当前位置: 安全纵横 > 安全公告

一周安全动态(2014年04月03日-2014年04月10日)

来源:安恒信息 日期:2014-04

2014年04月第二周(04.03-04.10)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级。

 

 

 

1.安全新闻

1.1 普通用户如何应对Heartbleed漏洞?

4月9日,一个代号“Heartbleed”(意为“心脏出血”)的重大安全漏洞日前被曝光,它能让攻击者从服务器内存中读取包括用户名、密码和信用卡号等隐私信息在内的数据,目前已经波及大量互联网公司。那么普通用户如何保护自己免受攻击呢?科技博客网站CNET咨询网络安全专家之后,给出了以下操作建议:

1. 不要在受影响的网站上登录帐号——除非你确信该公司已经修补了这一漏洞。如果该公司没有向你通告相关进展,你可以询问他们的客服团队。

一些网站(包括雅虎和OKCupid)受了影响但表示他们已经解决了全部或部分问题,你如果不放心,可以在http://filippo.io/Heartbleed/上查看各个网站安全与否,如果被标为红色就暂时不要登录。

很多人的第一反应是赶快修改密码,但是网络安全专家的建议是等到网站确认修复再说。

2. 一收到网站的安全修补确认,就立即修改银行、电子邮件等敏感帐号的密码。即便你采用了两步认证(即在密码之外多一重验证信息),我们也推荐你修改密码。

3. 不要不好意思联系掌握你的数据的小企业以确保个人信息安全。雅虎和Imgur等知名公司当然知道这个问题,但是一些小企业可能还没发现它,所以你要积极主动地维护个人信息安全。

4. 密切关注未来数日内的财务报告。因为攻击者可以获取服务器内存中的信用卡信息,所以要关注银行报告中的陌生扣款。

但是,即便按照上述方法操作,网页浏览活动也依然存在一定风险。据说Heartbleed甚至能影响追踪网站用户活动的浏览器Cookie,所以只访问不登录也有风险。

雅虎一度受到了影响,但该公司表示雅虎主页、搜索、财经、体育、美食、科技、Flickr和Tumblr等主要产品已经“成功进行了恰当的更正”。不过雅虎 的一位女发言人表示,雅虎依然在努力修复旗下的其他站点。这不是雅虎第一次出现安全问题——今年1月,雅虎曾经由于有人企图攻击第三方数据库而不得不重设部分电子邮件用户的密码。

因为社交新闻Reddit而走红的图片分享网站Imgur表示“出于安全考虑已经作废了Cookie等敏感数据,并且正在小心处理”,而约会网站OKCupid则表示“已经完全解决了问题”。

Heartbleed风波过后,一大问题是互联网公司会否改变它们的安全措施。很多大型互联网公司都已经转向了PFS(完全正向保密)技术——它能让密钥的保存时间变得很短,是未来的一个发展方向。

1.2 详解OpenSSL重大漏洞:谁会受影响?如何解决?

近日有研究人员公布,广为流行的网络加密软件OpenSSL存在名为Heartbleed的重大漏洞,人们的账号密码、信用卡号码等个人信息可能会失窃。 各大主流网站都在加紧解决这一问题。究竟是什么回事呢?普通网民是否会受到影响呢?国外媒体近日就这类疑问一一进行了详解。

何为SSL?

SSL是一流行的加密技术,可保护网络用户在互联网上传输的隐私信息。例如,访问诸如Gmail.com的安全网站时,你会看到URL左侧有一绿色的“锁头”图标,它意指你与该网站的通讯受到加密保护。以下是它在谷歌Chrome浏览器上的模样:

该锁头表明第三方会无法读取你收发的任何信息。SSL具体是通过将你的数据转变成只有接收方才能破译的加密信息来实现这一点。如果有黑客监听你的对话,他将只能够看到随即字符串,而无法看到你的电邮内容、Facebook帖子、信用卡号码等私密信息。

SSL是1994年最先由网景(Netscape)推出,自1990年代以来一直面向各款主流浏览器。近年来,主流的在线服务也都趋向使用该加密技术。目前,谷歌、雅虎和Facebook对于自家的网站和在线服务全都默认使用SSL加密技术。

何为Heartbleed漏洞?

大多数的SSL加密网站都基于名为OpenSSL的开源软件包。周一,研究人员公布该软件存在一个会致使用户通讯内容泄露的严重漏洞。OpenSSL存在这种漏洞已有约两年时间。

具体来说,SSL标准包含heartbeat选项,让SSL连接一端的计算机发出短信息来确认另一台计算机仍处于联网状态并获得回复。研究人员发现,存在发 送伪装的恶意heartbeat信息诱使SSL连接另一端的计算机泄露秘密信息的的可能性。也就是说计算机会被诱使传输服务器内存中的内容。

漏洞影响很大吗?

是的。服务器内存中存储着大量的私密信息。普林斯顿大学计算机科学家艾德·费尔腾(Ed Felten)指出,使用这种技术的攻击者会“通过模式匹配整理那些信息,试图找到密钥、密码以及诸如信用卡号码的个人信息”。

账号密码、信用卡号码失窃的严重性无需赘述,而密钥失窃甚至更加严重。密钥是服务器用以译出它所接受的加密信息的工具。如果攻击者获得服务器的私有密钥,那他就能读取任何发送到服务器的信息。他甚至能够利用密钥冒充服务器,诱使用户泄露他们的账号密码和其它的敏感信息。

谁发现了漏洞?

是Codenomicon和谷歌安全部门(Google Security)的研究人员独立发现的。为了最大限度地降低公布漏洞会带来的损害,研究人员在公布之前先与OpenSSL团队和其它的关键内部人员合作准备好修复方案。

哪些人能够利用Heartbleed漏洞?

“利用该漏洞对于了解它的人来说并不是很难。”费尔腾透露。利用该漏洞的软件遍布于网络上,虽然该软件没iPad应用那么好用,但任何有编程基础的人都会知道怎么使用。

当然,该漏洞也许对于拥有条件大规模拦截用户流量的情报机构而言最具价值。美国国家安全局(NSA)与美国电信服务提供商有秘密协定,它能够接入互联网干 线。用户可能会认为Gmail、Facebook等网站上的SSL加密可以保护他们免受监听。但Heartbleed漏洞可让NSA获得破译私密通讯所需 的私有密钥。

要是NSA已经在公众知晓之前发现Heartbleed漏洞的存在,也不会令人惊讶。鉴于OpenSSL是世界上最流行的加密软件,NSA的安全专家之前很有可能仔细研究过OpenSSL的源代码。

有多少网站受到影响?

目前还没有准确的数据,不过发现漏洞的研究人员指出,最流行的两家网络服务器Apache 和nginx均使用OpenSSL。二者加起来,共计覆盖约三分之二的网站。SSL还被其它的网络软件所使用,如桌面邮箱客户端和聊天软件。

研究人员是在几天前告知OpenSSL团队和其他的关键利益相关者漏洞情况的。因此,OpenSSL能够在将漏洞公诸于众的同时发布OpenSSL软件的修复版本。要消除漏洞,网站只需要确保它们使用的是OpenSSL最新版本。

雅虎发言人表示,“我们的团队已经在雅虎的各个主要网站(雅虎主页、雅虎搜索、雅虎邮箱、雅虎财经、雅虎体育、雅虎美食、雅虎科技、Flickr和Tumblr))上成功完成修复,我们正在针对公司旗下其它的网站实施修复。”

谷歌称,“我们对SSL漏洞进行了评估,并已修复谷歌的各款主要服务。”Facebook也表示,它在漏洞公布时已经解决好该问题。

微软发言人则写道,“我们在跟进OpenSSL库问题的报告。要是确定它有对我们的设备与服务造成影响,我们会采取必要的措施来保护我们的用户。”

用户能怎么解决问题?

很遗憾,用户要是访问到采用含漏洞OpenSSL软件的网站,他们并不能保护自己。有问题的网站升级OpenSSL软件之后,用户才能够得到保护。

不过,受影响的网站修复好OpenSSL软件问题后,用户就可以通过更改自己的密码来保护自己。攻击者之前可能已经截取了用户的密码,费尔腾称用户可能无法判断他们的密码是否失窃。

1.3 德软件开发者否认蓄意植入“心血”安全漏洞

Codenomicon和谷歌安全部门(Google Security)的研究人员在开源软件包OpenSSL里发现了一个存在两年的安全漏洞,这一软件包被全球上百万个网站的加密协议所使用。这个名为 Heartbleed的加密漏洞导致网络过于公开,促使安全专家警告网络用户在未来几天尽量避免使用网络。很多人怀疑这一漏洞是代码编写者、来自德国明斯特的软件开发者罗宾·西格尔曼(Robin Seggelmann)蓄意植入的, 但他本人对此表示否认。在首次媒体公开评论中西格尔曼表示,这一漏洞的出现“其实很好解释”。

OpenSSL 软件被很多流行的社交网络网站、搜索引擎、银行和网上购物网站用于保护个人和财务数据安全。这使得知道这一漏洞存在的人可以从网络服务器里窃取用户名、密 码、信用卡信息和其他各种敏感信息。这也导致服务器的加密密钥很容易被窃取。一旦被窃取,这些密钥将被不法分子用于解密网站服务器和网站用户之间传输的数 据。“如果用0-10来评价其危险程度,它应该是11。”信息安全专家布鲁斯·施奈尔(Bruce Schneier)这样说道。

西格尔曼 表示他和另一名代码审阅者本该在2年前发现此漏洞,当时他们正在为开源OpenSSL加密协议编写代码。“我当时正在改进OpenSSL并提交了大量漏洞 修复,同时添加了一些新的特征,” 西格尔曼说道。“不幸的是,在其中一个新特征里,我忘记验证一个包含字符串长度的变量。”在西格尔曼递交代码后,另一名审阅者“很明显也没有注意到他的失 误”,所以这一错误就出现在最终发布的版本里。脚本显示这名审阅者是斯蒂芬·亨森(Stephen Henson)博士。西格尔曼比表示这一错误“非常小”,但也承认它的影响是“致命的”。

阴谋论

很多阴谋论者认为这一错误是西格尔曼比本人恶意植入的。西格尔曼解释称人们这么想情有可原,尤其是在爱德华·斯诺登(Edward Snowden)曝光了美国国家安全局和其它组织进行的间谍活动后。“但事实是,这只是一个新特征里的简单的程序错误,不幸的是,它恰巧影响了系统安全。 这完全不是蓄意行为,而且我本人一直致力于修复OpenSSL漏洞并提升其性能 。”

尽管西格尔曼否认他蓄意植入错误代码,但过去两年里情 报局利用这一漏洞也是可能的。“这是可能的,在安全问题上就应该做最坏的打算。” 西格尔曼呼吁更多软件开发者关注开源软件的代码。“开源代码的优势在于 任何人都能浏览它的代码。看得人越多,漏洞被发现的可能性就更大。”

1.4 IIS4\IIS5 CGI环境块伪造0day漏洞

大约14年前发现一直到现在的0day

是IIS4\IIS5的漏洞,对应操作系统是winnt和win2000系统,微软不再支持这些软件,他们的策略想淘汰这些系统,11年报告后微软决定不再修补。算是很严重的漏洞,只是影响的软件现在使用率相对比较低,但总量也不少。

具体漏洞详细信息如下:

IIS加载CGI环境块伪造漏洞

危害等级:高危

危害类型:缓冲区溢出、远程执行代码、信息泄露

影响平台:Winnt\win2000

影响软件:IIS4、IIS5

基本情况:

IIS4、IIS5加载CGI,处理环境块的时候,错误的把“\n”字符用“\x00”替换,导致可以伪造任意环境块。IIS加载CGI的时候,把自己的请求加上“HTTP_”前缀加入环境变量和本地环境变量区分,通过利用”\n”替换成”\0”的漏洞就可以把这些前缀去掉,从而任意伪造环境块变 量。攻击者可以在http头里提交“a=b\nPATH_TRANSLATED:var”使得IIS加载CGI的时候环境块变量成为”HTTP_a=b” 和“PATH_TRANSLATED=var”,成功伪造环境块“PATH_TRANSLATED=var”,让php.exe执行脚本文件“var”, 从而执行任意命令。

CGI加载有两种方式,一种本身就是编译成.exe的可执行程序,这些常见的有一些计数器、一些网站自己开发的应用程序、还有一些应用比较广的 WEB应用程序等。还有一种是通用脚本映射到.EXE解释执行(映射到.dll的是isapi,不受影响),这些常见的有PHP\PERL脚本等。

具体危害看具体CGI程序对环境块的处理方式,可能会导致的部分结果:

1、 CGI处理本地环境变量的时候缓冲溢出,一些CGI处理本地环境变量的时候,因为这些变量一般不能设置或者本来是可信的,没有考虑缓冲大小检查等。

2、 有些环境块变量影响一些CGI的处理逻辑、信任关系等。

3、 加载dll或者加载进程时因为伪造的path环境变量加载攻击者的程序。

验证步骤:

1、win2000+iis5配置.php映射到php.exe(即cgi方式,如果影射到.dll是isapi方式,没有此漏洞)

2、请求发送:

“GET /a.php HTTP/1.1\r\na=b\nPATH_TRANSLATED:c:\windows\win.ini\r\nHOST:192.168.0.1\r\n\r\n”

3、iis将返回win.ini内容。

4、也可以利用iis的日志文件写出php命令,利用此漏洞让php.exe调用iis日志文件执行系统命令等。

漏洞利用程序:

http://hi.baidu.com/yuange1975/item/cefea0c63156032f46d5c050

4月1号的愚人节版本:

http://seclists.org/fulldisclosure/2012/Apr/13

usage:

iisexp411 127.0.0.1 /AprilFools'Day.php PATH_TRANSLATED c:\windows\win.ini

1.5 黑客可将木马植入空调遥控系统等隐蔽位置

在信息科技高速发展的今天,木马病毒简直无孔不入。据“美国中文网”4月8日报道,由于无法直接进入大公司电脑网络,黑客甚至把木马软件植入汽水或零食自动售货机、中央空调遥控系统、中餐馆网上菜单等。当人们使用那些设备或浏览菜单时,无意中下载恶意编码,这就为黑客提供了攻入公司电脑的立足点。

据《纽约时报》 报道,参与维修的电脑安全专家没有得到授权透露细节,但那些教训非常明显:要加强电脑系统保护的公司和政府,都需要关注最不可能发生黑客袭击的地方,以避免漏洞。

报道说,黑客2013年攻陷目标连锁商场(Target)信用卡系统,就是首先通过该公司的供暖和空调系统进入主系统的。在其它事件中,黑客也能通过打印机、恒温控制器(thermostats)或视频会议设备进入主系统。

尽管公司需要密切关注黑客和员工的其它通讯工具是个老问题,但现在情况更为复杂和紧迫,因为无数第三方可以通过遥控进入公司电脑系统。现在公司需要的所有服务都可以通过软件遥控:供暖、通风、空调、账单、开支、人事管理系统、图表和数据分析、健康保险供应商、甚至自动售货机。

网络安全机构流动跟踪(FlowTraq)执行长贝克(Vincent Berk)说,外部供应商远距离进入公司系统的情况经常发生,那就等于他们拿到了进入城堡的钥匙。

据报道,通过第三者进入公司电脑系统的网络攻击事件数据很难获得,因为受害者的律师总能找到理由不透露受攻击情况。但根据电脑安全研究机构Ponemon Institute对全球3500名信息技术和网络安全专业人员的调查显示,大约23%的网络攻击都是由于第三方的疏忽所造成。

 

2 本周关注病毒

2.1 Trojan.Win32.Generic.11E1A300(木马病毒)

警惕程度 ★★

病毒运行后连接IRC 服务器,进行包括发送用户信息,试图下载病毒文件,监听网络,截获敏感的信息等操作,并盗取用户的电子支付用户名与密码;对中毒电脑执行任意程序并发起Ddos攻击。

2.2 Trojan.Spy.Win32.Hijclpk(木马病毒)

警惕程度 ★★

电脑中毒后会在后台下载更多恶意程序,可造成用户电脑被远程控制、资料被盗等危害。

2.3 Trojan.Win32.Generic.168656EE(‘Generic’木马病毒)

警惕程度 ★★★★

该病毒运行后修改注册表,使系统防火墙对其放行,并读取用户的联系人列表,利用电子邮件程序向联系人发送大量垃圾信息,同时通过代理IP,破坏反邮件垃圾服务。病毒还会收集用户电脑中的隐私信息,并发送至黑客指定服务器。电脑一旦中毒,将面临联系人信息泄露,被迫发送垃圾邮件及隐私信息泄露等风险。

 

3 安全漏洞公告

3.1 OpenSSL TLS心跳扩展协议包远程信息泄露漏洞

OpenSSL TLS心跳扩展协议包远程信息泄露漏洞

发布时间:

2014-04-07

漏洞编号:

CVE(CAN) ID: CVE-2014-0160

漏洞描述:

OpenSSL是一种开放源码的SSL实现,用来实现网络通信的高强度加密,现在被广泛地用于各种网络应用程序中。
OpenSSL TLS心跳扩展协议的实现上存在边界检查漏洞,远程无需验证的攻击者可以利用此漏洞导致泄漏64K的内存到连接的客户端或服务器,造成敏感信息的泄露。仅 OpenSSL的1.0.1及1.0.2-beta版本受到影响,包括:1.0.1f及1.0.2-beta1版本。
TLS心跳由一个请求包组成,其中包括有效载荷(payload),通信的另一方将读取这个包并发送一个响应,其中包含同样的载荷。在处理心跳请求的代码 中,载荷大小是从攻击者可控的包中读取的。由于OpenSSL并没有检查该载荷大小值,从而导致越界读,造成了敏感信息泄漏。泄漏的信息内容可能会包括加 密的私钥和其他敏感信息例如用户名、口令等。

安全建议:

Openssl已经发布了Openssl 1.0.1g修复此问题,:
https://www.openssl.org/news/secadv_20140407.txt
http://git.openssl.org/gitweb/?p=openssl.git;a=commit;h=96db9023b881d7cd9f379b0c154650d6c108e9a3
对于OpenSSL 1.0.2 Releases, 厂商表示将会在1.0.2-beta2中修复。
主流Linux发行版也已经发布相关补丁,请尽快升级。

3.2 Microsoft Word文件转换远程代码执行漏洞

Microsoft Word文件转换远程代码执行漏洞

发布时间:

2014-04-10

漏洞编号:

BUGTRAQ ID: 66614
CVE(CAN) ID: CVE-2014-1757

漏洞描述:

Microsoft Word 是微软公司的一个文字处理软件。
Microsoft Office软件转换特制文件时存在远程代码执行漏洞,成功利用此漏洞的攻击者可利用此漏洞以当前用户权限执行任意代码。

安全建议:

Microsoft已经为此发布了一个安全公告(MS14-017)以及相应补丁:
MS14-017:Vulnerabilities in Microsoft Word and Office Web Apps Could Allow Remote Code Execution (2949660)
链接:
http://technet.microsoft.com/security/bulletin/MS14-017

3.3 Microsoft Windows远程代码执行漏洞

Microsoft Windows远程代码执行漏洞

发布时间:

2014-04-10

漏洞编号:

BUGTRAQ ID: 66619
CVE(CAN) ID: CVE-2014-0315

漏洞描述:

Windows是一款由美国微软公司开发的窗口化操作系统。
受影响操作系统的"CreateProcess()"函数在处理'.bat'和'.cmd'类型文件的的操作时没有正确地限制文件路径,攻击者利用该漏洞可以获得代码执行能力。

安全建议:

Microsoft已经为此发布了一个安全公告(MS14-019)以及相应补丁:
MS14-019:Vulnerability in Windows File Handling Component Could Allow Remote Code Execution (2922229)
链接:http://technet.microsoft.com/security/bulletin/MS14-019

3.4 JBoss Enterprise Application Platform Java Security Manager Policy安全绕过漏洞

JBoss Enterprise Application Platform Java Security Manager Policy安全绕过漏洞

发布时间:

2014-04-09

漏洞编号:

BUGTRAQ ID: 66596
CVE ID:CVE-2014-0093

漏洞描述:

JBoss企业应用平台(JBoss Enterprise Application Platform,EAP)是J2EE应用的中间件平台。
Red Hat JBoss Enterprise Application Platform (JBEAP)6.2.2版本中存在安全漏洞。当使用Java Security Manager (JSM)时,程序未能正确通过策略文件应用权限,导致应用程序被授予java.security.AllPermission权限,远程攻击者可利用漏洞绕过既定的访问限制。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://www.redhat.com/products/jbossenterprisemiddleware/application-platform/

3.5 IBM Lotus Notes Sametime信息泄露漏洞

IBM Lotus Notes Sametime信息泄露漏洞

发布时间:

2014-04-09

漏洞编号:

OSVDB:103266

漏洞描述:

IBM Lotus Notes是桌面客户端,为用户提供了单点访问功能,有助于他们创建、查询和共享知识,与团队协作,以及采取相应措施。
IBM Lotus Notes Sametime用户信息搜索JSON响应存在用户枚举漏洞。由于当用有效的信息提供JSON响应返回用户的信息,远程攻击者可以枚举有效用户,并取得他们的详细资料。

安全建议:

目前没有详细解决方案提供:
http://www.ibm.com