文/鄭先偉

5月蠕蟲感染重災(zāi)區(qū)為行業(yè)內(nèi)網(wǎng)

文/鄭先偉

CCERT月報(bào)

5 月中旬，一款利用微軟 Windows 操作系統(tǒng)文件共享服務(wù)漏洞進(jìn)行傳播的勒索蠕蟲病毒（WannaCry 蠕蟲）開始在網(wǎng)絡(luò)上大規(guī)模傳播，病毒感染系統(tǒng)后會(huì)對(duì)系統(tǒng)上的重要數(shù)據(jù)進(jìn)行加密并索取價(jià)值 300 美元以上的比特幣。由于該病毒使用了 445端口SMB協(xié)議服務(wù)漏洞進(jìn)行傳播，因此在局域網(wǎng)環(huán)境（如校園網(wǎng)）中較易擴(kuò)散。由于國(guó)內(nèi)相關(guān)病毒感染的案例報(bào)道最早是源自于校園網(wǎng)用戶，所以導(dǎo)致大量媒體誤讀為高校是此次敲詐病毒感染的重災(zāi)區(qū)。但經(jīng)我們后期數(shù)據(jù)統(tǒng)計(jì)分析發(fā)現(xiàn)，部分高校確實(shí)存在用戶感染的案例，但是所占比例并不高，完全沒有達(dá)到重災(zāi)區(qū)的程度。大部分學(xué)校在校園網(wǎng)邊界早就采取了 445端口限制措施，有效抑制了蠕蟲病毒在高校網(wǎng)絡(luò)之間的傳播，另一方面由于校園網(wǎng)用戶使用的操作系統(tǒng)版本及安全配置的水平多樣性，也在某種程度上限制了蠕蟲的傳播速度。此次蠕蟲感染重災(zāi)區(qū)是一些行業(yè)內(nèi)網(wǎng)，因?yàn)檫@些內(nèi)網(wǎng)由于業(yè)務(wù)需要通常都使用統(tǒng)一的操作系統(tǒng)及安全配置（一個(gè)有漏洞大家都有），一旦病毒通過某些渠道進(jìn)入內(nèi)網(wǎng)，內(nèi)網(wǎng)的主機(jī)全部都會(huì)被感染。

2017 年 4 月 ～5 月安全投訴事件統(tǒng)計(jì)

WannaCry/Wcry 勒索蠕蟲病毒所利用的漏洞攻擊代碼是黑客組織 Shadow Brokers（影子經(jīng)紀(jì)人）在今年 4 月 14日披露的 Equation Group（方程式組織）使用的黑客工具包中的一個(gè)（4月的月報(bào)中已經(jīng)提醒過用戶防范這些漏洞），攻擊程序名為 ETERNALBLUE，國(guó)內(nèi)安全廠商命名為永恒之藍(lán)。該攻擊代碼利用了 Windows文件共享協(xié)議中的一個(gè)安全漏洞通過 TCP 445 端口進(jìn)行攻擊，漏洞影響 Windows全線的操作系統(tǒng)，微軟在 2017 年 3 月的例行補(bǔ)丁（MS17-010）更新中對(duì)該漏洞進(jìn)行了修補(bǔ)，本次由于蠕蟲影響的范圍較大，微軟在蠕蟲爆發(fā)后臨時(shí)發(fā)布了針對(duì)之前不再提供更新支持的系統(tǒng)版本（包括 Windows XP、Windows 8、Windows server 2003）補(bǔ)丁。用戶只需安裝對(duì)應(yīng)的補(bǔ)丁程序便能防范攻擊。對(duì)于那些已經(jīng)被病毒加密的系統(tǒng)文件，部分安全廠商也提供了一些文件恢復(fù)的工具，但是由于病毒本身使用的是標(biāo)準(zhǔn)的非對(duì)稱加密算法，在沒有解密密鑰的情況要想破解恢復(fù)加密文件基本不太可能，所以目前大部分的工具是靠數(shù)據(jù)恢復(fù)的模式來進(jìn)行文件恢復(fù)，而不是直接去解密還原被加密的文件。

5月需要關(guān)注的漏洞有如下這些：

1.微軟 5 月的安全更新涉及的系統(tǒng)及軟件為：Internet Explorer、Microsoft Edge、Microsoft Windows、Microsoft Office and Microsoft Office Services and Web Apps、NET Framework、Adobe Flash Player、Microsoft Malware Protection Engine。需要特別關(guān)注的是 Malware Protection Engine 的漏洞，該軟件是微軟系統(tǒng)自帶的反病毒程序，內(nèi)置于 Win7 以上版本的系統(tǒng)中，攻擊者如果構(gòu)造惡意的程序，可能誘發(fā)反病毒引擎的錯(cuò)誤從而在系統(tǒng)上執(zhí)行任意命令。

2.Joomla!是一 套 基于 PHP 的開源內(nèi)容管理系統(tǒng) (CMS)。高校網(wǎng)絡(luò)中有很多信息系統(tǒng)是基于該內(nèi)容管理系統(tǒng)進(jìn)行二次開發(fā)的。Joomla! 3.7.0 版本中存在一個(gè) SQL 注入漏洞，攻擊者利用該漏洞無需任何身份認(rèn)證即可獲得數(shù)據(jù)庫(kù)中的敏感信息。不過由于 3.7.0 是 Joomla ！比較新的版本，之前的版本中并不存在該漏洞，因此如果用戶的信息系統(tǒng)是近期開發(fā)或是升級(jí)過的 Joomla ！就需要特別關(guān)注了。目前廠商已經(jīng)在 Joomla ！ 3.7.1 版本中修復(fù)了此漏洞，建議相關(guān)的管理員盡快升級(jí)自己的 Joomla ！版本。

3.Linux 系統(tǒng)下的 Samba 軟件（3.5.0及 3.5.0 和 4.6.4 之間的任意版本）存在遠(yuǎn)程代碼執(zhí)行漏洞，當(dāng) Linux 系統(tǒng)啟用了 Smb服務(wù)，并且允許用戶向目錄上傳文件時(shí)，攻擊者可以上傳惡意的共享庫(kù)文件，觸發(fā)漏洞使 Samba 服務(wù)端加載并執(zhí)行該共享庫(kù)，從而以 Smb服務(wù)的權(quán)限（一般是 Root）遠(yuǎn)程執(zhí)行任意代碼。目前廠商已經(jīng)在新版本（4.5.10、4.4.14、4.6.4）的 Samba 軟件中修補(bǔ)了該漏洞，使用 Linux 下的 Smb 服務(wù)的用戶需要盡快更新自己的 Samba 軟件版本。

（責(zé)編：高錦）

安全提示

Win7 以上版本的 Windows系統(tǒng)的自動(dòng)更新是默認(rèn)開啟的，那些被刻意關(guān)閉自動(dòng)更新功能的系統(tǒng)多半都是盜版的操作系統(tǒng)。這些盜版的操作系統(tǒng)因?yàn)闊o法及時(shí)安裝補(bǔ)丁更新可能給校園網(wǎng)帶來安全風(fēng)險(xiǎn)，學(xué)校需要對(duì)這類系統(tǒng)進(jìn)行監(jiān)管防范，條件允許的情況下應(yīng)該使用正版的操作系統(tǒng)進(jìn)行替代，即使暫時(shí)無法全部正版化也需要提供一些臨時(shí)的補(bǔ)丁更新服務(wù)，如校內(nèi)搭建的WSUS服務(wù)或是一些第三方軟件提供的更新服務(wù)。

（作者單位為中國(guó)教育和科研計(jì)算機(jī)網(wǎng)應(yīng)急響應(yīng)組）