当前位置: 安全纵横 > 安全公告

一周安全动态(2015年3月19日-2015年3月26日)

来源:安恒信息 日期:2015-03

2015年3月第4周(3.19-3.26)

本周预警状态为二级:有一些严重漏洞发布或网络攻击时间有增多迹象。需对网络和主机进行必要的监控和升级。

 

 

 

1.安全新闻

1.1 斯诺登机密文件揭秘加拿大网络战争系统

据外媒报道,日前,由斯诺登提供的机密文件又向外界曝光了加拿大政府在处理网络战争和反恐这两大问题的信息。文件非常清楚地显示了加拿大通信安全局(CSE)开发了大量用于网络战争的工具和武器。它们不仅可以关闭或毁掉目标网络,而且还能匿名控制它们。报道披露,这些网络工具像是专门为交通、银行、电网等系统攻击开发而出。

不过看起来,CES使用的大部分网络工具都是从NSA那里借来的,但即便如此,它在别国网络入侵中表现得异常活跃。据悉,“中东、南美、欧洲、墨西哥”则都是加拿大的监控对象。

而在此前已经曝光的文件中,加拿大这个名字也已出现过多次,人们常常能在NSA的监控项目中看到它的名字,另外,它被指利用WiFi追踪机场乘客。


1.2 未打补丁的UEFI BIOS被证实易受攻击:影响数百万设备

在近期于加拿大温哥华举办的CanSecWest大会上,两名安全研究人员(Corey Kallenberg和Xeno Kovah)与大家讨论了“你想感染几百万数量级的BIOS?”这一话题。而在现场演示中,他们成功地证实了可以对数以百万计未打补丁的BIOS进行漏洞攻击的可能性。更令人震惊的是,即使是未经训练的普通人,也能够轻松地破解数以百万计的电脑、或者让机器无法使用。

该漏洞适用于自动化的黑客行为

Kallenberg和Kovah表示,这些漏洞UEFI BIOS代码被制造商广泛采用,但供应商提供的补丁几乎从未被最终用户或系统管理员打上,因此这些设备面临着巨大的安全风险。

来自LegbaCore的研究,通过演示进一步证实了"LightEater"漏洞的概念是可行的,而技嘉、宏棋、微星、惠普、华硕等公司的主板BIOS普遍在列。

"LightEater"能够获取漏洞设备的GPG密钥,并将之传输到一个USB便携式存储设备上,而且整个物理接触的过程,耗时不到2分钟。研究人员们重申——该过程可由非技术人员来轻松完成。

随着BIOS安全性正在成为一个重要问题,个人用户也应该提高警惕,并且留意设备制造商提供的更新。包括联想、戴尔和惠普在内的大厂,已经开始开发新补丁。

最后,为了防止系统管理模式遭到攻击,Kallenberg和Kovah也会向制造商们提供他们的威胁检测解决方案。


1.3 电脑散热也能用来窃取数据

气隙系统(air gapped)指,将电脑与互联网以及任何连接到互联网上的电脑进行隔离。目前,这种技术的使用范围仅限于要求高度安全的数据获取过程,例如军事机密网络、零售商处理信用卡和借记卡的支付网络,以及工业控制系统中的关键基础设施运营,另外还有不少记者会用其来保护敏感数据。

断网了就安全?

通常情况下从气隙系统中获取数据,需要对机器进行物理访问,比如USB闪存盘或者电缆。但最近以色列本-古里安大学的研究人员研究出仅使用电脑散热,以及内置热传感器,从气隙系统中电脑获取数据的方法,他们将这种攻击方式称为BitWhisper

通过该方法,黑客将可从受保护系统中获取密码和保护密钥。而使用同样的热量及传感技术,黑客还能向受保护的系统发送恶意指令。

原理是什么?

电脑在工作时会因工作内容的不同,产生不同的热量,除了CPU、GPU以及其他主板组件外,系统下载文件、视频或者上网时都会通过消耗电能而产生能量。电脑内部会内置许多温度传感器来检测热波动,并触发内部风扇冷却系统的开启或关闭。

黑客正是利用了这些温度传感器,该方法有些类似于摩尔斯电码,黑客首先通过控制热量增加来利用目标电脑的温度传感器,然后检测温度并将其转换为“0”“1”,进而发送恶意命令或者接收数据。

研究人员还根据此方法研究出了一种恶意软件,该软件通过获取电脑正常运行时的温度波动进而区分出发送信息时的温度,然后增加一定程度的热量,从而对通信进行干扰。另外,该恶意软件还可以针对其附近区域的电脑系统定期发出一定程度的热量,从而感染系统。

40cm+8比特

目前,该技术仅允许攻击者发送八个比特的数据进行可靠传输,且范围仅限于气隙系统40cm内。虽然这两个条件看似十分严苛,但对于攻击者来说却并非如此。研究人员也表示,在接下来的工作中,重点将是加快传输速度并可在更远的距离进行传输。

研究人员还表示在未来物联网将会成为重要的攻击对象,例如联网的空调系统或者传真机系统都可以通过其温度的波动变化获取数据。而且除了温度之外,光学以及电磁排放等物理手段也可成为获取数据的重要手段。


1.4 Keen Team夺冠消息登纽约时代广场 引全球关注

美国当地时间3月23日,中国超一流安全研究团队Keen Team形象,登上纽约时代广场大屏幕。其中,"世界顶级信息安全赛事五冠王"的字样,格外引人瞩目。

Keen Team登陆纽约时代广场大屏幕

Keen Team在顶级信息安全领域展现出的统治力致使其名声大振,国际影响力获得进一步提升。此次亮相纽约时代广场,就是最好的证明。中国超一流安全研究团队Keen Team在Pwn2Own上的优异战绩和安全技术实力已得到全球性的关注。

纽约时报广场被称为世界的十字路口,是纽约繁盛的娱乐及购物中心,据统计该区域每年人流量达数亿,每日人流量超过30万人次。

美国CNBC报道Keen Team实现三连冠

除了五冠王信息亮相纽约时代广场大屏,国外媒体似乎更关注Keen Team连续三年夺冠的创举。据统计,目前有超过200家国外主流媒体对Keen Team夺三连冠进行报道和转载,并表示祝贺。其中包括美国CNBC,Yahoo, Market Watch,波士顿环球报,华盛顿商业周刊等多家著名媒体。

央视报道Keen Team夺冠画面

国内主流媒体也注意到中国黑客战队取得的好成绩。中央电视台记者全程跟拍Pwn2Own盛况,在新闻频道以《加拿大:中国队网络安全技术挑战赛获佳绩》为题 进行报道,并对Keen Team高级研究员陈良进行采访。陈良表示,参加比赛的目的主要是帮助厂商发现产品漏洞,提高产品安全性,让用户使用更加安全。

业内人士分析,国内外主流媒体之所以关注中国超一流安全研究团队Keen Team,一方面是层出不穷的信息安全事件致使信息安全领域关注度不断提升的大背景。另一方面,Keen Team作为非学术性研究机构,不仅是谷歌黑客天团Google Project Zero团队亚洲唯一一支团队,而且其众多技术研究成果获得国际最高安全领域认可,参加国际顶级黑客赛事Pwn2Own拿下五个冠军的研究员也不尽相同, 其国际顶尖安全研究水平和培养安全人才的能力着实令人惊叹。

据悉,Pwn2Own是全球顶级黑客大赛,由HP ZDI(Zero Day Initiative)主办。从2007开始至2011年每年一届,2012年起每年两届,比赛主要目标为最新的PC端浏览器及相关插件和主流移动端应 用,微软、谷歌等互联网巨头均为赛事提供支持,中国两只一流安全研究团队腾讯电脑管家和360也首次组队参加了今年的比赛,并分别取得了一冠一亚的好成 绩。


1.5 小心中招 POS机严重新型恶意软件肆虐

POS 机是黑客长期以来虎视眈眈的目标之一,最近一种名为“PoSeidon”的新型恶意软件出现了,在复杂性和难缠性上达到了一个新高度。PoSeidon 通过读取存储于 POS 机上的记忆体获取目标客户的信用卡号,之后通过 Luhn algorithrm 核实信用卡真伪。经过核实后的资料将传送到 .ru(俄罗斯)的网域中储存,至于究竟是贩卖信息还是盗取金额,我们就不得而知了。

PoSeidon 可以说是银行木马程序"Zeus"和 POS 恶意软件"BlackPOS"的结合体,这两种恶意软件的杀伤力究竟有多大,看看美国 Target、Home Dopot 近两年的案例就知道了。

PoSeidon 是近年不断冒出的 POS 恶意软件中一个相当复杂的例子,以后的情况也会持续加剧,黑客将加入更复杂的模式以避开 POS 系统的常规侦查程序。相关行业和相关厂商还需时刻保持警惕。

 

 


2 本周关注病毒

2.1 Worm.Win32.Gamarue.aj(木马病毒)

警惕程度 ★★

该病毒运行后修改注册表,实现开机自启动。同时,自我复制至%AllUsersProfile%\Local Settings\目录。病毒还将感染U盘、移动硬盘等移动存储设备,后台连接大量黑客指定网址,向黑客上传电脑硬盘中的敏感信息,并下载更多病毒。用户电脑一旦中毒,将面临隐私信息泄露的风险。

2.2 Worm.Win32.Viking.pf(木马病毒)

警惕程度 ★★

该病毒同时具有文件型病毒、蠕虫病毒、病毒下载器等类病毒的特点,进入用户的电脑之后,它会从网上疯狂下载多个木马到中毒电脑中,窃取用户的网络游戏密码,严重时造成系统完全崩溃。

2.3 Trojan.Heur.JP.avW(木马病毒)

警惕程度 ★★★★

病毒运行后,启动宿主进程,注入代码,修改EIP执行自己的代码,使用户认为是正常的进程,并躲避杀毒软件查杀。中毒后,病毒将盗取电脑中的网络账密,届时,用户将面临隐私信息泄露,网银账号被盗等风险。


3 安全漏洞公告

3.1 HP ArcSight Logger多个远程安全漏洞

HP ArcSight Logger多个远程安全漏洞

发布时间:

2015-03-26

漏洞编号:

BUGTRAQ  ID: 73071

CVE(CAN) ID: CVE-2014-7884

漏洞描述:

HP ArcSight Logger是日志管理软件工具。

HP ArcSight Logger 6.0P1之前版本存在多个安全漏洞,目前影响未知。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

https://h20564.www2.hp.com/portal/site/hpsc/public/kb/docDisplay?docId=emr_na-c04562193


3.2 多个产品SMM本地代码执行漏洞

多个产品SMM本地代码执行漏洞

发布时间:

2015-03-26

漏洞编号:

BUGTRAQ  ID: 73261

CVE(CAN) ID: CVE-2015-0949

漏洞描述:

System Management Mode (SMM)是x86处理器上最高权限执行模式。

多个BIOS实现中允许SMM功能调用SMRAM之外的内存位置,能够访问物理内存的攻击者先破坏SMM调用的函数指针或功能,然后在SMI命令端口0xb2写操作,触发SMM,在SMM上下文中执行任意代码。

安全建议:

目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

http://www.dell.com/support/drivers/us/en/


3.3 PHP '/ext/enchant/enchant.c'堆缓冲区溢出漏洞

PHP '/ext/enchant/enchant.c'堆缓冲区溢出漏洞

发布时间:

2015-03-17

漏洞编号:

BUGTRAQ  ID: 73031

漏洞描述:

PHP是一种通用开源脚本语言。

PHP在/ext/enchant/enchant.c的实现上存在堆缓冲区溢出漏洞,攻击者可利用此漏洞在受影响上下文中执行任意代码。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:

http://www.php.net/downloads.php


3.4 GNU glibc拒绝服务漏洞

GNU glibc拒绝服务漏洞

发布时间:

2015-03-24

漏洞编号:

BUGTRAQ  ID: 73038
CVE(CAN) ID: CVE-2014-8121

漏洞描述:

glibc是GNU发布的libc库,即c运行库。glibc是linux系统中最底层的api,几乎其它任何运行库都会依赖于glibc。

Name Service Switch (NSS)的文件后端没有从基于密钥查询API调用中隔离整个数据库的迭代,当应用在对数据库进行查询时对其迭代,则会进入无限循环,导致拒绝服务。

 

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:


http://www.gnu.org

3.5 Apache HTTP Server 'mod_lua'模块拒绝服务漏洞

Apache HTTP Server 'mod_lua'模块拒绝服务漏洞

发布时间:

2015-03-23

漏洞编号:

BUGTRAQ  ID: 73041

CVE(CAN) ID: CVE-2015-0228

 

漏洞描述:

Apache HTTP Server是Apache软件基金会的一个开放源代码的网页服务器,可以在大多数电脑操作系统中运行

Apache HTTP Server 2.4.13之前版本存在安全漏洞,此漏洞位于mod_lua模块中lua_request.c的lua_websocket_read函数中,在Lua 脚本调用了wsupgrade函数后,远程攻击者发送精心构造的WebSocket Ping帧,利用此漏洞可造成子进程崩溃,导致拒绝服务。

安全建议:

目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:



http://svn.apache.org/repos/asf/httpd/httpd/branches/2.4.x/CHANGES
https://github.com/apache/httpd/commit/643f0fcf3b8ab09a68f0ecd2aa37aafeda3e63ef