4月教育網(wǎng)運(yùn)行平穩(wěn)，未發(fā)現(xiàn)影響嚴(yán)重的安全事件。

(資料圖)

2023年3月-4月CCERT安全投訴事件統(tǒng)計(jì)

從去年下半年開(kāi)始，釣魚(yú)郵件攻擊的數(shù)量大幅增加，近期不但未見(jiàn)減弱，還有愈演愈烈的趨勢(shì)。這些釣魚(yú)郵件所偽造的內(nèi)容緊跟時(shí)事，非常有欺騙性，比如偽造個(gè)稅退稅信息、領(lǐng)取疫情專(zhuān)項(xiàng)補(bǔ)貼等內(nèi)容，用戶(hù)稍不留心就容易中招。

由于這些郵件的內(nèi)容都屬于正常的通知范疇，很難通過(guò)語(yǔ)義讓反垃圾郵件網(wǎng)關(guān)自動(dòng)識(shí)別出來(lái)，再加上很多垃圾郵件是通過(guò)盜取郵件服務(wù)器內(nèi)合法郵箱發(fā)送的，這就給服務(wù)端的識(shí)別和防范帶來(lái)很大困難。

在沒(méi)有足夠的威脅情報(bào)和AI技術(shù)支持前，我們只能靠加大用戶(hù)安全意識(shí)和加強(qiáng)郵件日志的人工檢測(cè)來(lái)降低風(fēng)險(xiǎn)。

近期新增嚴(yán)重漏洞評(píng)述

01

微軟2023年4月的例行安全更新共涉及漏洞數(shù)98個(gè)，其中嚴(yán)重等級(jí)的7個(gè)、重要等級(jí)的91個(gè)。

漏洞的類(lèi)型包括20個(gè)提權(quán)漏洞、8個(gè)安全功能繞過(guò)漏洞、45個(gè)遠(yuǎn)程代碼執(zhí)行漏洞、10個(gè)信息泄露漏洞、9個(gè)拒絕服務(wù)漏洞和6個(gè)身份假冒漏洞。

這些漏洞中有1個(gè)屬于0day漏洞，Windows通用日志文件系統(tǒng)驅(qū)動(dòng)程序特權(quán)提升漏洞(CVE-2023-28252)。利用該漏洞，攻擊者可以在無(wú)需交互的情況下將當(dāng)前用戶(hù)權(quán)限提升SYSTEM級(jí)別。

另一個(gè)需要關(guān)注的漏洞是微軟消息隊(duì)列遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2023-21554)，攻擊者可以將特制惡意MSMQ消息發(fā)送到MSMQ服務(wù)器上，就能觸發(fā)該漏洞在遠(yuǎn)程服務(wù)器上執(zhí)行任意代碼。

除了上述漏洞外，4月初微軟還針對(duì)Edge瀏覽器的17個(gè)漏洞發(fā)布了補(bǔ)丁程序。

鑒于上述漏洞的危害性，建議用戶(hù)盡快使用Windows自帶的更新服務(wù)進(jìn)行補(bǔ)丁更新。

02

4月VMWare公司發(fā)布了緊急安全更新，用于修補(bǔ)在3月Pwn2Own Vancouver 2023黑客大賽中披露的兩個(gè)0day漏洞。

其中一個(gè)漏洞編號(hào)為CVE-2023-20869，存在于藍(lán)牙設(shè)備共享功能中，是基于堆棧的緩沖區(qū)溢出漏洞，允許本地攻擊者在主機(jī)上運(yùn)行虛擬機(jī)的VMX進(jìn)程時(shí)執(zhí)行代碼。

另一個(gè)漏洞編號(hào)為CVE-2023-20870，同樣存在于藍(lán)牙設(shè)備功能中，惡意行為者能夠從VM讀取管理程序內(nèi)存中包含的特權(quán)信息。攻擊者利用這兩個(gè)漏洞，可以讓W(xué)orkstation和Fusion軟件運(yùn)行任意代碼。

建議使用了相關(guān)產(chǎn)品的用戶(hù)盡快進(jìn)行升級(jí)。

03

Chrome Skia是谷歌公司開(kāi)發(fā)的一個(gè)圖形引擎庫(kù)，它具有高效、跨平臺(tái)和自定義的特點(diǎn)。Chrome Skia被廣泛應(yīng)用于Google Chrome瀏覽器、Android操作系統(tǒng)以及其他Google產(chǎn)品中。

本月Google官方修補(bǔ)了Chrome Skia的一個(gè)整數(shù)溢出漏洞(CVE-2023-2136)，當(dāng)Skia進(jìn)行算術(shù)運(yùn)算導(dǎo)致值超過(guò)整數(shù)類(lèi)型的最大限制時(shí)，會(huì)發(fā)生整數(shù)溢出。

攻擊者可以誘導(dǎo)用戶(hù)打開(kāi)特制的HTML頁(yè)面來(lái)觸發(fā)該漏洞，成功利用該漏洞可以在目標(biāo)系統(tǒng)上任意執(zhí)行代碼。

04

惠普在4月的一份安全公告中表示，公司發(fā)現(xiàn)了一個(gè)打印機(jī)中的高危漏洞(CVE-2023-1707)，漏洞影響了包括HP Enterprise LaserJet和HP LaserJet Managed在內(nèi)的打印機(jī)。利用該漏洞，攻擊者可以獲取其他網(wǎng)絡(luò)用戶(hù)與打印機(jī)之間的通訊內(nèi)容。

由于漏洞本身的復(fù)雜性，惠普預(yù)計(jì)大概需要90天來(lái)開(kāi)發(fā)補(bǔ)丁程序。在沒(méi)有補(bǔ)丁程序之前，惠普建議受影響的系統(tǒng)固件版本降級(jí)到FS5.5.0.3。

建議用戶(hù)隨時(shí)關(guān)注廠商的動(dòng)態(tài)，并使用防火墻將打印機(jī)限制在可控的訪(fǎng)問(wèn)范圍。

05

WebLogic中間件中存在一個(gè)JNDI注入漏洞(CVE-2023-21931)，需要引起關(guān)注，該漏洞允許未經(jīng)身份驗(yàn)證的攻擊者通過(guò)T3和IIOP協(xié)議訪(fǎng)問(wèn)易受攻擊的WebLogic Server，并利用漏洞在服務(wù)器上執(zhí)行任意代碼。該漏洞是因?yàn)镃VE-2023-21839漏洞未修補(bǔ)完全而導(dǎo)致的。目前Oracle已在第二季度的安全公告中修補(bǔ)了該漏洞，建議相關(guān)用戶(hù)盡快進(jìn)行補(bǔ)丁更新。

安全提示

對(duì)于校園網(wǎng)內(nèi)頻發(fā)的釣魚(yú)郵件攻擊，可以采用以下一些措施來(lái)降低攻擊帶來(lái)的風(fēng)險(xiǎn)：

1.使用帶有威脅情報(bào)的反垃圾郵件網(wǎng)關(guān)，網(wǎng)關(guān)會(huì)根據(jù)已知的威脅情報(bào)去識(shí)別郵件內(nèi)容中是否包含惡意的URL鏈接，以此來(lái)識(shí)別過(guò)濾釣魚(yú)郵件。

2.在郵件服務(wù)器上限制普通用戶(hù)單位時(shí)間內(nèi)郵件的發(fā)送頻率和發(fā)送范圍，可以有效降低被控賬號(hào)發(fā)送垃圾郵件的數(shù)量，降低影響面。設(shè)定專(zhuān)用的群發(fā)郵件賬號(hào)并妥善管理賬號(hào)密碼，對(duì)其他普通用戶(hù)的發(fā)送頻率進(jìn)行限制，一旦發(fā)現(xiàn)有異常行為及時(shí)告警。

3.對(duì)釣魚(yú)郵件進(jìn)行監(jiān)控，一旦發(fā)現(xiàn)釣魚(yú)郵件，及時(shí)向涉及的用戶(hù)發(fā)送安全告警郵件，并可在網(wǎng)絡(luò)邊界對(duì)釣魚(yú)郵件使用的釣魚(yú)網(wǎng)站的URL進(jìn)行封禁。

作者：鄭先偉（中國(guó)教育和科研計(jì)算機(jī)網(wǎng)應(yīng)急響應(yīng)組）

責(zé)編：項(xiàng)陽(yáng)

關(guān)鍵詞