文/鄭先偉

歲末網(wǎng)購防范木馬欺詐

文/鄭先偉

2013年12月教育網(wǎng)整體運(yùn)行平穩(wěn)，未發(fā)生影響嚴(yán)重的安全事件。

近期掃描的投訴事件有所增多，這些掃描多數(shù)是針對22端口或是80端口，通常會發(fā)起這類掃描很可能表示該機(jī)器已經(jīng)被黑客攻擊并控制。

病毒與木馬

臨近2013年底，網(wǎng)絡(luò)購物的用戶數(shù)量增多，應(yīng)提醒用戶防范木馬病毒及網(wǎng)絡(luò)欺詐。近期要防范各類利用熱點(diǎn)信息或是軟件進(jìn)行傳播的木馬病毒。如包含與比特幣交易有關(guān)的網(wǎng)站鏈接的郵件、偽造成電商秒殺器的木馬、偽造成12306手機(jī)購票客戶端的木馬程序等。這類木馬由于都涉及網(wǎng)絡(luò)支付環(huán)節(jié)，一旦感染通常會給用戶帶來直接的經(jīng)濟(jì)損失。因此建議用戶要盡量抑制自己的好奇心，不貪圖小便宜，并從正規(guī)的渠道去獲取需要的軟件。

近期新增嚴(yán)重漏洞評述

2013年12月安全投訴事件統(tǒng)計

微軟在2013年12月10日發(fā)布了2013年最后一次安全公告，本次公告共11個，其中5個為嚴(yán)重等級，6個為重要等級。至此微軟在2013年中發(fā)布的安全公告總量達(dá)到了106個，逼平了2010年的公告總量，成為了近十年中發(fā)布安全公告數(shù)量最多的年份之一。本次的11個公告共修補(bǔ)了Windows系統(tǒng)、IE瀏覽器、Exchange server、SharePoint Server、Office辦公軟件及ASP .NET組件中的24個安全漏洞。其中前段時間提到Windows圖形組件的0day漏洞（CVE-2013-3906）在MS13-096中得到了修補(bǔ)，而另一個XP系統(tǒng)內(nèi)核權(quán)限提升0day漏洞（CVE-2013-5065）則沒有在本次公告中得到修補(bǔ)。這個權(quán)限提升漏洞正在被用來與PDF軟件的漏洞相結(jié)合從而攻擊XP系統(tǒng)，建議用戶隨時關(guān)注微軟的動態(tài)，并謹(jǐn)慎打開來歷不明的PDF文檔。

微軟2013年11月的安全公告詳細(xì)信息請參見：http://technet.microsoft.com/zhcn/security/bulletin/ms13-dec。

Winxp內(nèi)核權(quán)限提升漏洞信息請參見：http://technet.microsoft.com/zh-cn/ security/advisory/2914486。

目前Windows系統(tǒng)中第三方漏洞利用率最高的是Java、PDF Acrobat/Reader以及Flash player這三款軟件的漏洞，其中Acrobat/Reader和Flash player屬于Adobe公司的產(chǎn)品。12月10日Adobe公司也發(fā)布了今年最后一次例行安全公告，此次公告修補(bǔ)了Flash player軟件中的2個遠(yuǎn)程代碼執(zhí)行漏洞。相關(guān)的漏洞信息請參見：http://helpx.adobe.com/security/products/ flash-player/apsb13-28.html。

瀏覽器方面，Mozilla公司也發(fā)布了Firefox瀏覽器的最新版本26，修補(bǔ)之前版本中的多個安全漏洞。Google公司發(fā)布了Chrome瀏覽器的最新版本（31.0.1650.48），修補(bǔ)之前版本中的多個安全漏洞。

安全提示

近期一款開源企業(yè)級郵件系統(tǒng)軟件Zimbra（http://www.zimbra. com/）被曝出存在任意文件讀取漏洞，這款開源軟件被不少高校用來搭建院系的內(nèi)部郵件系統(tǒng)。由于Zimbra郵件系統(tǒng)在某些默認(rèn)頁面中存在文件包含漏洞，攻擊者可以利用該漏洞繞過限制讀取未授權(quán)的主機(jī)操作系統(tǒng)文件或網(wǎng)站其他目錄配置文件（如系統(tǒng)的passwd文件）。如果系統(tǒng)開放了后臺默認(rèn)的7071管理端口，攻擊者還可以通過該漏洞直接向郵件系統(tǒng)中添加管理員賬號。廠商在2013年2月就已經(jīng)獲知漏洞存在，并在隨后的版本中進(jìn)行了修補(bǔ)，但不知出于什么原因，廠商并未發(fā)布安全公告，這導(dǎo)致大量的管理員并不知道漏洞存在而繼續(xù)使用老的版本。因此我們建議使用了Zimbra搭建郵件系統(tǒng)的管理員及時將服務(wù)器上的Zimbra升級至7.2.2 Patch 2、7.2.3、8.0.2 Patch 1、8.0.3等版本。由于該漏洞存在很長的0day攻擊期，建議管理員在完成升級后對服務(wù)器系統(tǒng)進(jìn)行安全審計，排查可疑的后臺管理員賬號，必要時通知用戶重新更改賬號密碼。

（作者單位為中國教育和科研計算機(jī)網(wǎng)應(yīng)急響應(yīng)組）