文/鄭先偉
比特幣敲詐病毒存繞過缺陷
文/鄭先偉
10月教育網(wǎng)運行平穩(wěn),未發(fā)現(xiàn)影響嚴重的安全事件。
因為學校對安全重視程度的提升,越來越多的安全事件會被直接反饋到學校,CCERT這邊收到的投訴數(shù)量逐月呈大幅下降趨勢。
近段時間比特幣敲詐病毒的版本層出不窮,已經(jīng)有國內(nèi)人員編寫的敲詐病毒在互聯(lián)網(wǎng)上流行。多數(shù)的敲詐者病毒都是通過木馬程序的形式欺騙用戶點擊來運行,因此用戶要特別小心郵件附件以及網(wǎng)絡上下載的來歷不明的文件,不要輕易點擊運行。一旦用戶被相關病毒感染,系統(tǒng)上重要文件就會被非對稱秘鑰算法給加密起來,除非你按要求付給編寫者相應的比特幣贖金,否則無法解密。不過最近國內(nèi)的反病毒廠商對一些國產(chǎn)版的敲詐病毒樣本進行分析后發(fā)現(xiàn),某些版本在實現(xiàn)過程中存在可被繞過的缺陷,受害者即使不支付贖金也有可能獲得解密的秘鑰。因次用戶一旦被敲詐者病毒感染,第一時間可以嘗試聯(lián)系專業(yè)的反病毒公司,看是否有解密的辦法而不是馬上就去支付贖金。
10月需要關注的漏洞有如下這些:
1. 微軟10月份的例行安全公告公告共10個,其中5個為嚴重等級,4個為重要等級,1個為中等等級。這個公告共修補了包括Windows系統(tǒng)、Office軟件、IE瀏覽器、EDGE瀏覽器、.NET Framework、Lync、Skype for Business、Web Apps和Adobe Flash Player中存在的36個安全漏洞。用戶應該盡快使用系統(tǒng)的自動更新功能進行更新。公告的詳情請參見:http://technet.microsoft.com/zh-cn/ library/security/ms16-oct.aspx
2. Adobe公司10月份發(fā)布了兩個(APSB16-32和APSB16-33)安全公告,這兩個公告分別修補了Adobe Flash player及Adobe Acrobat/Reader軟件中的多個安全漏洞,其中與Flash player有關的漏洞12個,與Acrobat/Reader有關的漏洞70個。由于PDF軟件的漏洞被利用頻率很高,用戶應該盡快檢查自己的PDF閱讀軟件是否存在漏洞,并根據(jù)自己系統(tǒng)上軟件安裝情況進行升級。需要提醒的是,破解版Adboe Acrobat/Reader軟件同樣受漏洞影響,但是卻沒辦法升級,用戶需要衡量風險后再決定是否棄用破解版。兩個公告的詳細信息請參見:
https://helpx.adobe.com/security/ products/flash-player/apsb16-32.html
https://helpx.adobe.com/security/ products/acrobat/apsb16-33.html
3. ISC BIND9軟件存在遠程拒絕服務攻擊漏洞,攻擊者向使用BIND9作為服務程序的DNS服務器發(fā)送特定的查詢數(shù)據(jù),可能導致BIND 9程序的buffer.c發(fā)生斷言錯誤,從而導致BIND9的主程序崩潰。這個漏洞影響所有使用BIND9的DNS服務器,不管是遞歸還是權威服務器。漏洞的編號為CVE-2016-2776。目前攻擊代碼已經(jīng)在網(wǎng)絡上發(fā)布,ISC也已經(jīng)在新版本中修補了這個漏洞,其他的Linux系統(tǒng)也都發(fā)布了相應的補丁程序,管理員只需及時更新自己的BIND9版本就能防止這些漏洞。漏洞的詳細信息請參見:https:// kb.isc.org/article/AA-01419/0
2016年9月~10月安全投訴事件統(tǒng)計
安全提示
此次BIND9的漏洞影響的范圍較廣,幾乎對現(xiàn)有的使用BIND9作為服務程序的DNS服務器都有影響。建議DNS服務器的管理員要重視該漏洞帶來的風險,第一時間對服務程序進行升級。目前各Linux系統(tǒng)版本的升級更新都已經(jīng)較為完善,系統(tǒng)的自動更新功能就可以對系統(tǒng)自帶的BIND軟件進行更新。但是如果你的BIND9是自己手動下載安裝,則需要你自己手動下載安裝進行版本更新。
(作者單位為中國教育和科研計算機網(wǎng)應急響應組)