文/鄭先偉

近期通過郵件系統(tǒng)發(fā)送欺詐郵件騙取用戶賬戶名和密碼的釣魚攻擊數(shù)量在教育網(wǎng)內(nèi)有增加趨勢。這些釣魚郵件的內(nèi)容往往非常簡單，僅包含一句“當(dāng)前信息無法顯示”和一個“點擊這里顯示全部內(nèi)容”的按鈕。如果用戶點擊這個按鈕，就會轉(zhuǎn)跳到一個仿冒的郵箱登錄界面上要求用戶輸入用戶名和密碼來登錄郵箱，一旦用戶輸入賬號和密碼，相關(guān)信息就會自動被發(fā)送給遠端服務(wù)器上的攻擊程序，攻擊程序隨后會用被釣魚成功的用戶賬號登錄真的郵件系統(tǒng)，并以郵件回復(fù)的模式向郵箱里的聯(lián)系人發(fā)送包含上述釣魚內(nèi)容的欺詐郵件，以達到進一步傳播的效果。由于大部分的釣魚郵件都是以回復(fù)原始郵件的形式發(fā)送的，因此對用戶的欺騙性很高，用戶往往認為是系統(tǒng)的原因?qū)е滦畔@示不全而去點擊了按鈕并輸入了賬號和密碼，導(dǎo)致類似的郵件在學(xué)校的郵件服務(wù)器里快速擴散。這類郵件釣魚攻擊并沒有直接利用系統(tǒng)或程序的漏洞，因此沒有補丁程序可打，需要學(xué)校加大宣傳力度提高用戶的安全意識來防范。

高招期間，與網(wǎng)站有關(guān)的安全事件數(shù)量呈增多趨勢。

近期沒有新增需要關(guān)注的木馬病毒。

近期新增嚴重漏洞評述∶

2018年8～9月安全投訴事件統(tǒng)計

1.微軟9月的例行安全公告修復(fù)了其多款產(chǎn)品存在的192個安全漏洞。受影響的產(chǎn)品包括Windows 10 v1803 and Server 2016（30個）、Windows 10 v1709（27個）、Windows 10 v1703（26個）、Windows 8.1 and Windows Server2012 R2（23個）、Windows Server 2012（20個）、Windows 7 and Windows Server 2008R2（19個）、Windows Server 2008（18個）、Internet Explorer（6 個）、Microsoft Edge（15 個）和Microsoft Office（8個）。其中Windows遠程代碼執(zhí)行漏洞（CVE-2018-8475）和Scripting Engine內(nèi)存破壞漏洞（CVE-2018-8457）需要特別關(guān)注，這兩個漏洞可以引誘用戶訪問特定的文件來遠程執(zhí)行任意代碼。建議用戶盡快使用系統(tǒng)自帶的更新功能進行更新。

2.Adobe公司9月發(fā)布了一個安全公告（APSB18-34）用于披露和修補Adobe Acrobat/Reader軟件中存在的7個安全漏洞，其中1個屬于遠程代碼執(zhí)行漏洞，另外6個漏洞則可能導(dǎo)致敏感信息泄漏。攻擊者可以引誘用戶打開定制的PDF文檔，就可能以當(dāng)前用戶的權(quán)限在系統(tǒng)上執(zhí)行任意命令。Adobe已經(jīng)在最新版的Acrobat/Reader里修補了這些漏洞，用戶可以使用Acrobat/Reader軟件的自動更新功能進行更新，也可以在官方網(wǎng)站上下載最新版的軟件進行安裝。漏洞和版本更新的詳細信息請參見：https∶//helpx.adobe.com/security/products/acrobat/apsb18-34.html

3.BIND軟件是目前互聯(lián)網(wǎng)上使用最為廣泛的DNS服務(wù)軟件。BIND軟件為了對使用動態(tài)DNS（DDNS）更新區(qū)域中的記錄提供細粒度控制能力，提供了一個名為update-policy的功能。該功能可以配置各種規(guī)則來限制客戶端可以執(zhí)行的更新類型，具體取決于發(fā)送更新請求時使用的密鑰。不幸的是該功能在實現(xiàn)上存在安全繞過漏洞，遠程攻擊者可利用該漏洞執(zhí)行未授權(quán)的操作。ISC已經(jīng)發(fā)布了新的BIND版本來修正該漏洞，建議DNS管理員盡快更新自己的BIND版本。

4.Cisco Umbrella是思科公司的安全云解決方案，多用于無線局域網(wǎng)的安全前端。Cisco Umbrella API 接口中存在授權(quán)問題漏洞，該漏洞源于接口的身份驗證配置不充分。攻擊者可利用該漏洞查看并修改多個組織的數(shù)據(jù)。目前思科已經(jīng)針對該漏洞發(fā)布了補丁程序，建議使用了該安全網(wǎng)關(guān)的管理員盡快對相關(guān)服務(wù)進行升級。

安全提示

針對近期高發(fā)的郵件釣魚攻擊，學(xué)校的郵件服務(wù)管理員應(yīng)隨時關(guān)注相關(guān)攻擊的動態(tài)，并采取一定的措施來進行防范，包括：

1.整理釣魚郵件的特征（例如郵件中包含綠色的按鈕等），并向用戶發(fā)送提醒郵件，提醒用戶不要輕易上當(dāng)。

2.如果技術(shù)力量允許，可以分析釣魚郵件的傳播機理，采取技術(shù)措施阻斷釣魚郵件的傳播。如：在校園網(wǎng)出口阻斷對仿冒郵件系統(tǒng)的IP連接。在郵件服務(wù)器上禁止自動程序的IP登陸郵箱發(fā)送釣魚郵件。

3.監(jiān)控郵件服務(wù)器上用戶的使用狀態(tài)，對于那些已經(jīng)在轉(zhuǎn)發(fā)釣魚郵件的賬號進行臨時封禁，并提示用戶修改密碼。