CCERT月报:高招季警惕招生网站被黑

      CCERT月报:高招季警惕招生网站被黑无评论

  6月教育网整体运行平稳,未发现影响严重的安全事件。又进入了一年一度的高招季,这期间是高校网站安全问题高发的时间段。容易被攻击的网站包括学校的主页以及学校的招生网站,因为这些网站在此期间的访问量会剧增,不管是用来挂马还是暗链都能给攻击者带来不错的收益,当然也不能忽视了学校院系的二级网站,这些二级网站虽然访问量没有前面那两个网站大,但是如果在这些二级网站中发布一些虚假的招生信息,对用户的欺骗性还是很高的。因此近期学校的安全管理部门要加强对各类学校网站的安全监控,以保障高招工作顺利进行。

  网站安全事件的数量还是居高不下,说明仍有大量的网站存在各种安全问题。

  6月没有新增传播范围较广影响较大的木马病毒,没有特别需要关注的。

  6月需要关注的漏洞有如下这些:

  1.微软6月的例行安全公告共16项,其中5项为严重等级,11项为重要等级。这些公告共修补了Windows系统、IE浏览器、Office办公软件、Edge和・Web App产品中的31个安全漏洞。其中MS16-077公告中涉及的BadTunnel漏洞(CVE-2016-3213)需要特别关注。该漏洞存在的原因是因为Windows系统中有一个叫网络代理自发现(WPAD)的协议在实现过程中出现了差错,存在一个权限提升漏洞。攻击者只需想办法与被攻击目标建立一个NetBIOS链接,就可以利用该漏洞来重定向目标主机的网络流量。虽然这个漏洞不能直接用来进行远程代码执行,但是它可以与其他应用组合来达到类似的效果。目前漏洞的攻击验证代码已经在网络上被发布,建议用户尽快更新安装相应的补丁程序,需要提醒的是这个漏洞要结合MS16-063的补丁才能完全修补。相关公告及漏洞的详情请参见:https://technet.microsoft.com/zh-cn/library/security/mt733206.aspx

  2.6月Apache官方针对Struts2框架发布了多个安全公告(S2-033到S2-037),用于修补Struts2框架中的多个安全漏洞。其中S2-033和S2-037中的漏洞可以远程执行任意代码。这两个漏洞的成因与4月的S2-032的漏洞成因相同,区别在于后两个漏洞执行的前提条件是系统部署REST插件功能。而S2-033与S2-037的区别则在于前者需要系统启用了动态的调用方式,而后者不需要。这两个漏洞带来的风险很大,建议使用了Struts2框架的Web管理员尽快升级相应的Struts2版本来防范风险。漏洞的详情请参见:https://cwiki.apache.org/confluence/display/WW/S2-033及https://cwiki.apache.org/confluence/display/WW/S2-037。

  安全提示:

  BadTunnel漏洞影响几乎所有的Windows版本,包括那些微软已经停止技术支持的Windows系统版本如XP,对于这些没有补丁可安装的系统,只能使用一些临时办法来降低风险,例如:

  禁用WINS/NetBT名称解析,方法如下:

  1.打开网络连接。

  2.单击要静态配置的“本地连接”,然后从“文件”菜单中,单击“属性”。

  3.在组件列表中,单击“Internet协议(TCP/IP)”,然后单击“属性”。

  4.单击“高级”,单击“WINS”选项卡,然后单击“禁用TCP/IP上的NetBIOS”。

  5.如果您正在使用DHCP服务器(它可以在所有DHCP选项类型中有选择地启用和禁用NetBIOS配置),您也可以在DHCP服务器上选择“使用NetBIOS”设置。

  停止使用主机文件条目的WPAD,方法如下:

  1.以管理员身份打开位于以下位置的主机文件:%systemdrive%/Windows/System32/Drivers/etc/hosts;

  2.在主机文件中为WPAD创建下列条目:wpad255.255.255.255。

(作者单位为中国教育和科研计算机网应急响应组)

发表评论