在線編輯器漏洞影響高招安全

文/鄭先偉

在線編輯器漏洞影響高招安全

文/鄭先偉

近期安全事件分析

部分網站遭分布式拒絕服務攻擊

6月教育網整體運行正常，值得關注的安全事件是一起拒絕服務攻擊事件，此次攻擊造成教育部網站及教育網門戶網站出現短暫的訪問困難。攻擊事件的起因源于一個名叫www.pk920.com的游戲私服網站遭受了同行競爭者的分布式拒絕服務攻擊，網站的擁有者為了減輕自己服務器的負擔，將www.pk920.com這個域名的解析結果指向了教育部網站和教育網門戶網站所對應的IP地址，這直接導致所有針對www.pk920.com的攻擊流量被毫無保留地導向了教育部和教育網的門戶網。由于攻擊者采用了包括syn flood、IP碎片、CC攻擊和偽造的百度爬蟲訪問在內的多種手段同時發(fā)動拒絕服務攻擊，現有的防護手段無法全部有效地過濾攻擊流量，網站只能依靠分布式服務器的性能來抵消攻擊帶來的影響，影響在公安部門介入和控制了域名并清除惡意指向后才被消除。從這次攻擊事件可以看出，一方面，針對大規(guī)模的分布式拒絕服務攻擊我們依然沒有一個特別有效的防護手段，另一方面則顯示針對域名的監(jiān)管依然缺乏有效的手段。

在線編輯器早期版本存在漏洞

隨著高考的結束以及高招工作的開始，教育網內的網站安全問題再次引起公眾的注意，這也在5月的網頁掛馬投訴數量上得到體現。近期我們CCERT聯合國內其他的安全組織開始對教育網內的被攻擊控制的網站進行清理。在針對一些被攻擊控制的網站進行分析后，我們發(fā)現其中很大一部分是因為網站的在線編輯系統(tǒng)存在安全漏洞而被黑客利用，造成這些漏洞的原因是因為網站在源碼編寫時使用了網絡上開源的在線編輯器（如FCKeditor、eWebEditor等），而這些編輯器的早期版本在上傳功能及權限控制等方面存在安全漏洞，網站的管理者沒有及時升級編輯器的版本導致漏洞被人利用。由于近期各高校的招生及考試網站再次成為了黑客攻擊的目標，所以提醒各網站的管理員要及時檢查自己網站的后臺管理系統(tǒng)所使用的在線編輯器的版本是否存在漏洞（可在搜索引擎中以編輯器的名稱和漏洞作為關鍵字查詢），發(fā)現版本存在漏洞請及時更新到最新版本，如果因為特殊原因無法及時升級的話，可以通過在服務器上限制上傳目錄的執(zhí)行權限及限制訪問后臺管理目錄的IP地址來減輕漏洞帶來的風險。

DOS時代病毒持續(xù)增多

近期新增的病毒蠕蟲數量依然呈下降趨勢。需要提醒的是，近期，在本刊的6月刊CCERT月報中提到的感染系統(tǒng)MBR引導區(qū)的病毒的變種數量繼續(xù)增多，由于這類病毒的清除異常困難（即使采用格式化系統(tǒng)盤后重新安裝系統(tǒng)的方式也不能清除），所以用戶一旦感染，就可能需要使用特定的專殺工具才能清除病毒，如果發(fā)現系統(tǒng)感染病毒并且清除不了，可以到反病毒廠商的網站上下載相應的專殺工具。這里依然要提醒用戶，防范依然比查殺重要。

新增嚴重漏洞評述

與5月份的安全公告相比，6月份微軟發(fā)布的安全公告多達16個（MS11-037至MS11-052），這些公告中有9個為嚴重等級，7個為重要等級，涉及的產品包括Windows系統(tǒng)、Office軟件、IE瀏覽器、SQLserver數據庫和其他網絡組件。公告共修補了32個安全漏洞，這其中包括之前在IE瀏覽器中發(fā)現的多個0day漏洞。

除了微軟外，Mozilla公司和Adobe公司也在6月份發(fā)布了多個安全公告。Mozilla公司的安全公告（MFSA 2011-19至MFSA 2011-28）修補了其公司產品中的多個安全漏洞，這其中包括多個Firefox瀏覽器的內存破壞漏洞，涉及Firefox的各種版本，詳細信息可以參閱（http://www.mozilla.org/security/announce/）。Adobe公司的安全公告（APSB11-13至APSB11-18）修補了Flash player和Adobe Acrobat/Reader中的多個遠程代碼執(zhí)行漏洞，其中包括Acrobat/Reader中的一個0day漏洞。關于Adobe產品的漏洞詳細信息可以參見（http://www.adobe.com/support/security/）。

Word軟件存在遠程代碼執(zhí)行漏（0day）

影響系統(tǒng)是Office XP Word 2002。

國外安全研究機構Protek Research Lab披露Microsoft Word中存在一個遠程代碼執(zhí)行0day漏洞。該漏洞是由于Microsoft Word文檔中的某些參數可被當作一個指針來使用造成的。攻擊者可構造嵌入惡意代碼的特制文檔誘使用戶點擊來觸發(fā)此漏洞，一旦攻擊成功，攻擊者可以以當前用戶的權限執(zhí)行任意命令。

攻擊者可以上傳特制的Word文檔到網站中或是放置在電子郵件附件中引誘用戶打開。一旦用戶打開這些Word文檔就可能導致攻擊者以當前用戶的權限執(zhí)行任意命令。漏洞已經被證實在Word 2002中可以被有效利用，其他版本也可能存在相同的漏洞。目前該漏洞已開始在網絡上被利用。

針對該漏洞應做的修補，建議用戶隨時關注廠商的動態(tài)：http://technet.microsoft.com/zh-cn/security/

在還沒有補丁之前，用戶可以采用以下臨時辦法來緩解風險：

1.不要隨意點擊不受信任網站上的Word文檔；

2.不要隨意打開郵件附件中的文檔，除非你確認它是來自可靠的地方。

安全提示

鑒于近期的安全風險，網站管理員應該：

1.及時更新服務器系統(tǒng)補丁程序；

2.使用掃描軟件檢查網頁的代碼程序，發(fā)現漏洞及時修補；

3.隨時關注自己的服務器，發(fā)現異常情況應及時處理，如果自己無法處理可以請專業(yè)人員協(xié)助；

4.對于已經出現問題的頁面不能簡單地進行刪除處理，一定要查明引起攻擊的原因并修補。

（作者單位為中國教育和科研計算機網應急響應組）