信息安全周报-2018年第15周
发布时间 2018-04-16
一、本周安全态势综述
2018年04月09日至13日共收录安全漏洞58个,值得关注的是Microsoft Windows Graphics组件权限提升漏洞;Microsoft Chakra脚本引擎CVE-2018-0980内存破坏漏洞;Microsoft Excel CVE-2018-1026远程代码执行漏洞;Microsoft Windows嵌入式字体远程代码执行漏洞;Microsoft Windows 'HTTP.sys'拒绝服务漏洞。
本周值得关注的网络安全事件是思科漏洞(CVE-2018-0171)被黑客利用,全球超过20万台路由器中招;研究人员发现用于分发恶意软件IcedID和Rovnix的钓鱼攻击活动;Sodexo Filmology遭黑客攻击,部分用户的信用卡信息泄露;圣马丁岛的基础设施遭到网络攻击,公共服务被迫中断;研究团队称超过6.5万个路由器为僵尸网络和APT提供恶意流量。
根据以上综述,本周安全威胁为中。
二、重要安全漏洞列表
1、Microsoft Windows Graphics组件权限提升漏洞
Microsoft Graphics组件字段解析存在安全漏洞,允许远程攻击者利用漏洞提交特殊的请求,提升权限。
用户可参考如下厂商提供的安全补丁以修复该漏洞:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-1008
2、Microsoft Chakra脚本引擎CVE-2018-0980内存破坏漏洞
Microsoft Edge处理WEB请求存在内存破坏漏洞,允许远程攻击者利用漏洞构建恶意WEB页,诱使用户解析,可使程序崩溃或执行任意代码。
用户可参考如下厂商提供的安全补丁以修复该漏洞:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-0980
3、Microsoft Excel CVE-2018-1026远程代码执行漏洞
Microsoft Excel处理内存对象方式中存在安全漏洞,允许远程攻击者利用漏洞提交特殊的文件,诱使用户解析,可使应用程序崩溃或执行任意代码。
用户可参考如下厂商提供的安全补丁以修复该漏洞:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-1026
4、Microsoft Windows嵌入式字体远程代码执行漏洞
Microsoft Windows处理嵌入式字体存在安全漏洞,允许本地攻击者利用漏洞提交特殊的请求,可使应用程序崩溃或执行任意代码。
用户可参考如下厂商提供的安全补丁以修复该漏洞:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-1010
5、Microsoft Windows 'HTTP.sys'拒绝服务漏洞
Microsoft Windows HTTP.sys处理HTTP 2.0请求存在安全漏洞,允许远程攻击者利用漏洞提交特殊的请求,进行拒绝服务攻击。
用户可参考如下厂商提供的安全补丁以修复该漏洞:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-0956
三、重要安全事件综述
1、思科漏洞(CVE-2018-0171)被黑客利用,全球超过20万台路由器中招
黑客团伙JHT利用思科漏洞(CVE-2018-0171)发起了针对俄罗斯和伊朗的网络基础设施的攻击活动。据路透社报道,伊朗通信和信息技术部表示全球超过20万台路由器受到影响,其中包括伊朗的3500台路由器。目前受影响的伊朗路由器中95%已恢复正常服务。
2、研究人员发现用于分发恶意软件IcedID和Rovnix的钓鱼攻击活动
在2018年2月下旬及整个3月期间,思科研究人员发现一个钓鱼邮件攻击活动,当用户打开包含恶意宏的Microsoft Word文档附件时,将会下载恶意软件Rovnix,并随后下载银行木马IcedID。另外,还有一些样本会下载一个Bytecoin的恶意挖矿软件。研究人员还发现IcedID使用的简化代码注入技术变得更加难以检测。
原文链接:https://blogs.cisco.com/security/icedid-banking-trojan-teams-up-with-rovnix-for-distribution
3、Sodexo Filmology遭黑客攻击,部分用户的信用卡信息泄露
Sodexo食品服务和设施管理公司表示其电影卷平台Filmology遭到有针对性的攻击,部分用户的信用卡信息泄露。该公司表示,正在督促在3月19日至4月3日期间使用了Filmology网站的用户检查其银行卡账单。该事件目前还在进一步的调查之中。
原文链接:https://securityaffairs.co/wordpress/71211/data-breach/sodexo-filmology-data-breach.html
4、圣马丁岛的基础设施遭到网络攻击,公共服务被迫中断
据当地媒体每日先驱报报道,4月2日位于加勒比海的荷兰属圣马丁岛遭到网络攻击,整个政府的基础设施被迫关闭,导致公共服务中断。截至目前除了民事登记部门外,其余政府部门已经恢复了服务。目前没有关于此次攻击事件的更多细节。当局表示这是一年来发生的第3起攻击事件。
原文链接:https://securityaffairs.co/wordpress/71236/hacking/sint-maarten-cyber-attack.html
5、研究团队称超过6.5万个路由器为僵尸网络和APT提供恶意流量
Akamai发布报告称检测到攻击者利用超过6.5万个路由器创建的代理网络实施多种非法攻击活动。僵尸网络运营者和网络间谍组织 (APT) 被指正在滥用路由器使用的通用即插即用 (UPnP) 协议来代理恶意流量并规避调查人员查看真实地理位置信息。并检测到超过480万个路由器易受到攻击。
京公网安备11010802024551号