此页面上的内容需要较新版本的 Adobe Flash Player。

获取 Adobe Flash Player

通知公告
当前位置: 首页 通知公告
名称:  吉林省互联网网络安全情况月度通报(2017年05月)
索引:  K08260953/2017-02611 发布机构:  吉林省通信管理局办公室
生成日期:  2017-6-27 15:59:03 文号:  
信息分类:   关键词:  
内容概述:  吉林省互联网网络安全情况月度通报(2017年05月)
吉林省互联网网络安全情况月度通报(2017年05月)
发布时间:2017-6-27 15:59:03  

  1.情况综述
  2017年5月,我省互联网络总体运行情况良好。基础网络运行总体平稳,互联网骨干网各项监测指标正常,未发生较大以上网络安全事件。
  2.本月网络安全事件处置情况
  本月,吉林分中心按照及时响应、快速处置的工作原则共处置各类网络安全事件102起,其中包括网页篡改事件24起、网站后门3起、漏洞事件74起,网页仿冒1起;协调省内各基础电信企业上报事件1065起,均已及时处理。
  净化省内网络安全环境,协调各基础电信企业共处置木马和僵尸网络控制端108个,受控端773个;处置被蠕虫病毒感染IP703个。
  3.本月重要漏洞情况
  3.1 Intel AMT远程权限提升漏洞
  3.1.1 漏洞情况分析
  Intel AMT全称为INTEL Active Management Technology(英特尔主动管理技术),这项预设的功能使用基于Web的控制页面,通过远程端口让管理员远程管理主机系统。由于Intel AMT可视为集成在芯片组中的嵌入式系统,其在操作系统关机时通过KVM(键盘、显示器、鼠标控制器)、IDE-R(IDE重定向)、SOL( LAN 上串行)等硬件接口管理主机系统。
  近期互联网上公开了漏洞原理,存在漏洞的代码主要涉及:if(strncmp(computed_response, user_response, response_length))exit(0x99)。AMT服务使用HTTP摘要认证和Kerberos验证机制,服务器使用strncmp()函数对客户端发送的、服务端存储的两个字符串比较进行符合性匹配。由于Intel开发人员错误地把user_response而非computed_response的长度放到了strncmp()函数中,导致未授权的用户发送user_response空值(null)通过验证登陆系统。
  CNVD对该漏洞综合评级为“高危”。
  3.1.2 漏洞影响产品
  漏洞影响到采用Intel AMT技术的产品,涉及Intel公司的Active Management Technology (AMT), Intel StandardManageability(ISM)和Intel Small Business Technology(SBT)软件,版本包括6.x, 7.x, 8.x 9.x, 10.x, 11.0,11.5和11.6,但不影响6.x以前及11.6以后的版本。此外,由于该技术在诸多品牌电脑主机上广泛采用,例如:惠普(HP)、联想(Lenovo)、戴尔(Dell)、富士通(Fujistu),因此,受到影响的PC终端用户也较为广泛。根据CNVD秘书处普查结果,互联网上可见且采用了AMT软件的主机数量为2.8万台,采用ISM软件的主机数量3400余台。
  3.1.3漏洞处置建议
  英特尔已经发布了新的固件版本并供了指导文件以及提供检测主机或工作站是否运行了AMT, ISM或SBT的工具。详情请参阅:
https://newsroom.intel.com/news/important-security-information-intel-manageability-firmware/。对于不能升级固件的用户,国外安全研究者Bart Blaze在GitHub上也发布了关闭Windows系统ATM功能的工具(DisableAMT.exe),通过关闭Windows操作系统(x86和x64系统)中的AMT功能也能有效防范攻击威胁。工具链接:https://github.com/bartblaze/Disable-Intel-AMT
  3.2 Microsoft Malware Protection Engine存在远程代码执行漏洞
  3.2.1 漏洞情况分析
  Microsoft Malware Protection Engine是微软出品的恶意代码防护解决方案,被默认安装在Windows 8及上版本的操作系统中,对于Windows 8以前的操作系统中也很可能随着系统更新被安装。
  近日微软发布安全通告,MalwareProtection Engine在实现机制上被发现存在一个远程命令执行漏洞,远程攻击者可能利用此漏洞通过向攻击对象发送恶意构造的文件(由邮件、网页、即时通信工具等渠道)在系统上以最高权限执行任意指令。
  CNVD对该漏洞综合评级为“高危”。
  3.2.2漏洞影响产品
  影响范围包括全部主要版本的Windows操作系统,以下所有软件如果使用了Microsoft Malware Protection Engine(mpengine.dll)版本<=1.1.13701.0,则受此漏洞影响:
  1. lMicrosoft Forefront Endpoint Protection 2010
  2. lMicrosoft Endpoint Protection
  3. lMicrosoft Forefront Security for SharePoint Service Pack 3
  4. lMicrosoft System Center Endpoint Protection
  5. lMicrosoft Security Essentials
  6. lWindows Defender for Windows 7
  7. lWindows Defender for Windows 8.1
  8. lWindows Defender for Windows RT 8.1
  9. lWindows Defender for Windows 10, Windows 10 1511, Windows 101607, Windows Server 2016, Windows 10 170
  10. lWindows Intune EndpointProtection
  3.2.3漏洞处置建议
  检查是否安装更新,对于受影响的软件,请验证Microsoft恶意软件防护引擎版本是否为1.1.13704.0或更高版本。企业反恶意软件部署的管理员应确保其更新管理软件被配置为自动更新和部署,该更新会在48小时内生效。有关如何手动更新Microsoft恶意软件防护引擎和恶意软件定义的详细信息,请参阅Microsoft知识库文章2510781:
  
https://support.microsoft.com/zh-cn/help/2510781/microsoft-malware-protection-engine-deployment-information
  如果短期内无法更新WindowsDefender系统,请在系统的服务管理器中关闭Windows Defender服务。
  3.3 Joomla! com_fields组件存在SQL注入漏洞
  3.3.1 漏洞情况分析
  Joomla!是一套基于PHP的开源内容管理系统(CMS)。可用于搭建商业网站、个人博客、信息管理系统、Web服务等,还可进行二次开发以扩充使用范围。
  “com_fields”是Joomla! 3.7.0版本中引入的一个新的组件,在该组件的.MarchModelFields模型下的 ./administrator/components/com_fields/models/fields.php文件中,有一个getListQuery方法对用户输入传入到list.fullordering未进行有效过滤,攻击者利用该漏洞不需要任何身份认证,通过给URL添加适当的参数(/index.php?option=com_fields&view=fields&layout=modal&list[fullordering]=),注入嵌套的SQL查询即可获取数据库敏感信息。
  CNVD对该漏洞的综合评级均为“高危”。
  3.3.2 漏洞影响产品
  漏洞影响Joomla! 3.7.0版本,由于存在漏洞的是Joomla!核心组件,采用该版本的网站服务器均受漏洞影响。根据CNVD秘书处对Joomla!应用情况的普查(暂不区分具体版本),互联网上约有43万台网站服务器部署应用Joomla!。按国家和地区分布,美国、德国、中国位居前三,分别占比56.5%、4.9%、4.3%;按容器软件类型区分,Apache约占60.7%,Nginx约占25.6%,IIS约占2.7%,其他未知容器软件约占11%。目前3.7版本比例占比较少,但随着用户后续升级,有可能进一步增加数量。
  3.3.3漏洞处置建议
  厂商已发布了漏洞修复方案,用户可将程序升级至3.7.1版本:
  
https://downloads.joomla.org/cms/joomla3/3-7-1   
  3.4 Samba存在远程代码执行漏洞
  3.4.1 漏洞情况分析
  Samba是运行于Linux和UNIX系统上实现SMB协议的软件,实现不同计算机之间提供文件及打印机等资源的共享服务。Samba现在已经实现Unix和Linux机器与各种Windows网络功能(包括Active Directory和Windows Server Domain)进行互操作的方法。
  Samba从3.5.0版本开始的几乎所有版本均存在远程代码执行漏洞,且该漏洞已存在7年之久。成功利用漏洞需要满足以下三个条件:
  1. 在互联网上开启文件和打印机共享的445端口,可以通过该端口与存在漏洞的主机进行通信。
  2. 配置共享文件目录为可写权限。
  3. 攻击者已知或可猜测出对应文件的路径。
  该漏洞主要原因是is_known_pipename函数中的pipename参数中存在路径符号问题,远程攻击者通过构造一个有’/’ 符号的管道名或路径名,利用客户端将指定库文件上传到具有可写权限的共享目录加载恶意文件并提权到samba所在服务器的root权限,造成任意代码执行。
  CNVD对上述漏洞的综合评级为“高危”。
  3.4.2 漏洞影响产品
  漏洞影响Samba3.5.0及3.5.0和4.6.4之间的任意版本(不包括4.5.10、4.4.14、4.6.4)。
  3.4.3漏洞处置建议
  厂商已经在4.6.4、4.5.10、4.4.14等版本中修复了该漏洞,请参考如下方式进行升级:
  1. 使用源码安装的Samba用户,请尽快下载最新的Samba版本手动更新:
  
https://download.samba.org/pub/samba/stable/samba-4.6.4.tar.gz
  
https://download.samba.org/pub/samba/stable/samba-4.5.10.tar.gz
  
https://download.samba.org/pub/samba/stable/samba-4.4.14.tar.gz
  2. 使用二进制分发包(RPM等方式)的用户立即进行yum,apt-get update等安全更新操作。
  临时解决方案:
  无法立即修复漏洞的用户可以通过在Samba配置文件中smb.conf的[global]节点下增加添加如下代码并重启服务阻止客户端安全访问网络服务器:
  nt pipe support = no
  4.网络安全要闻
  4.1印度1.35亿公民身份信息和1亿条银行账户信息被泄露
  5 月4日消息 2010年9月,世界上最庞大最复杂的生物身份识别系统(UID,又称Aadhar计划),在印度马哈拉施特拉邦一个部族村落里宣告启动。该项目由印度身份证管理局执行,作为全球规模最大的生物识别ID系统,截至2017年2月28日,这个印度建立的Aadhaar项目已经采集超过11.23亿人的生物识别数据,包括照片、十指指纹和虹膜扫描,为每个印度居民提供了一个独一无二的 12 位身份证明编号。该身份证明编号与手机号和银行账户绑定。根据印度互联网与社会中心(简称 CIS)的一项调查结果,此次经由4个印度政府门户站点泄露的Aadhaar公民身份信息总量或高达1.35亿条,除此之外,还有1亿银行帐户也不慎曝光。这一泄露事故将造成重大后果并“引发潜在且不可逆转的隐私危害”,此类公民信息可能被用于实施多种非法目的。Sundararajan 证实称,印度IT立法机构将在随后的立法修正案当中解决由此类信息发布所造成的安全与隐私问题。
  ——(来源:E安全)
  4.2 Netrepser网络间谍活动危及全球 500余家政府机构
  5月7日消息 据外媒5月6日报道,Bitdefender安全专家发现一起网络间谍活动,攻击者利用恶意软件Netrepser危及全球500余家政府机构。Bitdefende安全公司于去年5月首次发现Netrepser木马样本。安全专家在分析C&C服务器数据后证实恶意软件至少感染了500余台电脑,这些设备多属政府机构。除此之外尚无更多证据能证明其与其他威胁情报相关联。据报道,Netrepser木马允许攻击者在目标设备中收集系统信息、记录击键、窃取电子邮件以及Web浏览器的cookie和密码等。此外攻击者还通过网络钓鱼电子邮件发送文档传播恶意软件,在文档中嵌入JavaScript或其编码文件以加载最终的 payload。目前,Bitdefender安全专家并未明确指出此次间谍活动背后的黑客组织,仅强调Netrepser木马所使用的部分文件路径包含西里尔字母。
  ——(来源:HackerNews)
  4.3全球多国遭大规模网络攻击 黑客被指用美国安局代码
  5 月 13 日消息 据新加坡“联合早报网”报道,12日,全球范围多个国家遭到大规模网络攻击,被攻击者被要求支付比特币解锁。研究人普遍相信,这次大规模网络攻击采用了美国国家安全局(NSA)开发的黑客工具。几个私立网络安全公司的研究人员表示,黑客通过利用名为“Eternal Blue”的 NSA 代码,导致软件能够自我传播。12日,一种锁死电脑的恶意软件正在世界各地迅速传播,据安全软件制造商 Avast 表示,它已经在99个国家观察到超过57000个感染例子。据公开报道,受到感染的国家包括英国、美国、西班牙、意大利、葡萄牙、俄罗斯和乌克兰等。这种恶意软件是一种勒索软件(ransomware),电脑在感染后即被锁定,用户还被要求支付价值300美元至600美元的比特币。私立网络安全公司表示,这次的勒索软件改良自“WannaCry”,可通过利用 Microsoft Windows 操作系统中的程序错误,自动传播到大型网络。
  ——(来源:中新网)
  4.4 Adylkuzz:一个将可能比 WannaCry还要可怕的恶意软件
  5月18日消息 近些日子,WannaCry勒索软件肆虐全球。据外媒报道,下一波将使用相同手段的网络攻击其攻势更大。不同于勒索软件通过锁住设备来牟取利益的是,这个叫做Adylkuzz的恶意软件则通过将各个设备变成僵尸网络军队的奴隶来为自己牟取利益。Proofpoint 的安全研究员指出,成千上万被感染的计算机将被转化成跟比特币相类似的虚拟货币--Monero的挖矿工具。Adylkuzz通过跟WannaCry一样的服务器--EternalBlue展开传播。一旦该恶意软件进入计算机系统,它就能在上面下载指令、挖矿机器人以及清除工具。Proofpoint最早在4月24日发生了该类型攻击,但由于它是在暗处操作,所以直到WannaCry席卷全球之后它才浮出水面,而许多用户甚至完全不知道自己所用设备已经遭到该恶意软件的网络攻击。据了解,当感染Adylkuzz之后,电脑的性能就会出现下降的情况,另外,特定的一些 Windows 资源也将无法进行访问。据Proofpoint 披露,在其中一个攻击中,一名黑客可以利用该恶意软件在感染设备上为自己赚2.2万美元。安全专家预测,Adylkuzz的传播范围未来甚至将可能会比WannaCry还要广泛。跟WannaCry一样的是,Adylkuzz攻击的对象主要也都是过时的系统。对此,安全研究人员建议用户将电脑的系统升级到微软推送的最新版,并禁用掉服务器消息块服务--当然前提是不需要它。
  ——(来源:cnBeta网)
  4.5新蠕虫“永恒之石”来势汹汹:利用NSA七大黑客工具
  5 月 23 日 WannaCry勒索病毒余波未平,如今又出现了更变本加厉的 EternalRocks(“永恒之石”)新病毒,永恒之石来势汹汹,利用了7个NSA漏洞。根据 GitHub 上的介绍,“永恒之石”是 2017年5月上旬浮出水面的一款网络蠕虫(自我复制蠕虫)。这款蠕虫通过公开的(影子经纪人泄露的 NSA 工具)SMB漏洞利用(ETERNALBLUE、ETERNALCHAMPION、ETERNALROMANCE、ETERNALSYNERGY)及相关应用程序(DOUBLEPULSARARCHITOUCH和SMBTOUCH)进行传播。永恒之石蠕虫利用服务器信息块(SMB)共享网络协议中的漏洞,去感染未修复的Windows系统。与WannaCry不同的是,“永恒之石”不会捆绑破坏性的恶意软件的有效载荷(至少现在不会)。这款病毒不具有“Kill Switch”功能,因此无法被轻易阻止。WannaCry会提醒受害者遭遇了勒索病毒感染,而“永恒之石”会安静、隐藏地待在受害者的电脑中。一旦进入电脑,“永恒之石”会下载Tor个人浏览器(可用来匿名浏览网页和发送邮件),并向这款蠕虫的隐藏服务器发送信号。之后,“永恒之石”在接下来的 24 个小时内不会有任何动作,它会静静等待直到服务器响应,开始下载并自我复制。这就意味着,安全专家想要获取该蠕虫病毒的更多信息来研究,将会滞后一天。安全公司Plixer CEO迈克尔•帕特森称,这款病毒甚至“自称”WannaCry,试图向安全研究人员隐藏身份。根据研究人员对永恒之石的早期分析显示,这款病毒利用了7个NSA黑客工具,而WannaCry仅仅部署了两个漏洞进行扩散。Vectra Networks 欧洲、中东和非洲(EMEA)总监马特•沃姆斯利评论称,永恒之石是 WannaCry群体扔出第二个“重磅”炸弹,因为“永恒之石”更黑暗、更精炼,除了针对的目标群体相同。在未被发现的情况下,“永恒之石”可以使用 SBM 文件共享协议,快速传遍互联网和私有网络,迅速感染未打补丁的系统,并且,不依赖用户点击网络钓鱼电子邮件进行链接。
  ——(来源:E安全)
  关于国家互联网应急中心吉林分中心(JLCERT)
  国家互联网应急中心吉林分中心的全称是国家计算机网络应急技术处理协调中心吉林分中心(Jilin Branch of National Computer network Emergency Response technical Team/Coordination Center of China, JLCERT)成立于2001年1月,是国家计算机网络应急技术处理协调中心(CNCERT/CC,<
http://www.cert.org.cn/>)在吉林省的分支机构,行政隶属于吉林省通信管理局,在CNCERT/CC和吉林省通信管理局的领导下,具体负责协调吉林省各互联网运营企业处理省内公共互联网上的安全紧急事件,为省内公共互联网、省内主要网络信息应用系统以及关键部门提供计算机网络安全的监测、预警、应急、防范等安全服务和技术支持,及时收集、核实、汇总、发布有关的互联网安全信息,组织省内互联网运营企业及有关部门进行网络安全方面的技术交流与合作。
  联系我们
  如果您对JLCERT《吉林省互联网网络安全情况通报》有何意见或建议,欢迎与我们交流。
  网址:
www.jlca.gov.cn
  Email:
jlcert@cert.org.cn
  电话:80982910