4月教育網(wǎng)運(yùn)行平穩(wěn)，未發(fā)現(xiàn)影響嚴(yán)重的安全事件。

(資料圖)

2023年3月-4月CCERT安全投訴事件統(tǒng)計(jì)

從去年下半年開始，釣魚郵件攻擊的數(shù)量大幅增加，近期不但未見減弱，還有愈演愈烈的趨勢。這些釣魚郵件所偽造的內(nèi)容緊跟時事，非常有欺騙性，比如偽造個稅退稅信息、領(lǐng)取疫情專項(xiàng)補(bǔ)貼等內(nèi)容，用戶稍不留心就容易中招。

由于這些郵件的內(nèi)容都屬于正常的通知范疇，很難通過語義讓反垃圾郵件網(wǎng)關(guān)自動識別出來，再加上很多垃圾郵件是通過盜取郵件服務(wù)器內(nèi)合法郵箱發(fā)送的，這就給服務(wù)端的識別和防范帶來很大困難。

在沒有足夠的威脅情報(bào)和AI技術(shù)支持前，我們只能靠加大用戶安全意識和加強(qiáng)郵件日志的人工檢測來降低風(fēng)險(xiǎn)。

近期新增嚴(yán)重漏洞評述

01

微軟2023年4月的例行安全更新共涉及漏洞數(shù)98個，其中嚴(yán)重等級的7個、重要等級的91個。

漏洞的類型包括20個提權(quán)漏洞、8個安全功能繞過漏洞、45個遠(yuǎn)程代碼執(zhí)行漏洞、10個信息泄露漏洞、9個拒絕服務(wù)漏洞和6個身份假冒漏洞。

這些漏洞中有1個屬于0day漏洞，Windows通用日志文件系統(tǒng)驅(qū)動程序特權(quán)提升漏洞(CVE-2023-28252)。利用該漏洞，攻擊者可以在無需交互的情況下將當(dāng)前用戶權(quán)限提升SYSTEM級別。

另一個需要關(guān)注的漏洞是微軟消息隊(duì)列遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2023-21554)，攻擊者可以將特制惡意MSMQ消息發(fā)送到MSMQ服務(wù)器上，就能觸發(fā)該漏洞在遠(yuǎn)程服務(wù)器上執(zhí)行任意代碼。

除了上述漏洞外，4月初微軟還針對Edge瀏覽器的17個漏洞發(fā)布了補(bǔ)丁程序。

鑒于上述漏洞的危害性，建議用戶盡快使用Windows自帶的更新服務(wù)進(jìn)行補(bǔ)丁更新。

02

4月VMWare公司發(fā)布了緊急安全更新，用于修補(bǔ)在3月Pwn2Own Vancouver 2023黑客大賽中披露的兩個0day漏洞。

其中一個漏洞編號為CVE-2023-20869，存在于藍(lán)牙設(shè)備共享功能中，是基于堆棧的緩沖區(qū)溢出漏洞，允許本地攻擊者在主機(jī)上運(yùn)行虛擬機(jī)的VMX進(jìn)程時執(zhí)行代碼。

另一個漏洞編號為CVE-2023-20870，同樣存在于藍(lán)牙設(shè)備功能中，惡意行為者能夠從VM讀取管理程序內(nèi)存中包含的特權(quán)信息。攻擊者利用這兩個漏洞，可以讓W(xué)orkstation和Fusion軟件運(yùn)行任意代碼。

建議使用了相關(guān)產(chǎn)品的用戶盡快進(jìn)行升級。

03

Chrome Skia是谷歌公司開發(fā)的一個圖形引擎庫，它具有高效、跨平臺和自定義的特點(diǎn)。Chrome Skia被廣泛應(yīng)用于Google Chrome瀏覽器、Android操作系統(tǒng)以及其他Google產(chǎn)品中。

本月Google官方修補(bǔ)了Chrome Skia的一個整數(shù)溢出漏洞(CVE-2023-2136)，當(dāng)Skia進(jìn)行算術(shù)運(yùn)算導(dǎo)致值超過整數(shù)類型的最大限制時，會發(fā)生整數(shù)溢出。

攻擊者可以誘導(dǎo)用戶打開特制的HTML頁面來觸發(fā)該漏洞，成功利用該漏洞可以在目標(biāo)系統(tǒng)上任意執(zhí)行代碼。

04

惠普在4月的一份安全公告中表示，公司發(fā)現(xiàn)了一個打印機(jī)中的高危漏洞(CVE-2023-1707)，漏洞影響了包括HP Enterprise LaserJet和HP LaserJet Managed在內(nèi)的打印機(jī)。利用該漏洞，攻擊者可以獲取其他網(wǎng)絡(luò)用戶與打印機(jī)之間的通訊內(nèi)容。

由于漏洞本身的復(fù)雜性，惠普預(yù)計(jì)大概需要90天來開發(fā)補(bǔ)丁程序。在沒有補(bǔ)丁程序之前，惠普建議受影響的系統(tǒng)固件版本降級到FS5.5.0.3。

建議用戶隨時關(guān)注廠商的動態(tài)，并使用防火墻將打印機(jī)限制在可控的訪問范圍。

05

WebLogic中間件中存在一個JNDI注入漏洞(CVE-2023-21931)，需要引起關(guān)注，該漏洞允許未經(jīng)身份驗(yàn)證的攻擊者通過T3和IIOP協(xié)議訪問易受攻擊的WebLogic Server，并利用漏洞在服務(wù)器上執(zhí)行任意代碼。該漏洞是因?yàn)镃VE-2023-21839漏洞未修補(bǔ)完全而導(dǎo)致的。目前Oracle已在第二季度的安全公告中修補(bǔ)了該漏洞，建議相關(guān)用戶盡快進(jìn)行補(bǔ)丁更新。

安全提示

對于校園網(wǎng)內(nèi)頻發(fā)的釣魚郵件攻擊，可以采用以下一些措施來降低攻擊帶來的風(fēng)險(xiǎn)：

1.使用帶有威脅情報(bào)的反垃圾郵件網(wǎng)關(guān)，網(wǎng)關(guān)會根據(jù)已知的威脅情報(bào)去識別郵件內(nèi)容中是否包含惡意的URL鏈接，以此來識別過濾釣魚郵件。

2.在郵件服務(wù)器上限制普通用戶單位時間內(nèi)郵件的發(fā)送頻率和發(fā)送范圍，可以有效降低被控賬號發(fā)送垃圾郵件的數(shù)量，降低影響面。設(shè)定專用的群發(fā)郵件賬號并妥善管理賬號密碼，對其他普通用戶的發(fā)送頻率進(jìn)行限制，一旦發(fā)現(xiàn)有異常行為及時告警。

3.對釣魚郵件進(jìn)行監(jiān)控，一旦發(fā)現(xiàn)釣魚郵件，及時向涉及的用戶發(fā)送安全告警郵件，并可在網(wǎng)絡(luò)邊界對釣魚郵件使用的釣魚網(wǎng)站的URL進(jìn)行封禁。

作者：鄭先偉（中國教育和科研計(jì)算機(jī)網(wǎng)應(yīng)急響應(yīng)組）

責(zé)編：項(xiàng)陽

關(guān)鍵詞