保障高校DNS服務(wù)安全不容小覷

文/鄭先偉

近期需要關(guān)注的還是敲詐類病毒，這類病毒已經(jīng)能通過多種途徑（包括利用系統(tǒng)漏洞、服務(wù)漏洞、電子郵件等）進行傳播。用戶一旦感染系統(tǒng)上的文件就會被加密，同時病毒會向被感染者發(fā)送提示宣稱只要支付一定數(shù)額的比特幣就可以對加密文件進行解密。而從目前的實際處置情況來看，多數(shù)時候這類病毒一旦加密了你的數(shù)據(jù)文件，再想解密回來基本很難，即便是在按照攻擊者的要求交付了贖金也很難將被加密的文件恢復(fù)。因此備份重要數(shù)據(jù)和杜絕感染才有最有效的辦法。

近期新增嚴(yán)重漏洞評述：

1.微軟7月的例行安全公告修復(fù)了微軟多款產(chǎn)品中存在的87個安全漏洞。受影響的產(chǎn)品包括Windows 10 v1803 and Server 2016（7個）、Windows 10 v1709（8個）、Windows 10 v1703（8個）、Windows 8.1 and Windows Server2012 R2（9個）、Windows Server 2012（8個）、Windows 7 and Windows Server 2008R2（8個）、Windows Server 2008（7個）、Internet Explorer（6個）、Microsoft Edge（19個）和Microsoft Office（7個）。利用上述漏洞，攻擊者可以獲取敏感信息，提升權(quán)限，欺騙，繞過安全功能限制，執(zhí)行遠程代碼，或進行拒絕服務(wù)攻擊等。這其中一個Windows系統(tǒng)權(quán)限提升漏洞（CVE-2018-8120）需要特別關(guān)注，該漏洞從3月開始就被用來進行0day攻擊，當(dāng)時是與Adobe acrobat/reader軟件的一個0day漏洞（已在4月的Adobe更新中得到了修補）進行搭配使用的。建議用戶盡快利用系統(tǒng)的自動更新功能進行補丁安裝。

2018年6～7月安全投訴事件統(tǒng)計

2.本月Oracle發(fā)布了今年第三季度的安全更新，修復(fù)了其多款產(chǎn)品中存在的334個安全漏洞。受影響的產(chǎn)品包括：Oracle Database Server數(shù)據(jù)庫（3個）、Oracle Global Lifecycle Management（1 個）、CommunicationsApplications（14個 ）、Construction and Engineering Suite（11個）、電子商務(wù)套裝軟件OracleE-Business Suite（14個）、MySQL數(shù)據(jù)庫（31個）、中間件產(chǎn)品Fusion Middleware（44個）、Oracle Siebel托管型CRM軟件（1個）；Enterprise Manager Products Suite（16個）、OracleFinancial Services Applications（56個）、Hospitality Applications（24個）、Oracle Policy Automation（3個）Retail Applications（31個）、Support Tools（1個）、Utilities Applications（4個）、Insurance Applications（2個）、Hyperion（2個）、iLearning（1個）、JD Edwards產(chǎn)品（10個）、PeopleSoft產(chǎn)品（15個）Oracle Sun系統(tǒng)產(chǎn)品（22個）、Java SE（8個）、Supply Chain Products Suite（8個）、和Virtualization（12個）。這些漏洞中包含一個在4月CPU補丁中未能完全修復(fù)的WeblogicServer反序列化漏洞（CVE-2018-2628）。該漏洞通過JRMP協(xié)議利用RMI機制的缺陷達到執(zhí)行任意反序列化代碼的目的。攻擊者可以在未授權(quán)的情況下將payload封裝在T3協(xié)議中，通過對T3協(xié)議中的payload進行反序列化，從而實現(xiàn)對存在漏洞的WebLogic組件進行遠程攻擊，執(zhí)行任意代碼并可獲取目標(biāo)系統(tǒng)的所有權(quán)限。建議Oracle的用戶盡快更新相應(yīng)的補丁程序。

3.微信支付JAVA軟件工具開發(fā)包（SDK）被曝存在XXE漏洞。利用該漏洞，攻擊者可在使用信息泄露、掃描爆破等特殊手段獲知商戶的通知接口（callback）地址的前提下，發(fā)送惡意XML實體，在商戶服務(wù)器上執(zhí)行代碼，實現(xiàn)對商戶服務(wù)器的任意文件讀取。如果攻擊者進一步獲得商家的關(guān)鍵安全密鑰，就可能通過發(fā)送偽造信息實現(xiàn)零元支付。這個漏洞可能會影響到使用了微信支付接口的校園網(wǎng)應(yīng)用，需要引起管理者的關(guān)注。

安全提示

近期，教育部在組織專項安全檢查工作時發(fā)現(xiàn)有部分學(xué)校的DNS服務(wù)器存在嚴(yán)重的安全隱患。隨后我們受托對這些學(xué)校進行通知并協(xié)助用戶進行處置，在處置過程中我們發(fā)現(xiàn)由于DNS服務(wù)配置較為復(fù)雜，學(xué)校往往缺乏專業(yè)的人員對其進行管控導(dǎo)致存在各種安全隱患。DNS服務(wù)作為重要的基礎(chǔ)網(wǎng)絡(luò)服務(wù)，其安全性應(yīng)該引起學(xué)校的充分重視，建議指派專業(yè)的技術(shù)人員對該服務(wù)進行管理，如果沒有足夠的技術(shù)儲備，可以將相關(guān)服務(wù)托管到專業(yè)的運維機構(gòu)。