CCERT月报　高招季警惕招生网站被黑

文/郑先伟

CCERT月报高招季警惕招生网站被黑

文/郑先伟

6月教育网整体运行平稳，未发现影响严重的安全事件。又进入了一年一度的高招季，这期间是高校网站安全问题高发的时间段。容易被攻击的网站包括学校的主页以及学校的招生网站，因为这些网站在此期间的访问量会剧增，不管是用来挂马还是暗链都能给攻击者带来不错的收益，当然也不能忽视了学校院系的二级网站，这些二级网站虽然访问量没有前面那两个网站大，但是如果在这些二级网站中发布一些虚假的招生信息，对用户的欺骗性还是很高的。因此近期学校的安全管理部门要加强对各类学校网站的安全监控，以保障高招工作顺利进行。

网站安全事件的数量还是居高不下，说明仍有大量的网站存在各种安全问题。

6月没有新增传播范围较广影响较大的木马病毒，没有特别需要关注的。

6月需要关注的漏洞有如下这些：

1. 微软6月的例行安全公告共16项，其中5项为严重等级，11项为重要等级。这些公告共修补了Windows系统、IE浏览器、Office办公软件、Edge和·Web App产品中的31个安全漏洞。其中MS16-077公告中涉及的BadTunnel漏洞（CVE-2016-3213）需要特别关注。该漏洞存在的原因是因为Windows系统中有一个叫网络代理自发现（WPAD）的协议在实现过程中出现了差错，存在一个权限提升漏洞。攻击者只需想办法与被攻击目标建立一个NetBIOS链接，就可以利用该漏洞来重定向目标主机的网络流量。虽然这个漏洞不能直接用来进行远程代码执行，但是它可以与其他应用组合来达到类似的效果。目前漏洞的攻击验证代码已经在网络上被发布，建议用户尽快更新安装相应的补丁程序，需要提醒的是这个漏洞要结合MS16-063的补丁才能完全修补。相关公告及漏洞的详情请参见：https：//technet.microsoft. com/zh-cn/library/security/mt733206.aspx。

2. 6月Apache官方针对Struts2框架发布了多个安全公告（S2-033到S2-037），用于修补Struts2框架中的多个安全漏洞。其中S2-033和S2-037中的漏洞可以远程执行任意代码。这两个漏洞的成因与4月的S2-032的漏洞成因相同，区别在于后两个漏洞执行的前提条件是系统部署REST插件功能。而S2-033与S2-037的区别则在于前者需要系统启用了动态的调用方式，而后者不需要。这两个漏洞带来的风险很大，建议使用了Struts2框架的Web管理员尽快升级相应的Struts2版本来防范风险。漏洞的详情请参见： https：//cwiki.apache.org/confluence/ display/WW/S2-033及https：//cwiki.apache. org/confluence/display/WW/S2-037。

2016年5月～6月安全投诉事件统计

安全提示

BadTunnel漏洞影响几乎所有的Windows版本，包括那些微软已经停止技术支持的Windows系统版本如XP，对于这些没有补丁可安装的系统，只能使用一些临时办法来降低风险，例如：

禁用 WINS/NetBT 名称解析，方法如下：

1. 打开网络连接。

2. 单击要静态配置的“本地连接”，然后从“文件”菜单中，单击“属性”。

3. 在组件列表中，单击“Internet 协议 （TCP/IP）”，然后单击“属性”。

4. 单击“高级”，单击“WINS”选项卡，然后单击“禁用 TCP/IP 上的NetBIOS”。

5. 如果您正在使用 DHCP 服务器（它可以在所有 DHCP 选项类型中有选择地启用和禁用 NetBIOS 配置），您也可以在 DHCP 服务器上选择“使用NetBIOS”设置。

停止使用主机文件条目的 WPAD，方法如下：

1. 以管理员身份打开位于以下位置的主机文件：%systemdrive%Windows System32Driversetchosts；

2. 在主机文件中为 WPAD 创建下列条目：wpad 255.255.255.255。

（作者单位为中国教育和科研计算机网应急响应组）