在线编辑器漏洞影响高招安全

文/郑先伟

在线编辑器漏洞影响高招安全

文/郑先伟

近期安全事件分析

部分网站遭分布式拒绝服务攻击

6月教育网整体运行正常，值得关注的安全事件是一起拒绝服务攻击事件，此次攻击造成教育部网站及教育网门户网站出现短暂的访问困难。攻击事件的起因源于一个名叫www.pk920.com的游戏私服网站遭受了同行竞争者的分布式拒绝服务攻击，网站的拥有者为了减轻自己服务器的负担，将www.pk920.com这个域名的解析结果指向了教育部网站和教育网门户网站所对应的IP地址，这直接导致所有针对www.pk920.com的攻击流量被毫无保留地导向了教育部和教育网的门户网。由于攻击者采用了包括syn flood、IP碎片、CC攻击和伪造的百度爬虫访问在内的多种手段同时发动拒绝服务攻击，现有的防护手段无法全部有效地过滤攻击流量，网站只能依靠分布式服务器的性能来抵消攻击带来的影响，影响在公安部门介入和控制了域名并清除恶意指向后才被消除。从这次攻击事件可以看出，一方面，针对大规模的分布式拒绝服务攻击我们依然没有一个特别有效的防护手段，另一方面则显示针对域名的监管依然缺乏有效的手段。

在线编辑器早期版本存在漏洞

随着高考的结束以及高招工作的开始，教育网内的网站安全问题再次引起公众的注意，这也在5月的网页挂马投诉数量上得到体现。近期我们CCERT联合国内其他的安全组织开始对教育网内的被攻击控制的网站进行清理。在针对一些被攻击控制的网站进行分析后，我们发现其中很大一部分是因为网站的在线编辑系统存在安全漏洞而被黑客利用，造成这些漏洞的原因是因为网站在源码编写时使用了网络上开源的在线编辑器（如FCKeditor、eWebEditor等），而这些编辑器的早期版本在上传功能及权限控制等方面存在安全漏洞，网站的管理者没有及时升级编辑器的版本导致漏洞被人利用。由于近期各高校的招生及考试网站再次成为了黑客攻击的目标，所以提醒各网站的管理员要及时检查自己网站的后台管理系统所使用的在线编辑器的版本是否存在漏洞（可在搜索引擎中以编辑器的名称和漏洞作为关键字查询），发现版本存在漏洞请及时更新到最新版本，如果因为特殊原因无法及时升级的话，可以通过在服务器上限制上传目录的执行权限及限制访问后台管理目录的IP地址来减轻漏洞带来的风险。

DOS时代病毒持续增多

近期新增的病毒蠕虫数量依然呈下降趋势。需要提醒的是，近期，在本刊的6月刊CCERT月报中提到的感染系统MBR引导区的病毒的变种数量继续增多，由于这类病毒的清除异常困难（即使采用格式化系统盘后重新安装系统的方式也不能清除），所以用户一旦感染，就可能需要使用特定的专杀工具才能清除病毒，如果发现系统感染病毒并且清除不了，可以到反病毒厂商的网站上下载相应的专杀工具。这里依然要提醒用户，防范依然比查杀重要。

新增严重漏洞评述

与5月份的安全公告相比，6月份微软发布的安全公告多达16个（MS11-037至MS11-052），这些公告中有9个为严重等级，7个为重要等级，涉及的产品包括Windows系统、Office软件、IE浏览器、SQLserver数据库和其他网络组件。公告共修补了32个安全漏洞，这其中包括之前在IE浏览器中发现的多个0day漏洞。

除了微软外，Mozilla公司和Adobe公司也在6月份发布了多个安全公告。Mozilla公司的安全公告（MFSA 2011-19至MFSA 2011-28）修补了其公司产品中的多个安全漏洞，这其中包括多个Firefox浏览器的内存破坏漏洞，涉及Firefox的各种版本，详细信息可以参阅（http://www.mozilla.org/security/announce/）。Adobe公司的安全公告（APSB11-13至APSB11-18）修补了Flash player和Adobe Acrobat/Reader中的多个远程代码执行漏洞，其中包括Acrobat/Reader中的一个0day漏洞。关于Adobe产品的漏洞详细信息可以参见（http://www.adobe.com/support/security/）。

Word软件存在远程代码执行漏（0day）

影响系统是Office XP Word 2002。

国外安全研究机构Protek Research Lab披露Microsoft Word中存在一个远程代码执行0day漏洞。该漏洞是由于Microsoft Word文档中的某些参数可被当作一个指针来使用造成的。攻击者可构造嵌入恶意代码的特制文档诱使用户点击来触发此漏洞，一旦攻击成功，攻击者可以以当前用户的权限执行任意命令。

攻击者可以上传特制的Word文档到网站中或是放置在电子邮件附件中引诱用户打开。一旦用户打开这些Word文档就可能导致攻击者以当前用户的权限执行任意命令。漏洞已经被证实在Word 2002中可以被有效利用，其他版本也可能存在相同的漏洞。目前该漏洞已开始在网络上被利用。

针对该漏洞应做的修补，建议用户随时关注厂商的动态：http://technet.microsoft.com/zh-cn/security/

在还没有补丁之前，用户可以采用以下临时办法来缓解风险：

1.不要随意点击不受信任网站上的Word文档；

2.不要随意打开邮件附件中的文档，除非你确认它是来自可靠的地方。

安全提示

鉴于近期的安全风险，网站管理员应该：

1.及时更新服务器系统补丁程序；

2.使用扫描软件检查网页的代码程序，发现漏洞及时修补；

3.随时关注自己的服务器，发现异常情况应及时处理，如果自己无法处理可以请专业人员协助；

4.对于已经出现问题的页面不能简单地进行删除处理，一定要查明引起攻击的原因并修补。

（作者单位为中国教育和科研计算机网应急响应组）