關(guān)注定制開發(fā)應(yīng)用系統(tǒng)的漏洞風(fēng)險

8 月是年度各種攻防演練活動開展的月份，隨著每年類似活動的開展，各單位的整體安全防護(hù)能力有了很大提升。今年演練中暴露出來的0day 漏洞數(shù)量有降低的趨勢，并且主要集中在國產(chǎn)應(yīng)用軟件及系統(tǒng)中，這也從側(cè)面說明這些年國產(chǎn)軟件的使用率顯著提高，同時安全性也有所增強。

近期安全投訴事件數(shù)量較為平穩(wěn)。在病毒與木馬方面，需要關(guān)注的還是各類釣魚郵件攻擊。

近期新增嚴(yán)重漏洞評述：

1.微軟2023 年8 月的例行安全更新共包含微軟產(chǎn)品的安全漏洞74 個，非微軟產(chǎn)品（Chrome 瀏覽器）的12 個，安全工具2 個。兩個安全工具中，一個用于阻止7 月暴露的Office 和Windows HTML 組件遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2023-36884）的攻擊鏈，另一個用于Windows 系統(tǒng)內(nèi)存保護(hù)工具的縱深防御功能更新。這些微軟產(chǎn)品漏洞中需要特別關(guān)注的有以下幾個。

微軟消息隊列服務(wù)代碼執(zhí)行漏洞（CVE-2023-35385、CVE-2023-36910、CVE-2023-36911），三個漏洞的CVSSv3評分均為9.8。遠(yuǎn)程攻擊者可以通過發(fā)送惡意制作的MSMQ 數(shù)據(jù)包到MSMQ 服務(wù)器來利用漏洞，成功利用這些漏洞可以在目標(biāo)服務(wù)器上遠(yuǎn)程執(zhí)行任意代碼。利用該漏洞需要系統(tǒng)啟用消息隊列服務(wù)，用戶可以通過檢查系統(tǒng)服務(wù)是否存在名為Message Queuing 的運行服務(wù)以及計算機是否偵聽TCP 端口1801，來判斷是否開放了相關(guān)服務(wù)。

微軟Exchange Server 權(quán)限提升漏洞（CVE-2023-21709），其CVSSv3 評分為9.8。攻擊者可以利用獲取的普通郵件賬號登錄用戶系統(tǒng)，并利用該漏洞提升權(quán)限到SYSTEM 級別執(zhí)行任意命令，進(jìn)而完全控制郵件服務(wù)器。為避免攻擊者通過暴力破解的方式獲得合法的普通郵件賬號，建議用戶使用強壯的密碼來保住自身賬號安全。

2023 年7 月～8 月CCERT 安全投訴事件統(tǒng)計

微軟Outlook 遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2023-36895），其CVSSv3 評分為8.8。遠(yuǎn)程攻擊者可以誘騙受害者打開特制的郵件來利用該漏洞，成功利用漏洞能以當(dāng)前用戶的權(quán)限執(zhí)行任意命令。

Microsoft Teams 遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2023-29328、CVE-2023-29330），兩個漏洞的CVSSv3 評分均為7.8。攻擊者可以通過誘騙受害者加入其設(shè)置的惡意Teams 會議，在受害用戶的上下文中遠(yuǎn)程執(zhí)行代碼，成功利用該漏洞可以訪問、修改受害者的信息，或?qū)е露擞嬎銠C拒絕服務(wù)。

鑒于上述漏洞的危害性，建議用戶盡快使用系統(tǒng)自帶的更新功能進(jìn)行補丁更新。

2.WPS 是用戶使用較為廣泛的國產(chǎn)辦公軟件。近期在攻防演練活動中，數(shù)個該產(chǎn)品的0day 漏洞被發(fā)現(xiàn)用來進(jìn)行實戰(zhàn)攻擊。攻擊者利用漏洞生成惡意Word 文檔引誘用戶點擊（通常是作為郵件的附件發(fā)送），受害者若使用WPS 軟件打開了文檔，無需其他任何操作攻擊者即可控制用戶的機器。目前廠商已經(jīng)收到了相關(guān)漏洞的通告，建議用戶及時關(guān)注廠商動態(tài)，按照相應(yīng)的要求安裝補丁或更新版本。

3.WinRAR 是目前互聯(lián)網(wǎng)上使用較為廣泛的解壓軟件之一。WinRAR 6.23 之前的版本中存在一個0day 漏洞（CVE-2023-38831），攻擊者利用該漏洞創(chuàng)建惡意的RAR 壓縮文件，這些文件包含看似無害的JPG（.jpg）圖像、文本文件（.txt）或PDF（.pdf）文檔等文件。用戶一旦解壓這些文件，就會通過腳本在設(shè)備上安裝惡意軟件。該漏洞最早的攻擊代碼可以追溯到今年4 月，目前已被多個惡意軟件家族使用。為避免風(fēng)險，建議用戶盡快將自身使用的WinRAR軟件升級到6.23版。

4.通達(dá)OA 是目前網(wǎng)絡(luò)上使用范圍較廣的一種協(xié)同辦公OA 系統(tǒng)，在近期的攻防演練活動中，暴露出其11.5 版本中包含了多個SQL 注入及未授權(quán)訪問漏洞。目前相關(guān)的漏洞POC 已經(jīng)公布，建議用戶盡快聯(lián)系相關(guān)廠商咨詢升級問題。

安全提示

學(xué)校各類定制開發(fā)的應(yīng)用系統(tǒng)是每次攻防活動中值得關(guān)注的目標(biāo)，這類系統(tǒng)的漏洞風(fēng)險通常來源于兩個方面：一是定制開發(fā)過程中使用的底層框架自身存在安全漏洞風(fēng)險，二是定制開發(fā)時代碼編寫不規(guī)范導(dǎo)致的安全漏洞風(fēng)險。要降低前者風(fēng)險，用戶需要建立應(yīng)用系統(tǒng)的供應(yīng)鏈列表并定期監(jiān)測維護(hù)，發(fā)現(xiàn)框架漏洞并及時處置。而后者由于是定制開發(fā)，其源代碼未公開，通過公共途徑發(fā)現(xiàn)漏洞的幾率較小，建議通過定期的滲透測試和代碼審查來發(fā)現(xiàn)漏洞，降低風(fēng)險。