文/鄭先偉

SMB服務或成新漏洞利用途徑

文/鄭先偉

建議校園網(wǎng)出口對TCP 139及445端口流量進行限制

8月教育網(wǎng)運行正常，未發(fā)現(xiàn)影響嚴重的安全事件。

知名終端模擬軟件 XShell的廠商NetSarang公司在8月7日發(fā)布安全公告，稱其最近（7月18日）更新的Xmanager Enterprise、Xmanager、Xshell、Xftp、Xlpd五款軟件存在安全風險，由于黑客入侵該公司的服務器，在正式發(fā)布的程序中預置了后門功能，如果用戶下載使用這些帶后門的版本，用戶使用的用戶名和密碼可能會被上傳到黑客指定的服務器上。目前已知該后門會自動連接到nylalobghyhirgh.com的域名上，并通過DNS協(xié)議隱藏傳輸?shù)臄?shù)據(jù)。學校的網(wǎng)絡管理員可以在學校的遞歸解析服務器上屏蔽對*.nylalobghyhirgh.com域名的查詢請求，以中斷木馬的連接，并在出口流量中監(jiān)測相關域名的訪問來確定校內受到該后門影響的IP。

近期新增嚴重漏洞評述：

1.微軟8月的例行安全公告中修復了其多款產(chǎn)品中存在的122個安全漏洞，包括Windows10 v1703（14個）、Windows10 v1607和 Windows Server 2016（11個）、Windows10 v1511（10個）、Windows10 RTM（10個）、Windows8.1 和 Windows Server 2012 R2（11個）、WindowsServer 2012（11個）、Windows7 和 Windows Server 2008 R2（10個）、WindowsServer 2008（9個）、IE瀏覽器 (7個)、Edge瀏覽器（28個）、Office辦公軟件（1個）。其中需要特別關注的是Windows Search服務遠程代碼執(zhí)行漏洞（https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-8620），漏洞源于Search程序未能正確的處理內存中的對象，遠程攻擊者可利用該漏洞執(zhí)行代碼或造成拒絕服務。由于該漏洞可以直接通過遠程服務445端口（SMB服務）利用，因此具備被利用來進行蠕蟲傳播的可能，用戶應該盡快使用Windows系統(tǒng)的自動更新功能安裝相應的補丁程序，官方發(fā)布的該漏洞的影響范圍中暫未涉及已經(jīng)停止更新的WinXP及Vista系統(tǒng)。

2017年7～8月安全投訴事件統(tǒng)計

2.D-Link DIR系列路由器存在身份驗證繞過漏洞和遠程命令執(zhí)行漏洞，當管理員登錄到設備時會觸發(fā)全局變量：$authorized_group ＞ = 1。遠程攻擊者可以使用這個全局變量繞過安全檢查，并使用它來讀取任意文件，獲取管理員賬號密碼等敏感信息。另外系統(tǒng)管理界面fatlady.php頁面未對加載的文件后綴（默認為XML）進行校驗，遠程攻擊者可利用該缺陷以修改后綴方式直接讀取（DEVICE.ACCOUNT.xml.php）獲得管理員賬號密碼，后續(xù)通過觸發(fā)設備NTP服務方式注入系統(tǒng)指令，取得設備控制權。D-Link DIR系列路由器屬于家用小型路由器，在學生宿舍中使用的范圍較廣，如果用戶給管理界面配置了外網(wǎng)IP，將可能導致路由器被控制進而造成更大的風險。目前官方已經(jīng)發(fā)布新的系統(tǒng)版本，用戶需要手動對受影響的路由器進行更新操作。

安全提示

1.鑒于SMB服務面臨的攻擊風險，我們建議在校園網(wǎng)出口邊界禁封TCP139及445端口的連接請求，SMB服務屬于局域網(wǎng)共享服務，原則上不建議跨網(wǎng)段提供服務。

2.學生在宿舍內使用D-LINK無線路由器如果未正確配置（比如管理IP外露等），可能面臨被攻擊的風險，學校可以通過相關的技術手段定期對校內的地址定期進行掃描以確認是否存在有風險的路由器設備并及時通知用戶進行處理。

（責編：高錦）

（作者單位為中國教育和科研計算機網(wǎng)應急響應組）