CCERT月報(bào)多重措施防范釣魚郵件攻擊

文/鄭先偉

微軟于6月15日正式關(guān)閉了IE瀏覽器，這意味著這款歷史長(zhǎng)達(dá)27年的瀏覽器將徹底退出歷史舞臺(tái)，微軟今后將不會(huì)為其提供任何技術(shù)支持，包括安全更新。用戶可以使用微軟的Edge瀏覽器來替代IE瀏覽器，如果碰到只支持IE內(nèi)核的服務(wù)，可以臨時(shí)啟用Edge兼容IE的模式來訪問。除了IE瀏覽器外，另一個(gè)即將停止支持的是CentOS操作系統(tǒng)，CentOS 8已于2021年年底停用，CentOS 7則將于2024年底跟隨RHEL 7一起停止提供服務(wù)。對(duì)于這些已經(jīng)或者即將停用的系統(tǒng)或產(chǎn)品，雖然在原有的使用功能上不會(huì)有什么影響，但是在安全性上卻得不到保障，建議用戶盡快尋找新的替代產(chǎn)品或解決方案。

在安全投訴事件統(tǒng)計(jì)方面，隨著各類安全演練的活動(dòng)開展，針對(duì)資產(chǎn)探測(cè)的掃描數(shù)量會(huì)大幅增加。

近期各類釣魚郵件攻擊有所抬頭，這些釣魚攻擊郵件的內(nèi)容變得更具有欺騙性。與以往冒充系統(tǒng)管理員要求修改賬號(hào)密碼的內(nèi)容不同，這類釣魚郵件會(huì)根據(jù)不同目標(biāo)用戶編輯適配的內(nèi)容來增加迷惑性。例如，專門針對(duì)高校的釣魚郵件攻擊以項(xiàng)目申報(bào)回執(zhí)，課題評(píng)審等作為郵件內(nèi)容誘騙用戶點(diǎn)擊病毒附件，很多老師因?yàn)榍∏烧谶M(jìn)行課題申報(bào)，所以會(huì)毫不猶豫地選擇相信郵件的內(nèi)容。對(duì)于這種情況，除了需要老師有很好的安全意識(shí)外，還需要系統(tǒng)具備很好的病毒防范能力。

近期新增嚴(yán)重漏洞評(píng)述：

2022年4月~5月CCERT安全投訴事件統(tǒng)計(jì)

1.微軟2022年6月的例行安全更新共涉及漏洞數(shù)56個(gè)，其中嚴(yán)重等級(jí)的13個(gè)，重要等級(jí)的43個(gè)。需要特別關(guān)注的是微軟支持診斷工具（MSDT）遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2022-30190）。攻擊者可以利用精心構(gòu)造的Office文檔中的遠(yuǎn)程模板功能從服務(wù)器上下載惡意的HTML文件，進(jìn)而使用MSDT的功能執(zhí)行任意命令，即便用戶關(guān)閉了宏功能，該漏洞依然可以被利用。如果攻擊文件被存成RTF格式，漏洞還可依賴資源管理器的預(yù)覽功能被利用，而無需用戶打開文件。目前該漏洞的攻擊代碼已經(jīng)被公開，互聯(lián)網(wǎng)上已經(jīng)發(fā)現(xiàn)了相應(yīng)的攻擊，建議用戶盡快使用系統(tǒng)自帶的更新功能進(jìn)行補(bǔ)丁更新。

2.BIG-IP是F5公司的一款集成了網(wǎng)絡(luò)流量管理、應(yīng)用程序安全管理、負(fù)載均衡等功能的應(yīng)用交付平臺(tái)，在互聯(lián)網(wǎng)上使用較為廣泛。F5 BIG-IP中存在訪問控制錯(cuò)誤漏洞（CVE-2022-1388），該漏洞是由于iControl REST的身份驗(yàn)證功能存在缺陷，導(dǎo)致未經(jīng)身份驗(yàn)證的攻擊者可以通過管理端口或自身IP地址對(duì)BIG-IP系統(tǒng)進(jìn)行網(wǎng)絡(luò)訪問，執(zhí)行任意系統(tǒng)命令。目前廠商已經(jīng)在最新版本中修補(bǔ)了相關(guān)漏洞，建議設(shè)備管理員根據(jù)自身使用情況盡快進(jìn)行升級(jí)。

3.Confluence是Atlassian公司開發(fā)的一款專業(yè)的企業(yè)知識(shí)管理與協(xié)同軟件。近期Atlassian發(fā)布安全公告披露其Confluence產(chǎn)品中存在OGNL注入漏洞（CVE-2022-26134），該漏洞允許攻擊者在未經(jīng)身份驗(yàn)證的情況下通過發(fā)送惡意的Web請(qǐng)求完成注入，進(jìn)而在系統(tǒng)實(shí)例上執(zhí)行任意命令。建議使用該產(chǎn)品的用戶盡快升級(jí)產(chǎn)品或使用臨時(shí)的措施降低漏洞帶來的風(fēng)險(xiǎn)。

4.Mozilla發(fā)布了多個(gè)產(chǎn)品的安全更新，以解決在Pwn2Own Vancouver 2022黑客大會(huì)中暴露的多個(gè)0day漏洞，其中包括兩個(gè)Firefox瀏覽器的0day漏洞。第一個(gè)漏洞是頂層Await實(shí)現(xiàn)中的原型污染漏洞（CVE-2022-1802），第二個(gè)漏洞的編號(hào)為CVE-2022-1529。目前廠商已經(jīng)在最新的版本中修補(bǔ)了上述漏洞，建議用戶盡快進(jìn)行更新。

5.Chrome瀏覽器發(fā)布了最新版本（102.0.5005.115），修補(bǔ)了之前版本中的7個(gè)漏洞，其中需要關(guān)注的有內(nèi)存釋放后使用漏洞（CVE-2022-2007），當(dāng)程序在釋放內(nèi)存分配后沒有清除指針時(shí)，就會(huì)觸發(fā)“釋放后使用”問題，并可能被用于任意代碼執(zhí)行、拒絕服務(wù)或數(shù)據(jù)損壞。另一個(gè)是在Chrome的圖形引擎抽象層ANGLE中發(fā)現(xiàn)的界外讀取漏洞（CVE-2022-2011）。建議用戶盡快使用瀏覽器自帶的更新功能進(jìn)行更新。

安全提示

面對(duì)越來越有針對(duì)性的釣魚郵件攻擊，我們應(yīng)該從郵件服務(wù)器端、個(gè)人終端和安全意識(shí)等多方面入手進(jìn)行防護(hù)。對(duì)于郵件服務(wù)端，可以通過增加防病毒網(wǎng)關(guān)來防范；對(duì)于用戶終端，要正確安裝防毒軟件和及時(shí)安裝補(bǔ)丁程序；在用戶安全意識(shí)培養(yǎng)方面，除了加大宣傳力度外，也可以通過一些真實(shí)的釣魚攻擊演練來加深用戶的印象。