文/鄭先偉

2012年11～12月教育網(wǎng)安全投訴事件統(tǒng)計(jì)

“被”垃圾郵件困擾高校用戶(hù)

2012年12月，教育網(wǎng)整體運(yùn)行平穩(wěn)，未發(fā)生重大安全事件。

該月的安全投訴事件以垃圾郵件居多。近期我們對(duì)被投訴的垃圾郵件發(fā)送端進(jìn)行了調(diào)查，發(fā)現(xiàn)主要有兩種原因：一種是用戶(hù)的系統(tǒng)感染病毒后大量發(fā)送帶病毒的郵件，另一種是使用弱口令密碼的郵箱賬號(hào)被黑客破解后惡意發(fā)送垃圾廣告郵件。這些用戶(hù)可能并不清楚自己的賬號(hào)正在發(fā)送垃圾郵件，但是這種行為卻可能給學(xué)校的郵件服務(wù)器帶來(lái)危害，即導(dǎo)致學(xué)校郵件服務(wù)器被列入垃圾郵件黑名單。如果管理員發(fā)現(xiàn)郵件服務(wù)器向外發(fā)郵件時(shí)出現(xiàn)退信或是拒收就可能是被列入黑名單，這時(shí)管理員需要停止垃圾郵件的發(fā)送，并將自己的服務(wù)器從相應(yīng)的黑名單中清除。

目前黑名單的清除有兩種機(jī)制：一種是自動(dòng)清除，另一種是手動(dòng)申請(qǐng)清除。大部分垃圾郵件黑名單默認(rèn)都存在一個(gè)自動(dòng)清除周期（周期有長(zhǎng)有短），也就是一個(gè)發(fā)送垃圾郵件的地址第一次上榜后在該周期內(nèi)沒(méi)有被投訴或監(jiān)測(cè)到繼續(xù)發(fā)送垃圾郵件，就會(huì)在周期結(jié)束后自動(dòng)從黑名單中清除。但是一個(gè)地址如果多次上榜，就可能被停止自動(dòng)清除的功能，這種情況下只能手動(dòng)申請(qǐng)清除。大部分的黑名單都提供手動(dòng)清除機(jī)制，這種模式都是人為審核，手工操作，需要IP的擁有者到規(guī)定的網(wǎng)站提交申請(qǐng)，并由維護(hù)黑名單的工作人員人工審核后再清除出黑名單。

小心“識(shí)時(shí)務(wù)”的病毒

近期需要關(guān)注的還是那些利用社會(huì)工程學(xué)進(jìn)行傳播的病毒，它們通常都利用當(dāng)前熱點(diǎn)進(jìn)行傳播，且隨著時(shí)間的推移而改變。例如在2012年12月上旬偽造成雙12電子商務(wù)促銷(xiāo)信息，在12月中旬則以“2012世界末日”相關(guān)話(huà)題為誘餌，而到了月底則偽裝為新年的電子賀卡。這些病毒通常都是偽裝成文檔、電子書(shū)或是電子賀卡的EXE文件，用戶(hù)如果被騙點(diǎn)擊這些執(zhí)行文件，系統(tǒng)上的安全防護(hù)功能就會(huì)被禁用，之后該程序就會(huì)下載大量的其他木馬病毒到系統(tǒng)上運(yùn)行。

近期新增嚴(yán)重漏洞評(píng)述

微軟在2012年12月的例行安全公告共7個(gè)（MS12－077至MS12－083），其中5個(gè)為嚴(yán)重等級(jí)，2個(gè)為重要等級(jí)。這些安全公告共修復(fù)了Windows系統(tǒng)、IE瀏覽器、Office軟件、Exchange Server郵件服務(wù)程序以及.NET Framework中的10個(gè)安全漏洞。這些漏洞多數(shù)可以通過(guò)網(wǎng)頁(yè)或是電子文檔來(lái)利用，其中Windows內(nèi)核字體分析漏洞（MS12－078）中修補(bǔ)了一個(gè)之前公開(kāi)發(fā)布的安全漏洞（CVE-2012-2556)。如果系統(tǒng)上存在這個(gè)漏洞，當(dāng)用戶(hù)瀏覽包含特殊文件名的文件或特殊子文件夾的文件夾時(shí)就可能導(dǎo)致遠(yuǎn)程執(zhí)行任意代碼。為防范風(fēng)險(xiǎn)，用戶(hù)應(yīng)該盡快使用Windows的自動(dòng)更新功能修補(bǔ)這些漏洞。

Adobe公司遵照之前的約定，在微軟發(fā)布安全公告的同一天也針對(duì)Flash Player軟件發(fā)布了相應(yīng)的安全公告。公告修補(bǔ)了Flash Player軟件中的3個(gè)安全漏洞，這些漏洞允許攻擊者遠(yuǎn)程執(zhí)行任意代碼（漏洞詳情請(qǐng)參見(jiàn)http://www.adobe.com/support/security/bulletins/apsb12-27.html）。

Oracle公司的MySQL數(shù)據(jù)庫(kù)于2012年11月被爆出存在多個(gè)0day漏洞，包括遠(yuǎn)程代碼執(zhí)行、權(quán)限提升、拒絕服務(wù)、信息泄露等漏洞，不過(guò)這些漏洞多數(shù)需要擁有合法的數(shù)據(jù)庫(kù)用戶(hù)才能被成功利用。因此那些允許用戶(hù)遠(yuǎn)程連接MySQL數(shù)據(jù)庫(kù)的管理員需要關(guān)注這些漏洞。目前，Oracle還未發(fā)布相應(yīng)的補(bǔ)丁程序，在沒(méi)有補(bǔ)丁程序之前，應(yīng)該嚴(yán)格限制數(shù)據(jù)庫(kù)用戶(hù)的連接。

另一個(gè)需要關(guān)注的漏洞是ISC BIND的拒絕服務(wù)漏洞，Bind 9在處理某些請(qǐng)求時(shí)，DNS64 IPv6過(guò)渡機(jī)制存在一個(gè)錯(cuò)誤，允許攻擊者構(gòu)建特制的DNS查詢(xún)，觸發(fā)REQUIRE斷言，使服務(wù)程序崩潰。要成功利用這個(gè)漏洞，需要DNS服務(wù)器啟用DNS64功能。DNS64是一種IPv4-IPv6過(guò)渡技術(shù)，屬于IPv4/IPv6過(guò)渡共存協(xié)議集中的一部分。DNS64與IPv4/IPv6轉(zhuǎn)換設(shè)備（如有狀態(tài)的NAT64）協(xié)同工作，以保證IPv6-only主機(jī)可以通過(guò)域名與IPv4-only服務(wù)器建立通信。正常情況下，BIND并不會(huì)啟用DNS64功能，不過(guò)隨著教育網(wǎng)內(nèi)IPv6的普及，這種過(guò)渡機(jī)制的功能有可能被利用。