当前位置: 安全纵横 > 安全公告

一周安全动态(2013年3月07日-2013年3月14日)

来源:安恒信息 日期:2013-03

2013年3月第二周(3.07-3.14)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级。

 

 

 

1.安全新闻

1.1 黑客入侵《梦幻西游》3月获利1348万 或被判10年

据《新京报》报道涉嫌利用一款网络游戏的漏洞,在三个月内刷取大量虚拟物品后出售,换得人民币1348万元。前日,陈维等八人在北京市海淀区法院受审。这也是近年来最大一起利用外挂程序刷取游戏币案。检方认为,被告人的行为构成破坏计算机信息系统罪,建议对主犯陈维判处有期徒刑10年至13年,对其他人判刑1年至7年不等。

网络游戏出现异常

2011年四五月份,某知名门户网站一款叫《梦幻西游》的网络游戏推出“考古鉴赏”活动。活动期间,玩家可在游戏中考古商人处花5万两梦幻币(即游戏币)购买一把“考古铁铲”,进而可在有标志的地方考古挖掘,以获得古董、“8888的经验值”和“8888两梦幻币”等三种不同商品。按当时的游戏规则,“考古铁铲”是一次性使用,使用后游戏服务端会将铁铲自动删除。

公诉人介绍,游戏商希望通过这次活动刺激玩家购买游戏币,投放到游戏中的游戏币和铁铲本应是一定量的。结果活动过了三个月后游戏商发现,铁铲却越来越多,挖出来的游戏币也越来越多,显然与预期不符,2011年8月17日,该门户网站报案。

警方调查发现,该款游戏的异常账号全都出现在湖北武汉,而且在淘宝网上一个店家所售金币、时间、地点都能与上述IP地址对应上,于是锁定淘宝店家———被告人陈维,并通过他的银行转账记录等发现了其他同案人。

编写外挂入侵网游

据检方指控,2011年5月,陈维发现该网络游戏程序存在技术漏洞,后其自行编写外挂,利用上述漏洞修改涉案网络游戏服务器中存储、处理、传输的数据,使其能在游戏中以低价值道具“佛手”替代高价值道具“考古铁铲”进行消耗,大量获取由“考古铁铲”而衍生的虚拟物品。

所谓外挂,就是通过修改游戏客户端向服务器发送的数据包,在本案中就是替换掉原本要删除的已经被用过一次的“考古铁铲”的编码,将其换成比较便宜的“佛手”编码,从而使得服务器不能正常删除铁铲,而是删除了佛手。

获得暴利买车买房

2011年5月至8月间,陈伟提供上述外挂程序,并组织被告人苏虎、陈钢、丁剑、曹巍、邱开鹏等人,刷取大量游戏内的虚拟物品,并将刷取的虚拟物品通过互联网销售,违法所得共计人民币约1348万元。

“一开始肯定是想赚钱的,但没想过能赚那么多。”陈维供述,他搞定外挂程序后,就在武汉某写字楼内租了间三居室,找来自己的小学、中学、中专的同学和朋友等,组成了外挂工作室。证据显示,几名被告人通过600多个账户不停地刷取游戏币,之后再通过陈维的淘宝账户卖给有需要的玩家,进而转换成人民币。

根据几名被告人之间的协议,开发了外挂程序的陈维拿走四成,其他五个人分六成,直至游戏商发现了这一漏洞并报警。证据显示,分到钱后他们大部分人都买房、买车。

1.2 黑客入侵修改汇款银行 台湾企业受害

据台湾“中央社”报道,台当局“刑事局”昨(10)日说,台湾多家公司报案,指遭黑客入侵更改汇款银行和账号,进而损失大笔货款。

台“刑事局国际刑警科”表示,去年7月接获民众报案,指公司计算机遭黑客入侵,黑客进行破解后,取得公司电子邮件账号和密码,再进行篡改、变更公司汇款银行和账号,已有多家公司受害。

警方说,台湾北部一间从事汽车零件出口贸易公司,收取汇款方式,是由美国客户以电汇拨款至该公司在台账户,并透过电邮进行联系,确认收取帐款事宜。

今年2月底,该公司收到美国客户的电邮通知,即将汇出货款50万美元,数日后,受害公司发现客户把货款改汇至另一个英国银行账户。

警方说,贸易公司向美国客户查证,美国客户称是依照台湾公司传来的电邮指示,受害公司发现双方往来的电邮疑似遭黑客入侵。

黑客入侵电邮后,建构类似台湾受害公司的账号与美国客户进行联络,导致美国客户陷入错误,把货款改汇至嫌疑人指定英国银行账户,因而遭受巨额金钱损失。

1.3 业界呼吁整治流氓软件:“隐性侵权”严重

“3·15”来临之际,有关网络隐私的话题再次成为关注的焦点。近日,网民隐私保护和软件良性发展研讨会在京举行,深度分析了网络犯罪行为。同时,业界也开始呼吁有关部门应重拳整顿流氓软件。

业界声讨恶意软件

近日,由中国政法大学传播法研究中心主办的“‘3·15’剑指流氓软件 网民隐私保护和软件良性发展研讨会”在京举行。该纯学术性的研讨会重点探讨了流氓软件的种种恶行,特别是给广大消费者带来的烦恼和伤害。

针对类似这些网络侵权违法现象,《消费者权益保护法》起草人、中国消费者权益保护法学会会长何山在会上指出,在移动互联网迅速发展的大环境下, 消费者信息权益保护出现了新问题,也被提到立法的议事日程上来。一些人搞软件,通过这些软件把公民信息收取走后,社会上一些违反法律不遵守法律的人和不法 分子利用这些信息滥发垃圾短信,侵害消费者的权益。

中国人民大学民商事法律科学研究中心网络法研究所副所长朱巍则认为,近年来,随着网络的发展,网上各种侵犯隐私的行为,尤其侵犯个人信息的不法行为逐渐增多,隐私权作为保障网民信息安全的特殊权利应该独立,以更好地保障消费者的信息安全。

此次研讨会还以南京法院受理的一件“隐形”侵害隐私权的案例来说明互联网上一种隐形的侵权行为更值得关注。朱巍认为,被告网络公司通过其浏览器非法监控、搜集和利用了用户网络行为信息,实质上侵害了原告的隐私权,这涉及到的是不正当竞争和消费者权益保护问题。

“隐性侵权”十分严重

近年来,随着网络的发展,网上各种侵犯隐私的行为,尤其是侵犯个人信息的不法行为逐渐增多,隐私权作为保障网民信息安全的特殊权利应该独立。我国在制定《侵权责任法》的时候,在该法第二条将隐私权以列举的方式规定在其中。

目前,网络侵害隐私权的主要类型有两种,一是以不法手段窃取用户注册信息、身份信息和认证信息,或者利用用户隐私信息实现不法商业利益的行为, 这是“显性”的隐私侵权。另外一种侵权是“隐性”的,在用户不知情情况下盗取他们的网络行为信息,某些不法商家利用这些用户的隐私电子信息达到不正当竞 争、侵害用户权益或监控用户行为的非法目的。前者涉及到民事侵权领域,后者则更多涉及到不正当竞争和消费者权益保护领域。

朱巍说,这种“隐性”侵害隐私权的侵权行为实际上对社会造成的危害更大,一方面侵害了网民在网络上的行为隐私,导致上网行为,包括私密电子邮 件、聊天记录和网购信息被非法搜集,另一方面也侵害了我国互联网良性竞争的发展,可能会导致我国互联网产业的倒退。在隐性侵权中,技术的隐蔽性掩盖了损害 的显露,所以,为此维权的人比较少。

相关法律亟待完善

北京市潮阳律师事务所律师胡钢在大会上表示,流氓软件的叫法始于2006年,互联网协会在2006年年底推出了《抵制恶意软件自律公约》。“流氓软件”可能也许比较容易为大众所接受,但更专业的词是“恶意软件”,这是结合国际国内各方面的情况制定的。

该公约将“恶意软件”定义为在未明确提示用户或未经用户许可的情况下,在用户计算机或其他终端上安装运行,侵害用户合法权益的软件,但不包含我国法律法规规定的计算机病毒。这里的“用户权益”包括用户的知情权、选择权、公平交易权等等。

前不久,国务院刚发布了有关物联网的指导意见,即《国务院关于推进物联网有序健康发展的指导意见》。这个指导意见里面特别提到了隐私问题,要求 抓紧推动制定完善信息安全与隐私保护等方面的法律法规。随着技术的发展,每个公民的隐私越来越透明也越来越脆弱,越来越容易被人商业化应用乃至被非法侵 害。

“云计算可以做到中央部署,任意对象、时空实施。这使得网民的个人数据或隐私变得极为脆弱,个人维权的时候取证又面临巨大困难。公民维权非常危 险,今年1月,国家工商总局对相关网络公司实施的不正当竞争行为予以行政告诫,表明我国行政机关已经采取步骤来落实国家相关法律,保护网络的良好秩序。” 胡钢说道。

1.4 Pwn2Own 2013黑客大赛:Win8+IE10已沦陷

当看到Pwn2Own 2013黑客大赛上令人眼馋的巨额奖金,你就应该能想到,那些浏览器什么的,坚持不了多久的,肯定会有一大批会在大赛第一天就被黑客攻破。果不其然,目前,Firefox、IE10、Java和Chrome都已经被攻克。

法国安全公司VUPEN宣布,他们已经利用漏洞成功黑掉了Windows 8平台上的IE10、Windows 7平台上的Firefox 19、Java。“我们利用Surface Pro上的两个IE10 0day漏洞绕过了沙盒防护,攻破了Windows 8。”

VUPEN表示,所有他们在Pwn2Own大赛上使用的0day漏洞和技术都已经报告给了受影响的软件供应商,也就是微软、Mozilla和甲骨文,以方便他们发布相关补丁保护用户免受类似的攻击。

此外,MWR实验室的专家们完全绕过了最新稳定版Chrome的沙盒防护,成功拿下Chrome。“通过访问一个恶意网页,它的一个漏洞允许我们在沙盒渲染进程中获取代码执行权。”

Accuvant实验室的Josh Drake和来自Contextis的James Forshaw也都攻克了Java。

1.5 黑帽欧洲2013会议:10个有趣的安全简报

还有什么比一群黑客在本周蹲在阿姆斯特丹召开 黑帽欧洲 2013会议更让人关注的呢?我们不敢猜测,但正面的消息是他们为我们准备了一份礼物 —— 关于 10 个有趣的安全简报。与会者将讨论如何 Android 和 Windows 8 的漏洞,并提供与会者关于如何保护这些和其他平台的建议。下面是这 12 个简报的内容:

*超越犯罪攻击:时间攻击:一对Imperva理工学院的研究人员将引入定时信息泄漏(时间)攻击,简化了犯罪攻击,可以用来虐待SSL/TLS数据压缩HTTP会话劫持。利用HTTP请求,时间攻击追求HTTP响应。别担心,这些家伙还在讨论时间攻击的缓解措施。
[ QUIZ: Black Hat's most notorious incidents ]

*保护医疗设备:来自 InGuardians 的杰伊·拉德克利夫的主题是解决医疗设备安全的粘性和恐怖。他说,这个话题是很混乱的,主要是理清思路。这样的设备分为三类,并从不同安全角度上进行讨论。

*云存储服务与您的防火墙——没有比赛:CRSgroup的杰克·威廉姆斯将揭示如何存储同步服务,如Dropbox,通常安装在流氓时尚企业网络上,创建一个数据丢失保护的挑战以及对恶意软件的方式渗透到组织。

*移动设备保护器有多安全?:研究者从Vulnex分享发现来自智能手机、平板电脑和笔记本电脑的一些威胁安装的程序,如 GPS 跟踪器和远程数据删除。

*一个公路交通噩梦的考虑:类似谷歌导航和Waze工具可以帮助司机在驾车中避免迷路,但如果黑客侵入这些系统并决定每个人都头朝同一个方向,又该如何?汉堡科技大学博士生Jeske Tobias将为你解释这个过程。

*连电器都不安全:设备安全: 你的网络、电子邮件可能会有一些硬件或者软件的防火墙,但是电器如何呢?来自 NCC 集团的本?威廉姆斯为你讲解。

*视频会议系统: 安全顾问莫里茨Jodeit 演示了宝利通视频会议系统的 H.323 中半双工的高端通过漏洞——以及如何使用 rootkit 进行监测。

*一个真的蜜罐: 诺基亚研究员将描述一个积极的概念,一个蜜罐不只是诱惑和陷阱入侵者,还提供持续攻击从而控制系统。

*应用程序沙箱安全:研究人员在这个简报将解释缺乏沙盒标准可能使这些所谓的安全系统不太安全。

*Dock 怎么了?:NCC集团的安迪·戴维斯说,灵活性使得笔记本电脑变得脆弱性可攻击, 他支持通过检测受损 Dock 设备来降低风险。

 

2 本周关注病毒

2.1 Worm.Win32.FakeFolder.cc(蠕虫病毒)

警惕程度 ★★★
该病毒运行后为躲避杀毒软件查杀,会试图结束当前运行的安全软件进程,通过创建注册表劫持项阻止杀毒软件再次启动,甚至还会删除安全软件图标并使其隐藏。病毒作者为避免病毒被手工删除,会破坏操作系统的安全模式,并让用户无法打开注册表编辑器。最终,病毒会在桌面上创建多个钓鱼网站的快捷方式,使用户进入黑客指定网站,为其带来巨大经济利益。

2.2 Worm.Win32.FakeFolder.cb(蠕虫病毒)

警惕程度 ★★★

该病毒运行后为躲避杀毒软件查杀,会试图结束当前运行的安全软件进程,通过创建注册表劫持项阻止杀毒软件再次启动,甚至还会删除安全软件图标并使其隐藏。病毒作者为避免病毒被手工删除,会破坏操作系统的安全模式,并让用户无法打开注册表编辑器。最终,病毒会在桌面上创建多个钓鱼网站的快捷方式,使用户进入黑客指定网站,为其带来巨大经济利益。

2.3 Trojan.Win32.KeyLogger.eg(木马病毒)

警惕程度 ★★★★

病毒运行后,会借助记事本进程,记录用户电脑所有的键盘输入信息,并发到黑客指定的邮箱和网站,使用户信息丢失。

 

3 安全漏洞公告

3.1 TP-Link HTTP/TFTP后门漏洞

TP-Link HTTP/TFTP后门漏洞

发布时间:

2013-03-13

漏洞号:

http://sekurak.pl/tp-link-httptftp-backdoor/

漏洞描述:

TP-Link是知名的网络与通信设备供应商。
TP-Link的某些无线路由器设备实现上存在后门,通过发送特定的请求可以完全控制设备。
向设备发送请求“
http://192.168.0.1/userRpmNatDebugRpm26525557/start_art.html ”(这里假设路由器IP为192.168.0.1),路由器会从发起请求的机器下载一个nart.out文件,并以root权限执行该文件。

安全建议:

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.tp-link.com/products/

3.2 Linux Kernel 本地权限提升漏洞

Linux Kernel 本地权限提升漏洞

发布时间:

2013-03-12

漏洞号:

BUGTRAQ ID: 58383
CVE(CAN) ID: CVE-2013-1827

漏洞描述:

Linux Kernel是Linux操作系统的内核。
Linux kernel的数据包拥塞控制协议存在空指针引用漏洞,通过ccid_hc_rx_getsockopt & ccid_hc_tx_getsockopt例程访问dccp_sock对象的套接字选项时会触发此漏洞,授权用户/程序会利用此漏洞使系统崩溃,造成拒绝服务。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:https://git.kernel.org/linus/276bdb82dedb290511467a5a4fdbe9f0b52dce6f

3.3 Oracle Java SE 不明细节远程代码执行漏洞

Oracle Java SE 不明细节远程代码执行漏洞

发布时间:

2013-03-08

漏洞号:

BUGTRAQ ID: 58397

漏洞描述:

Oracle Java Runtime Environment (JRE)是一款为JAVA应用程序提供可靠运行环境的解决方案。
Oracle Java SE在实现上存在不明细节远程代码执行漏洞,成功利用后可允许攻击者在应用的上下文中执行任意代码。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www.oracle.com/technetwork/topics/security/

3.4 Zend Framework多个远程拒绝服务漏洞

Zend Framework多个远程拒绝服务漏洞

发布时间:

2013-03-08

漏洞号:

BUGTRAQ ID: 57977
CVE(CAN) ID: CVE-2012-6532

漏洞描述:

Zend Framework (ZF) 是一个开放源代码的 PHP5 开发框架,可用于来开发 web 程序和服务。
Zend Framework 1.11.13、1.12.0之前版本内的(1) Zend_Dom, (2) Zend_Feed, (3) Zend_Soap, (4) Zend_XmlRpc,允许远程攻击者通过XML DOCTYPE声明中XML实体定义内的递归索引或循环索引,造成拒绝服务。

安全建议:

Zend已经为此发布了一个安全公告(ZF2012-02)以及相应补丁:
ZF2012-02:ZF2012-02: Denial of Service vector via XEE injection
链接:
http://framework.zend.com/security/advisory/ZF2012-02

3.5 PHPCMS v9 文件后缀提取错误代码上传漏洞

PHPCMS v9 文件后缀提取错误代码上传漏洞

发布时间:

2013-03-08

漏洞号:

 

漏洞描述:

PHPCMS网站管理系统是国内主流CMS系统之一。PHPCMS V9版于2010年推出,是应用较为广泛的建站工具。第三方数据显示,目前使用PHPCMS V9搭建的网站数量多达数十万个,包括联合国儿童基金会等机构网站,以及大批企业网站均使用PHPCMS V9搭建和维护。
PHPCMS v9在实现上存在安全漏洞,对上传的文件后缀进行安全限制时,考虑不全,导致在Web服务器为Apache的情况下绕过安全限制。主要代码在文件\phpcms\libs\functions\global.func.php中的fileext函数进行文件后缀提取。攻击者可以通过该漏洞直接上传网站木马控制服务器,最终导致网站“脱库”、“挂马”等严重后果。

安全建议:

临时解决方法:
如果您不能立刻安装补丁或者升级,NSFOCUS建议您采取以下措施以降低威胁:
*可以暂时将文件
phpcms\modules\attachment\attachments.php
的第104行改为:
if(is_image($_GET['file'])== false || strpos(strtolower($_GET['file']),'.php')!==false) exit();

厂商补丁:
PHPCMS
------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.phpcms.cn/