2023年6月-7月,教育网运行正常,未发现影响严重的安全事件。
在安全投诉事件方面,近期收到多起针对递归DNS查询服务器的拒绝服务攻击投诉。攻击者伪造大量递归查询请求,并把查询数据包里的源发IP伪造成递归查询服务器同子网内的IP。由于这些伪造的IP请求与递归查询服务器在同一广播域,递归查询服务器在返回查询结果时需要使用ARP协议确认子网IP对应的端口信息。但因为IP是伪造的,这些ARP查询请求得不到回应,进而大大增加递归查询服务器的系统负担,造成拒绝服务攻击。
在病毒与木马方面,近期需要关注的还是各类钓鱼邮件攻击。很多钓鱼邮件使用二维码作为内容。这类钓鱼邮件通常有一个很吸引人的标题(比如冒充税务局发的退税通知),内容是要求用户扫描附带的二维码。由于可识别的内容太少,反垃圾邮件网关一般很难把其判断为钓鱼邮件。一旦用户扫描了二维码,则会被引到一个新的钓鱼网站上进行攻击。建议用户对邮件中来历不明的二维码提高警惕,不要随便扫描并访问。
2023年6月-7月 CCERT 安全投诉事件统计
近期新增严重漏洞评述
01
微软2023年7月的例行安全更新共涉及漏洞数130个。这些漏洞中有5个是0day漏洞,分别是:
Office and Windows HTML代码执行漏洞(CVE-2023-36884),其CVSSv3评分为8.3。由于在处理跨协议文件导航时对用户提供的输入验证不足,远程攻击者可以诱骗受害者打开特制文件触发漏洞,并在系统上执行任意代码。
Windows MSHTML Platform权限提升漏洞(CVE-2023-32046),其CVSSv3评分为7.8。由于Windows MSHTML Platform在处理HTML内容时出现边界错误,远程攻击者可以诱骗受害者打开特制文件,触发内存损坏,并在目标系统上执行任意代码。
Windows SmartScreen安全特性绕过漏(CVE-2023-32049),其CVSSv3评分为8.8。由于Windows SmartScreen中的URL验证不当,远程攻击者可以诱骗受害者访问特制的URL,绕过“打开文件-安全警告”提示,并在系统上执行任意代码。
Windows Error Reporting Service权限提升漏洞(CVE-2023-36874),其CVSSv3评分为7.8。由于Windows Error Reporting Service中的边界错误,本地攻击者可以使用特制的性能跟踪来触发内存损坏并在目标系统上执行任意代码。
Microsoft Outlook安全特性绕过漏洞(CVE-2023-35311),其CVSSv3评分为8.8。由于Outlook对用户提供的输入验证不足,远程攻击者可以诱骗受害者单击特制的URL,绕过Microsoft Outlook安全通知提示,并在系统上执行任意代码。目前上述漏洞均已经检测到在野的攻击,建议尽快安装补丁程序。
除上述漏洞外,微软还公布了一个Office软件的0day漏洞(CVE-2023-36884),其CVSSv3的评分为8.3分。攻击者利用该漏洞可以通过恶意Office文档实现远程代码执行,并在无需用户交互的情况下利用该漏洞实现复杂攻击。建议使用Defender for Office“拦截所有Office应用创建子进程”的方式来降低被攻击的风险。
02
国际著名的安全产品厂商Fortinet(飞塔)最近发布了安全公告,修补FortiOS和FortiProxy中的一个堆栈溢出漏洞(CVE-2023-33308),该漏洞的CVSS评分为9.8。未经身份验证的远程攻击者可通过特殊构造的数据包实现代码执行或者命令执行。建议使用相关设备的管理员尽快联系厂商进行版本更新。
03
OpenSSH发布紧急安全补丁,以修补OpenSSH ssh-agent转发中存在的远程执行漏洞(CVE-2023-38408)。建议用户尽快升级受影响的OpenSSH到最新版。
04
近期Oracle公司发布了第三季度的安全公告,包含307个漏洞的补丁程序。利用这些漏洞,攻击者可以在目标系统上执行任意代码、获取用户数据、提升权限等,建议使用相关产品的用户尽快进行升级。
安全提示
DNS作为最基础的网络服务之一,极易受到网络攻击。因此,我们需要将边界路由器、防火墙策略、子网结构、服务端口管理、负载均衡等软硬件防护策略结合起来,构建立体化的DNS安全防护体系来保障其安全。针对伪造源IP攻击行为,可通过在网关处丢弃源IP是内网的数据包,或将递归查询服务器所处的子网范围缩小等手段,来降低其被攻击的风险。
来源:《中国教育网络》2023年7月刊
作者:郑先伟(中国教育和科研计算机网应急响应组)
责编:项阳