8月是年度各種攻防演練活動(dòng)開展的月份,隨著每年類似活動(dòng)的開展,各單位的整體安全防護(hù)能力有了很大提升。今年演練中暴露出來(lái)的0day漏洞數(shù)量有降低的趨勢(shì),并且主要集中在國(guó)產(chǎn)應(yīng)用軟件及系統(tǒng)中,這也從側(cè)面說(shuō)明這些年國(guó)產(chǎn)軟件的使用率顯著提高,同時(shí)安全性也有所增強(qiáng)。
近期安全投訴事件數(shù)量較為平穩(wěn)。在病毒與木馬方面,需要關(guān)注的還是各類釣魚郵件攻擊。
2023年7月-8月CCERT安全投訴事件統(tǒng)計(jì)
微軟2023年8月的例行安全更新共包含微軟產(chǎn)品的安全漏洞74個(gè),非微軟產(chǎn)品(Chrome瀏覽器)的12個(gè),安全工具2個(gè)。兩個(gè)安全工具中,一個(gè)用于阻止7月暴露的Office和Windows HTML組件遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2023-36884)的攻擊鏈,另一個(gè)用于Windows系統(tǒng)內(nèi)存保護(hù)工具的縱深防御功能更新。這些微軟產(chǎn)品漏洞中需要特別關(guān)注的有以下幾個(gè)。
微軟消息隊(duì)列服務(wù)代碼執(zhí)行漏洞(CVE-2023-35385、CVE-2023-36910、CVE-2023-36911),三個(gè)漏洞的CVSSv3評(píng)分均為9.8。遠(yuǎn)程攻擊者可以通過(guò)發(fā)送惡意制作的MSMQ 數(shù)據(jù)包到MSMQ服務(wù)器來(lái)利用漏洞,成功利用這些漏洞可以在目標(biāo)服務(wù)器上遠(yuǎn)程執(zhí)行任意代碼。利用該漏洞需要系統(tǒng)啟用消息隊(duì)列服務(wù),用戶可以通過(guò)檢查系統(tǒng)服務(wù)是否存在名為Message Queuing的運(yùn)行服務(wù)以及計(jì)算機(jī)是否偵聽TCP端口1801,來(lái)判斷是否開放了相關(guān)服務(wù)。
微軟Exchange Server權(quán)限提升漏洞(CVE-2023-21709),其CVSSv3評(píng)分為9.8。攻擊者可以利用獲取的普通郵件賬號(hào)登錄用戶系統(tǒng),并利用該漏洞提升權(quán)限到SYSTEM級(jí)別執(zhí)行任意命令,進(jìn)而完全控制郵件服務(wù)器。為避免攻擊者通過(guò)暴力破解的方式獲得合法的普通郵件賬號(hào),建議用戶使用強(qiáng)壯的密碼來(lái)保住自身賬號(hào)安全。
微軟Outlook遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2023-36895),其CVSSv3評(píng)分為8.8。遠(yuǎn)程攻擊者可以誘騙受害者打開特制的郵件來(lái)利用該漏洞,成功利用漏洞能以當(dāng)前用戶的權(quán)限執(zhí)行任意命令。
Microsoft Teams遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2023-29328、CVE-2023-29330),兩個(gè)漏洞的CVSSv3評(píng)分均為7.8。攻擊者可以通過(guò)誘騙受害者加入其設(shè)置的惡意Teams會(huì)議,在受害用戶的上下文中遠(yuǎn)程執(zhí)行代碼,成功利用該漏洞可以訪問、修改受害者的信息,或?qū)е露擞?jì)算機(jī)拒絕服務(wù)。
鑒于上述漏洞的危害性,建議用戶盡快使用系統(tǒng)自帶的更新功能進(jìn)行補(bǔ)丁更新。
WPS是用戶使用較為廣泛的國(guó)產(chǎn)辦公軟件。近期在攻防演練活動(dòng)中,數(shù)個(gè)該產(chǎn)品的0day漏洞被發(fā)現(xiàn)用來(lái)進(jìn)行實(shí)戰(zhàn)攻擊。攻擊者利用漏洞生成惡意Word文檔引誘用戶點(diǎn)擊(通常是作為郵件的附件發(fā)送),受害者若使用WPS軟件打開了文檔,無(wú)需其他任何操作攻擊者即可控制用戶的機(jī)器。目前廠商已經(jīng)收到了相關(guān)漏洞的通告,建議用戶及時(shí)關(guān)注廠商動(dòng)態(tài),按照相應(yīng)的要求安裝補(bǔ)丁或更新版本。
WinRAR是目前互聯(lián)網(wǎng)上使用較為廣泛的解壓軟件之一。WinRAR 6.23之前的版本中存在一個(gè)0day漏洞(CVE-2023-38831),攻擊者利用該漏洞創(chuàng)建惡意的RAR壓縮文件,這些文件包含看似無(wú)害的JPG(.jpg)圖像、文本文件(.txt)或PDF(.pdf)文檔等文件。用戶一旦解壓這些文件,就會(huì)通過(guò)腳本在設(shè)備上安裝惡意軟件。該漏洞最早的攻擊代碼可以追溯到今年4月,目前已被多個(gè)惡意軟件家族使用。為避免風(fēng)險(xiǎn),建議用戶盡快將自身使用的WinRAR軟件升級(jí)到6.23版。
通達(dá)OA是目前網(wǎng)絡(luò)上使用范圍較廣的一種協(xié)同辦公OA系統(tǒng),在近期的攻防演練活動(dòng)中,暴露出其11.5版本中包含了多個(gè)SQL注入及未授權(quán)訪問漏洞。目前相關(guān)的漏洞POC已經(jīng)公布,建議用戶盡快聯(lián)系相關(guān)廠商咨詢升級(jí)問題。
學(xué)校各類定制開發(fā)的應(yīng)用系統(tǒng)是每次攻防活動(dòng)中值得關(guān)注的目標(biāo),這類系統(tǒng)的漏洞風(fēng)險(xiǎn)通常來(lái)源于兩個(gè)方面:一是定制開發(fā)過(guò)程中使用的底層框架自身存在安全漏洞風(fēng)險(xiǎn),二是定制開發(fā)時(shí)代碼編寫不規(guī)范導(dǎo)致的安全漏洞風(fēng)險(xiǎn)。要降低前者風(fēng)險(xiǎn),用戶需要建立應(yīng)用系統(tǒng)的供應(yīng)鏈列表并定期監(jiān)測(cè)維護(hù),發(fā)現(xiàn)框架漏洞并及時(shí)處置。而后者由于是定制開發(fā),其源代碼未公開,通過(guò)公共途徑發(fā)現(xiàn)漏洞的幾率較小,建議通過(guò)定期的滲透測(cè)試和代碼審查來(lái)發(fā)現(xiàn)漏洞,降低風(fēng)險(xiǎn)。
