zheng, xianwei – CCERT http://www.58baitoo.com 中国教育和科研计算机网(CERNET)应急响应组 Wed, 15 May 2019 09:15:33 +0000 zh-CN hourly 1 https://wordpress.org/?v=5.0.15 windows远程桌面服务(RDP)服务远程代码执行漏洞(CVE-2019-0708) http://www.58baitoo.com/archives/404 Wed, 15 May 2019 09:15:33 +0000 http://www.58baitoo.com/?p=404 继续阅读 windows远程桌面服务(RDP)服务远程代码执行漏洞(CVE-2019-0708)]]> 概述:

微软五月份的例行安全公告中修补了一个windows系统远程桌面(RDP)服务的远程代码执行漏洞(CVE-2019-0708),该漏洞允许攻击者向受漏洞影响的windows远程桌面服务发送恶意构造的请求,无需身份验证即可在目标系统上执行任意代码。

影响系统:

Windows 7

Windows server 2008

Windows server 2003

Windows xp

 漏洞编号:

CVE-2019-0708

CNVD-2019-14264

漏洞详情:

目前相关的漏洞的详情还未公布,但是从微软公布的信息看,此漏洞出现在预身份验证的过程中,这就意味着攻击者无需任何合法的用户身份即可利用此漏洞远程在系统上执行任意命令。目前该漏洞影响早期的windows版本,window8之后的系统中不存在此漏洞。

漏洞影响:

由于该漏洞无需验证即可直接利用,很可能会被利用来进行蠕虫传播。

解决办法:

微软已经针对存在漏洞的系统发布了补丁程序,您可以使用系统的自动更新功能进行补丁安装。对于微软已经停止支持的windows系统(win xp和windows server2003)我们建议您立即升级系统版本到最新。

临时解决办法:

  1. 如果无需使用远程桌面服务,请关闭该服务。如果必须使用请使用防火墙限制服务的访问来源到可信任的网络。
  2. 启用网络级别身份验证(NLA),以阻止未经身份验证的攻击者利用此漏洞。启用NLA后,攻击者首先需要使用目标系统上的有效帐户对远程桌面服务进行身份验证,然后才能利用此漏洞。这可以缓解蠕虫的攻击风险。

参考信息:

  1. https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708
  2. https://blogs.technet.microsoft.com/msrc/2019/05/14/prevent-a-worm-by-updating-remote-desktop-services-cve-2019-0708/
]]>
关于防范GandCrab勒索病毒的通知 http://www.58baitoo.com/archives/401 Thu, 21 Mar 2019 07:58:52 +0000 http://www.58baitoo.com/?p=401 继续阅读 关于防范GandCrab勒索病毒的通知]]> 近期,一个名为GandCrab的勒索病毒的最新变种开始在网络上扩散传播,已给一些单位的重要数据造成了损失。GandCrab是一个勒索病毒家族,从2018年初出现到现在已经更新过多个版本(最新的版本为5.2),是2018年里最活跃的勒索病毒。该病毒感染系统后会对系统上的数据文件进行加密并向用户索要赎金,用户支付赎金后方可解密。病毒作者公开的信息显示,在2019年1月其已收到总计285万美金的赎金,由此可见其传播的范围之广。

GandCrab最新的5.2版本主要通过电子邮件附件进行传播,攻击者会冒充执法机关发送钓鱼邮件到受害者邮箱中,并恐吓受害者( 如“必须在 3 月 11 日下午3 点到警察局报到” ),从而诱导受害者点击运行邮件附件。除电子邮件附件外,该病毒家族还会通过其他多种方式进行传播,目前已知的方式包括:

  1. 通过U盘等移动存储介质进行传播;
  2. 伪装成软件下载器引诱用户下载进行传播;
  3. 通过Windows远程桌面(TCP 3389端口)或VNC远程控制软件(TCP 5900端口)提供的服务来暴力破解系统弱口令账号进行传播;
  4. 通过永恒之蓝漏洞(TCP 139、445端口)进行传播;
  5. 通过网页挂马的模式进行传播;
  6. 通过感染WEB/FTP的目录进行传播;

上述传播方式中邮件附件和U盘是主要传播途径,这两种方式可以使病毒穿透网络边界的防护传播到内网,并通过内网系统中存在的安全漏洞在内部进行扩散。在传播的过程中,GandCrab会尝试利用各种系统及软件的漏洞。

GandCrab一旦感染用户的系统,会对系统上三百多种格式的文件进行加密后再删除原文件,并生成勒索信息向用户索要赎金(最新的5.2版本索要3000美元赎金)。除了加密被感染系统上的文件外,病毒还会尝试加密网络共享文件夹中的文件。由于GandCrab使用的是RSA+AES加密算法,在没有获取解密私钥的情况下几乎无法自行破解,因此针对该病毒还是以防范为主。

要防范GandCrab勒索病毒,建议用户做到如下几点:

  1. 及时安装系统及软件的补丁程序,防止病毒利用漏洞进行传播;
  2. 安装有效的防病毒软件并及时更新病毒库,定期进行全盘扫描;
  3. 关闭系统中U盘自动运行功能;
  4. 不要在系统上随便点击来历不明的程序,包括邮件附件、不可信渠道下载的软件等;
  5. 避免为系统账号设置弱口令;
  6. 关闭系统不必要的服务和共享,对于必须开放的服务,尽量不要使用默认的服务端口,如远程桌面的3389端口;
  7. 提高安全意识,保持良好的上网习惯,不要访问非法的网站及网页;
  8. 养成良好的工作习惯,定期使用其他介质备份重要数据文件。

如果您的系统已被GandCrab感染并加密,我们原则上不建议您交付赎金进行解密,您可以按照以下步骤操作:

  1. 立即中断系统的网络连接,避免对同网段内其他机器造成影响。检查自己机器中毒的版本(可根据病毒留下来的上网查询版本);
  2. 使用杀毒软件(可下载对应版本的专杀工具)对系统上的病毒进行查杀;
  3. 目前国外的安全研究机构会同当地警方已经破获了病毒作者在暗网上存放私钥的服务器,获取了一部分的解密私钥。因此,5.2之前版本被加密的数据已经可以在不支付赎金的情况下自行解密了,相关的解密工具可在网上搜索;
  4. 对于被5.2版本加密的数据,目前还无法解密,用户可将相关的数据封存,等待未来获取了解密私钥后再进行解密。
]]>
CPU处理器内核存在Meltdown和Spectre漏洞分析 http://www.58baitoo.com/archives/390 Fri, 05 Jan 2018 07:19:43 +0000 http://www.58baitoo.com/?p=390 继续阅读 CPU处理器内核存在Meltdown和Spectre漏洞分析]]> 综述:

近期通用CPU处理器内核被爆出多个安全漏洞,这些漏洞允许用户绕过芯片及系统的安全设置去读取任意内核中的数据。由于是CPU层级的漏洞,因此这些漏洞理论上影响所有使用通用CPU的操作系统和软件。

影响范围:

Intel CPU

AMD CPU

ARM CPU

CVE编号:

CVE-2017-5754

CVE-2017-5753

CVE-2017-5715

漏洞信息:

现代通用处理器(CPU)的运作机制中存在两个用于加速执行的特性,推测执行(Speculative Execution)和间接分支预测(Indirect Branch Prediction)。推测性执行是一种优化技术,CPU会基于猜测或概率的角度,在当前的指令或分支还未执行完成前就开始执行可能会被执行的指令或分支,如果猜测正确,则直接继续执行,以此加速cpu的执行进度。如果猜测失败,则cpu取消该操作进行回滚,回滚的过程并不影响cpu的处理速度。这种预测执行的方式能够有效提高cpu的执行速度,但是也带来了安全风险。尽管cpu架构状态会被快速回滚,但是TLB和缓存状态并不会很快回滚,攻击者通过寻找或构建一些指令就可以在CPU回滚的时间窗口里进行一系列的越权访问,造成内核中的数据泄漏。目前类似的攻击方式有三种:

  1. 边界检查绕过(CVE-2017-5753)——通过污染分支预测,来绕过kernel或hypervisor的内存对象边界检测。比如,攻击者可以对高权级的代码段,或虚拟环境中hypercall,通过构造的恶意代码来触发有越界的数据下标,造成越界访问。
  2. 分支目标注入(CVE-2017-5715)——污染分支预测。抽象模型比较好的代码往往带有间接函数指针调用的情况,CPU在处理时需要会进行必要的内存访问,这个过程有点慢,所以CPU会预测分支。攻击者可以通过类似的ROP的方式来进行信息泄露。
  3. 流氓数据加载(CVE-2017-5754)——部分CPU上,为了速度并不是每次都对指令作权限检查的,检查的条件存在一定的缺陷。

其中CVE-2017-5754漏洞可以用来破坏用户程序和操作系统之间的基本隔离,允许攻击者未授权访问其他程序和操作系统的内存,获取其他程序和操作系统的敏感信息,被称为Meltdown漏洞。

CVE-2017-5715和CVE-2017-5753可以用来破坏不同应用程序之间的隔离,允许攻击者读取其他程序的敏感数据,被称为Spectre漏洞。

漏洞危害:

利用Meltdown漏洞攻击者可以获取操作系统底层核心数据。在虚拟化环境下,可以绕过安全限制读取其他操作系统的信息。

利用Spectre漏洞,攻击者可以获取其他程序的敏感信息,例如通过浏览器脚本获取用户的cookie信息等。

缓解因素:

由于漏洞是CPU架构层级,没有临时的措施可以降低漏洞的风险。不过仍然有以下的信息可以参考:

  1. AMD的CPU不受Meltdown漏洞的影响。
  2. 相关漏洞目前只适用于越权数据读取,还不能用来直接执行指令。因此漏洞暂不具备被利用来进行大规模自主传播的风险。
  3. 漏洞目前还属于一种概念性的攻击方式,攻击只在特定的实验环境中被证实,实际环境中还未发现任何与之有关的攻击。

解决办法:

目前多数的操作系统厂商、虚拟化软件厂商及部分软件厂商已经针对这些漏洞发布了补丁程序,用户只需及时安装相应的补丁程序即可。

需要特别提醒的是,那些为用户提供虚拟主机服务的管理员,应该尽快为虚拟化软件安装相应的补丁程序并同时通知虚拟主机用户安装相应系统的补丁程序。

参考信息:

漏洞参考信息:

https://meltdownattack.com/meltdown.pdf

https://spectreattack.com/spectre.pdf

http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=2017-5715

http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=2017-5753

http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=2017-5754

?

相关安全公告:

CPU厂商公告

Intel公告

https://newsroom.intel.com/news/intel-responds-to-security-research-findings/

https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00088&languageid=en-fr

AMD公告

https://www.amd.com/en/corporate/speculative-execution

ARM公告

https://developer.arm.com/support/security-update

 

虚拟化及云平台厂商公告

VMware公告

https://www.vmware.com/us/security/advisories/VMSA-2018-0002.html

Xen公告

http://xenbits.xen.org/xsa/advisory-254.html

亚马逊公告

https://aws.amazon.com/de/security/security-bulletins/AWS-2018-013/

Google公告

https://googleprojectzero.blogspot.co.at/2018/01/reading-privileged-memory-with-side.html

 

系统及软件厂商公告

微软安全公告

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002

Red Hat安全公告

https://access.redhat.com/security/vulnerabilities/speculativeexecution

Mozilla firefox浏览器

https://blog.mozilla.org/security/2018/01/03/mitigations-landing-new-class-timing-attack/

google chrome浏览器

https://www.chromium.org/Home/chromium-security/ssca

]]>
RSA算法ROBOT攻击漏洞 http://www.58baitoo.com/archives/383 Wed, 13 Dec 2017 08:41:58 +0000 http://www.58baitoo.com/?p=383 继续阅读 RSA算法ROBOT攻击漏洞]]> 漏洞描述:

TLS的RSA算法实现中存在一个漏洞,允许攻击者对加密协议进行选择密文攻击进而破解被加密的密文。

1998年瑞士的密码学家Daniel Bleichenbacher发现了SSL协议在处理RSA算法密钥时存在安全漏洞,该漏洞允许攻击者通过选择密文的攻击方式破解密文(相关论文参见:http://archiv.infsec.ethz.ch/education/fs08/secsem/bleichenbacher98.pdf)。由于当时相关机构针对该漏洞只是采用了临时的缓解措施,并未对RSA的算法实现进行重构,导致最近有研究者发现只需稍微对上述攻击方式进行一些变化就能重现该漏洞。目前该漏洞被命名为ROBOT攻击(Return Of Bleichenbacher’s Oracle Threat)。

影响产品:

RSA PKCS #1 v1.5算法

漏洞危害及范围:

该漏洞使得攻击者可以破解监听到的密文。目前已知最少有七个厂商(包括:F5、思科、Citrix、Radware、Bouncy Castle、Frlang、WolfSSL、MatrxSSL和Java/JSSE)的产品受到该漏洞的影响,另外大量的使用了https的协议的网站受到影响,包括FACEBOOK与PayPal等网站。由于该漏洞是存在RSA算法里的,因此理论上所有使用了RSA PKCS#1 v1.5为加密算法的协议及应用都可能受影响。

漏洞利用条件:

攻击成功需要两个条件:

  1. 攻击者能够监听到服务器和被攻击者之间的加密数据。
  2. 攻击者能够跟服务器建立TLS加密链路并进行大量的数据交互。

漏洞检测办法:

研究者已经发布了相关的HTTPS检测工具,你可以通过下列链接(https://github.com/robotattackorg/robot-detect)下载后对你的服务器进行验证。

 

解决办法:

目前TLS协议实现版本还未发布相关的补丁程序,您可以通过禁用RSA PKCS #1 v1.5算法来杜绝该漏洞。

上述提到的七家厂商已经针对该漏洞发布了补丁程序,您可以参照下表进行下载更新:

F5 BIG-IP SSL vulnerability CVE-2017-6168
Citrix TLS Padding Oracle Vulnerability in Citrix NetScaler Application Delivery Controller (ADC) and NetScaler Gateway CVE-2017-17382
Radware Security Advisory: Adaptive chosen-ciphertext attack vulnerability CVE-2017-17427
Cisco ACE Bleichenbacher Attack on TLS Affecting Cisco Products,?End-of-Sale and End-of-Life CVE-2017-17428
Bouncy Castle Fix in?1.59 beta 9,?Patch / Commit CVE-2017-13098
Erlang OTP 18.3.4.7,?OTP 19.3.6.4,?OTP 20.1.7 CVE-2017-1000385
WolfSSL Github PR / patch CVE-2017-13099
MatrixSSL Changes in 3.8.3 CVE-2016-6883
Java / JSSE Oracle Critical Patch Update Advisory – October 2012 CVE-2012-5081

缓解因素:

  1. 攻击者必须能够监听到服务器和用户之间的交互数据。
  2. 攻击者最终是通过服务器上的私钥进行密文解密,而不能获得服务器私钥,因此无需为相关受影响的服务器更换数字证书。
  3. 目前大部分新版的TLS协议在密钥交换过程使用的是ECDH算法,RSA算法只用于签名,管理员可以直接关闭RSA算法的支持也不会影响加密过程。

 

 

参考信息:

  1. Chosen Ciphertext Attacks Against Protocols Based on the RSA Encryption Standard PKCS #1 http://archiv.infsec.ethz.ch/education/fs08/secsem/bleichenbacher98.pdf
  2. https://robotattack.org/
  3. https://www.tripwire.com/state-of-security/vert/return-bleichenbachers-oracle-threat-robot/?utm_content=bufferb1d9b&utm_medium=social&utm_source=twitter.com&utm_campaign=buffer
  4. https://cryptosense.com/bleichenbacher-is-back-again/
]]>
关于应对新型勒索病毒Petya爆发的紧急通报 http://www.58baitoo.com/archives/378 Fri, 30 Jun 2017 09:35:21 +0000 http://www.58baitoo.com/?p=378 继续阅读 关于应对新型勒索病毒Petya爆发的紧急通报]]> 2017年6月27日晚,乌克兰、俄罗斯、印度及欧洲多个国家遭遇Petya勒索病毒袭击,政府、银行、电力系统、通讯系统、企业以及机场都不同程度受到了影响。

此次病毒爆发使用了已知的Office/wordpad远程执行代码漏洞(CVE-2017-0199),通过伪装成求职简历电子邮件进行传播,用户点击该邮件后释放可执行文件,病毒在成功感染本机后形成初始扩散源,再利用永恒之蓝漏洞在内网中寻找打开445端口的主机进行传播,使得病毒可以在短时间内呈爆发态势,该病毒在感染后写入计算机的硬盘主引导区,相较普通勒索病毒对系统更具有破坏性。

为防范该病毒带来的影响,我们建议用户执行以下操作:

1、及时更新系统及软件的补丁;

系统补丁:https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

软件补丁:https://technet.microsoft.com/zh-cn/office/mt465751.aspx

2、禁用 WMI 服务;

3、不要在局域网内不同系统上使用相同的账号和口令;

4、安装有效的防病毒软件并及时更新病毒库;

5、不要随便点击来历不明的邮件及附件;

]]>
关于防范WannaCry/Wcry勒索蠕虫病毒的情况通报 http://www.58baitoo.com/archives/371 Sat, 13 May 2017 05:49:28 +0000 http://www.58baitoo.com/?p=371 继续阅读 关于防范WannaCry/Wcry勒索蠕虫病毒的情况通报]]> 概述:

从5月12日开始,一款利用微软Windows操作系统文件共享漏洞进行传播的敲诈病毒开始在网络上大规模传播,病毒感染系统后会对系统上的重要数据进行加密并索取价值300美元以上的比特币。由于该病毒使用了445 端口SMB协议服务漏洞进行传播,因此在校园网(局域网)环境中较易扩散,需要引起学校的注意。

病毒分析:

WannaCry/Wcry勒索蠕虫病毒所利用的漏洞攻击代码是黑客组织Shadow Brokers(影子经纪人)在今年4月14日披露的Equation Group(方程式组织)使用的黑客工具包中的一个,攻击程序名为ETERNALBLUE,国内安全厂商命名为永恒之蓝。该攻击代码利用了Windows文件共享协议中的一个安全漏洞通过TCP 445端口进行攻击,漏洞影响Windows全线的操作系统,微软2017年3月的例行补丁(MS17-010)对该漏洞进行了修补。

病毒一旦感染系统后会对系统中的文件进行加密,并修改桌面背景,弹出勒索窗口向用户索要价值300美元以上的比特币(见下图)。

nana

病毒使用的加密算法暂时还没有破解的办法,一旦感染后用户只能选择支付相应的比特币解密或是等待攻击者最终免费解密(概率很小),因此针对该病毒还是建议用户以预防为主。

预防办法:

个人用户的预防办法:

  1. 针对Widnows vista、Windows 7、Windows 8.1、Windows 10及Windows Server 2008、Windows Server 2012、Windows Server 2016系统,请启用系统自带的更新功能将补丁版本升级到最新;
  2. 针对Windows XP、Windows 8及Windows Server 2003系统,我们建议升级操作系统到Windows 7及以上,如果因为特殊原因无法升级操作系统版本的,请手动下载补丁程序安装,补丁下载地址:http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
  3. 升级电脑上的杀毒软件病毒库到最新版本。

网络层的预防办法:

  1. 在网络边界(如校园网出口)上阻断TCP 135、137、139、445端口的连接请求,这个操作可有效阻断病毒从外部传入内部网络,但仍然无法阻止病毒在内部网络传播;
  2. 在校园网的核心交换处阻断TCP 135、137、139、445端口的连接请求,该操作可阻断病毒在校内的局域网间进行传播,但无法阻止病毒在局域网内传播。
  3. 在局域网子网的边界处阻断TCP 135、137、139、445端口的连接请求,该操作可最大限度保护子网的安全,但是仍然无法阻挡病毒在同台交换机下传播。

注:以上网络措施都会在网络层面阻断Windows文件共享机制,对有此类需求的用户会产生一定影响。

参考链接:

  1. Shadow Brokers Release New Files Revealing Windows Exploits, SWIFT Attacks. https://www.bleepingcomputer.com/news/security/shadow-brokers-release-new-files-revealing-windows-exploits-swift-attacks/
  2. https://blogs.technet.microsoft.com/msrc/2017/04/14/protecting-customers-and-evaluating-risk/
  3. https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/
]]>
关于微软SMB和RDP相关漏洞的风险评估 http://www.58baitoo.com/archives/369 Sat, 15 Apr 2017 06:02:17 +0000 http://www.58baitoo.com/?p=369 继续阅读 关于微软SMB和RDP相关漏洞的风险评估]]> 根据国内外各大安全机构报道,Shadow Broker 4月14日晚再次泄露了一批Windows远程漏洞利用工具,这些漏洞约影响全球70%的Windows服务器,可能会对校园网安全带来一定威胁。此次公布的攻击代码包括windows文件共享服务漏洞(TCP 139,445端口),远程桌面服务(TCP 3389端口)漏洞及早期版本的IIS6服务漏洞。其中影响最为严重的是3个windows系统的文件共享漏洞,几乎影响到windows的全线版本。

微软随后发布公告宣称,相关漏洞在2017年3月份的例行安全公告中已经进行了修补,用户只需及时安装补丁程序即可。但是由于微软已经停止对win7以下的操作系统版本提供支持,因此如winxp、windows 8及windows 2003server之类的操作系统虽然也受漏洞影响,却没有相应的补丁程序可用。

考虑到这些漏洞带来的风险,我们建议执行以下操作:

主机防范手段:

及时更新系统的补丁程序到最新,对于已经停止更新的操作系统版本原则上建议尽快升级操作系统版本,如果暂时无法升级版本,建议使用防火墙关闭外部对系统相关端口的访问权限。

网络控制手段:

建议学校在边界出口处对TCP137、139、445端口进行临时封禁措施。

 

参考信息:

Shadow Brokers Release New Files Revealing Windows Exploits, SWIFT Attacks. https://www.bleepingcomputer.com/news/security/shadow-brokers-release-new-files-revealing-windows-exploits-swift-attacks/

https://blogs.technet.microsoft.com/msrc/2017/04/14/protecting-customers-and-evaluating-risk/

]]>
Apache Struts2(S2-045)漏洞 http://www.58baitoo.com/archives/363 Tue, 07 Mar 2017 07:26:18 +0000 http://www.58baitoo.com/?p=363 继续阅读 Apache Struts2(S2-045)漏洞]]> 漏洞编号:

CVE-2017-5638

影响范围:

影响的软件版本

Struts2.3.5 至 Struts2.3.31

Struts2.5 至 Struts2.5.10

详细信息

漏洞详情:

Struts2是第二代基于Model-View-Controller(MVC)模型的java企业级web应用框架,并成为当时国内外较为流行的容器软件中间件。jakarta是apache组织下的一套Java解决方案的开源软件的名称,包括很多子项目。Struts就是jakarta的紧密关联项目。Struts2框架中基于JakartaMultipart parser的文件上传模块在处理文件上传(multipart)的请求时候对异常信息做了捕获,并对异常信息做了OGNL表达式处理。但在在判断content-type不正确的时候会抛出异常并且带上Content-Type属性值,可通过精心构造附带OGNL表达的URL导致远程代码执行。

验证方法:

在向服务器发出的http请求报文中,修改Content-Type字段:

Content-Type:%{#context[‘com.opensymphony.xwork2.dispatcher.HttpServletResponse’].addHeader(‘vul’,’vul’)}.multipart/form-data,如返回response报文中存在vul:vul字段项则表明存在漏洞。

风险评估:

该漏洞的影响面较大,使用上述受影响的strtus2框架版本的网站都有被攻击的风险。由于之前struts2的高危漏洞暴露的较多,有很大一部分的网站都升级到了Struts2.3.5以上版本,这些网站都面临被攻击的风险。

安全建议

补丁更新:

apache官方已经针对该漏洞发布了版本更新用来修补这个漏洞,下列版本不受此漏洞影响:

Struts2 2.3.2?https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.3.32

Struts2 2.5.10.1?https://cwiki.apache.org/confluence/display/WW/Version+Notes+2.5.10.1

厂商公告:https://cwiki.apache.org/confluence/display/WW/S2-045

临时解决办法:

严格过滤 Content-Type 里的内容,严禁ognl表达式相关字段。

参考信息:

  1. 厂商公告:https://cwiki.apache.org/confluence/display/WW/S2-045
  1. CNVD漏洞库信息:http://www.cnvd.org.cn/flaw/show/CNVD-2017-02474

 

 

]]>
ISC BIND 9拒绝服务漏洞 http://www.58baitoo.com/archives/345 Mon, 10 Oct 2016 01:29:46 +0000 http://www.58baitoo.com/?p=345 继续阅读 ISC BIND 9拒绝服务漏洞]]> 漏洞编号:

CVE-2016-2776

影响范围:

影响的软件版本

ISC BIND 9.0.x

ISC BIND 9.8.x,

ISC BIND 9.9.0

ISC BIND 9.9.9-P2

ISC BIND 9.9.3-S1

ISC BIND 9.9.9-S3

ISC BIND 9.10.0

ISC BIND 9.10.4-P2

ISC BIND 9.11.0a1

ISC BIND 9.11.0rc1

详细信息

漏洞详情:

BIND软件存在一个远程拒绝服务攻击漏洞,当攻击者向域名服务器(包括权威和递归)构建符合特定条件的查询响应时,可能导致BIND程序的buffer.c发生断言错误,最终导致BIND主进程崩溃。

验证方法:

所以上述列出的受影响版本均受此漏洞的影响。

风险评估:

此漏洞可以直接通过53端口利用,并且不管你的服务器是权威服务器还是递归查询服务器,均可以直接被利用。目前漏洞的利用代码已经在网络上公布,可能会对有漏洞的DNS服务器构成影响,解决的办法只有更新版本。

安全建议

补丁更新:

ISC已经针对该漏洞发布了版本更新用来修补这个漏洞,下列版本不受此漏洞影响:

BIND 9.9.9-P3

BIND 9.10.4-P3

BIND 9.11.0rc3

BIND 9.9.9-S5

补丁下载地址:http://www.isc.org/downloads

临时解决办法:

暂时没有临时解决办法来降低此漏洞带来的风险。

参考信息:

  1. ISC的公告:https://kb.isc.org/article/AA-01419/0
  1. INFOBYTE SECURITY RESEARCH LABS的研究报告:http://blog.infobytesec.com/2016/10/a-tale-of-dns-packet-cve-2016-2776.html
]]>
清华网络安全宣传周——国际顶级安全会议和竞赛成果分享会9月24日举办 http://www.58baitoo.com/archives/341 Sun, 18 Sep 2016 06:23:13 +0000 http://www.58baitoo.com/?p=341 继续阅读 清华网络安全宣传周——国际顶级安全会议和竞赛成果分享会9月24日举办]]> 清华大学网络安全宣传周之国际顶级安全会议和竞赛成果分享会将于9月24日在清华大学FIT楼多功能报告厅举办。分享会将围绕着“网络安全”和“系统安全”两大主题出发,届时清华大学网络与信息安全实验室主任段海新、腾讯玄武实验室总监于旸、清华大学计算机系博士生陈建军、清华大学计算机系博士生杜昆、清华大学学生网络安全技术协会会长裴中煜、清华大学网络科学与网络空间安全研究院副教授张超和清华大学计算机系硕士生刘煜堃将带来精彩演讲,分享各自的研究成果、并提供新的解决思路。

时间:9月24日上午8:30~12:30
地点:清华大学FIT楼多功能报告厅
主办单位:清华大学网络与信息安全实验室 ?
? ? ? ? ? ? ? ? ? ? ?清华大学网络安全技术协会
协办单位:网安国际(InForSec)

嘉宾介绍
1、于旸
演讲主题: BadTunnel:跨网段劫持广播协议
(Black Hat USA2016报告分享)

演讲人简介:
于旸,毕业于安徽医科大学临床医学系,从事信息安全技术研究十五年,现任腾讯玄武实验室总监。是微软漏洞缓解措施绕过技术悬赏10 万美元最高奖获得者之一,也是该项悬赏目前累积获奖金最高纪录保持者。曾获得“Pwnie Awards 最具创新性研究奖(Pwnie for Most Innovative)”提名,也是第一个获得该奖提名的亚洲人。在 BlackHat、CanSecWest、XCon 等国内外安全会议上发表过多种技术方向的演讲。

演讲内容摘要:
大多数基于广播的协议在设计中并未太多考虑安全性。一是广播本来就会让网段内所有系统都接收到请求,二是通常认为也只有在网段内才能发起对广播协议的欺骗、劫持攻击。在这个演讲中会介绍如何利用微软NetBIOS协议设计中的几个特点,以及Windows操作系统中一系列特性的组合,实现跨网段劫持NetBIOS Name Service协议,并最终劫持操作系统的所有网络通信。

2、陈建军
演讲主题:如何“黑”掉美国国家安全局(NSA)网站——HTTP协议头的二义性
(国际顶级安全学术会议CCS2016即将发表的论文)


演讲人简介:

陈建军,清华大学博士生,导师段海新教授。 2013年在武汉大学完成本科学业后,被保送到清华,2015年到美国UC Berkeley在Vern Paxson指导下进行访问研究。目前发表了三篇网络安全顶级会议论文(NDSS, CCS, IEEE S&P),其中关于CDN转发循环攻击的NDSS论文以第一作者身份获得会议 “杰出论文奖”,这是中国学者首次获得的网络安全顶级会议的最佳论文奖。他的研究成果不仅受到安全学术界认可,还协助众多国内外厂商和开源软件修复多个漏洞。

演讲内容摘要:
我们发现了互联网中应用最广泛的HTTP协议重大安全漏洞Host of Toubles,影响大量HTTP软件,可以造成缓存污染,防火墙绕过等攻击,这一成果发表在国际安全顶级会议CCS 2016上。该漏洞是由于不同HTTP实现解析和处理HTTP请求中的Host头不一致造成的。通过利用这种不一致性,攻击者只需要发送一个精心构造的HTTP请求,便可以实现污染ISP缓存(包括毒鱿鱼攻击), 污染CDN缓存,绕过防火墙,绕过WAF等攻击。这些攻击,特别是污染ISP缓存攻击,对互联网安全有重大影响,我们的大规模测量结果显示97%的ISP缓存用户都可以被我们发现的攻击影响。

3、杜昆
演讲主题:解构“永远走不出的迷宫”——对蜘蛛池网络的大规模检测
(USENIX Security 2016年来自中国唯一的一篇论文)
演讲人简介

杜昆,2004年本科毕业于东北大学通信工程专业,2006年硕士毕业于国防科学技术大学密码学专业。目前在清华大学攻读博士学位,导师段海新教授,主要研究方向包括互联网基础设施安全、DNS安全、黑产技术及检测等,累计发表论文4篇。其中,2016年在网络安全国际顶级会议USENIX Security以第一作者身份发表论文《The Ever-Changing Labyrinth: A Large-Scale Analysis of Wildcard DNS Powered Blackhat SEO》。

演讲内容摘要:
蜘蛛池是自2015年以来新兴的blackhat SEO技术,采用恶意手段,加速搜索引擎对推广网站和推广关键词的收录和排名。蜘蛛池操控关键词等信息,对搜索结果的公正性造成危害。而且,使用蜘蛛池做搜索引擎优化的往往是非法的产业,因此也威胁着用户的安全。近期,我们对这种新型的blackhat SEO的技术特征进行研究并实现检测系统,与百度安全事业部合作,对蜘蛛池网络进行了大规模检测。到目前为止,共检出超过238万个蜘蛛池域名,获得了1000多个注册蜘蛛池域名时使用的邮箱。这些数字的背后,究竟透露着什么样的信息?我们将在演讲中一一分析,期待您的到来!

4、张超
演讲主题:机器的崛起——拥抱自动化安全攻防时代的到来?
(美国DARPA网络空间超级挑战赛(CGC)参赛分享)


演讲人简介:

张超博士,UC Berkeley博士后。毕业于北京大学,师从UC Berkeley的Dawn Song教授进行学术研究,目前为清华大学网络科学与网络空间安全研究院副教授。主要研究方向为系统安全,包括实用化的软件安全防护、高效的软件漏洞挖掘以及自动化攻击利用技术研究。先后在IEEE S&P, NDSS, InfoCom等会议发表学术论文二十余篇,研究成果之一FPGate获得微软BlueHat Prize竞赛Special Recognition Award。目前是BitBlaze课题组的共同负责人,也是DARPA CGC自动化攻防竞赛种子队伍CodeJitsu的技术领队,并带领CodeJitsu队伍获得CGC初赛第三名和决赛第五名。同时也是著名CTF战队蓝莲花的队员,参与了众多CTF竞赛并获得2016年DefCon CTF全球第二名。

演讲内容摘要:
针对软件和系统的攻防一直是网络空间战场的重要问题。顶级黑客和安全研究人员围绕攻击和防御的技术展开了长期的博弈。目前高级的攻击和防御技术都极大地依赖于研究人员的个人能力,制约了网络空间整体安全性的提升。为了探索解决这一问题,美国国防部DARPA于2013年发起了CGC网络超级挑战赛,鼓励参赛队伍搭建自动化决策系统,实现全自动地分析软件漏洞、攻击利用漏洞以及防御漏洞。这一项目取得了初步的成功,证实了自动化攻防的可能性,也展示了机器相比于人的优势。本次报告中张超博士将系统地介绍CGC自动化攻防竞赛的规则,竞赛的组织形式,各参赛队伍用到的代表性技术,并分享机器大战以及人机大战的结果。

5、刘煜堃
演讲主题:b1o0p的DEF CON CTF 2016记录
(b1o0p战队获2016年DEF CON CTF大赛亚军)


演讲人简介:
清华大学网络与信息安全实验室硕士生,blue-lotus队员,今年8月随队参与DEFCON CTF。

演讲内容摘要
从队员视角介绍b1o0p(blue-lotus与0ops联队)参与DEF CON CTF 2016的情况。

]]>
妈妈的朋友在线观看,日本动漫456,成年片黄网站色大全免费观看,国产精品狼人社区 网站地图