logo

中文|English|客服热线:4008107766

售后服务
4008107766
安全通告

网御星云安全通告

时间:2013-06-24

1 本周通告时间
本次通告时间为2013年6月份第3周。
2 本周网络威胁级别 2级。
有一些严重漏洞发布或网络攻击事件有增多迹象。此时需对网络和主机进行安全评估、安全升级以及进行必要的监控。
网御星云网络威胁级别说明

普通状态
正常网络状态,没有显著的网络攻击事件,只存在零星的攻击。网络大多数情况下都处在这一状态。此时保持普通安全策略即可。

预警状态
有一些严重漏洞发布或网络攻击事件有增多迹象。此时需对网络和主机进行安全评估、安全升级以及进行必要的监控。

严重状态
某些严重漏洞或威胁正被攻击者利用来进行大规模攻击,网络攻击事件显著增加。通常表现为快速爆发的蠕虫或者病毒攻击。此时需要立刻采取防御措施,例如安装补丁或重新部署安全系统进行防护等等。

紧急状态
网络安全态势非常严峻,对全球互联网造成严重影响。此时需要与其他网络协作采取防御措施。

3 网络病毒和网络攻击预警
上周病毒疫情TOP10:
排名 病毒名称 病毒类型
1. DangerousObject.Multi.Generic 危险对象
2. Trojan.Win32.Generic 木马
3. Virus.Acad.Pasdoc.gen 病毒
4. Virus.Acad.Generic 病毒
5. PSWTool.Win32.Dialupass.he 风险工具
6. HiddenObject.Multi.Generic 隐藏对象
7. Trojan.Acad.Qfas.b 木马
8. Net-Worm.Win32.Kido.ir 网络蠕虫
9. Trojan.Script.Iframer 木马
10. Net-Worm.Win32.Kido.ih 网络蠕虫

关注恶意软件:Trojan.Win32.Agent.xsil
•大小:64000字节
•加壳方式:ASPack
创建文件:
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\[随机文件名].dat
C:\Documents and Settings\Infortmp.txt

修改文件:
C:\WINDOWS\system32\tapisrv.dll

创建注册表:
HKEY_LOCAL_MACHINE\SOFTWARE\Marveller
HKEY_LOCAL_MACHINE\SOFTWARE\Marveller LDN hex:00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TAPISRV\0000\Control
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TAPISRV\0000\Control ActiveService "TapiSrv"
修改注册表:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TapiSrv Start dword:00000003 dword:00000002

删除注册表:
SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal
SYSTEM\CurrentControlSet\Control\SafeBoot\Network

主要行为:
这是一个下载器木马。木马运行后会将自身拷贝为临时目录下[随机文件名].dat,之后通过挂钩IMM32.dll中的ImmLoadLayout函数和ntdll.dll中的ZwOpenKey和ZwOpenKeyEx函数并向explorer.exe发送WM_INPUTLANGCHANGEREQUEST消息使得explorer.exe进程运行[随机文件名].dat。之后木马会随机从AppMgmt、Netman、CryptSvc等服务中选择一个,并将自身修改为DLL格式替换原服务对应的DLL,而后将相应的服务设置为自动启动。这样当系统启动这些服务时就会启动木马。为防止用户进入安全模式,木马会删除安全模式相关注册表。木马还会将用户网卡的MAC地址发送到87.138.250.***/aa*/Count.asp?进行安装量统计。木马会从54.169.9.***、115.238.237.***、61.132.227.**等地址下载其它恶意程序。
4 安全漏洞通告
4.1 Apache Santuario XML Security for C++ 远程栈缓冲区溢出漏洞
发布日期:2013-06-18
受影响系统:
Apache Group Santuario XML Security for C++ 1.6.1
Apache Group Santuario XML Security for C++ 1.6
漏洞编号:
BUGTRAQ ID: 60594
CVE(CAN) ID: CVE-2013-2154
描述:
--------------------------------------------------------------------------------
Apache Santuario是实现XML的主要安全标准。
Apache Santuario XML Security for C++ 1.7.1之前版本在操作XML Signature Reference处理代码中的畸形XPointer表达式时存在栈溢出漏洞,攻击者可利用此漏洞执行任意代码。

<*参考:James Forshaw
链接:http://seclists.org/fulldisclosure/2013/Jun/140*>

建议:
--------------------------------------------------------------------------------
厂商补丁:
Apache Group
------------
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
http://svn.apache.org/viewvc?view=revision&revision=r1493959
4.2 IBM Notes本地任意代码执行漏洞
发布日期:2013-06-12
受影响系统:
IBM Lotus Notes 9.0
IBM Lotus Notes 8.5.x
IBM Lotus Notes 8.0.x
漏洞编号:
BUGTRAQ ID: 60554
CVE(CAN) ID: CVE-2013-0536
描述:
--------------------------------------------------------------------------------
IBM Lotus Notes是一个企业级通讯、协同工作及Internet/Intranet平台。
IBM Notes在Multi User Profile Cleanup服务的实现上存在安全漏洞,攻击者可利用此漏洞在下一个登录用户上下文中执行任意代码。

<*参考:Markus Pieton
链接:http://www-01.ibm.com/support/docview.wss?uid=swg21633827*>

建议:
--------------------------------------------------------------------------------
厂商补丁:
IBM
---
IBM已经为此发布了一个安全公告(21633827)以及相应补丁:
21633827:IBM Notes Multi User Profile Cleanup service enables an attacker to execute arbitrary code on the next logon of a user (CVE-2013-0536)
链接:http://www-01.ibm.com/support/docview.wss?uid=swg21633827
补丁下载:http://www.ibm.com/support/docview.wss?uid=swg21640580
http://www.ibm.com/support/docview.wss?uid=swg21639571
4.3 Siemens SIMATIC WinCC/PCS 7 SQL注入漏洞
发布日期:2013-06-14
受影响系统:
Siemens SIMATIC PCS 7 8.x
Siemens SIMATIC WinCC 7.x
漏洞编号:
BUGTRAQ ID: 60558
CVE(CAN) ID: CVE-2013-3957
描述:
--------------------------------------------------------------------------------
Siemens SIMATIC WinCC 是使用32位技术的过程监视系统。Siemens SIMATIC PCS是流程控制系统。
Siemens SIMATIC WinCC/PCS 7的Web Navigator登录界面由于输入过滤不严,存在SQL注入漏洞,远程攻击者可利用此漏洞提升其权限,根据系统配置,有可能获取完全的系统访问权限,执行任意SQL命令。

<*参考:Alexander Tlyapov
链接:http://secunia.com/advisories/53805/ http://www.siemens.com/corporate-technology/pool/de/forschungsfelder/siemens_security_advisory_ssa-3*>

建议:
--------------------------------------------------------------------------------
厂商补丁:
Siemens
-------
Siemens已经为此发布了一个安全公告(siemens_security_advisory_ssa-345843)以及相应补丁:
siemens_security_advisory_ssa-345843:Vulnerabilites in WinCC 7.2
链接:http://www.siemens.com/corporate-technology/pool/de/forschungsfelder/siemens_security_advisory_ssa-3
补丁下载:http://support.automation.siemens.com/WW/view/en/73443294
4.4 多款Canon打印机远程信息泄露漏洞
发布日期:2013-06-18
受影响系统:Canon Printers
漏洞编号:
BUGTRAQ ID: 60601
CVE(CAN) ID: CVE-2013-4614
描述:
--------------------------------------------------------------------------------
Canon是打印机制造商。
Canon多款打印机的管理接口允许用户输入WEP/WPA/WPA2预共享的密钥,密钥输入后,用户可以在配置页面看到明文的密码。此漏洞可导致信息泄露。

<*参考:Matt Andreko
链接:http://packetstormsecurity.com/files/122073/canon-passworddisclosedos.txt*>

建议:
--------------------------------------------------------------------------------
厂商补丁:
Canon
-----
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://www.canon.com/
4.5 Microsoft Outlook 'S/MIME EmailAddress'属性错配安全漏洞
发布日期:2013-06-15
受影响系统:Microsoft Outlook
漏洞编号:
BUGTRAQ ID: 60591
描述:
Microsoft Outlook是Office套件所捆绑的邮件客户端。
Microsoft Outlook所有版本存在S/MIME不完整的问题,对于X509 EmailAddress属性不匹配邮件的“From”地址的数字签名MIME邮件,Outlook不正确的不发出警告。攻击者可利用此漏洞执行钓鱼攻击。

<*参考:Patrick Dunstan
链接:http://seclists.org/fulldisclosure/2013/Jun/138*>

建议:
--------------------------------------------------------------------------------
厂商补丁:
Microsoft
---------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
http://technet.microsoft.com/security/bulletin/

5 关于网御星云
北京网御星云信息技术有限公司是国内信息安全行业的领军企业,专业从事信息安全产品的研发、生产与销售,为用户信息系统提供等级化的整体安全解决方案及专业安全服务。
网御星云的宗旨:以优秀的技术、产品、方案和服务致力于建设安全的电子政务、电子商务和公众信息化社会。
http://www.leadsec.com.cn


北京网御星云信息技术有限公司
2013-06-24

 

关于我们
公司简介
合作伙伴
核心技术
团队风采
推荐型号
网御星云WEB应用防护系统
控制网关
网御星云入侵防御系统
网御星云漏洞扫描系统
服务与下载
支持与服务
在线升级
联系我们
二维码