当前位置: 安全纵横 > 安全公告

一周安全动态(2014年11月06日-2014年11月13日)

来源:安恒信息 日期:2014-11

2014年11月第二周(11.06-11.13)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级。

 

 

 

1.安全新闻

1.1 男子“黑”进车管系统 消1.4万条违章获利600万

今年1月21日,连云港市灌云县公安局交警大队民警在处理违章记录时吃惊地发现,一辆被扣轿车的数十条交通违章记录连同1万多元的罚款信息,不知何时从市级公安交管综合平台违章系统内消失了。民警调查发现,交警部门并没有这个车主的缴纳罚款记录,进而到省级违章平台查询,却发现该车的违章记录赫然在列。

IT达人李智利用接近公安车管系统的机会,“黑”进连云港市公安局车管系统,不到3年非法删除1.4万多条交通违章记录,给国家造成损失1000多万,自己捞了600多万。日前,李智被依法逮捕,现已移送审查起诉。

案发

数十条违章、万余元罚款信息莫名消失

这起罕见的“黑”进车管系统消除违章记录大案,是在一个极为偶然的情况下意外揭开盖子的。

今年1月21日,连云港市灌云县公安局交警大队民警在处理违章记录时吃惊地发现,一辆被扣轿车的数十条交通违章记录连同1万多元的罚款信息,不知何时从市级 公安交管综合平台违章系统内消失了。民警调查发现,交警部门并没有这个车主的缴纳罚款记录,进而到省级违章平台查询,却发现该车的违章记录赫然在列。

肯定是被什么人做了手脚。灌云县公安机关立即展开调查。深入侦查让警方大吃一惊。原来,就在过去近3年间,当地“黄牛”胡士安、宋丽丽等人,伙同软件研发人员李智侵入公安交管综合平台,直接删除连云港等地的车辆违章记录1.4万多条,造成国家损失1000多万元。

其实,李智还是当地车管部门的一个熟人,负责当地车管系统的软件维护。在认识胡士安、宋丽丽这对“黄牛”夫妻之前,李智被称作青年才俊,新开的公司经营得风生水起。即便东窗事发,很多人都不相信,他会做出这样的事情来。

下水

结识“黄牛”夫妇,小试牛刀删违章

大学毕业后,李智在南京创办了一家信息技术公司,经营计算机软件研发、系统集成维护等项目。到2007年,李智潜心研发的车管所驾校软件系统通过竞标,连续数年进入连云港等多个地方的车管所计算机网络系统。

连云港涉车“黄牛党”中,胡士安、宋丽丽是一对“黄牛伉俪”。身为一家4S店主管,宋丽丽经常利用职务之利,承揽帮车主买保险、年检、过户等业务,挣点“跑腿费”。

2011年4月,为方便购车族直接在4S店上牌,连云港车管部门在4S店安装车辆信息录入系统,李智负责提供安装服务。

当宋丽丽得知连云港车管部门的检测系统、处理违章系统等均为李智研发、安装和维护时,不禁对到4S店安装系统的李智刮目相看,找到机会小心翼翼地询问:“你能不能通过计算机后台,删除车辆违章记录?”意思是让李智采取黑客手段,侵入体系封闭的公安内网,删除交通违章记录。

据了解,各地各级交警在使用公安交管综合平台时,只拥有对应的权限,且由专人负责,客户端软件设有繁复的用户名、密码等安全措施,即使进行系统升级、维护工作,也需要公安内部授权和配合。负责这些系统研发的李智清楚,没有授权,“作业”难度很大。

一个偶然机会,李智到当地车管所进行系统维护时,避开民警的监管,登录处理违章系统后,将事先编好的删除程序输入,非法删掉了一条宋丽丽请托的车辆违章记 录。事后李智发现,经他非法删除后的违章处理系统,车辆违章信息在当地平台上被彻底抹掉了。通过这种鬼鬼祟祟的手段,李智与宋丽丽合作了一段时间,相安无事。

落幕

被以犯“破坏计算机信息系统罪”起诉

有时,一个人的欲望是无止境的。李智并不满足于假借“系统维护”的机会删违章,准备“放手一搏”,宋丽丽听说后反而害怕了,此时“职业黄牛”胡士安挺身而出,接管了老婆的业务:“女人胆子太小。”

这个胡士安果然了得,他通过发展下线“黄牛”拓展业务,并向连云港新浦、灌云等地放话“消除违章,罚款打折”,下线还四处散发“消违章,找黄牛,公安领导不用求”的小广告。

据检察官介绍,胡士安的下线“黄牛”一般按违章罚款金额的80%向车主收钱,截留10%后汇聚到胡士安那儿,胡士安获利20%,其余的大多落入李智腰包,最终车主能省下20%的罚款。

面对接踵而至的大量业务和胡士安的催逼,李智忧喜交集,他相信天天到车管部门做“系统维护”,迟早栽在里面,必须攻破违章记录管理系统。仗着他的精湛技术,这个难题被攻破了,李智顺利实现在网上远程侵入车管网络系统,可以24小时无障碍删除违章记录,他超越了“时空”。

李智开始“大开杀戒”。截至案发,公安机关查明,李智共计非法删除14000余条交通违章记录,涉案金额1000余万元。
李智找到了一条共同“致富”之路,近3年时间,非法敛财600余万元。今年4月,李智、胡士安、宋丽丽及5个欲分一杯羹的“黄牛”先后被公安机关抓获归案。

灌云县检察院认为,李智的行为涉嫌触犯破坏计算机信息系统罪。今年9月,李智被依法批捕。目前,李智已被移送灌云县检察院审查起诉。

(文中人物均为化名)

1.2 苹果iOS 惊现“假面攻击”漏洞 用户易遭黑客攻击

据英国路透社11月11日报道,有研究者称,苹果iOS操作系统出现漏洞,致使大多数iPhone和 iPad存在安全隐患,易遭黑客攻击以获取敏感数据并控制设备。

网络安全公司FireEye 10日发布了关于该漏洞存在安全隐患的细节信息,称黑客通过说服用户安装带有病毒短信、电子邮件以及网络链接的恶 意程序来侵入用户的手机。该恶意程序替代了苹果App Store提供的安全可信的应用程序,包括邮件和银行服务等程序,FireEye公司称该漏洞为 “假面攻击(Masque Attack)。

据FireEye公司称,这些恶意程序可能会用来窃取用户的银行账号和电子邮件登陆信息,或者其他敏感数据。这些现象在网络安全研究领域备受关注。高级研究科学家陶伟在接受采访时表示:“这是威力十足的漏洞,很容易被利用。”

苹果公司的iOS系统一直以来安全性良好,阻挡了感染Windows设备和安卓手机的恶意软件的攻击,这些恶意程序软件通常携带病毒邮件和网络 链接等程序。iOS产品经理David Richardson表示,“假面攻击”利用大批用户可不经苹果App Store,自行配置定制软件的这一现 象,使恶意软件进入用户设备成为可能。

他还说,这些恶意软件并未像App Store提供的程序一样经过苹果公司的审查。不过用户会收到弹出的窗口提示,询问是否阻止安装程序。Richardson补充说:“只要你按下‘取消安装’,就可以保护手机远离此隐患。”

FireEye公司6月份公开了苹果的安全隐患。据该公司高级研究员陶伟(音译)称,公司代表正在研究如何修复该隐患。对此,苹果公司没有给出及时回应。

陶伟还称,10月份,关于苹果存在安全隐患的消息泄露在专业网络论坛上。在该论坛上,许多安全专家和黑客都在讨论苹果的漏洞问题。

他还表示,继网络安全公司Palo Alto上周揭露恶意软件WireLurker后,FireEye公司决定公布此次发现。他说:“到现在为止,WireLurker可能是唯一一个恶意软件,但是未来还会出现更多。”

1.3 以“Darkhotel”为首的黑客团队利用旅馆WiFi窃取高管隐私数据

想必很多企业高管都喜欢选择有WiFi网络的旅馆居住,让移动设备处于联网状态以便于应对各 种事情。在过去四年间黑客利用旅馆的WiFi网络入侵高管电脑窃取私密数据的事件发生频率越来越高,根据本周一卡巴斯基实验室公布的报告显示多支黑客团队 专门在高管入住多的旅馆架设高危WiFi网络用于窃取用户数据,包括日本、中国、俄罗斯、韩国在内的多个国家都相继发生过。

在这些黑客团队中最出名的要属“Darkhotel”,那么他们是如何进行攻击的?卡巴斯基实验室解释道:“黑客实施攻击往往会在高管办理完入住手续,并连 接到旅馆WiFi网络,提交房号和姓氏登陆之后。攻击者在看到高管连接到受感染的网络之后,将木马跟随用户的下载文件安装到设备上,假装是某款受信任应用 (比如Google Toolbar, Adobe Flash或者Windows Messenger)的更新在用户设备上植入后门,然后设备就会感染。”

1.4 外媒首度公开“震网”病毒APT攻击细节

Stuxnet(震网病毒)攻击事件虽然已经过了很长时间,但到目前为止仍然是不少安全研究人员乐于讨论的话题。震网病毒是全球范围内第一个已知的网络武器,利用巧妙、精心设计的机制,对伊朗核设施进行攻击。

本次重温震网事件的原因在于Kim Zetter的新书《Countdown to Zero Day》在近期出版。

这本书里包含了之前从未被披露过的有关震网的信息。有些信息实际上是基于对卡巴斯基实验室全球研究与分析团队的成员——Kim Zetter的采访结果。为了配合新书发行,我们决定公开这些有关震网的,之前从未披露过的新技术。

尽管Stuxnet病毒在四年前就被发现了,业界已有许多论文详细分析过了该病毒。但到目前为止,我们仍然不能肯定什么才是它的原始目标。震网病毒最有可能的目标是攻击铀浓缩离心机的驱动电机,但我们却最终无法确认这些离心机的地理位置。

“Stuxnet 0.5”我们已知的最早的关于震网的信息,但这已经脱离了本文讨论的范畴,本文着重分析出现在2009至2010年之间的,震网病毒的知名变种。

2011年2月,赛门铁克发布了新版W32.Stuxnet分析报告,在分析了3000多个蠕虫样本后,赛门铁克证实了,在2009到2010年期间,震网病毒通过5个组织进行传播,其中有的组织甚至被攻击过多次。


(Symantec报告截图)

赛门铁克的专家们之所以能发现这些信息,是由于该蠕虫的一个奇怪的特征。每当感染一台新的计算机,该蠕虫就就会将该主机的相关信息保存在其自身的日志中。这导致了,通过分析这些蠕虫样本内的信息,我们能够回溯出蠕虫传播的完整路径。


(震网样本中找到的日志信息)

赛门铁克的报告中并未透露这批组织的名字,尽管这些信息对于正确理解蠕虫的传播和分布至关重要。

我们在花了两年时间来收集震网病毒的相关样本,并且分析了2000多个样本之后,目前能够确认在2009到2010年之间,被蠕虫变体感染的第一批受害者。

“Domain A”

Stuxnet 2009年的版本(下文称作Stuxnet.a),创建于6月22日,这是其主模块的编译日期。该蠕虫仅仅在数小时后就感染了第一台电脑,如此短的时间间隔,基本上可以肯定不是通过U盘进行传播的。

受感染的机器名为“KASPERSKY”,在“ISIE”域中。

我们第一次看到这个计算机名时,感到非常震惊。这意味着蠕虫最初是感染了某个反病毒的服务器。该计算机域名“ISIE”,这也为我们确定受感染组织的真实名称提供了一些依据。

假设首台受感染的主机在伊朗,我们推测,这可能是伊朗工业工程师学会(ISIE)或其分支机构的一台主机,但不排除是伊朗以外的一些名为ISIE的其他组织。考虑到受感染的计算机安装了卡巴斯基的反病毒解决方案,我们认为“ISIE”也有可能是一家俄罗斯公司。

确认“ISIE”的真实名称花了我们很长的时间,但最终,我们高度锁定了这个组织。

这是一家叫做 Foolad Technic Engineering Co( FIECO )的伊朗公司,总部设在伊斯法罕。 该公司为伊朗工业设施(主要是那些生产钢铁和电力)生产自动化系统,拥有300名以上的员工。


(该公司的网站截图)

该公司直接参与工业控制系统。

显然,该公司拥有许多伊朗大型工业企业的数据,图纸和计划。值得一提的是,除了影响电机,震网病毒还包含间谍功能,并收集了7个项目的相关信息。

2010年,该公司再次遭受震网病毒攻击,这次使用的是创建于2010年4月14日的震网病毒第三个版本,4月26日,跟2009年同样的,一台"KASPERSKY.ISIE"再次沦陷。

这也许表明蠕虫作者不但认为FIECO公司是通往最终目标的捷径,而且还能收集到有关伊朗工业的信息。

“Domain B”

不止一个组织遭受了多次攻击,其中一次在2009年,二有两次发生在2010年。确切的说,攻击者使用了3个不同的变种的来攻击该目标。

值得一提的是,该组织遭受到了2010年广泛流行的0day攻击。该组织在2010年3月第二轮攻击中被感染,造成了Stuxnet在伊朗乃至全球的蔓延。奇怪的是,2009年6月到2010年5月期间,该组织的感染,却几乎没有蠕虫传播。我们基于以下信息分析了原因。

以编译于2010年3月1日的最普遍的变种(Stuxnet.b)为例,其首次感染发生在编译3个星期后的3月23日。

除了计算机的名称和域名,Stuxnet还记录受感染主机的ip地址。该地址在3月29日发生过更改,这可能意味着这是一台连接过公司局域网的笔记本电脑。

但这是什么公司呢?他的域名“behpajooh”立刻给了我们答案:Behpajooh Co. Elec & Comp. Engineering。

像Foolad公司,这家公司位于伊斯法罕,同时也开发工业自动化系统。 显然,对方有SCADA/PLC的专家。


(该公司的网站截图)

在收集有关Behpajooh公司信息的过程中,我们又发现了一个奇怪的事情,一篇2006年发表于迪拜海湾时报的文章。

文章认为,迪拜公司被指控走私炸弹部件到伊朗。 这批货的伊朗收件人就叫做”Bejpajooh Inc”

那么,为什么Stuxnet在 2010年3月感染Behpajooh后传播最活跃呢? 答案就在从Bejpajooh开始的传播链的第二个机构。

如上所示,4月24日,Stuxnet从Behpajooh的企业网络传播到了另一个域名为“MSCCO”的网络中。我们搜索了所有的可能,最终认定最可能 的受害者是Mobarakeh钢铁公司 (MSC),该公司是伊朗最大的钢铁制造商、伊朗经营规模最大的工业园区之一,距离上面提到的两个受害者Behpajooh和Foolad所在的伊斯法罕也不远。

Stuxnet感染了整个工业园区,以致于感染了该园区内数十家企业的大量计算机,引起了连锁反应,导致蠕虫在两三个月内在各地数以千计的系统中传播。 例如,日志的分析表明,2010年7月感染的这个分支达到了俄罗斯和白俄罗斯的公司电脑。

“Domain С”

在2009年7月7日,Stuxnet2009又攻击了一个新的目标,被攻击的计算机名为“applserver”,所在的域为“NEDA”

在这个案例中,很容就确定的受害组织。 毫无疑问,这是内达实业集团 (Neda Industrial Group),这是一家被美国司法部列在制裁名单中的企业,并被控非法出口违禁潜在军事设施进入伊朗。 这家公司的完整信息可在伊朗观看网站(the Iran Watch site)找到。

跟踪Stuxnet的传播链时,该集团的一家分支机构引起了注意:“据说这是伊朗德黑兰的Nedaye Micron Electronic Company和阿联酋迪拜的Neda Overseas Electronics LLC的控制实体。为水电站、水泥、以及石油、天然气及石化领域,提供工业自动化服务;在20世纪80年代中页,以“NEDA计算机产品”注册成立为一间民营股份制公司”。

NEDA只在2009年7月遭受到了一次攻击,但根据Stuxnet的感染日志来看,蠕虫一直存在于该公司网络中。然而,也许他的目的就不是离开。正如前面提到的,病毒作者对于窃取感染计算机上的“STEP 7”项目信息非常感兴趣。

“Domain D”

2009年的第四例感染发生在7月7日,Neda被攻破的同一天。 有趣的是,从主机名字上判断,感染开始于一个名为SRV1,域CGJ的服务器,就像Neda的情况一样。

那么,什么是CGJ? 我们花了相当长的一段时间来结合搜索引擎和社交网络来寻找答案,最终,我们非常确信,这是Control-Gostar Jahed Company公司 ,伊朗的另一家工业自动化公司。

与Neda不同,Control-Gostar Jahed公司不在制裁名单上。它成为攻击者的目标可能是因为它与伊朗最大的石油生产、冶金、能源等企业有着非常深入的合作。

该公司在2009年只遭受了一次攻击,这补上了已只的攻击链的最后一环。

"Domain E"

第五个“受0day感染的主机”因为他被感染的系统数量而突出。不像以上的案例,这案例中蠕虫在同一天(May 11, 2010)不同时间段从三台电脑开始传播。

3个不同蠕虫内的信息

KALASERVER, ANTIVIRUSPC, NAMADSERVER: 从名字上判断,这之中至少有两个文件包括在此次案例中。

从感染模式上去看,我们基本上可以确定邮件不是这个蠕虫传播的主要途径。一个用户收到一封含有蠕虫的邮件并感染的几率微乎其微。

那么名字中的Kala代表什么?这里有两个比较靠谱的答案但不能确定,都与伊朗核项目中受到制裁的公司有关。

其中之一是Kala Naft,有关这个公司的一份文档在 Iran Watch site网。

事实上Kala Electric(别称 Kalaye Elec tric Co.)是最可能的受害者。鉴于Stuxnet的主要目标是铀浓缩离心机、收集伊朗核项目有用信息,以及蠕虫传播逻辑来看,Kala Electric其实是一个理想的目标。

在所有的企业中,Kala Electric是铀浓缩离心机设备IR-1最主要的供应商。

这个企业没有一个网站,但是在网上有很多有关的信息,都是跟伊朗核项目相关的关键信息。

同样,细节信息也出现在ISIS(科学研究所与国际安全)网站上 www.isisnucleariran.org.

基于伊朗修订过的申报,Kalaye Electric起初是一个被Atomic Energy Organization of Iran (AEOI)收购的私有企业。"Kalaye Electric"的意思是"电子货物",这也暗示出伊朗喜欢使用名字来分别不用机构的目的。伊 朗宣布Kalaye Electric 1995年之后继Tehran Nuclear Research Center成为主要的IR-1离心机部署和测试站点。IAEA报道中称在1997至2002年间,伊朗在Kalaye组装和测试IR-1。自从转移许多 离心机研究和部署活动到位于Pilot Fuel 的Pilot Fuel Enrichment Plant (PFEP),Kalaye Electric一直是最重要的离心机研究和发展中心。

卫星图像 Kala Electric操作设施可以看到,这些图像被认为是离心机部署和测试的场地。

来源: http://www.isisnucleariran.org/sites/detail/kalaye/

据此来看,这个组织被选作传播链中的首要受害者来达到最终的目标,是如此的有理有据。该组织不在09年攻击的目标之中,这不得不令人感到惊讶。

Summary

Stuxnet蠕虫仍然是有史以来最有趣的恶意软件之一。在数字世界中相当于现实世界中1945年的广岛和长崎的原子弹攻击。
为了使Stuxnet能够有效的渗透进入伊朗核计划这种高度防御的军事设施,攻击者有一个需要煞费苦心去解决的问题:怎样让恶意代码偷偷溜入没有网络的环境?把目标指向一些“高利润”的企业是他的解决方案,并且在此取得了成功。

不幸的是,因为设计上的缺陷,Stuxnet开始感染其他组织并且在互联网上传播。蠕虫开始失控,感染了数百万计算机。

当然,最大的疑问是——世界上还有没有其他类似Stuxnet的恶意软件,或者Stuxnet只是一次实验?未来会告诉我们答案。

1.5 黑客盯上了你的车! 莫忽视汽车电子安全

电子技术快速发展在给人们创造便捷的同时,也令很多人为之黯然神伤。前不久好莱坞女星珍妮佛·劳伦斯就因安全性受到公认的苹果iOS系统招来了裸照风波,而 电动汽车巨头特斯拉更是频遭黑客毒手,使之引以为傲的特斯拉MODEL S在极短时间内便沦为了技术狂人手中的提线木偶。是什么让我们平时可以倚仗的安全措施形同虚设?由此引发的风波又会对汽车行业造成哪些冲击?今天我就同您 来简单聊一聊与此有关的一些话题。

● 汽车电子安全隐患可能危及生命

汽车电子技术可能在很多人心中还停留在听听小曲儿、看看小片儿的时代,若问其与行车安全有着怎样的联系恐怕有相当一部分人一时间很难说出个所以然来。其 实,对于当今汽车而言,汽车电子技术应用领域之广可能远远超乎你的想象,仅就关乎行车安全范畴的应用实例而言,诸如定速巡航、并线辅助、主动预防碰撞、电 子驻车等我们耳熟能详的功能就不胜枚举。
这些系统在很大程度上为我们日常的驾车安全保驾护航,可您是否想过,一旦在某些特定情况下与之相关的功能突然失效,其所引发的后果或许会危及生命。举个简 单的例子,如果您正驾车并开启定速巡航功能行驶在高速路上,突遇前方路况异常需要降低车速,可此时定速巡航的控制程序却恰巧出现故障,将会是怎样一番情形。

● 越智能的汽车其对电控系统可靠性要求越高

或许很多对汽车电子技术有着一定了解的人会说我是危言耸听,因为汽车电子技术历经了数十载的发展后,其自身安全性早已做到近乎100%的可靠。例如黑莓旗 下的QNX公司最近推出的汽车安全操作系统,其安全系数便已达到IS0 26262电子系统安全认证的最高等级ASIL D级,通俗地说,该系统每4479年才可能出现一次系统故障,如此低的故障率乍一看的确可以令我们高枕无忧,可事实真的如此吗?

负责该系统研发的工程师坦言,如单纯从系统运行角度而言的确如此,但如遭遇系统外因素的干预,如黑客攻击、病毒入侵,则系统的可靠性势必会因此受到影响,特别是针对智能程度较高的高级汽车,甚至是未来的无人驾驶汽车而言更是如此。原因很简单,越复杂的系统,存在漏洞的可能性就越大,而随着车联网技术的迅速发 展,车与车之间的互联互通正在成为一种发展趋势,一旦这些漏洞被心怀叵测的人所利用,其所波及的范围远远不止某一辆车,甚至会因此蔓延到所有应用此系统的 运行车辆。到那时,您的个人信息、出行路线乃至车辆的操控权都可能成为对方猎取的目标。

● IT企业或将成为汽车安防主力

面对与日俱增的汽车电子系统需求与来自系统外的安全威胁所构成的巨大矛盾,汽车电子系统生产厂商将如何化解这场危机自然成为了人们关注的焦点。俗话说它山 之石可以攻玉,与安防技术实力雄厚的IT企业合作便顺理成章的成为了系统生产商们的不二之选,如对此颇具经验的PC统开发商、或是专攻此道的防火墙软件提 供商都有可能被引入到这场新兴领域的博弈之中。

像我们此前所提到的QNX公司便从其母公司黑莓集团处寻得了不小的帮助,众所周知黑莓的手机产品因强大的安全性颇受各国政要及华尔街精英们的青睐,将其“防 黑”的本领改良到目前汽车电子系统上技术上亦并非难事,固此种模式或将成为各大厂商争相效仿的对象。到那时,从某种角度而言,IT企业会在一定程度上左右 汽车领域的发展。

● 面对汽车电控系统安全汽车厂商能做些什么?

说了半天,话题都是围绕着系统提供商展开的,可对于汽车用户而言,汽车制造商能为汽车电控系统安全做些什么才是更为关心的事,因为人们在购车时看重的是某个品牌的汽车,而不是某个品牌的系统。其实要回答这个问题归根到底只有一条,即合理地制定需求。

具体地说,在汽车厂商车型设计之初,就应根据安全风险合理地提出电控系统应需满足的功能,而不是多多益善。如指纹识别功能的便利与个人信息被盗用风险的权 衡,未来自动驾驶功能与潜在交通安全隐患之间的取舍等等,只有从源头上对风险进行遏制,才是消除隐患最行之有效的途径,而在市场亟需营造噱头的大背景下, 汽车制造企业是否能保持这份理性,着实值得我们深思。

编辑总结:

随着汽车电子技术的发展,汽车变得日趋智能,但随之而来的诸多安全隐患却远未得到普遍范围内的关注。试想,如果有一天,黑客可以轻松发动你的汽车;不费吹 灰之力地从你手中接管车辆的驾驶权;您每天的一举一动都会被他了如指掌;甚至其可以纠集一大群无辜的车子充当打手,那世界将变成什么样?或许您觉得这一切 听起来就足够科幻,距离我们还遥不可及,但很多时候,正是人们意识上的慢半拍给了那些心怀不轨的人以可乘之机,而当我们警醒之际,却早已追悔莫及。


2 本周关注病毒

2.1 Worm.Win32.TaopuLS.b(蠕虫病毒)

警惕程度 ★★

病毒运行后,在windows目录下建立shellnew文件夹,并自我复制为bronstab.exe。同时,病毒将修改注册表,并后台连接黑客指定网址,不断为该页面刷流量,占用用户的电脑资源及网络资源。同时,病毒还将隐藏电脑中所有PDF,XLS,PPT类型文件,并篡改用户的DOC文档。中毒电脑将感染所有接入电脑的U盘和网络中的其他电脑,并向黑客指定网址发送大量垃圾数据。届时用户将出现网路拥堵、电脑运行缓慢等问题,同时,电脑中存储的文件也将面临丢失的风险。

2.2 Worm.Win32.Autorun.ttg(蠕虫病毒)

警惕程度 ★★

该病毒运行后伪装成安全软件程序自我复制至系统文件夹,同时伪装成用户自有文件夹,复制至所有硬盘分区中,被复制的文件夹将被设置为隐藏及只读属性。此外,病毒还将修改注册表,实现开机自启动,并后台连接黑客指定网址,下载其他病毒程序。电脑一旦中毒,用户将面临电脑运行缓慢,网络资源被大量占用,隐私信息泄露、网银账密被盗等风险。

2.3 Trojan.Win32.Generic.175B8BA6(木马病毒)

警惕程度 ★★★

该病毒伪装成音乐文件引诱用户下载,病毒运行后将创建一个傀儡进程svchost.exe,并向其注入代码。同时病毒还会将自身设置成为开机自启动,后台连接黑客指定地址,收集电脑中的隐私信息,上传给黑客。电脑一旦中毒,用户将面临隐私信息泄露、网络账密被窃等风险。


3 安全漏洞公告

3.1 Microsoft XML Core Services远程代码执行漏洞

Microsoft XML Core Services远程代码执行漏洞

发布时间:

2014-11-13

漏洞编号:

BUGTRAQ ID: 70957
CVE ID: CVE-2014-4118

漏洞描述:

Microsoft XML Core Services (MSXML)是一组服务,可用JScript、VBScript、Microsoft开发工具编写的应用构建基于XML的Windows-native应用。
Microsoft Windows Server 2003 SP2, Windows Vista SP2, Windows Server 2008 SP2/R2 SP1, Windows 7 SP1, Windows 8, Windows 8.1, Windows Server 2012 Gold/R2, Windows RT Gold/8.1版本中,XML Core Services (MSXML) 3.0没有正确解析XML内容,在实现上存在MSXML远程代码执行漏洞,远程攻击者通过构造的XML内容,利用此漏洞可执行任意代码或造成拒绝服务(系统状态破坏)。

安全建议:

Microsoft已经为此发布了一个安全公告(MS14-067)以及相应补丁:
MS14-067:Critical Vulnerability in XML Core Services Could Allow Remote Code Execution
链接:http://technet.microsoft.com/security/bulletin/MS14-067

3.2 Microsoft Windows远程权限提升漏洞

Microsoft Windows远程权限提升漏洞

发布时间:

2014-11-13

漏洞编号:

BUGTRAQ ID: 70978
CVE ID: CVE-2014-6322

漏洞描述:

Microsoft Windows FASTFAT驱动程序用于管理FAT32磁盘分区。
Microsoft Windows Vista SP2, Windows Server 2008 SP2/R2 SP1, Windows 7 SP1, Windows 8, Windows 8.1, Windows Server 2012 Gold/R2, Windows RT Gold/8.1版本中,Windows Audio服务存在远程权限提升漏洞,远程攻击者诱使受害者查看构造的网页,利用此漏洞可提升权限。

安全建议:

Microsoft已经为此发布了一个安全公告(MS14-065)以及相应补丁:
MS14-065:Cumulative Security Update for Internet Explorer
链接:http://technet.microsoft.com/security/bulletin/MS14-065

3.3 Microsoft Windows TCP/IP本地权限提升漏洞

Microsoft Windows TCP/IP本地权限提升漏洞

发布时间:

2014-11-13

漏洞编号:

BUGTRAQ ID: 70976
CVE ID: CVE-2014-4076

漏洞描述:

Windows是一款由美国微软公司开发的窗口化操作系统。
Microsoft Windows Server 2003 SP2处理IOCTL时,Windows TCP/IP栈没有正确处理内存对象,tcpip.sys及tcpip6.sys的实现上存在本地权限提升漏洞,本地用户通过构造的IOCTL调用 tcpip.sys或tcpip6.sys,利用此漏洞可获取提升的权限。

安全建议:

Microsoft已经为此发布了一个安全公告(MS14-070)以及相应补丁:
MS14-070:Important Vulnerability in TCP/IP Could Allow Elevation of Privilege (2989935) - 19010
链接:http://technet.microsoft.com/security/bulletin/MS14-070

3.4 Microsoft .NET Framework远程权限提升漏洞

Microsoft .NET Framework远程权限提升漏洞

发布时间:

2014-11-13

漏洞编号:

BUGTRAQ ID: 70979
CVE ID: CVE-2014-4149

漏洞描述:

.NET就是微软的用来实现XML,Web Services,SOA(面向服务的体系结构service-oriented architecture)和敏捷性的技术。.NET Framework是微软开发的软件框架,主要运行在Microsoft Windows上。
Microsoft .NET Framework 1.1 SP1, 2.0 SP2, 3.5, 3.5.1, 4, 4.5, 4.5.1, 4.5.2版本没有正确执行TypeFilterLevel检查,远程攻击者通过向.NET Remoting端点发送构造的数据,利用此漏洞可执行任意代码。

安全建议:

Microsoft已经为此发布了一个安全公告(MS14-072)以及相应补丁:
MS14-072:Vulnerability in .NET Framework Could Allow Elevation of Privilege
链接:
http://technet.microsoft.com/security/bulletin/MS14-072

3.5 Microsoft Internet Explorer 远程权限提升漏洞

Microsoft Internet Explorer 远程权限提升漏洞

发布时间:

2014-11-13

漏洞编号:

BUGTRAQ ID: 70939
CVE ID: CVE-2014-6349

漏洞描述:

Internet Explorer是微软公司推出的一款网页浏览器。
Internet Explorer 10、11版本没有正确验证权限存在远程权限提升漏洞,远程攻击者诱使受害者查看构造的网页,利用此漏洞可提升权限。

安全建议:

Microsoft已经为此发布了一个安全公告(MS14-065)以及相应补丁:
MS14-065:Cumulative Security Update for Internet Explorer
链接:
http://technet.microsoft.com/security/bulletin/MS14-065