近期教育网整体运行平稳,未发现影响严重的安全事件。
在病毒与木马方面,又到一年一度的个人所得税申报时期,冒充个税申报的钓鱼邮件频发。目前这类钓鱼攻击已经呈现高度智能化,攻击者会针对每个攻击目标的身份特征来单独伪造与其身份相符的钓鱼内容,以此来增加欺诈内容的可信性。由于这类钓鱼攻击多数是引诱用户扫描二维码或点击伪造的URL来进行信息诈骗,并不直接攻击用户的系统,所以不会触发系统安全防护的告警。因此如何识别出钓鱼邮件的内容并加以防范,对普通用户来说是个挑战。
2024年1月-2月CCERT安全投诉事件统计
近期新增严重漏洞评述
1.微软2024年2月的例行安全更新共包含微软产品的安全漏洞73个。鉴于漏洞带来的风险,提醒用户尽快使用系统自带的更新功能进行安全更新。这些漏洞中需要特别关注的是:MicrosoftExchangeServer特权提升漏洞(CVE-2024-21410)。利用该漏洞,攻击者可以将用户泄露的Net-NTLMv2哈希中继到易受攻击的ExchangeServer,以用户身份进行身份验证,并以受害者的权限在ExchangeServer上执行操作。目前该漏洞已经检测到在野的利用。
Internet快捷方式文件安全功能绕过漏洞(CVE-2024-21412)。Windows系统中的Internet快捷方式存在一个解析漏洞,恶意的攻击者可以向目标用户发送特制的Internet快捷方式并诱导用户打开该文件,这可能导致该操作绕过系统的安全检测,进而在系统上执行恶意代码。目前该漏洞已经被监测到用于对银行用户的APT攻击中。
WindowsSmartScreen安全功能绕过漏洞(CVE-2024-21351)。WindowsDefender中SmartScreen功能中存在一个安全漏洞,攻击者可以利用该漏洞来逃避安全检查,这可能导致任意代码执行。目前该漏洞已经在互联网上被利用。
MicrosoftOutlook远程代码执行漏洞(CVE-2024-21413)。利用该漏洞,攻击者可以绕过Office的安全限制,以信任的编辑模式打开文件,这将导致攻击者可以远程执行任意代码。由于该漏洞可以通过预览模式触发,因此该漏洞的利用可以无需用户交互过程。
2.Google的Chrome浏览器发布更新版本(122.0.6261.57)用于修补其Accessibility组件中存在的释放后重用漏洞(CVE-2023-7024)。攻击者可以引诱用户访问定制的恶意网页来利用该漏洞,成功利用该漏洞可以远程执行任意代码.建议用户尽快将Chrome浏览器升级到最新版本。
3.Linux系统的GNUC库(glibc)中存在一个本地权限提升漏洞(CVE-2023-6246),漏洞与glibc中用于将消息写入syslog的“__vsyslog_internal()”函数有关,该函数用于向系统日志中写入数据。攻击者可以通过系统中调用了该函数的应用来利用该漏洞,成功利用该漏洞可以获得系统的root权限。由于系统中调用该函数写日志的程序非常多,因此该漏洞影响目前大部分主流的Linux系统版本。目前该漏洞还没有通用的修补方法,请随时关注各Linux版本的更新。
4.近期网络安全研究人员公布了一个可导致全球互联网瘫痪的名为KeyTrap的DNS服务严重拒绝服务攻击漏洞。该漏洞源于DNSSEC验证机制需要发送密文的所有相关加密密钥以及验证签名,即使某些DNSSEC密钥配置错误、不正确或属于不受支持的密文,程序也会执行相同的流程。攻击者为此开发了一种新的基于DNSSEC算法复杂性的DoS攻击,可以将DNS解析器中的CPU指令计数增加200万倍,从而延迟其响应,造成拒绝服务攻击。目前各DNS厂商均已发布了新版本软件来缓解该漏洞,但因为该漏洞是DNSSEC设计上的缺陷,漏洞只能得到缓解,要完全解决还需依赖DNSSEC机制的重新设计。
安全提示
由于DNS本身的重要性,相关部门加大了对DNS递归查询服务的监管,要求那些对公众提供递归查询的DNS服务进行备案并满足相关的安全措施。对于目前仅提供给学校内部使用的递归服务器,建议管理员将递归服务严格限制在校园网的内部使用,这样既可以满足相关的监管要求,也可将降低被攻击的风险。若学校的递归服务暂时不需要DNSSEC,可临时关闭该功能来降低漏洞带来的风险。
来源:《中国教育网络》
作者:郑先伟(中国教育和科研计算机网应急响应组)
责编:项阳