当前位置: 安全纵横 > 安全公告

一周安全动态(2014年07月03日-2014年07月10日)

来源:安恒信息 日期:2014-07

2014年07月第二周(07.03-07.10)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级。

 

 

 

1.安全新闻

1.1 德国出现近3000封带有特洛伊木马的虚假侵权通知邮件

如果某一天你在邮箱里看到一封来自某家律师事务所的侵权通知邮件,那么你一定会感到惊慌。但是如果这些邮件是虚假的呢?那就可得小心了,因为邮件携带了特洛伊木马。日前,这样的事情就真的出现在了德国。据TorrentFreak初步估算,德国网民大约收到了3万封告知他们侵犯Jay-Z、Sepultura等多位歌星音乐版权的警告邮件。

这些邮件之所以看起来逼真则是因为犯罪分子在邮件里面提供详细的律师事务所信息及相关的法律条例。在邮件的最后,犯罪分子写道“欲了解更多信息,请打开XXXXXXXXX.zip附件”。

而正是这个附件,里面潜藏了病毒,一旦用户打开,那么他们的电脑将会遭到攻击。所以最好的处理办法是,不要打开任何陌生人提供的附件,即便对方宣称你犯了法。当然,你也不要干一些侵权的行为。

1.2 警惕新型ATM机盗刷器 直接嵌入提款机卡槽

多年以来,提款机盗刷器(ATM Skimmer)一直被用来窃取当人们在ATM机进行交易时使用信用卡或借记卡的信息。而随着电子科技的进步,这种盗刷器变得越来越为隐蔽和小巧。Krebs on Security安全信息网站近日深入分析了在欧洲多款ATM机上出现的新型隐蔽盗刷器,其甚至可以直接嵌入在卡槽内部。

据报道,以前的盗刷器通常只是出现在卡槽顶部或外部,现在这种新型的小巧装置直接嵌入在卡槽的塑料腔体内部,从外面看几乎完全无法察觉。一旦用户插入磁卡, 这种装置就能读取磁条信息盗取数据。另外还有一个与该装置配合的密码盗取器,如图,该装置通常伪装成ATM机的一部分连接着盗刷器,并安装在密码键盘上, 上面有一个小孔,内部藏有摄像头可以拍摄键入密码的影片。

Krebs指出,应对这种盗取装置的方法就是在键入密码时用另一只手盖住,不管旁边有没有人都应该提高警惕。虽然盗刷器材越来越隐蔽,必须时刻有安全意识,只要密码没有泄露,光有盗刷器读取的磁条信息是无法盗取现金的。

1.3 英国政府计划恢复元数据收集项目

据外媒报道,日前,英国政府决定恢复此前收到大量批评声的元数据收集项目,它将强制要求各大通信运营商储存近12个月内的电话记录、短信及互联网使用数据。据了解,英国方面希望引进一项监控法案,以此来避开一家欧洲法院(ECJ)于今年4月作出的判决所带给他们的影响。

今年4月,ECJ判决将元数据保存2年时间的法令无效。该法 令在2006年伦敦和马德里发生公共交通爆炸后制定的,旨在为当局提供应对恐怖行动的更好办法。该法令规定,欧洲各大通信供应商应保留近2年内的公民通信 数据。不过,ECJ认为,虽然该项法令是为了对付恐怖组织而推出的,但由于其涉及的范围过于广泛,所以它已经侵犯到了公民应当享受到的最基本权力。另外, 该法院还对数据保留的时长持质疑态度。

据《卫报》报道,在ECJ做出这一判决之后,英国内政部、安全服务及高级政府部长认为有必要采取应对 措施,也就是现在所说的重启数据收集计划。目前,该国国内的大部分政党对此都投出了赞成票,除了自由民主党之外。很显然,反对党工党希望在该法案中加入 “日落条款”,即在某一特定时间之后对保存的数据进行审查。

1.4 韩媒称朝鲜扩编网络战部队 规模约达5900人

据韩国媒体报道,据韩国军方一位消息人士6日透露,韩国军方和情报当局推测朝鲜在最近两年扩编网络战部队,规模约达5900人,比韩方过去估计的3000人增加近一倍。该消息人士还说,朝鲜侦查总局下设有黑客部队,该部队的黑客达1200多人。这些黑客中多数在第三国构筑海外据点,秘密执行网络战任务。

据分析,朝鲜培养的黑客部队规模甚至超过美国。美国于2010年创立网络司令部,据悉网络战部队规模约达8万人,其中专门核心人力达900多人。今年,日本成立网络防卫队,初期编制约90人。

朝鲜于1986年成立指挥自动化大学(前美林大学),每年培养100多名网络专家,据悉1990年成立的牡丹峰大学负责培训黑客

1.5 德发现美卧底间谍 下令驱逐美高层CIA官员

本周,德美两国的紧张局势进一步升级,在得知两名德国情报人员被收买将机密情报发送给美方情报机构后,德方做出了决定驱逐了 美方在德的一名高层CIA官员。BBC报道,驱逐出境的是一名美高层CIA官员,德国官员表示,这是基于去年美国国家安全局对总理默克尔暗中监控和本周的间谍事件 等一系列考虑之后做出的决定。

上周,德国官员逮捕了一名31岁的德国情报官,其被指控与中情局秘密分享情报。而在昨天另一位德国人在柏林的住所遭受了第二次间谍调查的突击检查。据称美国 总统奥巴马对CIA的做法仍不知情,对此指控的报道来自于德国报纸明镜周刊,其在去年报道了2002年以来德国总理默克尔的私人电话一直被NSA暗中监控 的重磅消息。

对于数十年来均是亲密盟友的两国来说,间谍案件引起的转折无疑对其关系造成了重大影响,默克尔试图在谴责美国间谍行为的同时拯救双方关系,报道称其谴责美方对于盟国的情报刺探简直是“浪费资源”。

1.6 中银协:网站曾遭受黑客攻击

针对媒体报道的全国银行业专业人员职业资格考试考生信息泄露一事,中国银行业协会有关负责人23日表示,根据目前技术数据显示,相关网站确实遭受过黑客攻击。协会已会同考试技术服务方提请公安机关立案,将全力追查信息泄露根源,一定依法追究法律责任并严肃处理。

协会得知信息泄露后,第一时间安排重新审视和评估相关工作流程,完善并加强相关保密措施,要求技术服务方检查相关系统、设备,技术服务方也立即响应并采取紧急技术措施,检测服务器可能存在的0Day漏洞攻击行为并已解决。定期通过补丁更新和安全评估,进一步提高涉及考生信息数据库的服务器抗攻击能力。将维持管制措施,将数据库的访问权限保持在最高保密等级,确保考生信息以及下一步的考题信息安全。

针对考试舞弊,中国银行业协会表示,考生一旦考试作弊被抓,或通过考后雷同试卷分析发现作弊,除按照考试纪律严肃处理、记入个人诚信档案系统并向社会公布外,考生是银行从业人员的,将向所在机构通报相关信息并要求进一步处理,提高其违法违规成本。

协会将进一步加强监考、督考、巡考力度,采取多种技术手段包括考生现场照片采集、信号屏蔽仪、考后雷同试卷分析等打击作弊。本次考试将会同各地公安机关共同打击各类考试舞弊行为,依法追究相关机构及人员的法律责任。


2 本周关注病毒

2.1 Trojan.Win32.Fednu.utg(蠕虫病毒)

警惕程度 ★★

病毒运行后把感染代码注入到傀儡进程中,随后,病毒会感染非系统目录的全部可执行文件,当用户运行被感染的程序文件后,该病毒就会释放出多个黑客后门程序,实现病毒连接黑客服务器,上传电脑中的各种文件,接受黑客远程控制端发送的指令。

2.2 Trojan.Win32.Fednu.utf(木马病毒)

警惕程度 ★★

病毒运行后把感染代码注入到傀儡进程中,随后,病毒会感染非系统目录的全部可执行文件,当用户运行被感染的程序文件后,该病毒就会释放出多个黑客后门程序,实现病毒连接黑客服务器,上传电脑中的各种文件,接受黑客远程控制端发送的指令。

2.3 Worm.Win32.Gamarue.o(蠕虫病毒)

警惕程度 ★★★★

该病毒运行后会注入系统进程,并运行其他病毒程序,自我复制至系统文件夹下,修改注册表,实现开机自启动。然后病毒会远程连接黑客指定地址,下载其他病毒至电脑,并收集电脑中的隐私信息,发送给黑客。用户电脑一旦中毒将面临隐私信息泄露的风险。


3 安全漏洞公告

3.1 Microsoft DirectX DirectShow本地权限提升漏洞

Microsoft DirectX DirectShow本地权限提升漏洞

发布时间:

2014-07-08

漏洞编号:

BUGTRAQ ID: 68392
CVE ID: CVE-2014-2780

漏洞描述:

DirectShow是微软公司在ActiveMovie和Video for Windows的基础上推出的新一代基于COM(Component Object Model)的流媒体处理开发包,与DirectX开发包一起发布。
Microsoft Windows Vista SP2, Windows Server 2008 SP2/R2 SP1, Windows 7 SP1, Windows 8, Windows 8.1, Windows Server 2012 Gold/R2版本中,DirectShow存在本地权限提升漏洞,本地用户通过控制某些低完整性进程来执行特制的应用,从而获取提升的权限。

安全建议:

Microsoft已经为此发布了一个安全公告(MS14-041)以及相应补丁:
MS14-041:DirectShow Elevation of Privilege Vulnerability
链接:
http://technet.microsoft.com/security/bulletin/MS14-041

3.2 Microsoft Windows桌面虚拟键盘本地权限提升漏洞

Microsoft Windows桌面虚拟键盘本地权限提升漏洞

发布时间:

2014-07-08

漏洞编号:

BUGTRAQ ID: 68397
CVE ID: CVE-2014-2781

漏洞描述:

屏幕键盘 (OSK) 是 Microsoft Windows 中的一种轻松使用工具,允许用户在其电脑上四处移动并输入文本,而不必使用物理、外部键盘。OSK 会显示一个包含所有标准按键的可视键盘,该键盘可使用触摸屏、鼠标或其他指针设备访问。
Microsoft Windows Vista SP2, Windows Server 2008 SP2/R2 SP1, Windows 7 SP1, Windows 8, Windows 8.1, Windows Server 2012 Gold/R2, Windows RT Gold/8.1版本没有正确限制程序之间键盘和鼠标数据的交换,这可使攻击者通过控制某些进程绕过目标访问限制,启动桌面屏幕键盘OSK,然后上传特制的应用。

安全建议:

Microsoft已经为此发布了一个安全公告(MS14-039)以及相应补丁:
MS14-039:On-Screen Keyboard Elevation of Privilege Vulnerability
链接:
http://technet.microsoft.com/security/bulletin/MS14-039
客户可以配置自动更新,有关自动更新中特定配置选项的信息,请参阅Microsoft知识库文章294871:
https://support.microsoft.com/kb/294871

3.3 Microsoft Windows日志文件处理远程代码执行漏洞

Microsoft Windows日志文件处理远程代码执行漏洞

发布时间:

2014-07-08

漏洞编号:

BUGTRAQ ID: 68396
CVE ID: CVE-2014-1824

漏洞描述:

Windows是一款由美国微软公司开发的窗口化操作系统。
Microsoft Windows Vista SP2, Windows Server 2008 SP2/R2 SP1, Windows 7 SP1, Windows 8, Windows 8.1, Windows Server 2012 Gold/R2, Windows RT Gold/8.1版本中,Windows Journal允许远程攻击者通过.JNT文件,利用此漏洞执行任意代码。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
https://technet.microsoft.com/library/security/ms14-038
https://support.microsoft.com/kb/2971850
https://technet.microsoft.com/en-us/library/security/ms14-jul.aspx

3.4 Cisco IOS及IOS XE Software安全限制绕过漏洞

Cisco IOS及IOS XE Software安全限制绕过漏洞

发布时间:

2014-07-09

漏洞编号:

BUGTRAQ ID: 68463
CVE ID: CVE-2014-3309

漏洞描述:

Cisco IOS是多数思科系统路由器和网络交换机上使用的互联网络操作系统。
Cisco IOS及IOS XE的NTP实现中,对"deny all"配置错误使用了访问组命令,这可使远程攻击者通过标准查询,绕过时间同步的限制。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://tools.cisco.com/security/center/publicationListing.x#~CiscoSecurityResponse
http://tools.cisco.com/security/center/content/CiscoSecurityNotice/CVE-2014-3309

3.5 多个IBM产品Plaintext Credentials信息泄露漏洞

多个IBM产品Plaintext Credentials信息泄露漏洞

发布时间:

2014-07-10

漏洞编号:

BUGTRAQ ID: 68400
CVE ID: CVE-2014-0860

漏洞描述:

IBM BladeCenter是一款高性能企业级服务器。IBM Integrated Management Module是集成管理模块。
多个IBM产品Plaintext Credentials信息泄露漏洞,允许攻击者利用漏洞获取敏感信息或发起进一步攻击。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www.ibm.com/us/en/