文/鄭先偉

CCERT月報(bào)高招季警惕招生網(wǎng)站被黑

文/鄭先偉

6月教育網(wǎng)整體運(yùn)行平穩(wěn)，未發(fā)現(xiàn)影響嚴(yán)重的安全事件。又進(jìn)入了一年一度的高招季，這期間是高校網(wǎng)站安全問題高發(fā)的時(shí)間段。容易被攻擊的網(wǎng)站包括學(xué)校的主頁以及學(xué)校的招生網(wǎng)站，因?yàn)檫@些網(wǎng)站在此期間的訪問量會(huì)劇增，不管是用來掛馬還是暗鏈都能給攻擊者帶來不錯(cuò)的收益，當(dāng)然也不能忽視了學(xué)校院系的二級(jí)網(wǎng)站，這些二級(jí)網(wǎng)站雖然訪問量沒有前面那兩個(gè)網(wǎng)站大，但是如果在這些二級(jí)網(wǎng)站中發(fā)布一些虛假的招生信息，對(duì)用戶的欺騙性還是很高的。因此近期學(xué)校的安全管理部門要加強(qiáng)對(duì)各類學(xué)校網(wǎng)站的安全監(jiān)控，以保障高招工作順利進(jìn)行。

網(wǎng)站安全事件的數(shù)量還是居高不下，說明仍有大量的網(wǎng)站存在各種安全問題。

6月沒有新增傳播范圍較廣影響較大的木馬病毒，沒有特別需要關(guān)注的。

6月需要關(guān)注的漏洞有如下這些：

1. 微軟6月的例行安全公告共16項(xiàng)，其中5項(xiàng)為嚴(yán)重等級(jí)，11項(xiàng)為重要等級(jí)。這些公告共修補(bǔ)了Windows系統(tǒng)、IE瀏覽器、Office辦公軟件、Edge和·Web App產(chǎn)品中的31個(gè)安全漏洞。其中MS16-077公告中涉及的BadTunnel漏洞（CVE-2016-3213）需要特別關(guān)注。該漏洞存在的原因是因?yàn)閃indows系統(tǒng)中有一個(gè)叫網(wǎng)絡(luò)代理自發(fā)現(xiàn)（WPAD）的協(xié)議在實(shí)現(xiàn)過程中出現(xiàn)了差錯(cuò)，存在一個(gè)權(quán)限提升漏洞。攻擊者只需想辦法與被攻擊目標(biāo)建立一個(gè)NetBIOS鏈接，就可以利用該漏洞來重定向目標(biāo)主機(jī)的網(wǎng)絡(luò)流量。雖然這個(gè)漏洞不能直接用來進(jìn)行遠(yuǎn)程代碼執(zhí)行，但是它可以與其他應(yīng)用組合來達(dá)到類似的效果。目前漏洞的攻擊驗(yàn)證代碼已經(jīng)在網(wǎng)絡(luò)上被發(fā)布，建議用戶盡快更新安裝相應(yīng)的補(bǔ)丁程序，需要提醒的是這個(gè)漏洞要結(jié)合MS16-063的補(bǔ)丁才能完全修補(bǔ)。相關(guān)公告及漏洞的詳情請(qǐng)參見：https：//technet.microsoft. com/zh-cn/library/security/mt733206.aspx。

2. 6月Apache官方針對(duì)Struts2框架發(fā)布了多個(gè)安全公告（S2-033到S2-037），用于修補(bǔ)Struts2框架中的多個(gè)安全漏洞。其中S2-033和S2-037中的漏洞可以遠(yuǎn)程執(zhí)行任意代碼。這兩個(gè)漏洞的成因與4月的S2-032的漏洞成因相同，區(qū)別在于后兩個(gè)漏洞執(zhí)行的前提條件是系統(tǒng)部署REST插件功能。而S2-033與S2-037的區(qū)別則在于前者需要系統(tǒng)啟用了動(dòng)態(tài)的調(diào)用方式，而后者不需要。這兩個(gè)漏洞帶來的風(fēng)險(xiǎn)很大，建議使用了Struts2框架的Web管理員盡快升級(jí)相應(yīng)的Struts2版本來防范風(fēng)險(xiǎn)。漏洞的詳情請(qǐng)參見： https：//cwiki.apache.org/confluence/ display/WW/S2-033及https：//cwiki.apache. org/confluence/display/WW/S2-037。

2016年5月～6月安全投訴事件統(tǒng)計(jì)

安全提示

BadTunnel漏洞影響幾乎所有的Windows版本，包括那些微軟已經(jīng)停止技術(shù)支持的Windows系統(tǒng)版本如XP，對(duì)于這些沒有補(bǔ)丁可安裝的系統(tǒng)，只能使用一些臨時(shí)辦法來降低風(fēng)險(xiǎn)，例如：

禁用 WINS/NetBT 名稱解析，方法如下：

1. 打開網(wǎng)絡(luò)連接。

2. 單擊要靜態(tài)配置的“本地連接”，然后從“文件”菜單中，單擊“屬性”。

3. 在組件列表中，單擊“Internet 協(xié)議 （TCP/IP）”，然后單擊“屬性”。

4. 單擊“高級(jí)”，單擊“WINS”選項(xiàng)卡，然后單擊“禁用 TCP/IP 上的NetBIOS”。

5. 如果您正在使用 DHCP 服務(wù)器（它可以在所有 DHCP 選項(xiàng)類型中有選擇地啟用和禁用 NetBIOS 配置），您也可以在 DHCP 服務(wù)器上選擇“使用NetBIOS”設(shè)置。

停止使用主機(jī)文件條目的 WPAD，方法如下：

1. 以管理員身份打開位于以下位置的主機(jī)文件：%systemdrive%Windows System32Driversetchosts；

2. 在主機(jī)文件中為 WPAD 創(chuàng)建下列條目：wpad 255.255.255.255。

（作者單位為中國教育和科研計(jì)算機(jī)網(wǎng)應(yīng)急響應(yīng)組）