当前位置: 安全纵横 > 安全公告

一周安全动态(2015年2月26日-2015年3月5日)

来源:安恒信息 日期:2015-03

2015年3月第2周(3.5-3.12)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级。

 

 

 

1.安全新闻

1.1 斯诺登称新西兰截获中国通信数据:帮美刺探情报

路透社3月11日报道称,根据美国国家安全局(NSA)承包商前雇员爱德华·斯诺登11日披露的文件,新西兰政府的电子监视范围从它的最大贸易伙伴中国一直延伸到南极洲,相关情报与美国及其他盟友共享。报道说,最新披露的文件显示,新西兰间谍机构搜集了约20个国家和地区的通信数据,包括中国、日本、朝鲜、伊朗和南极洲,其中许多国家与新西兰有着密切的贸易联系。

根据这些标注日期为2013年4月的文件,新西兰政府通信安全局(GCSB)把搜集到的情报传递给美国NSA以及澳大利亚、英国和加拿大的情报机构。这4个国家和新西兰一起组成“5只眼”情报集团。

《新西兰先驱报》和“截击”网站刊登了这些文件的内容。文件显示,新西兰GCSB的触角延伸到南太平洋岛国以外的更广地区。

调查性新闻报道撰稿人尼基·黑格对电视一台记者说:"如果只是为了新西兰自身,很难认为我们会针对那些国家开展高技术间谍活动。"

"唯一合理的解释是,我们这么做是在尽责任,或者说在为与美国结盟付费。"

报道说,中国是新西兰的自由贸易伙伴,2014年买走新西兰约20%的出口产品;日本是第4大贸易伙伴。对这2个国家的监视说明新西兰在为了美国而刺探朋友的情报。

今天的爆料还包括NSA对GCSB情报活动的一份评估,称新西兰"始终非常有帮助,能让NSA掌握……美国难以直接获取其情报的地区和国家的情况"。

文件显示,新西兰利用它在怀霍派的卫星拦截基地监视其他国家,并通过其驻外使领馆内的秘密监听点潜入所在国的内部通信网络。

《新西兰先驱报》及"截击"网站的报道称,GCSB及约翰·基总理办公室均对此未予置评。

《新西兰先驱报》及"截击"网站的报道称,GCSB及约翰·基总理办公室均对此未予置评。

资料图片:位于新西兰南岛的"怀霍派"卫星监听站。(图片来源于网络)


1.2 Stuxnet泄密调查或将证实美以卷入Stuxnet开发

设计破坏伊朗核工厂核浓缩设备的Stuxnet蠕虫被认为是美国和以色列联合开发的成果,旨在阻止或减缓伊朗的核武器计划。美国和以色列的联合行动代号为 Olympic Games。这些信息最早是由《纽约时报》记者David Sanger根据消息来源披露的。

《华盛顿邮报》周三报道,美国联邦检察官正在调查退休海军陆战队将军James E. "Hoss" Cartwright 是否向Sanger泄露了高度机密的信息。

这项泄露犯罪调查有可能证实美国和以色列确实是Stuxnet的作者。


1.3 DDR3内存存在硬件漏洞:可被修改数据

在通常,黑客都是研究系统和软件等的漏洞。不过这次黑客把目标瞄准了硬件。根据外媒报道,黑客发现在某些类型的DDR芯片上存在设计缺陷,可以用来提升Linux系统权限。 谷歌的Project Zero博客周一发表文章称,已经将去年科学家发现的在DDR3内存中存在的“位翻转”多次访问内存缺陷变为实际可行的攻击。

为 了保护整个系统的安全性与完整性,DDR3内存每个大的内存块仅由一个给定的应用程序或操作系统进程访问的"沙盒"。黑客现在有能力来修改禁止的内存区域 的内容,这种硬件级别的修改具有深远的影响。它可以允许一个用户或应用程序直接从内存中提升权限而无视系统的限制;黑客能够执行恶意代码或劫持用户或其他 软件的数据。此漏洞只适用于更新的DDR3内存的类型。不过这个攻击对DDR4内存或者包含ECC纠错功能的内存无效。

安全专家马克西伯 恩,称此攻击为"沙盒生成器和断路器"。攻击者并没有给出具体是哪些型号的DDR3内存容易受到攻击(理论上存在"位翻转"漏洞的DDR3内存都可能易被 攻击),攻击演示的平台是运行X86-X64 CPU的Linux计算机,可能在其他系统平台下也可以进行攻击。

虽然说起来很可怕的样子,但由于种种原因,现在,这些攻击似乎是理论多于实际,这是因为:攻击只允许本地,而不是远程。更重要的是,攻击需要在短短的64毫秒进行超过54万次的内存访问。 

安全专家表示如果想要真正解决这个问题,需要更换内存条,比如使用带有ECC功能的DDR3内存,或者升级平台使用DDR4内存。从攻击实施的代价来看,似乎这个漏洞只是看起来吓人而实际可能不会发生。

附注:存在"位翻转"漏洞的DDR3内存模块:


1.4 震网病毒补丁绕过

仅仅花费了10个小时就找到了别人用五年都未找到的漏洞。

德国计算机科学技术的学生Michael Heerklotz用了整个圣诞节假期来阅读《深入零日漏洞》,这是一本叙述震网病毒的发现和其产生的影响的书籍,计算机蠕虫病毒被认为是一种首选的网络攻击武器,它被指责为导致伊朗核武器研发产生严重缺陷的罪魁祸首。

这本书激发了奥格斯堡大学的学生去研究测试震网病毒,尤其是被利用于攻击纳坦兹的铀浓缩设施所使用的Windows shell LNK漏洞。

微软公司在2010年8月时为此漏洞做了补丁更新,并且近四年以来没有再听到有关于这个问题和任何遗留影响的公开报道。我们可以据此假设Windows操作系统已经CVE-2010-2568(Windows Shell LNK文件处理漏洞)做了安全修复。

Heerklotz在一封寄给Threatpost网站的电子邮件中说道:“我想通过在旧版本的Windows XP平台上测试LNK漏洞以便于可以更加深入地了解这个漏洞,然后尝试去弄清楚到底是哪个版本的Windows修复了此漏洞。” 令人惊讶的是,大约过了10个小时,我发现了一个绕过此修复的方法,即通过混淆LNK代码的其它部分来实现,微软公司大概不会对他们做的补丁检查得非常仔细。

Heerklotz在一月份声称他发现了惠普的0day漏洞,在惠普了解到这个漏洞的相关信息之前,是由TippingPoint入侵防御系统最先发现的。系统程序审查了漏洞,产生了概念验证代码,并且最终将这个发现反映给了厂商,厂商商奖赏了发现问题的研究人员并把修复补丁提供给用户更新。

就在昨日,惠普公司披露了Heerklotz的发现的一些细节,数小时之后微软公司也更新了一个补丁来修复震网的漏洞。

Heerklotz说道:"这虽然会有一点棘手,但并不是非常的复杂,使我困惑的是之前并没有人发现(并且公布)它。其他的研究人员同样也已经看过了这个补丁,但是我猜没人投入过多的时间来研究补丁,因为所有的一切表面上都是正常的。"

LNK文件漏洞曾是震网攻击工具的一部分,随着伊朗核计划,美国利用一连串0day漏洞去攻击伊朗的Windows系统设施,这里面就包含有西门子公司负责操作纳坦兹内部离心机的可编程逻辑控制器的缺陷漏洞。

一位名叫Brian Gorenc的零日漏洞研究计划的管理者说道:"这份补丁并没有完全解决Windows shell中link文件的问题,并且仍有遗留的问题。"Gorenc认为,跑Windows将机器漏洞贯穿于WindowsXP时代到如今的Windows 8.1,例如Heerklotz开发利用的概念验证与0day漏洞研究计划作出调整以便跳过验证检测,在这点上微软公司安全公告做得很到位。

从一个更高的层次来看,在USB驱动器被插入一个空气间隙结构的设备之后,震网病毒将会被启动,这是一种装载了利用Windows系统漏洞的设备,并且当用户访问一个含有LNK文件漏洞的目录或者文件夹时就会启动震网病毒。

惠普公司在他的公告文档中说道:"Windows操作系统支持LNK文件,LNK文件定义了一个快捷方式,可以直接访问其他文件或者目录,并且可以从CPL文件(控制面板文件)获取自定义的图标。问题就在于在Windows系统中,图标是从模块(可执行文件或者动态链接库)中载入的。实际上CPL文件其实是DLL文件。"因为一个攻击者可以自定义选择载入哪一个可执行的模块,他还可以使用LNK文件去执行Windows shell中任意的一段代码并且攻击者的权限可以与当前设备的用户一模一样。

在2010年8月发布的补丁中,微软公司的解决方案是将CPL文件能够载入非标准模式的图标作为链接这一功能加入到白名单。

惠普公司在他的公告文档中说出了补丁绕过的细节,并且将其添加到解决内存崩溃的缓解措施上,惠普公司认为这是必须做的。微软公司因为这次事件付出了代价,通过在运行中加载可执行模块来载入这种快捷方式图标,这种决定就像一个十岁小孩所做的决定一样幼稚。

惠普公司称:"Windows操作系统本身可以处理ASLR(缓冲区溢出的安全保护技术)的问题并且将攻击代码加载到可执行内存中。正是因为如此,攻击将会是稳定的,可靠的,并且可以轻松地Windows任何版本中运行。微软公司已经付出了大量的努力去增加利用内存奔溃这一bug的难度。""这是防御者陷入困境的一个典型例子,防御者必须在任何一方面都足够强大,否则攻击者仅仅需要去找到他的一个漏洞就可以进行攻击了。"


1.5 韩国核电站资料再度外泄 黑客威胁"我需要钱"

中新网3月12日电 据韩媒报道,去年年底在网络上公开韩国水电与核电公司(水核电公司)所属核电站资料的黑客12日声称急需用钱,并再度在网上公开韩国核电站资料。

这名自称为"反核电集团"的网络用户当天下午在社交网站上再次留言称"我需要钱",并公开了25份资料,其中包括韩国总统朴槿惠1月初与联合国秘书长潘基文的通话内容、古里1号与2号机组设计图、韩国准备向沙特阿拉伯出口的智能核电机组蒸汽发生器分析资料、内容不明的视频等。

他表示,北欧、东南亚、南美洲等多个地区的国家表示愿意购买韩国核电站相关资料,若将这些资料全部转让出去,会给韩国政府核电站出口造成极大影响。

这名网络用户还威胁称,他会给韩国政府一定的时间,让其好好考虑。希望韩国政府作出明智的选择,不要贪小失大。他还说,若韩国政府有意接受他的要求,由政府来选定交钱的时间和地点,并留下了电子邮件地址。

这名黑客去年12月共5次在网上公开韩国核电站资料,并要求停运古里核电站第一和第三机组、月城核电站第二机组,停运时间为3个月,否则将公开自己手中10多万份核电站资料,并于同月25日进行"第二轮破坏"。

当时韩国政府和水核电公司进入紧急状态,为应对黑客攻击做准备,然而圣诞节前后水核电公司并未遭到攻击,这名黑客从此也不见踪影。韩国政府联合调查团当时认为,被公开的资料因恶性代码而遭泄露,那些恶性代码则通过水核电公司部分退休人员的电子邮件被散播。

 

 


2 本周关注病毒

2.1 Trojan.DL.Win32.Elenoocka.a(木马病毒)

警惕程度 ★★

病毒运行后,在Local Settings\Application Data\temp\下释放doc文件,并创建互斥体达到只运行一个实例的目的。此外,病毒还会后台连接黑客指定网址,下载其他恶意程序至硬盘。电脑一旦中毒,用户将面临网络账密被盗、隐私信息泄露等风险。

2.2 Trojan.PSW.Win32.QQPass.eyg(木马病毒)

警惕程度 ★★

病毒伪装成文件夹图标,诱骗用户点击。病毒运行后设置自身为开机自启动,释放恶意程序C:\Program Files\Windows Media Player\c\,伪装成系统进程,并盗取用户的QQ账号和密码。电脑一旦中毒,用户将面临QQ账号被盗,隐私信息泄露等风险。

2.3 Backdoor.Win32.Rbot.gcy(后门病毒)

警惕程度 ★★★★

病毒运行后自我复制至系统目录,释放恶意DLL文件,并启动svchost.exe 进程加载。病毒还会设置自身为开机自启动,开启后门,执行黑客命令。电脑一旦中毒,用户将面临隐私信息泄露、网络账号被盗,银行卡被盗刷、电脑成为黑客肉鸡等风险。


3 安全漏洞公告

3.1 Siemens SIMATIC S7-300拒绝服务漏洞

Siemens SIMATIC S7-300拒绝服务漏洞

发布时间:

2015-03-12

漏洞编号:

BUGTRAQ  ID: 72973

CVE(CAN) ID: CVE-2015-2177

漏洞描述:

Siemens SIMATIC S7-300是工业环境内的进程控制产品。

Siemens SIMATIC S7-300在实现上存在拒绝服务漏洞,通过TCP端口102或Profibus发送构造的数据包,远程攻击者可利用此漏洞造成受影响设备崩溃,拒绝服务。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://www.siemens.com/cert/advisories
http://www.siemens.com/innovation/pool/de/forschungsfelder/siemens_security_advisory_ssa-987029.pdf


3.2 Elipse E3进程控制漏洞

Elipse E3进程控制漏洞

发布时间:

2015-03-10

漏洞编号:

CVE(CAN) ID: CVE-2015-0978

漏洞描述:

Elipse E3是监测控制和数据采集系统。

Elipse E3应用中存在第三方DLL引起的进程控制漏洞,成功利用后可导致任意代码执行。

 

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://www.elipse.com.br/eng/download_e3.aspx

http://www.elasticsearch.org/downloads/1-3-8


3.3 Microsoft DLL植入远程代码执行漏洞

Microsoft DLL植入远程代码执行漏洞

发布时间:

2015-03-11

漏洞编号:

CVE(CAN) ID: CVE-2015-0096

漏洞描述:

Windows是一款由美国微软公司开发的窗口化操作系统。

Microsoft Windows没有正确处理DLL文件的加载,存在远程代码执行漏洞,通过诱使用户打开远程WebDAV或SMB共享上的某些文件利用此漏洞,成功利用后可导致加载任意库。

安全建议:

Microsoft已经为此发布了一个安全公告(MS15-020)以及相应补丁:
MS15-020:Vulnerabilities in Microsoft Windows Could Allow Remote Code  Execution
链接:http://technet.microsoft.com/security/bulletin/MS15-020


3.4 Microsoft Windows WTS远程代码执行漏洞

Microsoft Windows WTS远程代码执行漏洞

发布时间:

2015-03-11

漏洞编号:

CVE(CAN) ID: CVE-2015-0081

漏洞描述:

Windows是一款由美国微软公司开发的窗口化操作系统。

Windows Text Services没有正确处理内存对象,存在远程代码执行漏洞,可导致在已经登录的用户上下文中执行任意代码。

 

安全建议:

Microsoft已经为此发布了一个安全公告(MS15-020)以及相应补丁:
MS15-020:Vulnerabilities in Microsoft Windows Could Allow Remote Code  Execution
链接:http://technet.microsoft.com/security/bulletin/MS15-020

 


3.5 phpMyAdmin信息泄露漏洞

phpMyAdmin信息泄露漏洞

发布时间:

2015-03-09

漏洞编号:

BUGTRAQ  ID: 72949

CVE ID: CVE-2015-2206

 

漏洞描述:

phpmyadmin是MySQL数据库的在线管理工具,主要功能包括在线创建数据表、运行SQL语句、搜索查询数据以及导入导出数据等。

phpmyadmin由于反射参数在实现上存在BREACH攻击的影响,中间人攻击者可利用此漏洞获取敏感信息。

 

 

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://www.phpmyadmin.net/home_page/security/
https://github.com/phpmyadmin/phpmyadmin/commit/d0f109dfe3b345094d7ceb49df0dbb68efc032ed
https://github.com/phpmyadmin/phpmyadmin/commit/e1a68ad02c5b1a516b3787ce114ef6a6be004630

参考:

http://www.phpmyadmin.net/home_page/security/PMASA-2015-1.php