻击不是随机事件,这些迹象表明,硬件路由器同样也可以造成和软件漏洞一样的安全风险,同时也说明,计算机安全防卫工作将比以往任何时候都要困难和复杂,因为有的时候真的防不胜防。

1.3 沙特指责外国黑客组织对其石油工业发动网络攻击

据澳大利亚《每日电讯报》12月10日报道,沙特阿拉伯国家石油公司(Saudi Aramco)9日公布了8月份网络袭击事件的调查情况,称这次袭击针对的目标不仅仅是该公司,而是沙特整个国家的经济。

沙特阿拉伯国家石油公司的3万多台电脑今年8月份遭到黑客攻击。参与调查此事的沙特内政部称,这次攻击是由多个国家的黑客组织联合发动的。

沙特阿拉伯国家石油公司负责调查网络袭击的负责人阿卜杜拉·萨丹(Abdullah al-Saadan)说:“袭击针对的是沙特整个国家的经济,不仅仅是国家石油公司,其目的是阻碍沙特的石油公司向国内外市场供应石油和天然气。”

沙特内政部发言人曼苏尔·图尔基(Mansur al-Turki)说,为了调查的继续进行,他们目前不会公布任何结果。但他强调没有任何沙特阿拉伯国家石油公司的雇员或承包商涉嫌参与袭击。

1.4 黑客团伙泄露美国政府机构的160万账户信息

据外媒报道,近日,一个名为GhostShell的黑客组织泄露了来自NASA、FBI、ICPO(国际刑警组织)、美联储、五角大楼等多个重要政府机构和公司的160万个账户信息。据悉,GhostShell组织曾隶属于Anonymous组织,不过在近段时间放弃了这一从属关系。

根据GhostShell组织自己发布的消息表示,航空部门、纳米技术研究部门、银行业、教育部门、政府机关、军队、法律部门等都是他们近段时间#ProjectWhiteFox活动的主要攻击对象。

根据下面这张图可以发现,GhostShell其中一小部分的攻击似乎都是采用了SQL注入方式,从而可以进入各个攻击对象的数据库,获取IP地址、登录账号、邮箱地址、电话号码等。

据悉,这些被盗取的信息目前被放上了GitHub、Slexy、Private Paste等网站上。

今年10月,GhostShell攻击了100多所高校,并发布了10多万学生的信息记录。

1.5 俄罗斯黑客将澳大利亚一医疗诊所的病人数据库加密 要求4000美元赎回信息

据外媒报道,近日,一群俄罗斯黑客入侵了澳大利亚的一家医疗诊所迈阿密家庭医疗中心(Miami Family Medical Centre)的医疗系统,他们将诊所病人的数据库进行了加密处理,目前诊所中心的人员都无法访问系统内的信息。据ABC新闻报道,该黑客团伙要求诊所方面提供4000美元的赎金才能拿回他们的数据。

该家诊所的联合持有者David Wood认为其诊所系统中安装的杀毒软件足以防御一切网络入侵和其他一些安全威胁等。不过,现在看来,Wood不得不改变这种想法了。这一攻击事件为各大企业、特别是那些掌握了用户重要信息的机构敲响了警钟。

目前,这家医疗机构只有两个选择,要么乖乖地交钱给黑客让他们对数据库进行解密,要么选择其他途径来恢复数据,并且在经过这一件事情的教训之后,必须加大系统的安全性能。再者可以选择忽视这一事件的发生,转而从其他一些医疗机构获取相关重要信息。

另外,据外媒报道,澳大利亚哈有一家企业因不重视安全性能从而导致其50万名用户的信用卡信息被盗。

 

2 本周关注病毒

2.1 Trojan.Win32.Fednu.umd(木马病毒)

警惕程度 ★★★

病毒运行后把感染代码注入到傀儡进程中,随后,病毒会感染非系统目录的全部可执行文件,当用户运行被感染的程序文件后,该病毒就会释放出多个黑客后门程序,实现病毒连接黑客服务器,上传电脑中的各种文件,接受黑客远程控制端发送的指令。

2.2 Worm.Win32.Viking.pe(蠕虫病毒)

警惕程度 ★★★

该病毒同时具有文件型病毒、蠕虫病毒、病毒下载器等类病毒的特点,进入用户的电脑之后,它会从网上疯狂下载多个木马到中毒电脑中,窃取用户的密码,严重时造成系统完全崩溃。

2.3 Worm.Win32.Fednu.w(病毒下载器)

警惕程度 ★★★

该病毒运行以后将自身设置为隐藏文件,修改注册表实现开机启动,并将自身复制到各个磁盘根目录下,添加autorun.ini文件,在用户双击磁盘时运行病毒。同时,该病毒还会修改hosts文件,屏蔽安全公司的网站,关闭Windows操作系统的自动更新和防火墙,并通过IE连接到黑客指定的服务器,下载其他病毒到电脑。中毒用户将面临网银账号被盗、隐私信息泄露、硬盘数据遭窃取的风险。

3 安全漏洞公告

3.1 Linux Kernel IPv6远程安全绕过漏洞

Linux Kernel IPv6远程安全绕过漏洞

发布时间:

2012-12-12

漏洞号:

CVE-2012-4444

漏洞描述:

Linux Kernel是Linux操作系统的内核。
Linux Kernel在IPv6的实现上存在安全绕过漏洞,攻击者可利用此漏洞绕过目标防火墙安全限制,并发送恶意网络报文到受影响计算机。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.kernel.org/

3.2 HP OpenVMS 多个拒绝服务漏洞

HP OpenVMS 多个拒绝服务漏洞

发布时间:

2012-12-12

漏洞号:

CVE-2012-3277

漏洞描述:

HP OpenVMS是一款HP Integrity或AlphaServer服务器中使用的操作系统。
HP OpenVMS LOGIN或ACMELOGIN中存在多个拒绝服务漏洞。远程攻击者可利用这些漏洞导致受影响应用程序崩溃,拒绝服务合法用户。

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
https://h20566.www2.hp.com/portal/site/hpsc/public/kb/docDisplay?docId=emr_na-c03599086

3.3 Microsoft Windows 远程代码执行漏洞

Microsoft Windows 远程代码执行漏洞

发布时间:

2012-12-13

漏洞号:

CVE-2012-4774

漏洞描述:

Microsoft Windows是微软发布的非常流行的操作系统。
Microsoft Windows中存在远程代码执行漏洞。攻击者利用该漏洞以特权在用户运行的受影响应用程序中执行任意代码,失败的攻击尝试可触发拒绝服务状态。

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://technet.microsoft.com/zh-cn/security/bulletin/ms12-081

3.4 Microsoft Exchange Server RSS Feed 远程拒绝服务漏洞

Microsoft Exchange Server RSS Feed 远程拒绝服务漏洞

发布时间:

2012-12-12

漏洞号:

CVE-2012-4791

漏洞描述:

Microsoft Exchange Server是一款Microsoft公司开发的邮件服务程序,其中包含Internet Mail Connector (IMC)功能支持可以通过SMTP与其他邮件服务器进行通信。
Microsoft Exchange Server 2007 SP3和2010 SP1和SP2版本中存在漏洞。通过订阅一个特制的RSS提要,远程认证攻击者利用该漏洞导致拒绝服务(信息存储服务挂起),又名‘RSS Feed May Cause Exchange DoS漏洞’。

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://technet.microsoft.com/zh-cn/security/bulletin/ms12-080

3.5 IBM Informix Dynamic Server 缓冲区溢出漏洞

IBM Informix Dynamic Server 缓冲区溢出漏洞

发布时间:

2012-12-10

漏洞号:

CVE-2012-4857

漏洞描述:

IBM Informix Dynamic Server是一款动态数据库管理软件,Informix Extended Parallel Server(XPS) 是并行处理的数据库服务器。
IBM Informix 11.50至11.50.xC9W2版本和11.70.xC7之前的11.70版本中存在缓冲区溢出漏洞。通过特制的SQL语句,远程认证攻击者利用该漏洞执行任意代码。

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://www-01.ibm.com/support/docview.wss?uid=swg21618994

3.6 Oracle MySQL/MariaDB 不安全Salt生成安全绕过漏洞

Oracle MySQL/MariaDB 不安全Salt生成安全绕过漏洞

发布时间:

2012-12-10

漏洞号:

CVE-2012-5627

漏洞描述:

MySQL是一款使用非常广泛的开放源代码关系数据库系统,拥有各种平台的运行版本。
MySQL/MariaDB在处理会话用户密码SALT值时存在安全绕过漏洞。当用户尝试登录MySQL时,会生成一个SALT值用于防止密码猜测攻击,此SALT值用于整个会话。攻击者用一个无特权账户登录服务器后,可使用MySQL "change_user"命令尝试切换其它的账户,在此过程中SALT值不需改变,连接也不会断开,这导致可以快速暴力破解密码,绕过安全限制。

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
https://mariadb.atlassian.net/browse/MDEV/fixforversion/12102