电话:0755-82914054 官方微博 微信关注
  您所在的位置: 首页 >> 新闻资讯 >> 安全通告
 
公司新闻
行业动态
安全通告
 
 
  电 话:0755-82914054
  传 真:0755-82914115
  E-mail:
support@cybersafe2000.com
support@cybersafe2000.com
 

网盾安全通告(20170417)

 

1. 病毒预警

1.1. Trojan.Win32.Fednu.diu

病毒类型:木马程序

病毒运行后查找主流杀毒软件进程,并尝试将其结束。同时病毒还将修改用户的注册表,以便实现开机自启动。除此之外,该病毒还在后台连接黑客指定网址,并为恶意网址刷流量,占用大量网络资源。用户一旦中毒,有可能出现网络拥堵等现象

1.2. Worm.VobfusEx!1.99DF

病毒类型:蠕虫病毒

此病毒伪装成文件夹,用户点击之后病毒开始运行,病毒运行之后 首先在当前目录创建一个同名的档夹并打开,让用户以为真的是档夹。然后复制自身到系统目录并且设置为开机启动。病毒为了更持久的驻留系统,复制自身,替换了常用的系统档rundll32.exe,把真正的rundll32.exe 重命名为rundII32.exe。 每次使用rundll32运行dll档的时候,就会首先启动病毒程序,再调用rundII32.exe

1.3. Trojan.Win32.BHO.gdz

病毒类型:木马程序

病毒运行后查找主流杀毒软件进程,并尝试将其结束。同时病毒还将修改用户的注册表,以便实现开机自启动。除此之外,该病毒还在后台连接黑客指定网址,并为恶意网址刷流量,占用大量网络资源。用户一旦中毒,有可能出现网络拥堵等现象

2. 弱点通告

2.1. Windows SMB 远程代码执行漏洞

漏洞类型:通用软硬件漏洞

漏洞编号: CVE-2017-0143~CVE-2017-0148

受影响系统:Windows NT,2000,XP, 2003, Vista, 7, 8, 10,2008, 2008 R2,2012,2016

漏洞描述:日,方程式组织工具包再次被公开,方程式(Equation Group)据称是隶属于NSA(美国国家安全局)的一个黑客组织。TheShadowBrokerssteemit.com博客上提供了相关消息。

本次被公开的工具包大小为117.9MB,包含23个黑客工具。其中Windows目录包括Windows利用工具和相关攻击代码,swift目录中是银行攻击的一些证据,oddjob目录是植入后门等相关文档。

目前,影响最大的工具为ETERNALBLUEETERNALCHAMPION利用SMB漏洞,攻击开放445端口的Windows机器,并且对于Windows系统均有覆盖。

通过该工具,未安装最新SMB补丁并且开放了445端口的Windows机器将会被拿到shell,从而被黑客完全控制

1、 升级操作系统补丁至最新。漏洞官方详细信息:

https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx

2、如使用的操作系统已不在微软技术支持的范围内,建议禁用Windows系统的SMB功能和远程桌面功能,或使用相关防护设备临时关闭139445端口和3389远程登录

2.2. Microsoft Windows本地权限提升漏洞

漏洞类型:通用软硬件漏洞

漏洞编号:CNVD-2017-04425

受影响系统:Microsoft Windows 7 0

漏洞描述:Microsoft Windows是美国微软(Microsoft)公司发布的一系列操作系统。

Microsoft Windows存在本地权限提升漏洞。本地攻击者可利用此漏洞获取提升的权限。

厂商尚未提供漏洞修复方案,请关注厂商主页更新:

http://www.microsoft.com/

2.3. Microsoft Office Word OLE对象代码执行漏洞

漏洞类型:通用软硬件漏洞

漏洞编号:CVE-2017-0199

受影响系统:Microsoft Office

漏洞描述:Microsoft Office是一款微软开发的流行的办公软件套件。

Microsoft Office Word OLE对象存在代码执行漏洞,攻击者利用漏洞可获得远程执行任意代码的权限,秘密安装各种恶意软件,感染病控制用户系统。

厂商尚未提供漏洞修补方案,请关注厂商主页及时更新:

https://www.microsoft.com/zh-cn

2.4. Symantec IT Management Suite跨站脚本漏洞

漏洞类型:通用软硬件漏洞

漏洞编号:CVE-2016-6588

受影响系统:Symantec IT Management Suite 8.0

漏洞描述:Symantec IT Management SuiteITMS)是美国赛门铁克(Symantec)公司的一套IT管理工具,它支持管理员能够在WindowsMacLinuxUnix和虚拟环境中安全管理台式机、笔记本计算机和服务器的整个生命周期,包括部署、资产管理、程序修补以及故障排除等。

Symantec ITMS 8.0版本中存在跨站脚本漏洞。远程攻击者可利用该漏洞注入任意Web脚本或HTML

用户可参考如下厂商提供的安全补丁以修复该漏洞:

https://www.symantec.com/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=&suid=20161031_00

 

1.1. 

1.2. 

3. 安全焦点

3.1. CNVD发布被影子经济人曝光漏洞风险公告

Shadow Brokers(影子经纪人)组织在互联网上发布了此前获得的部分方程式黑客组织(Equation Group)的档信息,包含针对Windows操作系统以及其他服务器系统软件的多个高危漏洞利用工具。由于其发布的攻击工具集成化程度高、部分攻击利用方式较为高效,有可能引发互联网上针对服务器主机的大规模攻击。

一、事件情况简要分析

Shadow Brokers发布了黑客使用的大量针对Windows操作系统、银行专用系统以及其他广泛应用的服务器软件产品的工程化工具,涉及的产品包括:Windows操作系统及其IISSMTP客户端服务组件、IBM Lotus办公服务组件、MDaemon邮件系统、IMAIL邮件系统等,其中威胁较大的漏洞利用工具如下:

代号

解决方案

EternalBlue

通过MS17-010解决

EmeraldThread

通过MS10-061解决

EternalChampion

通过CVE-2017-0146  CVE-2017-0147解决

“ErraticGopher”                

Windows Vista发布前即解决

EsikmoRoll

通过MS14-068解决

EternalRomance

通过MS17-010解决

EducatedScholar

通过MS09-050解决

EternalSynergy

通过MS17-010解决

EclipsedWing

通过MS08-067解决

其他涉及的邮件系统厂商和办公系统软件厂商还未对发布的漏洞攻击情况进行回应。考虑到近期有可能出现的攻击威胁,CNVD建议相关单位和个人用户做好以下措施:

(一)关闭1351371394453389等端口的外部网络访问权限,在服务器上关闭不必要的上述服务端口;

(二)加强对1351371394453389等端口的内部网络区域访问审计,及时发现非授权行为或潜在的攻击行为;

(三)做好本单位Window XPWindows server 2003主机的排查,使用替代操作系统;

(四)IMAILIBMLotusMDaemon等软件产品用户需要及时关注厂商安全更新,及时修复。

3.2. 微软回应:用户可升级系统补丁防范NSA泄露的Windows漏洞攻击

日前,据称是美国国家安全局(NSA)旗下的“方程式黑客组织”使用的部分网络武器被公开。Shadow Brokerssteemit.com博客上提供了相关消息,被公开的工具包大小为117.9MB,包含23个黑客工具,,其中包括可以远程攻破全球约70%Windows机器的漏洞利用工具。Windows目录下包含了各种漏洞利用工具,在exploits中包含了丰富的漏洞利用工具,可影响Windows多个平台。

Shadow Brokers公开披露了与微软产品相关的大量安全漏洞。据了解,客户对此次披露的安全漏洞以及由此引发的潜在风险表示担忧。我们的工程师已经对此次公开的漏洞进行调查,且其中大部分漏洞已经得到修复。以下为我们调查工作的最新进展。

在接到来自内部或者外部且指向微软产品的安全漏洞报告时,微软安全回应中心(简称MSRC)会立即对其进行彻底调查。我们致力于迅速验证披露信息,并确保可能导致客户身陷风险的确切、未解决漏洞得到快速修复。在完成验证之后,工程技术团队将尽快确定报告问题,考量一切可能受到影响之产品或服务及其各对应版本,同时评估客户面临之潜在风险以及遭遇相关攻击的可能性。

大多数经披露公开的漏洞为我们所支持产品当中已经得到修复的安全缺陷。以下为为此次已被解决之相关漏洞的更新列表。我们鼓励客户尽快对相关产品进行升级。

剩余的三个漏洞,即EnglishmanDentist”EsteemAudit”以及ExplodingCan”,皆未能在受支持平台上得到复现,这意味着运行有Windows 7系统以及更新版本的Windows和使用Exchange 2010以及更新版本的用户并不会遭遇任何风险。我们鼓励仍在使用上述产品更早版本的客户尽快升级至受支持产品。

长期以来,我们一直支持协调安全漏洞披露制度,并将其作为最为有效的手段以保证客户及计算生态系统受到严格保护。这一协调方案使我们能够充分了解安全问题并在客户因攻击方法遭到公开披露而身陷风险之前将其解决。我们还与全球各安全研究人员开展密切合作,允许安全研究人员通过secure@microsoft.com向微软方面报告问题。另外,我们还设置多项Bug赏金计划,鼓励从业者以负责任的方式披露安全问题并获取相关奖励

3.3. 华硕、TP-LinkD-Link等品牌路由器的远程访问漏洞被正式披露

2013 1 月,DefenseCode 的安全研究人员发现,Cisco Linksys(现属于 Belkin)的路由器默认安装下存在一个远程 root 访问漏洞。漏洞后来发现实际上存在于 Broadcom UPnP 实现中,这一实现被路由器广泛使用,也就是说漏洞不只是存在于思科的产品中,其他路由器厂商也受到影响,其中包括华硕、D-Link、 Zyxel、US Robotics、TP-Link、Netgear 等。

受影响的设备数以百万计,研究人员因此没有公开他们的发现。直到四年后的今天,他们正式披露了这一影响广泛的漏洞

研究人员称,思科已经修复了漏洞,但他们不清楚其他路由器厂商有没有修复。鉴于大多数路由器用户并不更新固件,因此绝大多数路由器仍然容易被利用。

3.4. 上亿条优酷账户数据或被国外黑客窃取 2000元就能在暗网买到

今年1月份,E安全曾报导有国外黑客在暗网兜售我国互联网巨头公司10亿用户账号。如今,另一黑客“CosmicDark”正在售卖从优酷窃取约的1亿用户账号,售价约2000人民币(0.2559比特币)。

CosmicDark称,该数据库于2016年被泄,今年才在互联网上公开暴露,但是目前尚不清楚该数据库是如何被窃取的。该数据库包含电子邮件和解密的MD5SHA1哈希密码。

CosmicDark提供的一份样本数据(552个账号)显示,大多数电子邮件来自@163.com、@qq.com和@xiaonei.com。而且,黑客信息网站经过研究发现,样本数据中提供的加密密码已被解密,并公开暴露在互联网上。

目前尚不清楚优酷是否意识到这起数据泄露事件,或是否已通知用户。

然而,这起数据泄露事件明显对用户的隐私造成重大威胁。

此外,同一暗网市场有卖家正在售卖2100GmailYahoo账号、64万解密PlayStation账号、11个被黑比特币网站的数百万账号,以及25个被入侵vBulletin论坛的数百万账号。

4. 服务与支持

网盾公司全天接受用户就安全技术、安全产品方面的技术和商务咨询,且力求获得用户对我们服务的认可,我们努力为您提供最全面有效的服务与支持。如果您需要,请通过如下多种方式与我们联络:

电子邮件支持

任何时候我们都欢迎您用电子邮件(support@cybersafe2000.com)告知我们您想要咨询关于信息安全方面的问题,我们将在收到邮件后的第一时间给您回复。

电话支持

每天上午9点至下午6欢迎您致电86-755-82914054咨询技术细节,我们的专业技术人员24小时都在期待您的来电,并期望能为您解决问题。

深圳网盾金钟罩APP加固已改版上线,欢迎访问。

金钟罩APP加固:http://www.netonsafe.com/

开发者生态圈论坛:http://bbs.netonsafe.com/forum.php

 
关于我们  |  在线留言  |  联系我们  |  返回顶部

版权所有 深圳市网盾信息安全有限公司 
地 址:深圳市福田区深南大道嘉麟豪庭C栋2004 粤ICP备14041758号