当前位置: 安全纵横 > 安全公告

一周安全动态(2014年06月05日-2014年06月12日)

来源:安恒信息 日期:2014-06

2014年06月第二周(06.05-06.12)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级。

 

 

 

1.安全新闻

1.1 网络犯罪每年给全球带来的损失超过泰国GDP

美国战略和国际问题研究中心(以下简称“CSIS”)周一发布报告称,当前网络犯罪每年给全球带来高达4450亿美元的经济损失。CSIS高级研究员吉姆·刘易斯(Jim Lewis)称:“网络犯罪影响了创新者和投资者的投资回报率,从此阻碍了全球创新。对于发达国家而言,网络犯罪还严重影响了就业。”

英特尔旗下安全解决方案部门McAfee欧洲、中东和非洲(EMEA)市场首席技术官拉伊·萨马尼(Raj Samani)称:“这4450亿美元经济损失所带来的问题十分严峻。当网络犯罪发生时,它影响着我们的就业、威胁着社会经济,还有大量知识产权被窃取。”

报告称,全球主要的经济体所承受的经济损失也最高。例如,美国、中国、日本和德国每年的合计损失高达2000亿美元。
在这4450亿美元的经济损失中,与个人信息相关的损失高达1500亿美元,如信用卡信息被盗取。在美国,约4000万人(约占人口总数的15%)遭遇过个人信息被黑客窃取。

一些大型的网络犯罪事件曾使土耳其5400万人受影响,在德国有1600万人受影响,而中国有2000多万人受影响。

McAfee称,在打击网络犯罪方面,日益提升的国际合作已经初见成效。例如,美国司法部上周曾宣布,美国联邦调查句(FBI)与多国警方连手破获感染数百万台电脑并获利数百万美元的超级电脑病毒Gameover Zeus,并对该网络管理员提起诉讼。

1.2 揭秘深层Web:不只是乌合之众的聚集地

《连线》(Wired)日前发表文章称,深层网络(The Deep Web)一直被称为互联网的“后巷”,是非法交易的天堂。但事事有例外,深层网络空间里也有做善事的人们。深层网络,即搜索引擎搜索不到的网络空间,是一个可以销售任何产品的地方。正因为如此,它通常被视为互联网的阴暗面,是一个黑暗、肮脏的地方。与正统的互联 网完全背离,居住在那里的多是非法分子和恋童癖者。深层网络空间里确实住着这样一批人,但对于利用深层网络做善事的人们,这样的说法似乎对他们并不公平。

“Intangir” 就是其中之一。他运营着一个网站,上面托管着各种各样的信息。用户可以上传任何人的个人信息,包括社会保障号、以前的住址和电话号码等,并面向所有人开 放。它并不关注信息的所有者,只要这些信息准确即可。除了极具风险,该项目还很容易成为极端怀疑论者的关注目标。

但今天3月份,Intangir做出了一个惊人之举:入侵了深层网络空间中的一个不良网站“隐秘Wiki“(The Hidden Wiki)。该网站提供大量“受欢迎”的网站链接,如儿童色情网站。

入侵后,Intangir删除了上面的所有不良链接。因此,他的Twitter账号上充满了溢美之词。也许Intangir的做事方式还存在争议,但动机很 清晰:限制人们访问儿童色情网站。在一个法律和社交道德基本毫无意义的空间里,Intangir把自己当成了深层网络空间里的法官,维护治安的执行者。

再来说说“DoctorX”。他是一名用药专家,帮助网民解答药物方面的任何问题。作为降低药物危害方面的专家,DoctorX很愿意回答网民的提问,如非法药物Y和处方药Z合用后的结果。DoctorX此举是免费的,虽然他也接受比特币捐赠。

DoctorX 2013年6月启动该项服务,在3个月时间内收到600多个问题,5万多次访问。DoctorX最初在购物网站“丝路”(Silk Road,利用Tor隐密服务来运作的黑市购物网站)上提供该项服务。“丝路”去年10月被美国联邦调查局(FBI)查封后,DoctorX接到了其他网 站的邀请。如今,DoctorX在一个独立的深层网络论坛The Hub上提供服务。

DoctorX在接受采访时称,他的目标就是针对一些 非法药物提供不偏不倚的医学建议,而这正是一些网民迫切希望知道的。DoctorX的服务允许人们在用药之前,了解这些非法药物对自己身体的影响。虽然也有一些非深层空间网站提供类似服务,但DoctorX是第一个提供非法药物专业咨询服务的人。毕竟,在深层网络空间里,一些非法药物大行其道。

在现实生活中,DoctorX的真实姓名是佛南多·考德维拉(Fernando Caudevilla),是一名西班牙内科医生。与Intangir的入侵行为一样,DoctorX的行为也可能遭遇麻烦。也许有人会说,吸毒或非法用药 毕竟是不道德的。但需要强调的是:在一个本没必要考虑这些问题的深层网络空间里,这二人却在做着他们认为“有益”的事情。

在这个空间里,他们本来可以做任何事情,甚至是购买一部AK-47突击步枪,但他们没有这样做。相反,他们做出了更道德的决定,让他人的受益程度远高于自己。

你可能会说,深层网络空间所赋予的更大自由度允许他们在道义上真实的体现自我,因为他们的行为在该空间之外是不存在的。但重要的是,他们的行为已经对现实世 界带来了影响。如非法用药者安全无恙,关于儿童色情的内容也越来越少 。因此,深层网络并不全是阴暗面:从道义上讲,这是一个多姿多彩的空间。

1.3 报告称中国IT核心技术和安全问题“迫在眉睫”

伴随着IT业和互联网的突飞猛进,IT核心技术和安全问题日益凸显且迫在眉睫,中国研究机构近日发布报告称,IT核心技术和信息安全等问题已从产业上升到关系全局的战略性问题,得到更高层次的重视和关注。由工业和信息化部电子科学技术情报研究所和社科文献出版社发布的《中国IT产业发展报告(2013-2014)》指出,“棱镜门”事件、微软宣布对WindowsXP停止服务、华为被美国国家安全局入侵监控等事件,都反映出核心技术和信息安全等问题的重要性和紧迫性。

报告指出,尽管中国在电子材料、存储芯片、导航系统、显示技术、智能语音等领域取得一定的突破,但关键信息技术和核心产品对外依存度仍较高,支撑能力比较薄弱,尤其是集成电路和基础软件关键技术受制于人。

报告显示,国外品牌操作系统占据中国超过90%以上的市场份额,国产数据库所占市场份额不到5%。此外,集成电路进口总额超过原油,成为中国最大的进口商品。

报告还指出,IT领域的知识产权竞争更加激烈,2013年上半年美国涉华“337调查”10起,居涉案国之首。如何突破外国IT企业的知识产权壁垒,成为中国IT企业所面临的挑战。

1.4 智能电视标准HbbTV漏洞曝光 影响数百万电视

美国哥伦比亚大学网络安全实验室的研究人员近期发现了HbbTV智能电视标准的一个漏洞。这一漏洞影响了数百万台支持这一标准的智能电视机。研究人员在纽约曼哈顿的Inwood社区进行了一次试验。在试验中,研究人员从一栋大楼屋顶放飞了带电子设备的无人机。这些设备能捕捉数字广播信号,在数字流中注入恶意代码,并以同样的频率向用户发回数据。

在一两分钟之内,用户的打印机就打印了不需要的优惠券、Yelp评论和Facebook内容。尽管用户没有看到任何被攻击的迹象,但实际上这一社区的所有智 能电视机都已被攻击。通过这种方式,黑客能侵入用户的家中,甚至控制未经保护,或保护措施较弱的WiFi路由器和PC。只要用户不关掉电视机或改变频道, 这样的攻击就能一直持续。而当攻击结束后,黑客也不会留下任何痕迹。

这种“红色按钮攻击”利用的漏洞此前从未被曝光,这也将给互动电视的发展带来冲击。这一漏洞影响了所有兼容HbbTV智能电视标准的电视机,而这类电视机在欧洲非常普遍。HbbTV标准目前也在美国快速发展。

广播电视公司和广告主希望利用HbbTV技术发布更具相关性的广告,同时给用户提供互动内容,进行调查,或带来购物服务。不过,只要黑客拥有合适的设备,而电视机正在接收无线数字广播信号,那么黑客就可以攻击数百万台这样的电视机。

这一漏洞由哥伦比亚大学网络安全实验室的尤希·奥伦(Yossi Oren)和安杰罗斯·克罗米提斯(Angelos Keromytis)发现,将被公布在今年8月的USENIX信息安全研讨会上。去年12月,奥伦和克罗米提斯向HbbTV标准组织报告了这一漏洞,并在 视频中进行了演示。不过他们随后被告知,这一漏洞并不严重,因此标准无需修改。该组织认为,相对于传统的通过有线网络的攻击,这样的攻击方式成本太高,也 无法覆盖足够多目标。

不过,奥伦认为情况并非如此。黑客只需以250美元购买1瓦的放大器,就能覆盖1.4平方公里的区域。而根据纽约市的 人口密度,在某些地区黑客的潜在目标达到每平方公里7万人。如果使用售价1500美元的25瓦放大器,那么一次攻击能覆盖35平方公里,使攻击目标达到数 十万人。

这种“红色按钮攻击”实际上是一种“中间人攻击”,在早期有线电视的发展过程中曾经出现。不过,目前的电视机功能更多,连接家庭网 络,并可能安装了社交网络应用。因此通过这种攻击,黑客能获得用户更多网络信息。更严重的是,恶意代码可以在用户打开某一频道时自动运行,而用户可能对此 毫不知情。此外,这种攻击也无法被追踪,因为黑客没有使用任何IP地址或域名服务器。司法部门发现攻击者的唯一方式是使用多个车载天线,以确定攻击信号的 来源,但这种定位的速度很慢。

奥伦表示,阻止这种“红色按钮攻击”有多种方式。最简单粗暴的方式是彻底切断HTML内容对互联网的访问,但 对智能电视用户来说这样做不现实。另一种方式是使用由多台智能电视组成的网络来监控是否有攻击发生,不过这需要广播电视公司在用户电视机中安装监听软件, 这又将带来隐私保护问题。此外,还有一种方式是确保用户在加载或更换频道时能明确知晓,什么应用正在运行。

1.5 什么数码设备和服务会泄露你的个人隐私?

科技的高速发展虽然为我们带来了便利的生活,但也不能否认其安全隐患,尤其是对个人隐私的威胁。各种网络漏洞、黑客入侵行为,显然为我们的日常生活带来了困扰。那么,哪些常用的数码设备、互联网服务会对我们的隐私构成威胁、又有什么解决方案呢?一起来了解一下。

互联网服务:62%的信息泄露风险

是的,科技领域最大的个人信息威胁,就是来自于我们每天都会使用的各种互联网服务,首当其冲的就是云服务及社交应用。云服务可以让用户方便地将资料存储于互联网服务器中,但一旦出现漏洞,黑客就可以轻松查看你的数据,所以我们建议用户慎重上传一些过于隐私的数据。

社交媒体同样存在极大的风险。在去年,黑客袭击了美国约会网站Cupid,超过4200万个密码遭到泄露,为用户的隐私带来了极大的风险,包括你的在线好友等各种隐私信息。所以,我们应该定期更换社交服务的密码、删除所有不认识的好友,尽量降低风险。

电脑、手机等硬件设备:27%信息泄露风险

作为我们使用互联网服务的硬件设备,电脑、智能手机显然也成为了隐私泄露的主要工具。首先,针对桌面操作系统的病毒、木马、钓鱼网站一直都非常猖獗,形式和 种类也在不断变化。所以,定期使用杀毒软件查杀、安装知名的防火墙应用是必要的;同时也注意不要登录可疑网站、警惕通讯软件及电子邮件中的可疑URL,加 强整体的防范意识。

移动互联网的发展同样也促进了智能手机的普及,也使得黑客将目标转移到智能平台。比如,97%的手机恶意软件都是针对 Android平台,所以对用户的隐私也造成了威胁。通常来说,Android用户应该尽量选择可靠的应用来源和应用商店,安装手机安全应用来预防;同时 在使用移动支付类应用时,要启动多重的验证机制,尽量减少安全隐患。

其他日常行为

除了以上科技服务及设备隐患之外,在一些日常生活场景中,我们也要具有防范意识。比如,在刷卡购物时,要避免商家记录、拍摄卡片的详细信息如背后安全码;而在商场、机场、咖啡厅等公共区域使用WIFI服务时,不要连接那些非官方、没有任何验证机制的信号源,防止黑客入侵。

1.6 OpenSSL新漏洞曝光:可被用于“中间人”攻击

本周四,OpenSSL基金会发布警告称,一个已存在10年的漏洞可能导致黑客利用通过OpenSSL加密的流量发动“中间人”攻击。信息安全专家目前仍试图解决OpenSSL加密协议中的“心脏流血”漏洞。根据AVG Virus Labs的数据,目前仍有1.2万个热门域名存在这一漏洞。而根据OpenSSL基金会此次发布的消息,黑客可能利用新漏洞去拦截加密流量,对其进行解 密,随后阅读流量中的内容。


OpenSSL新漏洞曝光:可被用于“中间人”攻击

OpenSSL的用户被建议安装新的补丁,并升级至OpenSSL软件的最新版本。这一漏洞的发现者是软件公司Lepidum的日本研究员Masashi Kikuchi。Lepidum的网站上显示:“当服务器和客户端都存在漏洞时,攻击者可以窃听及伪造你的通信。”

与能够导致服务器直接受到攻击的“心脏流血”漏洞不同,这一新漏洞要求黑客位于两台通信的计算机之间。例如,使用机场公开WiFi的用户可能成为被攻击目标。

这一漏洞自1998年OpenSSL首次发布以来就一直存在。而“心脏流血”漏洞是在2011年新年OpenSSL进行升级时引入的。

这一漏洞在长达十几年的时间内一直没有被发现,这再次表明了OpenSSL管理的缺陷。OpenSSL是开源的,这意味着任何人都可以对其进行评估及更新。由于这一原因,OpenSSL被认为比某家公司开发的私有代码更安全、更可信。

但实际上,OpenSSL在欧洲只有1名全职开发者,以及3名“核心”的志愿程序员,其运营依靠每年2000美元的捐赠。不过,OpenSSL仍被用于加密全球大部分网站的服务器,并被亚马逊和思科等大公司广泛使用。

在“心脏流血”漏洞被发现之后,包括亚马逊、思科、戴尔、Facebook、富士通、谷歌、IBM、英特尔、微软、NetApp、Rackspace、高通 和VMware在内的公司都承诺在未来3年内每年投入10万美元,用于Core Infrastructure Initiative项目。这一新的开源项目由Linux基金会牵头,用于支撑OpenSSL等关键的开源基础设施。

 

2 本周关注病毒

2.1 Trojan.Win32.Fednu.uqx(木马病毒)

警惕程度 ★★

病毒运行后把感染代码注入到傀儡进程中,随后,病毒会感染非系统目录的全部可执行文件,当用户运行被感染的程序文件后,该病毒就会释放出多个黑客后门程序,实现病毒连接黑客服务器,上传电脑中的各种文件,接受黑客远程控制端发送的指令。

2.2 Trojan.Win32.Fednu.uqw(木马病毒)

警惕程度 ★★

病毒运行后把感染代码注入到傀儡进程中,随后,病毒会感染非系统目录的全部可执行文件,当用户运行被感染的程序文件后,该病毒就会释放出多个黑客后门程序,实现病毒连接黑客服务器,上传电脑中的各种文件,接受黑客远程控制端发送的指令。

2.3 Trojan.Win32.VBCode.bph(木马病毒)

警惕程度 ★★

病毒运行后自我复制到系统文件夹并修改文件属性为隐藏,同时修改注册表实现自启动。除此之外病毒还会将黑客指定网址添加至IE收藏夹,并后台运行浏览器,不断为该网站刷取流量。用户电脑一旦中毒,将被占用大量电脑资源及网络资源,影响系统运行速度,消耗大量上网流量。

 

3 安全漏洞公告

3.1 Microsoft XML Core Services信息泄露漏洞

Microsoft XML Core Services信息泄露漏洞

发布时间:

2014-06-11

漏洞编号:

BUGTRAQ ID: 67895
CVE ID: CVE-2014-1816

漏洞描述:

Microsoft XML Core Services (MSXML)是一组服务,可用JScript、VBScript、Microsoft开发工具编写的应用构建基于XML的Windows-native应用。
Microsoft Windows解析XML内容时存在信息泄露漏洞,可使攻击者未授权访问敏感信息。

安全建议:

Microsoft已经为此发布了一个安全公告(MS14-033)以及相应补丁:
MS14-033:Vulnerability in Microsoft XML Core Services Could Allow Information Disclosure (2966061)
链接:http://technet.microsoft.com/security/bulletin/MS14-033

3.2 Microsoft Windows远程桌面协议安全限制绕过漏洞

Microsoft Windows远程桌面协议安全限制绕过漏洞

发布时间:

2014-06-11

漏洞编号:

BUGTRAQ ID: 67865
CVE ID: CVE-2014-0296

漏洞描述:

Windows是一款由美国微软公司开发的窗口化操作系统。
Microsoft Windows远程桌面协议内使用的加密方案存在错误,远程攻击者通过中间人攻击,利用此漏洞可获取并篡改活动远程桌面会话内的信息。

安全建议:

Microsoft已经为此发布了一个安全公告(MS14-030)以及相应补丁:
MS14-030:Vulnerability in Remote Desktop Could Allow Tampering (2969259)
链接:
http://technet.microsoft.com/security/bulletin/MS14-030

3.3 Microsoft Windows TCP/IP协议远程拒绝服务漏洞

Microsoft Windows TCP/IP协议远程拒绝服务漏洞

发布时间:

2014-06-11

漏洞编号:

BUGTRAQ ID: 67888
CVE ID: CVE-2014-1811

漏洞描述:

Windows是一款由美国微软公司开发的窗口化操作系统。
Microsoft Windows在TCP/IP网络协议的实现上存在拒绝服务漏洞,成功利用此漏洞可造成受影响系统停止响应。

安全建议:

Microsoft已经为此发布了一个安全公告(MS14-031)以及相应补丁:
MS14-031:Vulnerability in TCP Protocol Could Allow Denial of Service (2962478)
链接:
http://technet.microsoft.com/security/bulletin/MS14-031

3.4 Microsoft Lync Server信息泄露漏洞

Microsoft Lync Server信息泄露漏洞

发布时间:

2014-06-11

漏洞编号:

BUGTRAQ ID: 67893
CVE ID: CVE-2014-1823

漏洞描述:

Microsoft Lync 新一代企业整合沟通平台(前身为 Communications Server),提供了一种全新的、直观的用户体验,跨越 PC、Web、手机等其他移动设备,将不同的沟通方式集成到一个平台之中。
Lync Server过滤精心构造的内容失败后存在信息泄露漏洞,成功利用此漏洞可造成在用户浏览器内执行脚本以获取Web会话的信息。

安全建议:

Microsoft已经为此发布了一个安全公告(MS14-032)以及相应补丁:
MS14-032:Vulnerability in Microsoft Lync Server Could Allow Information Disclosure (2969258)
链接:
http://technet.microsoft.com/security/bulletin/MS14-032

3.5 PHP acinclude.m4任意文件覆盖漏洞

PHP acinclude.m4任意文件覆盖漏洞

发布时间:

2014-06-05

漏洞编号:

CVE ID: CVE-2014-3981

漏洞描述:

PHP是广泛使用的通用目的脚本语言,特别适合于Web开发,可嵌入到HTML中。PHP 5.5.13及更早版本的配置脚本中使用的acinclude.m4存在安全漏洞,可使本地用户对 /tmp/phpglibccheck文件执行符号链接攻击,从而覆盖任意文件。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
https://bugs.php.net/bug.php?id=67390
http://git.php.net/?p=php-src.git;a=commit;h=91bcadd85e20e50d3f8c2e9721327681640e6f16
https://bugzilla.redhat.com/show_bug.cgi?id=1104978

3.6 OpenSSL SSL/TLS 中间人漏洞

OpenSSL SSL/TLS 中间人漏洞

发布时间:

2014-06-06

漏洞编号:

BUGTRAQ ID: 67899
CVE ID: CVE-2014-0224

漏洞描述:

OpenSSL是一种开放源码的SSL实现,用来实现网络通信的高强度加密,现在被广泛地用于各种网络应用程序中。
OpenSSL部分版本没有正确处理ChangeCipherSpec消息,攻击者能够用使用一个精心构造的握手数据包迫使OpenSSL/TLS 客户端和服务端使用弱密钥通讯。攻击者通过中间人攻击来利用这个漏洞,将能够解密并修改被攻击的client和server之间的通讯,从而获取敏感信息。
执行这个攻击需要client和server都存在漏洞。所有版本的OpenSSL客户端都是存在漏洞的,而服务端只有OpenSSL 1.0.1和1.0.2-beta1受影响。另为预防起见,建议还在使用版本小于1.0.1 OpenSSL 服务端的用户升级。
OpenSSL 0.9.8 SSL/TLS 用户(客户端和/或服务器端) 应升级到 0.9.8za.
OpenSSL 1.0.0 SSL/TLS 用户(客户端和/或服务器端) 应升级到 1.0.0m.
OpenSSL 1.0.1 SSL/TLS 用户(客户端和/或服务器端) 应升级到 1.0.1h.

安全建议:

OpenSSL Project已经为此发布了一个安全公告(secadv_20140605)以及相应补丁:
secadv_20140605:SSL/TLS MITM vulnerability (CVE-2014-0224)
链接:http://www.openssl.org/news/secadv_20140605.txt