此页面上的内容需要较新版本的 Adobe Flash Player。

获取 Adobe Flash Player

通知公告
当前位置: 首页 通知公告
名称:  吉林省互联网网络安全情况月度通报(2017年07月)
索引:  K08260953/2017-02768 发布机构:  吉林省通信管理局办公室
生成日期:  2017-8-30 9:32:14 文号:  
信息分类:   关键词:  
内容概述:  吉林省互联网网络安全情况月度通报(2017年07月)
吉林省互联网网络安全情况月度通报(2017年07月)
发布时间:2017-8-30 9:32:14  

  1.情况综述
  2017年7月,我省互联网络总体运行情况良好。基础网络运行总体平稳,互联网骨干网各项监测指标正常,未发生较大以上网络安全事件。
  2.本月网络安全事件处置情况
  本月,吉林分中心按照及时响应、快速处置的工作原则共处置各类网络安全事件105起,其中包括网页篡改事件29起、漏洞事件76起;协调省内各基础电信企业上报事件893起,均已及时处理。
  净化省内网络安全环境,协调各基础电信企业共处置木马和僵尸网络控制端187个,受控端707个;处置被蠕虫病毒感染IP522个。
  3.本月重要漏洞情况
  3.1 多款Android平台APP存在云存储凭证泄露漏洞
  3.1.1 漏洞情况分析
  阿里云对象存储服务(Object Storage Service,简称OSS),是阿里云对外提供的海量、安全和高可靠的云存储服务。在阿里云官方文档中明确指出:“移动终端是一个不受信任的环境,把accessKeyId和accessKeySecret直接保存在终端用来加签请求,存在极高的风险。”,同时阿里云在示例代码中也给出相应的警告信息,示例代码如下:

  根据CNVD秘书处核验结果,一些集成了阿里云OSS的Android平台APP在使用SDK的时候只是简单复制了阿里云OSS官方测试demo代码,并未根据官方建议对访问控制策略进行设置,直接将accessKeyId和accessKeySecre内置在移动应用程序。攻击者通过对APP进行脱壳逆分析可获得这组凭证后,利用OSS管理工具(ossutil)可以远程获取其云存储的数据,并拥有对该OSS的控制权。
  CNVD对相关漏洞综合评级为“高危”。
  3.1.2 漏洞影响产品
  漏洞影响使用阿里云OSS且未按官方安全策略开发的移动应用APP。根据上海犇众公司报告和CNVD核验情况,已有6款应用较为广泛的APP受到漏洞影响的案例。CNVD已向相关APP开发方或运营管理方通报漏洞信息,并将风险情况通报阿里云公司。
  3.1.3漏洞处置建议
  根据阿里云公司提供的技术措施,APP管理方应启用阿里云权限管理机制包括访问控制(Resource AccessManagement,简称 RAM)和安全凭证管理(SecurityToken Service,简称 STS),根据需求使用不同权限的子账号来访问OSS,或为用户提供访问的临时授权。主要的访问控制策略如下:
  1、 不使用主账号访问OSS;
  2、 读写分离;
  3、 Bucket权限隔离;
  4、 使用STS的临时凭证来访问OSS。
  详情请参考阿里云官方提供的安全开发建议:
  
https://m.aliyun.com/doc/document_detail/31929.html
  
https://m.aliyun.com/yunqi/articles/55947
  
https://m.aliyun.com/doc/document_detail/31929.html
  
https://m.aliyun.com/doc/document_detail/28642.html 
  3.2 惠普笔记本音频驱动存在内置键盘记录器后门漏洞
  3.2.1 漏洞情况分析
  2017年4月28日,瑞士安全公司Modzero的安全研究员Thorsten Schroeder在审查Windows Active Domain的基础设施时发现,惠普IT产品(笔记本电脑)中的Conexant音频驱动程序内置了用于调试产品的MicTray64.exe(键盘记录器),可记录用户的所有按键输入。在原出厂环境下,MicTray64.exe与Conexant音频驱动程序包被同时安装在笔记本电脑中,键盘记录功能除了处理快捷键/功能键的点击事件外,所有的键盘输入信息都会被写入所有用户权限都可读的路径中的日志文件 (C:UsersPublicMicTray.log)中,甚至会传递给OutputDebugStringAPI,这使得任何可以调用MapViewOfFile API的框架或者进程都能够通过用户的键盘输入信息静默的收集敏感数据,并在白名单机制下绕过杀毒软件检测。
  CNVD对上述惠普HP笔记本Conexant音频驱动程序进行了技术分析,发现驱动程序安装后,在C:\Windows\System32\路径下释放的MicTray.exe(MicTray64.exe)文件通过设置键盘钩子,记录键盘的扫描码和虚拟码,对键盘输入事件进行监控,实现对键盘事件的记录行为。
  CNVD对漏洞的综合评级为“高危”。
  3.2.2漏洞影响产品
  受漏洞影响的硬件产品型号:
  HP EliteBook 820 G3 Notebook PC
  HP EliteBook 828 G3 Notebook PC
  HP EliteBook 840 G3 Notebook PC
  HP EliteBook 848 G3 Notebook PC
  HP EliteBook 850 G3 Notebook PC
  HP ProBook 640 G2 Notebook PC
  HP ProBook 650 G2 Notebook PC
  HP ProBook 645 G2 Notebook PC
  HP ProBook 655 G2 Notebook PC
  HP ProBook 450 G3 Notebook PC
  HP ProBook 430 G3 Notebook PC
  HP ProBook 440 G3 Notebook PC
  HP ProBook 446 G3 Notebook PC
  HP ProBook 470 G3 Notebook PC
  HP ProBook 455 G3 Notebook PC
  HP EliteBook 725 G3 Notebook PC
  HP EliteBook 745 G3 Notebook PC
  HP EliteBook 755 G3 Notebook PC
  HP EliteBook 1030 G1 Notebook PC
  HP ZBook 15u G3 Mobile Workstation
  HP Elite x2 1012 G1 Tablet
  HP Elite x2 1012 G1 with Travel Keyboard
  HP Elite x2 1012 G1 Advanced Keyboard
  HP EliteBook Folio 1040 G3 Notebook PC
  HP ZBook 17 G3 Mobile Workstation
  HP ZBook 15 G3 Mobile Workstation
  HP ZBook Studio G3 Mobile Workstation
  HP EliteBook Folio G1 Notebook PC
  受漏洞影响的操作系统:
  Microsoft Windows 10 32
  Microsoft Windows 10 64
  Microsoft Windows 10 IOT Enterprise 32-Bit (x86)
  Microsoft Windows 10 IOT Enterprise 64-Bit (x86)
  Microsoft Windows 7 Enterprise 32 Edition
  Microsoft Windows 7 Enterprise 64 Edition
  Microsoft Windows 7 Home Basic 32 Edition
  Microsoft Windows 7 Home Basic 64 Edition
  Microsoft Windows 7 Home Premium 32 Edition
  Microsoft Windows 7 Home Premium 64 Edition
  Microsoft Windows 7 Professional 32 Edition
  Microsoft Windows 7 Professional 64 Edition
  Microsoft Windows 7 Starter 32 Edition
  Microsoft Windows 7 Ultimate 32 Edition
  Microsoft Windows 7 Ultimate 64 Edition
  Microsoft Windows Embedded Standard 7 32
  Microsoft Windows Embedded Standard 7E 32-Bit
  注:其它使用了Conexant硬件和驱动器的硬件厂商也有可能受该问题影响。
  3.2.3漏洞处置建议
  惠普针对该情况紧急发布过一个关闭此调试功能的修复程序。2017年5月14日,惠普又发布了更新的修复驱动程序,该程序能将所有高保真音频驱动中有此调试记录功能的源代码删除。受影响的惠普电脑对应修复程序的列表请参考惠普官网:
https://support.hp.com/us-en/document/c05519670
  如未能升级,可以采用如下临时解决方案:
  删除MicTray可执行文件和相应的日志记录文件。仅仅删除计划任务是不能解决问题的,因为Windows服务CxMonSvc将再一次启动MicTray。删除文件位置如下:
  可执行文件的位置:C:WindowsSystem32MicTray64.exe
  日志文件的位置:C:UsersPublicMicTray.log
  3.3 Broadcom(博通)WIFI芯片存在远程代码执行漏洞
  3.3.1 漏洞情况分析
  Broadcom Corporation(博通公司)是有线和无线通信半导体供应商,其生产的BroadcomBCM43xx系列WiFi芯片广泛应用在移动终端设备中,是APPLE、HTC、LG、Google、Samsung等厂商的供应链厂商。
  目前漏洞报告者暂未披露详细细节。根据描述,该漏洞技术成因是Broadcom Wi-Fi芯片自身的堆溢出问题,当WIFI芯片从连接的网络(一般为WIFI局域网下)接收到特定构造的长度不正确的WME(Quality-of-Service)元素时,漏洞就会被触发,导致目标设备崩溃重启,也有可能使得攻击者取得操作系统内核特权,进一步在该终端设备上执行恶意代码取得控制权。根据报告,漏洞的攻击利用方式还可直接绕过操作系统层面的数据执行保护(DEP)和地址空间随机化(ASLR)防护措施。
  CNVD对漏洞的综合评级为“高危”。相关漏洞细节在将会在7月22日至27日的Blackhat大会上发布。
  3.3.2 漏洞影响产品
  漏洞影响 Broadcom BCM43xx 系列 WiFi 芯片组。目前确认Android平台设备和苹果iOS终端产品受到影响。
  3.3.3漏洞处置建议
  苹果(Apple)官方针对iOS等7大系统发布安全更新,详情请参考:
https://www.bleepingcomputer.com/news/apple/apple-releases-security-updates-fixes-broadpwn-bug/
  Google 官方已经发布了 Pixel 和 Nexus 设备的安全更新,详情请参考:
https://source.android.com/security/bulletin/2017-07-01。 
  4.网络安全要闻
  4.1 工信部将开展网络安全试点示范工作
  7 月 26 日消息 7 月 26 日从工信部获悉,工信部发布关于开展 2017 年电信和互联网行业网络安全试点示范工作的通知,旨在拉动网络安全产业发展,提升电信和互联网行业网络安全技术防护水平。通知指出, 2017 年试点示范项目的申报主体为基础电信企业集团公司或省级公司、互联网域名注册管理和服务机构、互联网企业、网络安全企业等。试点示范项目应为支撑自身网络安全工作或为客户提供安全服务的已建成并投入运行的网络安全系统(平台)。通知还指出,试点示范项目遴选应综合考虑项目的实用性、创新性、先进性和可推广性,重点考察试点示范项目是否具备扎实的实践基础和技术创新性,能否最大程度促成技术手段快速转化成可应用的成果,能否坚持持续改进,发挥综合效益。对于入选的试点示范项目,我部将在其申请国家专项资金、科技评奖等方面,按照有关政策予以支持。通知确定,2017 年电信和互联网行业网络安全试点示范重点引导方向包括八大方面:网络安全威胁监测预警、态势感知、攻击防御与技术处置;数据安全和用户信息保护;域名系统安全;抗拒绝服务攻击;新业务及融合领域网络安全;网络安全创新应用;防范打击通讯信息诈骗;其他应用效果突出、创新性显著、示范价值较高的网络安全项目。
  ——(来源:中证网)
  4.2网络安全万人培训资助计划正式启动
  7 月 28 日消息 为贯彻落实《网络安全法》《关于加强网络安全学科建设和人才培养的意见》,“网络安全万人培训资助计划”备忘录签署仪式 7 月 28 日在京举行。“网络安全万人培训资助计划”是在中央网信办网络安全协调局指导下,由武汉市人民政府、中国互联网发展基金会、中国信息安全认证中心、中国信息安全测评中心、国家计算机网络应急技术处理协调中心共同发起,主要资助在武汉国家网络安全人才与创新基地面向党政机关、企事业单位工作人员、大中院校在校学生等开展网络安全培训的机构,并对优秀学员予以奖励。中央网信办网络安全协调局局长赵泽良表示,要将“网络安全万人培训资助计划”作为推动国家网络安全人才与创新基地工作的重要抓手,充分发挥政府、企业、社会各界的作用,建设国家级网络安全培训机构,推动基地建设和人才培养,对全国网络安全培训和人才教育工作发挥示范和引导作用。具体执行单位和相关指导单位需要站在国家高度,切实研究网络安全培训的规律、标准、教材、方法,加强监督指导,把人才培训工作落到实处,让“网络安全万人培训资助计划”成为推动网络安全工作的重要推动力、重要平台,成为网络安全史上的里程碑。
  ——(来源:新华网)
  4.3  新加坡欲推出“白帽黑客注册机制”,网络安全企业将最为受益
  7月17日消息 根据一项等待决议的网络安全法案,新加坡正在为推出“白帽黑客注册机制”而征求意见。尽管看似有所限制,但对于从事网络安全行业的道德黑客和相关企业来说,他们都将受益于这项许可政策。该提案第四部分写到:“随着业界对可靠网络安全服务需求的增长、以及网络安全风险变得愈加普遍,该法案旨在为渗透测试和安全服务的运营管理提供授权。授权框架将提振网络安全服务、解决业内的信息不对称,以及提升网络安全服务提供商和专业人员的标准”。
  ——(来源:36kr网)
  4.4 勒索病毒源头乌克兰公司服务器被警察没收
  7月5日消息 据外媒报道,一名高级警官称,乌克兰警方周二没收了该国一家会计软件公司的服务器,因为该公司涉嫌传播导致全球很多大公司电脑系统瘫痪的勒索病毒。乌克兰网络警察局长沙希利-德梅德尤克(Serhiy Demedyuk)称,为了调查上周发生的肆虐全球的勒索病毒攻击案,警方没收了乌克兰最流行会计软件开发公司 M.E.Doc 的服务器。警方还在调查谁是真正的幕后黑手。乌克兰情报官员和安全公司声称,最初的一些勒索病毒是通过 M.E.Doc 公司发布的恶意升级程序传播的。对此,该公司予以了否认。在警方没收 M.E.Doc公司的服务器前,网络安全调查员已在周二找出了新的证据,证明此次勒索病毒攻击活动是一些高级黑客提前好几个月策划的结果。这些黑客将病毒插入到了 M.E.Doc 公司的会计软件中。乌克兰在周二将其纳税日期推迟了一个月,以帮助被勒索病毒攻击的企业渡过难关。
  ——(来源:腾讯网)
  4.5印度发生最大规模数据泄漏事件 1亿多用户信息被曝光
  7月12日消息 北京时间7月11日晚间消息,针对所谓的“用户数据泄露”事件,印度电信运营商Reliance Jio日前表示,正在对此展开调查。近日,有印度媒体发现,Reliance Jio的一亿多用户的数据被泄漏到Magicapk.com网站上,包括姓名、手机号、电子信箱、SIM 激活日期,甚至还包括Aadhaar号码(身份识别信息)。业内人士认为,如果消息属实,这可能是印度电信史上最大规模的用户数据泄漏事件。目前,Reliance Jio正在调查此事,但已初步表示,Magicapk.com 网站上发布的数据似乎是“不真实的”。Reliance Jio 还称,它们对用户数据采用了最高等级加密,非常安全。但是,已经有许多 Reliance Jio用户在Twitter上抱怨,称自己的个人资料被曝光。此外,一些印度媒体经过调查后也证实,Magicapk.com上的数据是真实的。对此,Reliance Jio一发言人称:“针对数据泄露一事,我们已经通知了执法部门,将来我们还会继续跟进。”
  ——(来源:新浪网)
  关于国家互联网应急中心吉林分中心(JLCERT)
  国家互联网应急中心吉林分中心的全称是国家计算机网络应急技术处理协调中心吉林分中心(Jilin Branch of National Computer network Emergency Response technical Team/Coordination Center of China, JLCERT)成立于2001年1月,是国家计算机网络应急技术处理协调中心(CNCERT/CC,<
http://www.cert.org.cn/>)在吉林省的分支机构,行政隶属于吉林省通信管理局,在CNCERT/CC和吉林省通信管理局的领导下,具体负责协调吉林省各互联网运营企业处理省内公共互联网上的安全紧急事件,为省内公共互联网、省内主要网络信息应用系统以及关键部门提供计算机网络安全的监测、预警、应急、防范等安全服务和技术支持,及时收集、核实、汇总、发布有关的互联网安全信息,组织省内互联网运营企业及有关部门进行网络安全方面的技术交流与合作。
  联系我们
  如果您对JLCERT《吉林省互联网网络安全情况通报》有何意见或建议,欢迎与我们交流。
  网址:
www.jlca.gov.cn
  Email:
jlcert@cert.org.cn
  电话:80982910