2023年10月教育網(wǎng)運(yùn)行正常，未發(fā)現(xiàn)影響嚴(yán)重的安全事件。近期各類安全投訴事件數(shù)量整體呈低位態(tài)勢(shì)。

在病毒與木馬方面，2023年9月修復(fù)的WinRAR遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2023-40477）正在被多種惡意軟件利用來進(jìn)行自身傳播，這些惡意軟件通常都會(huì)偽裝成破解軟件等引誘用戶下載。

2023年9月~10月CCERT安全投訴事件統(tǒng)計(jì)

近期新增嚴(yán)重漏洞評(píng)述

01

微軟2023年10月的例行安全更新共包含微軟產(chǎn)品的安全漏洞103個(gè)。這些漏洞按等級(jí)分類包含13個(gè)嚴(yán)重等級(jí)、90個(gè)重要等級(jí)；按漏洞類型分類包括權(quán)限提升漏洞27個(gè)、遠(yuǎn)程代碼執(zhí)行漏洞44個(gè)、信息泄露漏洞12個(gè)、安全功能繞過漏洞3個(gè)、拒絕服務(wù)漏洞16個(gè)、XSS漏洞1個(gè)。這些漏洞中需要特別關(guān)注的有以下幾個(gè)。

WordPad信息泄露漏洞（CVE-2023-36563）。允許遠(yuǎn)程攻擊者獲取本地合法用戶的NTLM哈希值（攻擊者需要能夠遠(yuǎn)程登錄系統(tǒng)并引誘被攻擊者執(zhí)行相應(yīng)的攻擊程序）。目前該漏洞已存在在野的攻擊，廠商已針對(duì)該漏洞發(fā)布了補(bǔ)丁程序，并計(jì)劃在Win11系統(tǒng)中棄用NTLM認(rèn)證協(xié)議，改用更為安全的Kerberos認(rèn)證協(xié)議。

Skype for Business權(quán)限提升漏洞（CVE-2023-41763）。允許遠(yuǎn)程攻擊者向Skype for Business服務(wù)發(fā)送特制請(qǐng)求調(diào)用，進(jìn)而使得Skype for Business向任意地址發(fā)送http請(qǐng)求。目前該漏洞已發(fā)現(xiàn)在野的攻擊行為，廠商已針對(duì)該漏洞發(fā)布了補(bǔ)丁程序。

Windows消息隊(duì)列遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2023-35349）。允許未經(jīng)身份認(rèn)證的攻擊者將特制的惡意MSMQ數(shù)據(jù)包發(fā)送到MSMQ服務(wù)器，這可能會(huì)導(dǎo)致在服務(wù)器端遠(yuǎn)程執(zhí)行代碼。不過要利用此漏洞，系統(tǒng)必須啟用消息隊(duì)列服務(wù)，用戶可以通過查看是否有一個(gè)名為Message Queuing的服務(wù)正在運(yùn)行，以及機(jī)器上的TCP端口1801是否正在監(jiān)聽，來確認(rèn)是否受漏洞影響。

02

展開全文

HTTP/2協(xié)議中存在一個(gè)快速重置攻擊漏洞（CVE-2023-44487），該漏洞允許惡意攻擊者發(fā)起針對(duì)Web服務(wù)器的DDoS攻擊。由于該漏洞存在于HTTP/2協(xié)議中，目前所有支持該協(xié)議的Web服務(wù)程序都可能受到此類拒絕服務(wù)攻擊。從已檢測(cè)到的數(shù)據(jù)看，此類新型的拒絕服務(wù)攻擊方式已在互聯(lián)網(wǎng)上大量發(fā)生。目前各Web服務(wù)程序的提供方已陸續(xù)針對(duì)該漏洞發(fā)布補(bǔ)丁程序，建議管理員關(guān)注相關(guān)程序更新并盡快升級(jí)。

03

Curl是一個(gè)常用的網(wǎng)絡(luò)數(shù)據(jù)傳輸組件，它包含Curl工具和Libcurl庫，Libcurl庫被很多其他應(yīng)用使用。近期Curl官方發(fā)布了安全更新，用于修補(bǔ)Curl工具和Libcurl庫中的兩個(gè)安全漏洞，分別是SOCKS5堆緩沖區(qū)溢出漏洞（CVE-2023-38545）和Cookie注入漏洞（CVE-2023-38546）。由于漏洞影響的范圍較廣，建議用戶盡快進(jìn)行升級(jí)。

04

F5廠商在第4季度的安全通告中披露其BIG-IP產(chǎn)品中的一個(gè)嚴(yán)重安全漏洞（CVE-2023-46747）。該漏洞存在于產(chǎn)品配置實(shí)用程序組件中，可能允許未CCERT月報(bào)經(jīng)身份驗(yàn)證的攻擊者通過管理端口或自身IP地址訪問BIG-IP系統(tǒng)，以管理員的身份在系統(tǒng)中執(zhí)行任意系統(tǒng)命令。該漏洞不會(huì)直接影響到BIG-IP承載的業(yè)務(wù)數(shù)據(jù)，但是可以讓攻擊者完全控制BIG-IP設(shè)備。目前廠商已經(jīng)針對(duì)相關(guān)漏洞發(fā)布了補(bǔ)丁程序，建議使用了該產(chǎn)品的用戶快進(jìn)行升級(jí)。

05

近期VMWare發(fā)布了緊急修補(bǔ)程序，用于修補(bǔ)其vCenter Server中的一個(gè)越界寫入漏洞（CVE-2023-34048）。該漏洞存在于vCenterServer對(duì)DCERPC協(xié)議的實(shí)現(xiàn)過程中，一個(gè)具有網(wǎng)絡(luò)訪問權(quán)限的惡意攻擊者可以觸發(fā)一個(gè)越界寫入，進(jìn)而導(dǎo)致遠(yuǎn)程任意代碼執(zhí)行。目前廠商已經(jīng)針對(duì)該漏洞發(fā)布了補(bǔ)丁程序，由于漏洞沒有可用的臨時(shí)緩解措施，建議管理員盡快對(duì)vCenterServer進(jìn)行升級(jí)。

安全提示

為防范針對(duì)HTTP/2協(xié)議的拒絕服務(wù)攻擊，用戶可以采取以下措施：

1.盡快升級(jí)所使用的Web服務(wù)程序到最新版本；

2.對(duì)Web服務(wù)器的流量進(jìn)行監(jiān)測(cè)分析，并使用防火墻來阻斷那些對(duì)Web服務(wù)器發(fā)起異常連接的IP；

3.啟用WAF或IPS的速率限制功能，降低Web服務(wù)器的負(fù)擔(dān)；

4.配置Web服務(wù)，限制客戶端的最大連接數(shù)。

來源：《中國(guó)教育網(wǎng)絡(luò)》2023年10月刊

作者：鄭先偉（中國(guó)教育和科研計(jì)算機(jī)網(wǎng)應(yīng)急響應(yīng)組）

責(zé)編：項(xiàng)陽

投稿或合作，請(qǐng)聯(lián)系：eduinfo@cernet.com