文/郑先伟
5月蠕虫感染重灾区为行业内网
文/郑先伟
CCERT月报
5 月中旬,一款利用微软 Windows 操作系统文件共享服务漏洞进行传播的勒索蠕虫病毒(WannaCry 蠕虫)开始在网络上大规模传播,病毒感染系统后会对系统上的重要数据进行加密并索取价值 300 美元以上的比特币。由于该病毒使用了 445端口SMB协议服务漏洞进行传播,因此在局域网环境(如校园网)中较易扩散。由于国内相关病毒感染的案例报道最早是源自于校园网用户,所以导致大量媒体误读为高校是此次敲诈病毒感染的重灾区。但经我们后期数据统计分析发现,部分高校确实存在用户感染的案例,但是所占比例并不高,完全没有达到重灾区的程度。大部分学校在校园网边界早就采取了 445端口限制措施,有效抑制了蠕虫病毒在高校网络之间的传播,另一方面由于校园网用户使用的操作系统版本及安全配置的水平多样性,也在某种程度上限制了蠕虫的传播速度。此次蠕虫感染重灾区是一些行业内网,因为这些内网由于业务需要通常都使用统一的操作系统及安全配置(一个有漏洞大家都有),一旦病毒通过某些渠道进入内网,内网的主机全部都会被感染。
2017 年 4 月 ~5 月安全投诉事件统计
WannaCry/Wcry 勒索蠕虫病毒所利用的漏洞攻击代码是黑客组织 Shadow Brokers(影子经纪人)在今年 4 月 14日披露的 Equation Group(方程式组织)使用的黑客工具包中的一个(4月的月报中已经提醒过用户防范这些漏洞),攻击程序名为 ETERNALBLUE,国内安全厂商命名为永恒之蓝。该攻击代码利用了 Windows文件共享协议中的一个安全漏洞通过 TCP 445 端口进行攻击,漏洞影响 Windows全线的操作系统,微软在 2017 年 3 月的例行补丁(MS17-010)更新中对该漏洞进行了修补,本次由于蠕虫影响的范围较大,微软在蠕虫爆发后临时发布了针对之前不再提供更新支持的系统版本(包括 Windows XP、Windows 8、Windows server 2003)补丁。用户只需安装对应的补丁程序便能防范攻击。对于那些已经被病毒加密的系统文件,部分安全厂商也提供了一些文件恢复的工具,但是由于病毒本身使用的是标准的非对称加密算法,在没有解密密钥的情况要想破解恢复加密文件基本不太可能,所以目前大部分的工具是靠数据恢复的模式来进行文件恢复,而不是直接去解密还原被加密的文件。
5月需要关注的漏洞有如下这些:
1.微软 5 月的安全更新涉及的系统及软件为:Internet Explorer、Microsoft Edge、Microsoft Windows、Microsoft Office and Microsoft Office Services and Web Apps、NET Framework、Adobe Flash Player、Microsoft Malware Protection Engine。需要特别关注的是 Malware Protection Engine 的漏洞,该软件是微软系统自带的反病毒程序,内置于 Win7 以上版本的系统中,攻击者如果构造恶意的程序,可能诱发反病毒引擎的错误从而在系统上执行任意命令。
2.Joomla!是一 套 基于 PHP 的开源内容管理系统 (CMS)。高校网络中有很多信息系统是基于该内容管理系统进行二次开发的。Joomla! 3.7.0 版本中存在一个 SQL 注入漏洞,攻击者利用该漏洞无需任何身份认证即可获得数据库中的敏感信息。不过由于 3.7.0 是 Joomla !比较新的版本,之前的版本中并不存在该漏洞,因此如果用户的信息系统是近期开发或是升级过的 Joomla !就需要特别关注了。目前厂商已经在 Joomla ! 3.7.1 版本中修复了此漏洞,建议相关的管理员尽快升级自己的 Joomla !版本。
3.Linux 系统下的 Samba 软件(3.5.0及 3.5.0 和 4.6.4 之间的任意版本)存在远程代码执行漏洞,当 Linux 系统启用了 Smb服务,并且允许用户向目录上传文件时,攻击者可以上传恶意的共享库文件,触发漏洞使 Samba 服务端加载并执行该共享库,从而以 Smb服务的权限(一般是 Root)远程执行任意代码。目前厂商已经在新版本(4.5.10、4.4.14、4.6.4)的 Samba 软件中修补了该漏洞,使用 Linux 下的 Smb 服务的用户需要尽快更新自己的 Samba 软件版本。
(责编:高锦)
安全提示
Win7 以上版本的 Windows系统的自动更新是默认开启的,那些被刻意关闭自动更新功能的系统多半都是盗版的操作系统。这些盗版的操作系统因为无法及时安装补丁更新可能给校园网带来安全风险,学校需要对这类系统进行监管防范,条件允许的情况下应该使用正版的操作系统进行替代,即使暂时无法全部正版化也需要提供一些临时的补丁更新服务,如校内搭建的WSUS服务或是一些第三方软件提供的更新服务。
(作者单位为中国教育和科研计算机网应急响应组)