当前位置: 安全纵横 > 安全公告

一周安全动态(2014年10月09日-2014年10月16日)

来源:安恒信息 日期:2014-10

2014年10月第二周(10.09-10.16)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级。

 

 

 

1.安全新闻

1.1 Google发布研究报告: SSL 3.0协议存在漏洞 或被黑客攻击利用

事实证明,人们依赖已久的互联网通信协议——安全套接层(SSL)——已经曝出了一个漏洞。根据Google研究人员公布的报告,SSL 3.0协议中存在一个bug,可被黑客用于截取客户机和服务器之间进行加密的关键数据。该漏洞首选允许攻击者发起降级攻击,即欺骗客户端说服务器不支持更安全的安全传输层(TLS)协议,然后强制其转向使用SSL 3.0。

在强制客户端采用SSL 3.0与服务器进行通讯之后,黑客就可以利用中间人攻击来解密HTTPs的cookies。Google将方式称作POODLE攻击(Padding Oracle On Downgraded Legacy Encryption)。

简而言之,若受到攻击,你的数据将不再加密。鉴于目前没有更好的解决方案,Google研究人员Bodo M?ller、Thai Duong、以及Krzysztof Kotowicz只得强烈建议客户和服务器双方均禁用SSL 3.0。

如此一来,服务器和客户端将默认启用更安全的TLS协议。Google表示将在后续更新中移除旗下所有产品的SSL 3.0支持。事实上,该公司早已放出了一个禁用SSL 3.0的Chromium补丁。

传送门(OpenSSL.Org):

https://www.openssl.org/~bodo/ssl-poodle.pdf

1.2 Windows系统新0day漏洞曝光 已被俄黑客利用于间谍用途

据纽约时报报道,俄国黑客组织已利用未报告的Windows系统0Day漏洞,通过对欧美国家政府机构、北约组织、乌克兰政府等政企电脑发起钓鱼式攻击,感染后的电脑或已被用于间谍用途。咨询安全公司iSight Partners公开了此漏洞,其称在欧洲某些能源与电信政企和某些美国学术组织中的电脑发现了被感染的情况。

相关的黑客行动可追溯至2009年,而被利用的0Day漏洞始于2013年夏季,影响的系统包括Windows Vista版本至Windows 8.1版本的微软视窗操作系统,微软计划于近期发布星期二更新补丁修补该漏洞。值得一提的是,Windows XP系统并不受该漏洞影响。iSight Partners公司称,目前仅发现俄国黑客组织使用了该安全漏洞,感染的电脑集中在部分欧美政府及北约组织。俄国相关黑客组织采用鱼叉式网络钓鱼 (Spear phishing)进行攻击,包括发送包含受感染文档的电邮至目标电脑,使得黑客获得该电脑的控制权,这些文档具体的内容都和乌克兰-俄罗斯危机有关。

1.3 美国:不允许任何人控制互联网

美国政府重申他们对互联网管理的立场,称现阶段多方共同管理是最佳的方式。在互联网名称与数字地址分配机构,美国商务部长Penny Pritzker表示,美国将“不允许全球互联网被任何人,组织或国家用自己狭隘的世界观影响这个社区的集体智慧”。至少这说明美国人意识到了互联网面临的危险。

今年早些时候,美国电信和信息管理局(NTIA)决定“转型”从互联网管理者到“全球利益相关组织”。这一决定出台以后并非没有遭到批评。有人当时就质疑这种调整是否会导致互联网被某个专制政府所控制,或者是被某个屈服于现有政权意志的官僚机构所掌控?

Pritzker还坚定的说:“下周,在韩国召开的国际电信联盟会议上,我们将看到有人会提议让部分国家政府负责互联网治理。你可以放心,美国政府将会一直表示反对。”

互联网治理绝非小事,但这种事情可能最好还是交给具有合作精神的机构处理,而非某个国家或国际性机构。你相信谁能胜任这一任务呢?

在斯诺登披露了美国打着国家防务的幌子破坏互联网核心架构的详情以后,人们已经牢记了这种教训。随后,多方利益相关者社区的部分成员对美国的做法 提出了批评 ,呼吁美国加快放弃互联网治理领导权。

Pritzker还表示:“在全球有关对互联网治理的讨论上,我也是你们中的一员。我们会继续保护一个自由和开放的互联网。”她今天这番话也重申了NTIA负责人在几周前的表态 。因此,美国政府似乎在有关互联网治理的计划上保持了内部一致。

虽然最后的结果可能拒绝联合国或其他某个组织对互联网的控制,但是传统的道德保守主义势力应该不会允许一次投票就轻易改变互联网的言论自由。互联网对他们来说太重要了。

1.4 黑客称获得近700万个Dropbox用户账号及密码

据外媒报道,日前,有黑客宣称,他们已经攻破Dropbox并拿到近700万名用户的登录信息。黑客表示,只要有人愿意向他们捐赠比特币,那么他们将会对外公布更多的密码。对此,Dropbox并不承认黑客口中的说法。这家公司表示,黑客则是通过第三方服务商偷走用户数据的。

美国中部时间10月13日下午4点10分,黑客在Pastebin公布了一份含有400个邮箱账号及与之配对的纯文本密码的表单。据悉,这些被公布的邮箱都是以"B"字母开头。

目前还不清楚黑客口中的这些账号和密码是通过何种方式获取,而且这些数据的真实性也有待考证。不过,黑客宣称,他们已经获得了693,7081个账号,并威胁将对外公布照片、视频及其他文件。

Dropbox发言人对这一攻击做出否认,并表示这些账号都来自于第三方服务平台。即便如此,The Next Web报道称,Dropbox向已经出现在Pastebin表单中的用户发出了更换密码的警告。另外,它还向用户提供了两步验证功能,以此更好地保护他们的账号。

1.5 南京学生QQ被盗被骗15万 盗号背后暗藏产业链

一个来自广西小山村的木讷农民,从没踏进南京一步,却通过QQ骗取了南京大学生15万余元。昨日,此案在秦淮区法院开庭。一个文化程度不高、更不会编写木马程序的农民,是如何盗取QQ号的呢?随着庭审的进行,一个盗号产业链初露端倪。

案例:南京一学生QQ上被骗走15万

昨日,站在法庭被告席上的游某瘦小、胆怯、木讷,让人很难将他与诈骗、网络高科技犯罪联系在一起。

据检察机关指控,2014年6月11日,游某与他人在其住处广西壮族自治区宾阳县滨州镇宝水村委会同义村一队20号,通过被盗的QQ号,非法获取了南京学生 马某同学的个人信息,再冒充马某同学与马某进行QQ聊天,编造继续借用马某的银行账户向亲属汇款的虚假事由,并提供已向马某支付对等金额虚假交易截图,骗 取马某的信任。让马某三次向其控制的银行账户汇款,共计骗得人民币15.3万元。

远在广西小山村的游某,是如何盗取马某同学QQ号的呢?庭审中,游某向法官表示,自己没读过多少书,不会编写木马程序,他们所使用的木马病毒和盗号工具都是从网上购买的。

调查:QQ盗号案背后暗藏产业链

在这起QQ盗号案中,盗号者游某本人并不会编写木马程序,他所使用的木马病毒都是从网上购买的。这意味着在盗号者背后还有一个强大的技术团队,他们将编制的木马病毒程序在网上售卖给下游的QQ盗号者,并以此牟利。

随着庭审的进行,游某断断续续的交代让背后暗藏的庞大产业链浮出水面。据了解,游某等人盗号采用的工具就是木马程序和盗号工具,其中使用最频繁的是盗号工具。

盗号者盗号成功之后,会将盗取的QQ号批量出售给下家。下家购得大量QQ号之后,先进行筛选,这就催生了另外一个需求:“洗号”。洗号软件可以在不登录的情 况下查到QQ的相关信息,用洗号软件查1000个QQ号的信息需要一到两个小时。如果QQ号上有QQ币,他们就会将其折价卖给他们的下家。洗号之后,一部 分QQ号就流入到诈骗团伙手中。对于有诈骗价值的QQ号,诈骗者会通过QQ聊天的方式,骗取钱财。

至此,木马制作——售卖——感染盗号——洗号——诈骗的产业链条,已经清晰呈现。

尴尬:QQ号不属刑法财产保护对象

记者在采访中了解到,对于QQ号频频被盗现象,QQ用户往往很无奈,因为无法报案,只能不了了之。这其中主要原因是我国法律目前对于单纯的盗取QQ号行为,尚缺乏相应的法律约束,这使得QQ盗号的作案成本大大降低,成为QQ盗号猖獗的一个重要原因。

据了解,我国《宪法》和《民法通则》只对公民的合法收入、储蓄、房屋和其他合法财产予以认可,《消费者权益保护法》、《计算机信息系统安全保护条例》等法律 法规和行政规章中,也没有对网络虚拟财产提供保护条款。QQ账号等虚拟财产一旦受到侵犯,难以通过现行法律得到保护。法官表示,目前我国的司法实践领域对 盗窃此等QQ账号行为的认定尚属空白,尚无明文将QQ号码等网络账号纳入刑法保护的财产之列,因此QQ号码不属于刑法意义上的财产保护对象。

新闻链接:QQ号防盗技巧:

1.定期对系统进行扫描杀毒。

2.QQ密码最好在第一位或最后一位加上一个空格,或者直接使用汉字作为登录密码。

3.如果号码出现异常要马上修改密码。

4.万一号码被盗,不要在第一时间去申诉,而是首先对系统进行杀毒处理,这样可以避免你的邮箱密码也被黑客拿到。

5.若有人登录了您的账号,并冒充您向好友发送诈骗信息,请立即修改密码或先紧急冻结账号。 然后,向手机发送验证码,重新设置密码。


2 本周关注病毒

2.1 Trojan.Script.BAT.StartPage.fp(后门病毒)

警惕程度 ★★

该病毒会在桌面上生成一个和原来的IE图标完全相同的图标,用户打开这个假的IE图标就会访问黑客指定的网站。病毒还会劫持浏览器的搜索引擎和多种第三方浏览器软件,到达提高网站点击率的目的,并且还会在后台下载安装流氓软件。

2.2 Trojan.Script.BAT.Agent.em(木马病毒)

警惕程度 ★★

该病毒运行后降低Windows操作系统的安全性,使黑客通过IPC来进入中毒的操作系统,随意启动停止包括防火墙在内的服务, 并打开磁盘共享,根据其他病毒内容,增加管理员帐户,最终降低电脑的安全性,使黑客获得管理员权限,达到进一步恶意操作的目的。

2.3 Trojan.Win32.KillAV.csw(木马病毒)

警惕程度 ★★★

病毒运行后,病毒运行后通过内核接口向内核读写数据,修改重要的监控函数,迫使杀毒软件监控瘫痪,并通过释放恶意程序,将恶意代码插入资源管理器的进程中。除此之外,病毒还将后台下载各种恶意软件,并连接远程服务器,等待黑客的后续指令。受到该病毒攻击的用户将面临硬盘数据丢失、隐私信息被盗等威胁。


3 安全漏洞公告

3.1 Oracle MySQL Server远程安全漏洞

Oracle MySQL Server远程安全漏洞

发布时间:

2014-10-16

漏洞编号:

BUGTRAQ ID: 70487
CVE ID: CVE-2014-6559

漏洞描述:

Oracle MySQL Server是一个轻量的关系型数据库系统。
Oracle MySQL在MySQL Server组件的实现上存在远程安全漏洞,此漏洞可通过MySQL Protocol协议利用,未经身份验证的远程攻击者可利用此漏洞影响受影响组件的机密性。该漏洞的影响版本包括:5.5.39及之前版本,5.6.20 及之前版本。

安全建议:

Oracle已经为此发布了一个安全公告(cpuoct2014-1972960)以及相应补丁:
cpuoct2014-1972960:Oracle Critical Patch Update Advisory - October 2014
链接:http://www.oracle.com/technetwork/topics/security/cpuoct2014-1972960.html

3.2 多个微软产品任意内存写权限提升漏洞

多个微软产品任意内存写权限提升漏洞

发布时间:

2014-10-15

漏洞编号:

BUGTRAQ ID: 68764
CVE ID: CVE-2014-4971

漏洞描述:

微软 (Microsoft),是一家总部位于美国的跨国电脑科技公司。
多个微软产品(例如Bluetooth Personal Area Networking、MQ Access Control)存在多个权限提升漏洞,这些漏洞源于MQAC.sys及BthPan.sys驱动程序内的错误,通过发送特制的IOCTL请求,本地攻击 者可利用此漏洞注入内存到任意位置、写入数据、获取内核级别的权限。

安全建议:

Microsoft已经为此发布了一个安全公告(MS14-062)以及相应补丁:
MS14-062:Vulnerability in Message Queuing Service Could Allow Elevation of Privilege
链接:http://technet.microsoft.com/security/bulletin/MS14-062

3.3 SSL 3.0 POODLE攻击信息泄露漏洞

SSL 3.0 POODLE攻击信息泄露漏洞

发布时间:

2014-10-14

漏洞编号:

CVE ID: CVE-2014-3566

漏洞描述:

SSL3.0是已过时且不安全的协议,目前已被TLS 1.0,TLS 1.1,TLS 1.2替代,因为兼容性原因,大多数的TLS实现依然兼容SSL3.0。
为了通用性的考虑,目前多数浏览器版本都支持SSL3.0,TLS协议的握手阶段包含了版本协商步骤,一般来说,客户端和服务器端的最新的协议版本将会被 使用。其在与服务器端的握手阶段进行版本协商的时,首先提供其所支持协议的最新版本,若该握手失败,则尝试以较旧的协议版本协商。能够实施中间人攻击的攻 击者通过使受影响版本浏览器与服务器端使用较新协议的协商的连接失败,可以成功实现降级攻击,从而使得客户端与服务器端使用不安全的SSL3.0进行通 信,此时,由于SSL 3.0使用的CBC块加密的实现存在漏洞,攻击者可以成功破解SSL连接的加密信息,比如获取用户cookie数据。这种攻击被称为POODL攻击 (Padding Oracle On Downgraded Legacy Encryption)。
此漏洞影响绝大多数SSL服务器和客户端,影响范围广泛。但攻击者如要利用成功,需要能够控制客户端和服务器之间的数据(执行中间人攻击)。

安全建议:

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
参考:
https://www.openssl.org/~bodo/ssl-poodle.pdf
http://googleonlinesecurity.blogspot.com/2014/10/this-poodle-bites-exploiting-ssl-30.html
https://technet.microsoft.com/en-us/library/security/3009008

3.4 Apache POI OpenXML解析器XML外部实体信息泄露漏洞

Apache POI OpenXML解析器XML外部实体信息泄露漏洞

发布时间:

2014-10-14

漏洞编号:

BUGTRAQ ID: 69647
CVE ID: CVE-2014-3529

漏洞描述:

Apache POI是用Java编写的开源跨平台Java API,可以读写Microsoft Office格式档案。
Apache POI 3.10.1之前版本在OPC SAX设置中存在安全漏洞,允许远程攻击者通过包含XML外部实体声明及实体引用的OpenXML文件,利用此漏洞可读取任意文件。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://poi.apache.org/changes.html
http://www.apache.org/dist/poi/release/RELEASE-NOTES.txt
https://lucene.apache.org/solr/solrnews.html#18-august-2014-recommendation-to-update-apache-poi-in-apache-solr-480-481-and-490-installations

3.5 Zend Framework身份验证绕过漏洞

Zend Framework身份验证绕过漏洞

发布时间:

2014-10-13

漏洞编号:

BUGTRAQ ID: 70378
CVE ID: CVE-2014-8088

漏洞描述:

Zend Framework (ZF) 是一个开放源代码的 PHP5 开发框架,可用于来开发 web 程序和服务。
Zend Framework 1.12.9, 2.2.8, 2.3.3版本在实现上存在身份验证绕过漏洞,攻击者可利用此漏洞绕过身份验证机制,获取未授权访问权限。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://framework.zend.com/security/advisory/ZF2014-05
http://framework.zend.com/blog/zend-framework-1-12-9-2-2-8-and-2-3-3-released.html