当前位置: 安全纵横 > 安全公告

一周安全动态(2014年08月07日-2014年08月14日)

来源:安恒信息 日期:2014-08

2014年08月第二周(08.07-08.14)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级。

 

 

 

1.安全新闻

1.1 恶意软件可以用来预测未来世界冲突

安全公司已经开发出一种技术,通过统计和 监控恶意软件传播,可以预测即将到来的世界冲突。研究人员在过去18个月内监控了百万计恶意软件发送的信息,发现俄罗斯和乌克兰在克里米亚暴发冲突前夕, 恶意软件发送的信息数量大幅飙升。另外,以色列和哈马斯在加沙地带暴发冲突前夕,攻击以色列境内目标的恶意软件攻击次数也大幅度飙升。

安全公司FireEye的研究借鉴了来自世界各地5000多 家企业和政府客户收集的数据。用研究人员使用专门软件捕捉了恶意软件发送的所谓“回叫”信息。恶意软件一旦成功进入目标电脑当中之后,它们通常发送所谓 “回叫”信息,要么报告其状态,要么要求控制者发送新命令,FireEye使用这些信息来确定控制者控制的恶意软件位置。

研究中有趣的发现是,许多以色列开发的恶意软件,通常会安装在美国和加拿大的电脑上。也许以色列国家安全机构正在利用加拿大和美国的基础设施进行活动。目前,很多国家正在使用的恶意软件搜集情报,并积极攻击目标敌对国家。

在过去,美国一直指责伊朗资金赞助对美国能源基础设施和主要能源公司发动的黑客攻击行动。

1.2 一个邪恶的U盘!能够窃取你的一切信息

USB存储设备(U盘)几乎是所有PC用户的必备配件,当然我们也听说过它可以传播电脑病毒,比如你的电脑上感染了某种病毒,它可能会偷偷复制到移动存 储设备上,从而造成传播。但基本上,大部分杀毒软件也具有主动式查杀U盘的功能,当你插入U盘,杀毒软件就会对其进行扫描,保证PC安全。不过事实证明,自动传播病毒并非是U盘的唯一漏洞。在2014黑帽技术大会上(计算机安全类研讨会),两位来自德国柏林的计 算机专家演示了如何通过修改USB主控芯片固件、将各种USB设备改装为黑客工具,包括控制电脑、监控数据等等,几乎可以获得用户的一切资料,非常可怕。

USB设备的“黑暗面”

“我们是一个专注嵌入式安全的黑客实验室”,计算机专家之一Karsten Noll说,“这是我们第一次从嵌入式角度来探讨计算机安全,下面一起来看看USB设备可以被怎样利用到恶意攻击中。”

然后,另一名研究人员Jakob Lell开始了演示:他将一个U盘插入到Windows电脑中,U盘被识别,但不久后,它开始控制USB键盘开始输入命令,远程下载木马。有趣的是,U盘 本身是一个没有存储任何文件的空盘,一切黑客行为自于U盘本身的主控芯片、而不是木马程序。

显然,这是一个非常大的安全漏洞。要知道,你的鼠标、键盘、U盘、摄像头甚至是智能手机,都使用了USB接口,也就是说它们都内置了主控芯片,只要黑客使用类似技术修改固件,那么他们就可以控制任何人的电脑,听上去已经达到了“间谍工具”的级别。

在之后的演示中,研究人员又相继进行了自我复制(感染其他USB设备)、盗取密码、感染BIOS等操作,甚至一款Android手机,都可以成为攻击的来源。

如何防止USB黑客设备?

显然,经过修改的USB设备可以感染其他电脑上的USB设备,这使得预防入侵变得更加困难。研究人员表示,唯一有效的方法就是禁用计算机的USB访问,但这显然影响了计算机的可用性。

另一种提升安全性的方法则来自于厂商。USB厂商可以通过阻止恶意固件的数字签名,来防止这种问题发生,但通常安全加密功能很难应用在小型控制器上,所以暂时来说也不现实。该研发团队还提出了一个可行性较高的想法,便是在USB设备出厂时禁用固件更新,来阻止入侵行为。

总得来说,虽然USB黑客行为并不通过互联网及文件传播,但危害性同样不容小觑。如果掌握类似技术的黑客与一些商家合作,贩卖这种USB设备,那么你身边的 一些“有心人”就可以通过它来窃取你的所有电脑资料,造成极大的危害。所以,任何USB设备都像是一颗“定时炸弹”,在底层技术没有实现安全保障之前,你都要提防它们。

1.3 斯诺登文件披露NSA新软件项目 可自动防御并反制网络攻击

日前,外媒通过对斯诺登提供的文件的分析又发现了一项新的NSA项目--Monstermind,一种全新的网络防御功能。据介绍,这套系统具备了扫描网络攻击并能对该攻击自动建立起防御墙甚至还能反攻击的能力。目前,这套系统的技术现还未完全成熟,它仍旧还处在研发阶段。

一旦这套系统可以投入实际运用,那么这意味着美国在互联网这个战场上获得了一个强有力的工具。

NSA并不是首个提出通过监控网络流量来杜绝恶意软件的机构,此前,SecDev组织的ZeroPoint项目就曾采用过相类似的手段。

现在,Monstermind项目组研发人员还需解决大量的问题,比如当MonsterMind系统开始对攻击源反制的时候,它又该如何避开在僵尸网络攻击 中可能会给中介机产生的附带损害呢?更重要的是,MonsteMind的保护机制是否具备了访问大部分网络活动的能力?这势必会引起人们的担忧。

1.4 监控丑闻对美国科技企业负面影响超出想象

美国国家安全局(National Security Agency)对于隐私数据的持续监控现在已经不再是什么秘密,但这一做法对于美国企业的影响恐怕已不仅仅是数亿美元的金钱损失这么简单了,因为他们的整体企业声望也会因此而受到巨大伤害。电子前线基金会(Electronic Frontier Foundation)法务分析师马克-杰考克斯(Mark Jaycox)认为,NSA暗中在销往国外的电子硬件中安插后门木马程序的做法恐怕不会因为斯诺登事件的持续发酵而就此停止。

“NSA和其他政府机构一样不会就此放弃这一项目,但可能会采用新的形式展开。”杰考克斯说道。

杰考克斯指出,斯诺登事件的爆发已经严重影响了许多美国科技企业和电信公司的业务,而包括思科等一些科技企业高管已经在自己的财报中明确指出了这一点。

“NSA的监控项目严重影响了包括美国云集计算、电信、软件等公司的业务运作。”杰考克斯说。

事实上,在思科发现自己的产品被NSA安插了木马后门程序后,该公司就曾公开抨击称对方的这一做法突破了自己的底线。同时,一名思科发言人也在当地时间周三发送给媒体的电子邮件中重申了公司的立场。

杰考克斯上周前往拉斯维加斯参加了2014年“黑客大会“(Black Hat Security Conference)在,并同与会者讨论了有关NSA试图渗透苹果、Facebook和谷歌这些企业防线的话题,并迫使不少美国硬件、软件厂商的客户开始采用来自华为等中国企业的产品。对此,一名前NSA官员也表示不可至置否。

“NSA监控行动的不断曝光已经在国际上引起了巨大反响,并令外界开始质疑美国企业所开发的安全技术。”该前NSA官员说道。

NSA每年的预算金额从来不对外披露,但美国国家安全局编年史记录者詹姆斯-班福德(James Bamford)预计该机构在2013财年的总预算达到了105亿美元。而且,这一数字极有可能因为反恐斗争和其他一系列因素而在今年进一步提高。

对此,德国政客早在去年就鼓励本国公民采用适当措施来避免数据泄露,该政客给出的方法之一便是避免使用美国云计算服务提供商存储或者发送数据。同时,德国农 业部长弗里德里希(Hans-Peter Friedrich) 也在斯诺登事件爆发后建议“任何担忧数据泄露的用户采用不经过美国服务器的服务来确保隐私安全”。

杰考克斯基于2013年发布的“美国信息 技术和创新基金会”(Technology and Innovation Foundation report)内容指出,已经有不少欧洲国家因为美国情报机构渗透的原因而开始努力发展自己在科技方面的能力,并尽可能的避免同美国科技企业产生交集。

“NSA的行为真正影响到了美国科技领域的发展,这些企业营收迎来损失、声誉受到损害,同时也使我们失去了自己在诸如云计算领域的领导地位。”杰考克斯补充道。

同时,杰考克斯还拿思科作为例子进行了说明。他根据思科此前公布的财报数据表示,思科在该财季的销售迎来了12%的下降,来自巴西和俄罗斯的订单则分别下降了25%和30%。因此,思科还在今年5月发布了一份声明来进行解释:

“本 周有不少媒体报告了有关NSA正在采取措施试图渗透IT产品的消息,其中包括了来自思科的产品。我们同其他国家的企业一样遵守美国法律,并对部分客户和目 的地用户限制了产品出口,因此我们理应相信政府机构不会对我们正常的产品运输进行干扰。否则,这样的做法就侵犯了个人和企业的合法权益,并降低外界对于这 一领域的信任感。”

根据来自美国信息技术和创新基金会的报告指出,因为斯诺登事件的爆发,思科在短期内的营收损失就达到了220-350亿 美元之间,而该公司的最终损失数额可能会更加惊人。当然,这也会促使更多国际客户开始避免选用美国科技企业的产品。举例来说,总部位于加拿大温哥华的云主 机企业Peer 1 Hosting就在近期展开了一次客户调查,调查显示大约有25%的加拿大和英国企业表示自己将会终止与美国数据托管企业的合作。

Peer 1 Hosting 在报告中写道:“25%的企业由于NSA的监控事件而计划将公司数据转移到美国以外的地区托管。加拿大企业相比英国企业对此更为担心,大约有1/3的企业 都表示自己将寻求美国以外地区的数据中心展开合作。而在斯诺登事件爆发后,有高达82%的企业均表示自己会在选择数据托管机构时将隐私安全视为首要考虑因 素。”

最后,杰考克斯还表示NSA事件对于美国科技企业造成的具体负面影响程度可能永远无法被外界准确捕捉。

1.5 黑客称通过WiFi可黑客机卫星通讯设备

据外媒报道,网络安全公司IOActive的研究人员鲁本·圣马尔塔(Ruben Santamarta)宣称,他已经找到通过客机上的WiFi或娱乐系统对卫星通讯设备发起攻击的方法。若这一说法被证实,航空安全将面临巨大挑战。

圣马尔塔计划于本周在拉斯维加斯召开的“黑帽”大会上公布自己研究的技术细节。一年一度的“黑帽”大会可吸引成千上万黑客与安全专家到来,商讨新出 现的网络威胁和改善安全措施。圣马尔塔介绍航天和其他领域使用的卫星通信系统漏洞,有望成为大会上最受关注的议题之一。圣马尔塔说:“这些设备几乎是不设 防的,我的目的是帮助改善这一状态。”

圣马尔塔说,他通过“逆向工程”(或称解码)手段发现专业软件(或称固件firmware )中存在漏洞,这些专业软件被Cobham、Harris、EchoStar's Hughes Network Systems、Iridium Communications以及Japan Radio等用于管理通信设备。

圣马尔塔说,从理论上说,黑客可以使用机载WiFi信号或娱乐系统黑进航空控制设备,扰乱或更改卫星通讯。这将危及飞机的导航与安全设施。但他承 认,自己的袭击仅在受控环境下进行了测试,比如在IOActive位于马德里的实验室中,而在现实世界中很难复制。他决定公开这些发现,以鼓励制造商及时 解决这些高风险安全隐患。

来自Cobham、Harris、Hughes以及Iridium的代表称,他们已经对圣马尔塔的研究进行了评估,可证明其部分发现是真实的,但认 为其说宣称的危险有些被夸大。以Cobham为例,圣马尔塔的研究主要集中于其Aviation 700客机卫星通信设备。该公司称,黑客不可能利用Wi-Fi信号干扰依赖卫星通讯设施的导航和关键安全系统,黑客必须亲身接触到Cobham的设备才能 下手。

Cobham发言人格雷格·凯雷斯(Greg Caires)说:“我们服务于航空和海运市场,有严格的要求,只有经过有权的人才被允许访问这些设备。”Japan Radio发言人拒绝发表评论,称这种漏洞信息不属于公开信息。

圣马尔塔已经于4月份公布25页研究报告,详细阐述了卫星通讯设备固件中存在的众多漏洞。报告中只提及黑客可能发动袭击,但没有提供详细的技术细 节。Harris发言人称,该公司已经评估了圣马尔塔的报告,但认为威胁非常小。Iridium发言人也称:“我们认为用户面临的威胁不大,但我们会采取 预防措施确保用户安全。”

圣马尔塔在卫星通讯设备中发现的一个漏洞是“硬编码”登陆证书,技术人员可使用同样的用户名和密码访问任何设备。而黑客可以通过攻击固件获得这些密 码,然后利用登陆证书访问敏感系统。但Hughes发言人朱迪·布莱克(Judy Blake)说,“硬编码”登陆证书是客服的必要特征,而最糟糕的情况下,黑客可以通过其瘫痪通信链。

“黑帽”大会评估委员会成员文森佐·艾奥佐(Vincenzo Iozzo)说,圣马尔塔的研究标志着研究人员首次确认卫星通讯设备存在的潜在破坏性漏洞。他说:“我不确信能否通过客机娱乐系统对驾驶舱发动袭击,核心 观点是他发现的漏洞令人感到震惊,因为涉及到制造商应该已经知道的基本安全事宜。”

“黑帽”大会始于1997年,一直是黑客们介绍自己突破性研究成果的地方。2009年,查理·米勒(Charlie Miller)与科林·马林纳(Collin Mulliner)证明,可通过恶意短信攻击iPhones,促使苹果公司发布补丁。2011年,杰伊·拉德克利夫(Jay Radcliffe)证明可攻击自动给予患者药物的胰岛素泵,帮助该行业重新审视安全。

 

2 本周关注病毒

2.1 Worm.Win32.Autorun.dkg(蠕虫病毒)

警惕程度 ★★

该病毒运行后自我复制至系统文件夹,实现开机自启动,并创建自动运行文件。此外,病毒还会修改注册表,增加注册表项,后台连接黑客指定网址,为垃圾网站刷取流量,并关闭IE进程,使系统出现异常。电脑一旦中毒,将出现大量网络资源被占用,电脑运行缓慢,浏览器无故退出等问题。

2.2 Worm.Win32.Viking.pf(蠕虫病毒)

警惕程度 ★★

该病毒同时具有文件型病毒、蠕虫病毒、病毒下载器等类病毒的特点,进入用户的电脑之后,它会从网上疯狂下载多个木马到中毒电脑中,窃取用户的网络游戏密码,严重时造成系统完全崩溃。

2.3 Trojan.Win32.Generic.1708187C(木马病毒)

警惕程度 ★★★

该病毒运行后自我复制至系统目录下,删除系统文件Filet.sys,释放感染源,感染文件,破坏杀毒软件程序,修改host文件进行访问劫持,下载更多病毒至电脑,并在完成上述工作后自我删除。电脑一旦中毒,用户将面临隐私信息泄露、网银被盗等风险。

 

3 安全漏洞公告

3.1 CKEditor Preview插件跨站脚本漏洞

CKEditor Preview插件跨站脚本漏洞

发布时间:

2014-08-11

漏洞编号:

BUGTRAQ ID: 69161
CVE ID: CVE-2014-5191

漏洞描述:

CKEditor是用于网页中的WYSIWYG文本编辑器。
CKEditor 4.4.3版本的Preview插件存在跨站脚本漏洞,远程攻击者利用此漏洞可注入任意Web脚本或HTML。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://ckeditor.com/node/136981

3.2 多个D-Link产品'login_mgr.cgi'远程命令注入漏洞

多个D-Link产品'login_mgr.cgi'远程命令注入漏洞

发布时间:

2014-08-12

漏洞编号:

BUGTRAQ ID: 69167

漏洞描述:

D-link专注于无线网络和以太网路硬件产品的设计开发。
多个D-Link产品在'login_mgr.cgi'的实现上存在远程命令注入漏洞,成功利用后可使攻击者在受影响设备上下文中执行任意代码。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://www.dlink.com/

3.3 Microsoft SQL Server本地拒绝服务漏洞

Microsoft SQL Server本地拒绝服务漏洞

发布时间:

2014-08-13

漏洞编号:

BUGTRAQ ID: 69088
CVE ID: CVE-2014-4061

漏洞描述:

Microsoft SQL Server是关系数据库管理系统。
Microsoft SQL Server在处理T-SQL查询时出错,攻击者可利用此漏洞造成系统停止响应,拒绝服务合法用户。

安全建议:

Microsoft已经为此发布了一个安全公告(MS14-044)以及相应补丁:
MS14-044:Vulnerabilities in SQL Server Could Allow Elevation of Privilege (2984340)
链接:
http://technet.microsoft.com/security/bulletin/MS14-044

3.4 Microsoft SQL Server主数据服务漏洞

Microsoft SQL Server主数据服务漏洞

发布时间:

2014-08-13

漏洞编号:

BUGTRAQ ID: 69071
CVE ID: CVE-2014-1820

漏洞描述:

Microsoft SQL Server是关系数据库管理系统。
SQL Master Data Services (MDS) 中存在一个 XSS 漏洞,该漏洞可能允许攻击者在用户的 Internet Explorer 实例中注入客户端脚本。该脚本可能欺骗内容、泄露信息或执行用户可以在网站上代表目标用户执行的任何操作。

安全建议:

Microsoft已经为此发布了一个安全公告(MS14-044)以及相应补丁:
MS14-044:Vulnerabilities in SQL Server Could Allow Elevation of Privilege (2984340)
链接:
http://technet.microsoft.com/security/bulletin/MS14-044

3.5 Microsoft .NET Framework ASLR安全功能绕过漏洞

Microsoft .NET Framework ASLR安全功能绕过漏洞

发布时间:

2014-08-13

漏洞编号:

BUGTRAQ ID: 69145
CVE ID: CVE-2014-4062

漏洞描述:

.NET就是微软的用来实现XML,Web Services,SOA(面向服务的体系结构service-oriented architecture)和敏捷性的技术。.NET Framework是微软开发的软件框架,主要运行在Microsoft Windows上。
Microsoft .NET Framework 中存在一个安全功能绕过漏洞,让攻击者能够绕过地址空间布局随机化 (ASLR) 安全功能,该安全功能有助于保护用户免遭多种漏洞攻击。该安全功能绕过本身不允许执行任意代码。但是,攻击者可以将此 ASLR 绕过漏洞与另一个漏洞(如远程执行代码漏洞)组合使用,从而利用 ASLR 绕过漏洞来运行任意代码。

安全建议:

Microsoft已经为此发布了一个安全公告(MS14-046)以及相应补丁:
MS14-046:Vulnerability in .NET Framework Could Allow Security Feature Bypass (2984625)
链接:http://technet.microsoft.com/security/bulletin/MS14-046