当前位置: 安全纵横 > 安全公告

一周安全动态(2013年11月28日-2013年12月05日)

来源:安恒信息 日期:2013-12

2013年12月第一周(11.28-12.05)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级。

 

 

 

1.安全新闻

1.1 一种利用听不见的声音通信的恶意程序

德国计算机科学家研发出能利用听不见的音频信号通信的恶意程序原型。利用高频且人耳无法感知的声音,恶意程序将能在感染机器不联网的情况下秘密传播按键和其它敏感数据。

概念验证软件利用了标准计算机配备的扬声器和麦克风,通过高频通信,研究人员设法将密码和其它数据传输到19.7米外。通过将控制的多台设备组建一个声学网状网,数据传输距离还可以更远。

论文发表在《Journal of Communications》上。研究人员开发了多种方法在两台联想 T400笔记本电脑之间利用内置扬声器和麦克风传输数据。而对于防御方法,在论文中只提到关闭音频设备或者利用系统配置关闭高频声音接受。

此前,一位安全研究人员称他的笔记本电脑感染了一种神秘的恶意程序,能利用扬声器和麦克风在不联网设备之间互相通信。

1.2 以色列黑客学校不“演戏”

以色列成立一所黑客学校,推崇“真刀真枪”训练,为“未来战场”未雨绸缪。以色列政府和军方非常重视网络战,时常就黑客对以色列的威胁发出警告。

最大“标靶”

这所学校名为“网络健身房”,位于以色列北部奥罗特·拉宾电站附近,由以色列电力公司创办,上月投入使用,为其他企业培训网络安全人员。

法新社2日援引黑客学校主管奥菲尔·哈松的话报道:“我们相信,以色列是遭受黑客攻击最多的国家,而我们(以色列电力公司)是遭受黑客攻击最多的以色列民营企业,因而我们具有独一无二的优势,为全球各地企业培训(网络安全人员)。”

以色列电力公司首席执行官埃利·格利克曼说,这家企业电脑网络每小时遭到大约1万次黑客攻击。“网络健身房”的教员都是久经沙场的老将。“我们都是来自军队、安全部门和大学的专业人士。”化名“先生”的教员说。

这所学校现阶段主要面向以色列企业招生,今后打算为美国、欧洲和亚洲企业提供培训。

推崇“真打”

这所学校的宗旨是尽可能贴近“实战”,把学员置于最大压力之下。

“这是模拟真实网络攻击的训练场。”“先生”教员一边说,一边发动网络攻击。房间墙上挂着许多显示器,一行行代码滚动,显示网络攻击正在进行。

邻近建筑物内,学员们紧张迎战。他们多数来自能源以及其他基础设施部门。代号“A”的教员在一旁观察学员们的表现。

“每一次网络攻击都不同,”这名教员说,“防守方不可能作弊。我们不预先设定情景,黑客们在隔壁实时发动攻击。”如果黑客获胜,后果将即时显现,比如房间断电、电灯熄灭、电脑系统瘫痪。“一次攻击可能导致设备瘫痪或以色列全国断电,”学校主管哈松说,“在网络空间,如果你无法确保系统安全,将发生实际损害。”

“未来战场”

以色列政府和军方非常重视网络战,时常就黑客对以色列的威胁发出警告。“我认为,未来战场在网络空间。”以色列电力公司副总裁雅科夫·哈伊姆说。

以色列武装部队参谋长班尼·甘茨10月在一次安全会议上警告,未来战争中,以色列可能面对来自现实和网络空间的同时攻击。

今年6月,以色列总理本雅明·内塔尼亚胡指认伊朗及其盟友黎巴嫩真主党对以色列发动网络黑客攻击。

1.3 美国采集全球手机通话位置 奥巴马被禁用iPhone

美国情报机构的大规模监控行为4日又有新内容曝光。美国总统奥巴马当天则承认他本人被禁止使用苹果手机iPhone。

美国情报部门当天被曝每天收集全球高达近50亿份手机通话的位置记录,到了疯狂的程度,事实上显示美国谍报单位“可以追踪世界上几乎任何一部手机的位置”。

美国《华盛顿邮报》当天所披露的内容仍来自美国“监控门”事件揭秘者斯诺登提供的机密文件。这些位置记录已经汇聚成庞大数据库,包含数以百万计手机的位置信息。

报道指,美国国家安全局(NSA)的手机监控目标以海外为主,不监控美国公民的手机位置。然而,具体造作中,NSA也承认会“偶然”收集到来自美国的手机相关信息。

获得NSA授权发表言论的美国匿名情报官员承认,美国情报部门获取了海量的手机位置数据,这些数据通常还包括了每年数以万计美国人在海外使用手机的位置记录。

《华盛顿邮报》说,“NSA没有任何理由怀疑绝大多数的手机用户与国家安全事务相关联”。NSA局长亚历山大上将在10月的国会作证时承认手机位置数据“从未用于情报分析”。

就在《华盛顿邮报》披露上述机密文件的同时,奥巴马4日承认,出于“安全考虑”,他“不被准许”使用苹果手机。

奥巴马表示虽然他不能使用iPhone,但他的两个女儿可以使用。奥巴马使用的是特制的黑莓手机。美国官方认为黑莓手机的加密功能优异。

美国特勤局方面没有解释奥巴马不能使用iPhone的具体安全考量。白宫方面透露,奥巴马拥有私人邮件地址,仅限于美国政府高级别官员和少数密友知悉。

在美国严密的信息安保措施下,奥巴马常私下抱怨他“难以与普通民众交流”,以及“难以从外界获取信息”。而奥巴马的助理称,总统可以通过他的黑莓手机突破一些限制。

此前,美国情报部门被指监控德国总理默克尔的手机,引发德美两国关系紧张。《华尔街日报》称,默克尔过去使用的是诺基亚手机,但后来也换成了黑莓手机。

1.4 美媒:200万社交媒体账号密码被黑客盗取

据美国媒体报道,黑客盗取了美国主要社交网站约200万用户的登录信息,其中包括脸书、推特、谷歌以及雅虎网站。

美国媒体报道称,网络安全公司Trustwave研究表明,此次大规模账号被黑客窃取的原因来自键盘登录软件,该款恶意软件被广泛安装于世界各地的电脑中,且目前数量不明。该软件可以抓取用户一个月内主要登录网站的信息并将这些用户名及密码信息发送至黑客控制的服务器上。

11月24日,Trustwave公司研究者通过跟踪服务器发现该服务器位于荷兰。服务器上有9.3万个被破解的网站登录凭证,其中包括:31.8万个Facebook账号,7万个Gmail、Google+以及Youtube账号,6万个雅虎账号,2.2万个Twitter账号,9000个Odnoklassniki 账号(一家俄罗斯社交媒体网站)、8000个LinkedIn账号以及8000个ADP账号。

Trustwave 将这一信息告知了这些公司,该公司其中一位安全研究负责人说,目前还没有证据表明黑客已经登录这些账号,但是存在这种可能。

Facebook以及Twitter向美国有线电视新闻网记者表示,他们已经重设了这些被攻击用户的密码,其它一些网站目前还没有回应。据Trustwave公司研究者,为何大量电脑被恶意软件入侵的原因目前仍未可知。

1.5 山西煤炭银行官网遭黑客攻击


金犇投资集团官网截图

号称集合了山西等地15家大型煤企联合成立的“中国煤炭银行”,其“官方网站”以及自称为煤炭银行牵头企业的金犇投资集团企业网站,今日同时被黑。黑客“警告金犇投资集团”称,“带上煤老板滚回煤窑去,有多远滚多远”。

黑客留言指责金犇投资集团“你们搞的煤炭银行,得罪了更多人!”,并称“8.16,你们这群王八蛋狂拉权重股,差点打爆我们数百亿空头仓位!”。

昨日A股市场煤炭板块、有色板块大涨,截至收盘,煤炭板块上涨1.59%,有色板块上涨3.26%。黑客称“今天你们又勾结机构狂拉煤炭有色,期指上又害我们金融集团做空亏了几亿!”

11月上旬,有媒体报道,在金犇投资集团的牵线搭桥下,山西首家集合各大煤炭企业的特大型民营银行即将成立。金犇投资集团战略策划部总监周勇透露,此次煤炭银行的设立,汇集了山西省最大的煤炭企业,包括山煤国际[-1.14% 资金 研报]、晋煤集团、阳煤集团等特大型煤炭企业在内,目前多家大型煤企和金犇投资集团达成了初步战略合作协议,煤炭银行的设立将开启国内民营银行的先河。

但山西阳煤集团、山煤集团、晋煤集团、焦煤集团、同煤集团近日已先后发布澄清公告,称对中国煤炭银行筹建一事不知情,也未参与中国煤炭银行筹建。

据悉,金犇投资集团所用的官方网站域名“www.kvp8.com”,在此前9月14日,四环生物[0.00% 资金 研报]曾发公告指其为假冒其大股东“广州盛景投资有限公司”的官网,出现过大量虚假、伪造的资料和信息。而这些虚假消息曾一定程度上引发四环生物的股价大涨。

紧接着,10日后,金犇投资集团发表声明称,域名的所有权为金犇投资集团所有,原四环生物董事会的澄清公告严重影响本域名的商誉权,责令四环生物董事会删除上述澄清公告并公开道歉。并称,已经通过浙江五联律师事务所发送律师函。

 

2 本周关注病毒

2.1 Trojan.Agent.gcz(木马病毒)

警惕程度 ★★

该病毒通过U盘,局域网,DLL劫持多种常用软件,感染压缩包格式的文件等手段传播;并利用不同手段关闭不同的杀毒软件。病毒具有一个生成器,可以随意定制下载地址和功能。

2.2 Trojan.Win32.Fednu.uqd(木马病毒)

警惕程度 ★★

病毒运行后把感染代码注入到傀儡进程中,随后,病毒会感染非系统目录的全部可执行文件,当用户运行被感染的程序文件后,该病毒就会释放出多个黑客后门程序,实现病毒连接黑客服务器,上传电脑中的各种文件,接受黑客远程控制端发送的指令。

2.3 Trojan.PSW.Win32.QQPass.fnl(‘QQ大盗’木马病毒)

警惕程度 ★★★★

病毒伪装成回收站图标,将自身名称设置为“关于国家开展2013年秋学期在校学生奖助学金评选工作通知表”,引诱用户下载并点击。病毒运行后将查找qq.exe进程,并将之结束。同时弹出病毒伪造的“重新登录”对话框,提示“与服务器连接被中断,为了您的帐号安全,需要您重新输入密码进行身份验证”,欺骗用户输入账号及密码,用户电脑一旦中毒,将面临QQ账号被窃、隐私信息泄露等风险。

 

3 安全漏洞公告

3.1 多个VMware产品本地权限提升漏洞

多个VMware产品本地权限提升漏洞

发布时间:

2013-12-04

漏洞编号:

BUGTRAQ ID: 64075
CVE(CAN) ID: CVE-2013-3519

漏洞描述:

VMWare是一个“虚拟PC”软件,可以在一台机器上同时运行二个或更多Windows、DOS、LINUX系统。
VMware Workstation 9.0.3之前版本, VMware Player 5.0.3之前版本, VMware Fusion 5.0.4之前版本, VMware ESXi 4.0-5.1, VMware ESX 4.0、4.1内的lgtosync.sys,在使用32位的Windows客户端OS后,允许客户端OS用户通过执行特殊内存分配的应用获取客户端OS权限。

安全建议:

VMWare已经为此发布了一个安全公告(VMSA-2013-0014)以及相应补丁:
VMSA-2013-0014:VMware Workstation, Fusion, ESXi and ESX patches address a guest privilege escalation - See more at:
http://www.vmware.com/security/advisories/VMSA-2013-0014.html#sthash.idKAduvQ.dpuf
链接:
http://www.vmware.com/security/advisories/VMSA-2013-0014.html

3.2 PHP scan函数远程拒绝服务漏洞

PHP scan函数远程拒绝服务漏洞

发布时间:

2013-12-02

漏洞编号:

BUGTRAQ ID: 64018
CVE(CAN) ID: CVE-2013-6712

漏洞描述:

PHP是一种HTML内嵌式的语言。
PHP 5.5.6之前版本ext/date/lib/parse_iso_intervals.c内的scan函数没有正确限制创建DateInterval对象,可使远程攻击者通过特制的间隔规范,利用此漏洞可造成拒绝服务(堆溢出)。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www.php.net/downloads.php
http://git.php.net/?p=php-src.git;a=commit;h=12fe4e90be7bfa2a763197079f68f5568a14e071

3.3 Apache Solr XML外部实体注入漏洞

Apache Solr XML外部实体注入漏洞

发布时间:

2013-12-02

漏洞编号:

BUGTRAQ ID: 64009
CVE(CAN) ID: CVE-2013-6408

漏洞描述:

Solr 是一种可供企业使用的、基于Lucene 的搜索服务器,它支持层面搜索、命中醒目显示和多种输出格式。
Apache Solr 3.6.1及其他版本在DocumentAnalysisRequestHandler类的实现上存在安全漏洞,远程攻击者可利用此漏洞非法读取文件,也有可能执行其他XXE攻击。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:https://issues.apache.org/jira/browse/SOLR
https://issues.apache.org/jira/browse/SOLR-4881
https://issues.apache.org/jira/secure/attachment/12585451/SOLR-4881.patch

3.4 phpThumb 'phpThumb.php'任意文件上传漏洞

phpThumb 'phpThumb.php'任意文件上传漏洞

发布时间:

2013-12-05

漏洞编号:

BUGTRAQ ID: 64041

漏洞描述:

PHP Thumb是一个PHP的类用来生成图片的缩略图。
phpThumb 'phpThumb.php'未能正确校验用户提交的文件名扩展,允许远程攻击者利用漏洞提交特殊文件,并以WEB权限执行恶意代码。

安全建议:

目前没有详细解决方案提供:
http://phpthumb.sourceforge.net

3.5 Spring Framework 'JavaScriptUtils.javaScriptEscape()'函数安全绕过漏洞

Spring Framework 'JavaScriptUtils.javaScriptEscape()'函数安全绕过漏洞

发布时间:

2013-12-05

漏洞编号:

BUGTRAQ ID: 64028

漏洞描述:

Spring Framework是一套开源的Java、Java EE应用程序框架。该框架可帮助开发人员构建高质量的应用。
Spring Framework存在安全绕过漏洞。攻击者可以利用漏洞绕过安全限制,执行未授权操作。

安全建议:

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:
http://spring.io/