文/鄭先偉

在線編輯器漏洞影響高招安全

文/鄭先偉

近期安全事件分析

部分網(wǎng)站遭分布式拒絕服務(wù)攻擊

6月教育網(wǎng)整體運(yùn)行正常，值得關(guān)注的安全事件是一起拒絕服務(wù)攻擊事件，此次攻擊造成教育部網(wǎng)站及教育網(wǎng)門戶網(wǎng)站出現(xiàn)短暫的訪問(wèn)困難。攻擊事件的起因源于一個(gè)名叫www.pk920.com的游戲私服網(wǎng)站遭受了同行競(jìng)爭(zhēng)者的分布式拒絕服務(wù)攻擊，網(wǎng)站的擁有者為了減輕自己服務(wù)器的負(fù)擔(dān)，將www.pk920.com這個(gè)域名的解析結(jié)果指向了教育部網(wǎng)站和教育網(wǎng)門戶網(wǎng)站所對(duì)應(yīng)的IP地址，這直接導(dǎo)致所有針對(duì)www.pk920.com的攻擊流量被毫無(wú)保留地導(dǎo)向了教育部和教育網(wǎng)的門戶網(wǎng)。由于攻擊者采用了包括syn flood、IP碎片、CC攻擊和偽造的百度爬蟲(chóng)訪問(wèn)在內(nèi)的多種手段同時(shí)發(fā)動(dòng)拒絕服務(wù)攻擊，現(xiàn)有的防護(hù)手段無(wú)法全部有效地過(guò)濾攻擊流量，網(wǎng)站只能依靠分布式服務(wù)器的性能來(lái)抵消攻擊帶來(lái)的影響，影響在公安部門介入和控制了域名并清除惡意指向后才被消除。從這次攻擊事件可以看出，一方面，針對(duì)大規(guī)模的分布式拒絕服務(wù)攻擊我們依然沒(méi)有一個(gè)特別有效的防護(hù)手段，另一方面則顯示針對(duì)域名的監(jiān)管依然缺乏有效的手段。

在線編輯器早期版本存在漏洞

隨著高考的結(jié)束以及高招工作的開(kāi)始，教育網(wǎng)內(nèi)的網(wǎng)站安全問(wèn)題再次引起公眾的注意，這也在5月的網(wǎng)頁(yè)掛馬投訴數(shù)量上得到體現(xiàn)。近期我們CCERT聯(lián)合國(guó)內(nèi)其他的安全組織開(kāi)始對(duì)教育網(wǎng)內(nèi)的被攻擊控制的網(wǎng)站進(jìn)行清理。在針對(duì)一些被攻擊控制的網(wǎng)站進(jìn)行分析后，我們發(fā)現(xiàn)其中很大一部分是因?yàn)榫W(wǎng)站的在線編輯系統(tǒng)存在安全漏洞而被黑客利用，造成這些漏洞的原因是因?yàn)榫W(wǎng)站在源碼編寫(xiě)時(shí)使用了網(wǎng)絡(luò)上開(kāi)源的在線編輯器（如FCKeditor、eWebEditor等），而這些編輯器的早期版本在上傳功能及權(quán)限控制等方面存在安全漏洞，網(wǎng)站的管理者沒(méi)有及時(shí)升級(jí)編輯器的版本導(dǎo)致漏洞被人利用。由于近期各高校的招生及考試網(wǎng)站再次成為了黑客攻擊的目標(biāo)，所以提醒各網(wǎng)站的管理員要及時(shí)檢查自己網(wǎng)站的后臺(tái)管理系統(tǒng)所使用的在線編輯器的版本是否存在漏洞（可在搜索引擎中以編輯器的名稱和漏洞作為關(guān)鍵字查詢），發(fā)現(xiàn)版本存在漏洞請(qǐng)及時(shí)更新到最新版本，如果因?yàn)樘厥庠驘o(wú)法及時(shí)升級(jí)的話，可以通過(guò)在服務(wù)器上限制上傳目錄的執(zhí)行權(quán)限及限制訪問(wèn)后臺(tái)管理目錄的IP地址來(lái)減輕漏洞帶來(lái)的風(fēng)險(xiǎn)。

DOS時(shí)代病毒持續(xù)增多

近期新增的病毒蠕蟲(chóng)數(shù)量依然呈下降趨勢(shì)。需要提醒的是，近期，在本刊的6月刊CCERT月報(bào)中提到的感染系統(tǒng)MBR引導(dǎo)區(qū)的病毒的變種數(shù)量繼續(xù)增多，由于這類病毒的清除異常困難（即使采用格式化系統(tǒng)盤后重新安裝系統(tǒng)的方式也不能清除），所以用戶一旦感染，就可能需要使用特定的專殺工具才能清除病毒，如果發(fā)現(xiàn)系統(tǒng)感染病毒并且清除不了，可以到反病毒廠商的網(wǎng)站上下載相應(yīng)的專殺工具。這里依然要提醒用戶，防范依然比查殺重要。

新增嚴(yán)重漏洞評(píng)述

與5月份的安全公告相比，6月份微軟發(fā)布的安全公告多達(dá)16個(gè)（MS11-037至MS11-052），這些公告中有9個(gè)為嚴(yán)重等級(jí)，7個(gè)為重要等級(jí)，涉及的產(chǎn)品包括Windows系統(tǒng)、Office軟件、IE瀏覽器、SQLserver數(shù)據(jù)庫(kù)和其他網(wǎng)絡(luò)組件。公告共修補(bǔ)了32個(gè)安全漏洞，這其中包括之前在IE瀏覽器中發(fā)現(xiàn)的多個(gè)0day漏洞。

除了微軟外，Mozilla公司和Adobe公司也在6月份發(fā)布了多個(gè)安全公告。Mozilla公司的安全公告（MFSA 2011-19至MFSA 2011-28）修補(bǔ)了其公司產(chǎn)品中的多個(gè)安全漏洞，這其中包括多個(gè)Firefox瀏覽器的內(nèi)存破壞漏洞，涉及Firefox的各種版本，詳細(xì)信息可以參閱（http://www.mozilla.org/security/announce/）。Adobe公司的安全公告（APSB11-13至APSB11-18）修補(bǔ)了Flash player和Adobe Acrobat/Reader中的多個(gè)遠(yuǎn)程代碼執(zhí)行漏洞，其中包括Acrobat/Reader中的一個(gè)0day漏洞。關(guān)于Adobe產(chǎn)品的漏洞詳細(xì)信息可以參見(jiàn)（http://www.adobe.com/support/security/）。

Word軟件存在遠(yuǎn)程代碼執(zhí)行漏（0day）

影響系統(tǒng)是Office XP Word 2002。

國(guó)外安全研究機(jī)構(gòu)Protek Research Lab披露Microsoft Word中存在一個(gè)遠(yuǎn)程代碼執(zhí)行0day漏洞。該漏洞是由于Microsoft Word文檔中的某些參數(shù)可被當(dāng)作一個(gè)指針來(lái)使用造成的。攻擊者可構(gòu)造嵌入惡意代碼的特制文檔誘使用戶點(diǎn)擊來(lái)觸發(fā)此漏洞，一旦攻擊成功，攻擊者可以以當(dāng)前用戶的權(quán)限執(zhí)行任意命令。

攻擊者可以上傳特制的Word文檔到網(wǎng)站中或是放置在電子郵件附件中引誘用戶打開(kāi)。一旦用戶打開(kāi)這些Word文檔就可能導(dǎo)致攻擊者以當(dāng)前用戶的權(quán)限執(zhí)行任意命令。漏洞已經(jīng)被證實(shí)在Word 2002中可以被有效利用，其他版本也可能存在相同的漏洞。目前該漏洞已開(kāi)始在網(wǎng)絡(luò)上被利用。

針對(duì)該漏洞應(yīng)做的修補(bǔ)，建議用戶隨時(shí)關(guān)注廠商的動(dòng)態(tài)：http://technet.microsoft.com/zh-cn/security/

在還沒(méi)有補(bǔ)丁之前，用戶可以采用以下臨時(shí)辦法來(lái)緩解風(fēng)險(xiǎn)：

1.不要隨意點(diǎn)擊不受信任網(wǎng)站上的Word文檔；

2.不要隨意打開(kāi)郵件附件中的文檔，除非你確認(rèn)它是來(lái)自可靠的地方。

安全提示

鑒于近期的安全風(fēng)險(xiǎn)，網(wǎng)站管理員應(yīng)該：

1.及時(shí)更新服務(wù)器系統(tǒng)補(bǔ)丁程序；

2.使用掃描軟件檢查網(wǎng)頁(yè)的代碼程序，發(fā)現(xiàn)漏洞及時(shí)修補(bǔ)；

3.隨時(shí)關(guān)注自己的服務(wù)器，發(fā)現(xiàn)異常情況應(yīng)及時(shí)處理，如果自己無(wú)法處理可以請(qǐng)專業(yè)人員協(xié)助；

4.對(duì)于已經(jīng)出現(xiàn)問(wèn)題的頁(yè)面不能簡(jiǎn)單地進(jìn)行刪除處理，一定要查明引起攻擊的原因并修補(bǔ)。

（作者單位為中國(guó)教育和科研計(jì)算機(jī)網(wǎng)應(yīng)急響應(yīng)組）