5月蠕蟲感染重災(zāi)區(qū)為行業(yè)內(nèi)網(wǎng)

文/鄭先偉

5月蠕蟲感染重災(zāi)區(qū)為行業(yè)內(nèi)網(wǎng)

文/鄭先偉

CCERT月報

5 月中旬，一款利用微軟 Windows 操作系統(tǒng)文件共享服務(wù)漏洞進行傳播的勒索蠕蟲病毒（WannaCry 蠕蟲）開始在網(wǎng)絡(luò)上大規(guī)模傳播，病毒感染系統(tǒng)后會對系統(tǒng)上的重要數(shù)據(jù)進行加密并索取價值 300 美元以上的比特幣。由于該病毒使用了 445端口SMB協(xié)議服務(wù)漏洞進行傳播，因此在局域網(wǎng)環(huán)境（如校園網(wǎng)）中較易擴散。由于國內(nèi)相關(guān)病毒感染的案例報道最早是源自于校園網(wǎng)用戶，所以導(dǎo)致大量媒體誤讀為高校是此次敲詐病毒感染的重災(zāi)區(qū)。但經(jīng)我們后期數(shù)據(jù)統(tǒng)計分析發(fā)現(xiàn)，部分高校確實存在用戶感染的案例，但是所占比例并不高，完全沒有達到重災(zāi)區(qū)的程度。大部分學(xué)校在校園網(wǎng)邊界早就采取了 445端口限制措施，有效抑制了蠕蟲病毒在高校網(wǎng)絡(luò)之間的傳播，另一方面由于校園網(wǎng)用戶使用的操作系統(tǒng)版本及安全配置的水平多樣性，也在某種程度上限制了蠕蟲的傳播速度。此次蠕蟲感染重災(zāi)區(qū)是一些行業(yè)內(nèi)網(wǎng)，因為這些內(nèi)網(wǎng)由于業(yè)務(wù)需要通常都使用統(tǒng)一的操作系統(tǒng)及安全配置（一個有漏洞大家都有），一旦病毒通過某些渠道進入內(nèi)網(wǎng)，內(nèi)網(wǎng)的主機全部都會被感染。

2017 年 4 月 ～5 月安全投訴事件統(tǒng)計

WannaCry/Wcry 勒索蠕蟲病毒所利用的漏洞攻擊代碼是黑客組織 Shadow Brokers（影子經(jīng)紀人）在今年 4 月 14日披露的 Equation Group（方程式組織）使用的黑客工具包中的一個（4月的月報中已經(jīng)提醒過用戶防范這些漏洞），攻擊程序名為 ETERNALBLUE，國內(nèi)安全廠商命名為永恒之藍。該攻擊代碼利用了 Windows文件共享協(xié)議中的一個安全漏洞通過 TCP 445 端口進行攻擊，漏洞影響 Windows全線的操作系統(tǒng)，微軟在 2017 年 3 月的例行補丁（MS17-010）更新中對該漏洞進行了修補，本次由于蠕蟲影響的范圍較大，微軟在蠕蟲爆發(fā)后臨時發(fā)布了針對之前不再提供更新支持的系統(tǒng)版本（包括 Windows XP、Windows 8、Windows server 2003）補丁。用戶只需安裝對應(yīng)的補丁程序便能防范攻擊。對于那些已經(jīng)被病毒加密的系統(tǒng)文件，部分安全廠商也提供了一些文件恢復(fù)的工具，但是由于病毒本身使用的是標準的非對稱加密算法，在沒有解密密鑰的情況要想破解恢復(fù)加密文件基本不太可能，所以目前大部分的工具是靠數(shù)據(jù)恢復(fù)的模式來進行文件恢復(fù)，而不是直接去解密還原被加密的文件。

5月需要關(guān)注的漏洞有如下這些：

1.微軟 5 月的安全更新涉及的系統(tǒng)及軟件為：Internet Explorer、Microsoft Edge、Microsoft Windows、Microsoft Office and Microsoft Office Services and Web Apps、NET Framework、Adobe Flash Player、Microsoft Malware Protection Engine。需要特別關(guān)注的是 Malware Protection Engine 的漏洞，該軟件是微軟系統(tǒng)自帶的反病毒程序，內(nèi)置于 Win7 以上版本的系統(tǒng)中，攻擊者如果構(gòu)造惡意的程序，可能誘發(fā)反病毒引擎的錯誤從而在系統(tǒng)上執(zhí)行任意命令。

2.Joomla!是一 套 基于 PHP 的開源內(nèi)容管理系統(tǒng) (CMS)。高校網(wǎng)絡(luò)中有很多信息系統(tǒng)是基于該內(nèi)容管理系統(tǒng)進行二次開發(fā)的。Joomla! 3.7.0 版本中存在一個 SQL 注入漏洞，攻擊者利用該漏洞無需任何身份認證即可獲得數(shù)據(jù)庫中的敏感信息。不過由于 3.7.0 是 Joomla ！比較新的版本，之前的版本中并不存在該漏洞，因此如果用戶的信息系統(tǒng)是近期開發(fā)或是升級過的 Joomla ！就需要特別關(guān)注了。目前廠商已經(jīng)在 Joomla ！ 3.7.1 版本中修復(fù)了此漏洞，建議相關(guān)的管理員盡快升級自己的 Joomla ！版本。

3.Linux 系統(tǒng)下的 Samba 軟件（3.5.0及 3.5.0 和 4.6.4 之間的任意版本）存在遠程代碼執(zhí)行漏洞，當(dāng) Linux 系統(tǒng)啟用了 Smb服務(wù)，并且允許用戶向目錄上傳文件時，攻擊者可以上傳惡意的共享庫文件，觸發(fā)漏洞使 Samba 服務(wù)端加載并執(zhí)行該共享庫，從而以 Smb服務(wù)的權(quán)限（一般是 Root）遠程執(zhí)行任意代碼。目前廠商已經(jīng)在新版本（4.5.10、4.4.14、4.6.4）的 Samba 軟件中修補了該漏洞，使用 Linux 下的 Smb 服務(wù)的用戶需要盡快更新自己的 Samba 軟件版本。

（責(zé)編：高錦）

安全提示

Win7 以上版本的 Windows系統(tǒng)的自動更新是默認開啟的，那些被刻意關(guān)閉自動更新功能的系統(tǒng)多半都是盜版的操作系統(tǒng)。這些盜版的操作系統(tǒng)因為無法及時安裝補丁更新可能給校園網(wǎng)帶來安全風(fēng)險，學(xué)校需要對這類系統(tǒng)進行監(jiān)管防范，條件允許的情況下應(yīng)該使用正版的操作系統(tǒng)進行替代，即使暫時無法全部正版化也需要提供一些臨時的補丁更新服務(wù)，如校內(nèi)搭建的WSUS服務(wù)或是一些第三方軟件提供的更新服務(wù)。

（作者單位為中國教育和科研計算機網(wǎng)應(yīng)急響應(yīng)組）