当前位置: 安全纵横 > 安全公告

一周安全动态(2014年03月06日-2014年03月13日)

来源:安恒信息 日期:2014-03

2014年03月第二周(03.06-03.13)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级。

 

 

 

1.安全新闻

1.1 斯诺登最新爆料:QQ、飞信也被美国国家安全局监控

爱德华·斯诺登(Edward Snowden)在西南偏西(SXSW)大会上接受采访后,又泄露出了一批有关于美国国家安全局(NSA)监听计划的最新文档。而在这些文档中的一页中可以看到,腾讯的聊天软件QQ和中国移动的移动即时通讯飞信赫然在NSA的监视范围之内。


斯诺登最新爆料:QQ、飞信也被美国国家安全局监控

该文档显示,NSA自2010年起开始了一项名为TURBINE的大规模监听计划,其最主要的特色在于能够有选择性的进行监听,帮助NSA自动整合被侵入对 象的特征,减少进一步监听的范围。该计划中一名为QUANTUMHAND的部分详细介绍了一种通过中间人攻击来伪造Facebook网站以入侵用户计算机 的方法。

在成功入侵到设备之后,TURBINE会从用户设备中搜集各种信息,包括设 备的硬件ID,蓝牙信息,Google、苹果广告联盟为精准广告而正常搜集的用户行为信息(这些数据是广告联盟合法搜集,但被NSA违法盗用),以及一些 常用软件的本地用户文件,这其中就包括QQ和飞信。搜集完成之后,TURBINE会将这些信息拼凑在一起,形成一个相对比较完整的个人特征描述,以供参考 是否继续进行监听或是将对象排除在监听范围之外。

据The Intercept网站介绍,该计划实施以来已入侵全球范围内对85000至100000台电脑。 不过,Facebook发言人对该文档的内容表示坚决否认,“没有任何证据证明所报道的行为确实存在。文档中针对Facebook的攻击方式,对已经在去 年执行全站HTTPS协议的Facebook是无效的。”,Facebook发言人杰伊·南卡罗尔(Jay Nancarrow)表示。

1.2 曝NSA利用虚假Facebook服务器进行恶意软件植入活动

日前,外媒又从斯诺登提供的机密文件中解读出了新的信息--NSA利用自动化系统和虚假网站进行大规模的恶意软件安装行动。该份文件详细说明了NSA是如何利用虚假Facebook服务器植入恶意软件的过程。 据悉,NSA在感染了恶意软件的电脑上录制视频和音频,然后再将这些数据传输到NSA的服务器上。

另外,NSA还能对该电脑执行截获文件、网站重定向等远程攻击。

文件显示,该种代号为"Turbine"的大规模远程攻击行动始于2009年。Turbine项目企图将计算机网络开发(CNE)和计算机网络攻击(CNA)植入到上百万台电脑中。Firstlook称,NSA已经利用该种方式感染了8到10万台的设备。

除此之外,NSA还将系统管理员作为了攻击系统的跳板之一,他们利用跟这些管理员之间达成的协议以此来获得更加便捷的攻击路径。

对此,Firstlook联系到了Facebook的发言人Jay Nancarrow。Nancarrow。Nancarrow表示,文件中涉及到的问题并没有得到证实,不过他承认,任何一个只运行HTTP的网站都有可能成为NSA攻击的对象。

1.3 黑客利用162000家WordPress网站进行DDoS放大攻击

安全公司Sucuri在周一表示,由于WordPress的漏洞,黑客利用了超过162000家合法网站,向目标网站进行了DDoS“放大攻击”。目前尚不知本轮网络攻击受害者的确切身份,不过Sucuri透露,这是一家“受欢迎的WordPress网站”,并且宕机了好几个小时。

Sucuri首席技术官Daniel Cid在一篇博客文章中表示,“这是基于HTTP(第7层)的分布式洪水攻击,其向服务器发送了每秒高达数百次的请求。

所有请求都是随机值(比如?4137049=643182?),因而绕过了缓存,并且每回都迫使页面重新加载,于是目标服务器很快就挂了”。

尽管与上月针对Namecheap和CloudFlare的DDoS攻击相比(100gbps到400gbps),这样的数字有些微不足道,但是本次攻击依然值得注意——因为它只来源于一个人!

攻击者利用成千上万的正规流行站点进行DDoS攻击,而他自己却被很好地隐藏在了暗处。

1.4 Mt Gox曾每秒遭遇15万次攻击 传仍余10万比特币

比特币交易所MT.Gox在破产前的一个月面临着大规模的黑客进攻,每天承受15万次的分布式拒绝服务攻击(DDoS),这一攻击规模蔚为壮观。同时,就在今天MT.Gox CEO马克·卡普斯的个人博客MagicalTux.net显然被黑客骇入。如果泄露的信息是准确的,这家交易所拥有951116.21905382比特币。

位于东京的Mt Gox比特币交易所已经在二月申请破产保护,当时其宣称有85万比特币(价值约5.49亿美元)已经失踪。MT.Gox的律师表示,属于该公司客户的75万比特币不翼而飞,该公司所拥有的10万比特币也丢失了。

虽然破产申请解除了6360万美元债务,但还有多少比特币留在交易所,有多少可以被追回还是个未知数。但如果消息属实,则还有10万个比特币理论上应还给用户。

在DDoS攻击下,黑客劫持多台计算机发送大量的数据到目标削弱其电脑系统。对MT.Gox的攻击持续了好几天,许多比特币被盗。MT.Gox事件之后,比特币价格下降到目前的610美元水平。

日本官员表示,他们正在密切关注MT.Gox的破产程序,因为他们试图获取交易所崩盘的相关信息。

1.5 美将建电子系统监控政府雇员 防斯诺登事件重演

据美联社报道,美国情报部门官员正在计划建立一个电子监控系统,该系统将允许情报机构在获得秘密许可后,接入美国政府和金融机构以及其它数据库,并对多达500万名美国联邦雇员的行为进行监控。据知情官员消息,以及美联社获得的文件显示,该系统将被用于识别流氓代理,腐败官员以及泄密者。

据报道,美国情报官员此前一直希望能够拥有一个计算机化的系统,帮助他们监控雇员,以防止类似于前美国国家安全局分析员爱德华?斯诺登的泄密事件重演。

而美国关注隐私权的活动人士以及政府雇员工会的官员则对这一系统表示了关切,担心这一系统可能侵犯个人隐私。

但这一系统的支持者则称,系统有相关保障隐私的措施。

 

2 本周关注病毒

2.1 Trojan.Win32.AvKiller.ow(木马病毒)

警惕程度 ★★

该病毒试图关闭多种杀毒软件,访问黑客指定的网站,下载木马病毒到本地执行。并通过U盘进行再次传播。

2.2 Worm.Win32.Viking.pl(蠕虫病毒)

警惕程度 ★★

该病毒同时具有文件型病毒、蠕虫病毒、病毒下载器等类病毒的特点,进入用户的电脑之后,它会从网上疯狂下载多个木马到中毒电脑中,窃取用户的网络游戏密码,严重时造成系统完全崩溃。

2.3 Trojan.Win32.Generic.12EB8C1E:(‘Generic’木马病毒)

警惕程度 ★★★★

该病毒运行后自我复制至系统文件夹,并创建服务关联复制后的病毒。一旦服务被启动,将释放一个恶意DLL,当该DLL被加载后,病毒将启动CMD进行自我删除。用户电脑一旦中毒,将面临隐私信息泄露、网银账密被盗等风险。

 

3 安全漏洞公告

3.1 Microsoft Windows内核'Win32k.sys'本地权限提升漏洞

Microsoft Windows内核'Win32k.sys'本地权限提升漏洞

发布时间:

2014-03-11

漏洞编号:

BUGTRAQ ID: 66003
CVE(CAN) ID: CVE-2014-0300

漏洞描述:

Windows是一款由美国微软公司开发的窗口化操作系统。
Windows内核模式驱动程序没有正确处理内存对象,在实现上存在权限提升漏洞。恶意利用后可导致权限提升并读取任意大小的内核内存。

安全建议:

Microsoft已经为此发布了一个安全公告(MS14-015)以及相应补丁:
MS14-015:Vulnerabilities in Windows Kernel-Mode Driver Could Allow Elevation of
链接:
http://technet.microsoft.com/security/bulletin/MS14-015

3.2 Microsoft DirectShow 远程代码执行漏洞

Microsoft DirectShow 远程代码执行漏洞

发布时间:

2014-03-11

漏洞编号:

BUGTRAQ ID: 66045
CVE(CAN) ID: CVE-2014-0301

漏洞描述:

DirectShow是微软公司在ActiveMovie和Video for Windows的基础上推出的新一代基于COM(Component Object Model)的流媒体处理开发包,与DirectX开发包一起发布。
Microsoft DirectShow在解析JPEG图形时存在安全漏洞,可被恶意利用造成内存破坏。

安全建议:

Microsoft已经为此发布了一个安全公告(MS14-013)以及相应补丁:
MS14-013:Vulnerability in Microsoft DirectShow Could Allow Remote Code Execution (2929961)
链接:
http://technet.microsoft.com/security/bulletin/MS14-013

3.3 PHP Fileinfo组件越界内存破坏漏洞

PHP Fileinfo组件越界内存破坏漏洞

发布时间:

2014-03-10

漏洞编号:

BUGTRAQ ID: 66002
CVE(CAN) ID: CVE-2014-2270

漏洞描述:

PHP是一种HTML内嵌式的语言。
PHP的file程序在解析可移植执行体(PE)格式文件时在实现上存在内存破坏漏洞,成功利用该漏洞后可使远程攻击者执行任意代码或造成拒绝服务。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www.php.net/downloads.php
http://bugs.gw.com/view.php?id=313
https://github.com/glensc/file/commit/447558595a3650db2886cd2f416ad0beba965801

3.4 Apache Struts ClassLoader Manipulation安全限制绕过

Apache Struts ClassLoader Manipulation安全限制绕过

发布时间:

2014-03-10

漏洞编号:

BUGTRAQ ID: 65999
CVE(CAN) ID: CVE-2014-0094

漏洞描述:

Struts2 是第二代基于Model-View-Controller (MVC)模型的java企业级web应用框架。
Apache Struts versions 2.0.0-2.3.16版本的默认上传机制是基于Commons FileUpload 1.3版本的,该版本在实现上存在拒绝服务漏洞,附加的ParametersInterceptor允许访问 'class' 参数(该参数直接映射到getClass()方法),并允许控制ClassLoader。

安全建议:

Apache Group已经为此发布了一个安全公告(S2-020)以及相应补丁:
S2-020:S2-020
链接:
https://struts.apache.org/release/2.3.x/docs/s2-020.html
补丁下载:
http://struts.apache.org/download.cgi#struts23161

3.5 Wireshark多个漏洞

Wireshark多个漏洞

发布时间:

2014-03-10

漏洞编号:

CVE(CAN) ID:
CVE-2014-2281,CVE-2014-2282,CVE-2014-2283,CVE-2014-2299

漏洞描述:

Wireshark是最流行的网络协议解析器。
Wireshark在NFS解析器、M3UA解析器、RLC解析器、MPEG文件解析器在实现上存在错误,可被恶意利用造成拒绝服务,也有可能执行任意代码。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www.wireshark.org
http://www.wireshark.org/docs/relnotes/wireshark-1.8.13.html
http://www.wireshark.org/docs/relnotes/wireshark-1.10.6.html
https://www.wireshark.org/security/wnpa-sec-2014-01.html
https://www.wireshark.org/security/wnpa-sec-2014-02.html
https://www.wireshark.org/security/wnpa-sec-2014-03.html
https://www.wireshark.org/security/wnpa-sec-2014-04.html