2月第二週安全要聞回顧:微軟發通緝令 IBM關注犯罪

本文同時發佈在： [url]http://netsecurity.51cto.com/art/200902/110700.htm[/url]

 

本週（090209至090215）安全領域值得關注的新聞仍主要集中在漏洞***和惡意軟件方面：微軟按時發佈二月更新，但其修補的漏洞仍有較高的***風險； Google Andorid手機操做系統的未修補漏洞對其用戶存在不小的威脅。

本週週末恰逢情人節，經濟危機開始後久違的繁榮景象也讓網絡犯罪集團蠢蠢欲動，大肆發起網絡***和擴散惡意軟件；另外，針對目前仍在瘋狂擴散的Confickr蠕蟲，微軟不但對其做者開出了鉅額懸賞，也開始與美國主要ISP協做消除其影響。

安全報告方面，筆者和朋友們一塊兒關注IBM ISS安全分公司發佈的2008年安全報告。在本期回顧的最後，筆者將向你們介紹反病毒廠商F-secure的在線病毒測試，另外，還爲朋友們準備了兩個值得一讀的推薦閱讀文章。

本週的信息安全威脅等級爲中，利用微軟及Apple等廠商軟件漏洞發起的網絡***威脅較高，請朋友們及時經過各廠商對應的官方站點升級，並開啓反病毒和防火牆軟件。
　
漏洞***：微軟已修補漏洞仍存較大風險；Google Andorid手機系統未修補漏洞威脅顯著；

關注指數：高

本週二微軟按時發佈了二月的例行更新，並修補了在微軟Windows操做系統、Office和其餘應用服務器上存在的多個漏洞，相信不少朋友在週三當天或稍晚時候已經經過Windows Update或其餘的漏洞管理工具應用，下載並應用了這些安全補丁程序。

但因爲微軟本月修補的漏洞存在被***用於網絡***的較大風險，用戶還應繼續對這些漏洞保持關注。根據來自多個媒體的消息，微軟與本月漏洞更新同期公佈的漏洞利用列表（Exploitation Index）顯示，二月安全更新中包括的IE7 MS09-002安全更新和SQL Server MS09-004存在較高被******的風險。

其中，IE7 MS09-002漏洞被微軟認爲是很容易製做漏洞應用的漏洞，按照過往的經驗來看，相似的漏洞常被用於製做經過合法或僞造的網站，對用戶進行惡意軟件傳播的網頁***，***還會經過網頁代碼加密、變形等技術使其存活至關長的一段時間，對沒有更新對應補丁的用戶威脅巨大。筆者建議用戶經過Windows Update、微軟官方升級站點或第三方補丁管理工具，下載並應有該更新程序，尤爲是擁有較大規模內部網絡的企業用戶更應該注意此類漏洞的危險。

另外，SQL Server MS09-004漏洞已經有公開的漏洞利用程序，能夠在正確登陸SQL Server後進行***並得到其所在系統的控制權，所以***會將該類漏洞用於初步***後的權限提高操做，或在大範圍內網中自動擴散的蠕蟲上配套使用，鑑於MS09-004漏洞的危險程度，筆者建議Web網站運營者和企業網絡管理員應儘快下載並應用該安全更新，並對現有的SQL Server設置權限控制，以避免遭受各類基於此類漏洞***的威脅。

廣受關注的Google Android手機操做系統本週再次發現新漏洞，根據eweek.com的消息，在本週華盛頓舉行的ShmooCon安全會議上，研究人員Chales Miller公開了其對Google Android手機操做系統的最新研究結果，因爲Android使用了存在缺陷的PacketVideo的OpenCore媒體庫，做爲瀏覽器的媒體播放插件，當用戶經過瀏覽器播放特定的MP3程序時，會產生緩衝區溢出並運行特定的代碼。***能夠很容易經過一個特定製做的網站頁面和包含有***代碼的MP3文件，對用戶實施***。

Google一個發言人在稍後確認了該研究人員的結果，並稱移動運營商T-mobile將很快推出針對該漏洞的安全更新。不過根據後續的研究結果，這個新發現漏洞的威脅可能並不如想象中的高，由於OpenCore的媒體庫組件運行在本身的應用程序沙箱中，與Android瀏覽器的並不重合，所以該漏洞對用戶的使用和數據安全的威脅並不高。

筆者認爲，Google Android做爲一個功能強大，擴展性強的手機操做系統，已經成爲智能手機系統的新選擇，很多新推出的Netbook也選擇Android做爲操做系統之一，針對Android的漏洞挖掘和***顯然也將會進一步增長，安全業界可對相關領域投入更多的關注。

惡意軟件：***利用情人節普遍散佈惡意軟件；微軟致力於消滅Confickr蠕蟲；

關注指數：高

情人節不單是戀人們的節日，對網絡犯罪集團和***來講，情人節也是一個很好的惡意軟件和垃圾郵件***機會。根據eweek.com的消息，專業的反垃圾郵件廠商Mashal稱，網絡犯罪集團早在半個月前就開始利用多個僵屍網絡，對用戶展開利用垃圾郵件和病毒相結合的情人節主題***。大部分的垃圾郵件來自於名爲Waledac的僵屍網絡，一般是採用電子賀卡的形式向用戶發送攜帶了惡意軟件的電子郵件，而名爲Pushdo和其餘較小的僵屍網絡也採用相似的手法對用戶發起***。

自從去年九月著名的Storm蠕蟲中止活動以後，基於垃圾郵件加病毒的僵屍網絡活動進入了低潮期，去年聖誕節和今年情人節的垃圾郵件***代表此類僵屍網絡再次活躍，並開始採用更具備迷惑性的社會工程方法來吸引用戶的注意力。筆者建議，用戶應儘可能不要打開來源不明的電子郵件，尤爲是特定節日或有特殊事件時，更應注意包含有可疑附件的電子郵件，使用反垃圾郵件工具或支持郵件客戶端的反病毒軟件會對防護此類***有不錯的效果。

針對繼續在互聯網上瘋狂擴散的Confickr蠕蟲，本週微軟進一步加大了對抗的力度。根據eWeek.com的消息，爲了從源頭上消滅Confickr蠕蟲的影響，微軟本週開出了25萬美圓的懸賞，可以提供與Confickr蠕蟲做者相關線索的人，查實後都將有機會得到微軟的獎金。

另外微軟還和國際互聯網域名管理機構ICANN、互聯網服務提供商AOL、反病毒廠商Symantec和F-Secure，以及其餘的安全和網絡相關廠商一道，組成了Confickr蠕蟲的防護聯盟，共同應對目前愈演愈烈的Confickr蠕蟲***。從去年九月Storm蠕蟲的消滅過程來看，互聯網域名管理機構、互聯網服務商和安全廠商的密切配合，對防護和消除大規模的網絡***效果顯著。

不過筆者也認爲，安全和網絡廠商通力協做消除大規模網絡***的作法，值得國內的政府部門、網絡和安全廠商借鑑。但Confickr蠕蟲的影響在短期內仍將繼續，微軟二月修補漏洞的***風險較高，也可能進一步加重Confickr蠕蟲的危害，用戶仍應及時使用廠商提供的安全更新程序，同時部署最新的反病毒和防火牆軟件。
　
安全報告： IBM稱應關注網絡犯罪經濟的度量；

關注指數：高

網絡犯罪已經成爲近兩年來對用戶威脅最大的網絡威脅，其對用戶形成的影響和損失與日俱增，然而目前各安全廠商正在使用的威脅評級體系，卻明顯落後於網絡威脅的發展。在IBM的安全分公司ISS最新推出的2008年年度安全報告中，就建議安全業界應將網絡犯罪做爲當前的威脅評級體系的新成分，由於目前用戶面臨的來自Web的漏洞及***快速增加，現有的威脅評級體系已經不適應新形勢的發展，安全業界應從新定義威脅評級體系，並將新漏洞及***方式被網絡犯罪利用的容易程度做爲威脅評級的計算因素之一。

筆者認爲，IBM ISS年度安全報告中，對現有的威脅評級體系提出的建議有較大的現實意義，傳統的通用弱點評價體系CVSS，只是根據某個特定漏洞的實現原理和利用後果，對該漏洞的威脅程度進行分級，並無考慮某個漏洞是否容易被***所利用，或由於對應產品的普遍分佈而可能形成的巨大威脅。此外，微軟每個月安全更新公告中新增的利用威脅列表（Exploitation Index），實際上已經從***的難易程度上對漏洞進行了分級。不過，要在更普遍的範圍上實施加入***難易度的漏洞威脅分級體系並不是易事，如何制定更爲客觀的標準還有賴於安全業界更爲深刻的協做及評估。
　
安全產品介紹：

1）F-Secure的在線可疑文件檢查工具

相信許多朋友都嘗試過Virustotal.com網站提供的免費可疑文件在線檢查服務，不過在享受它多個強大的掃毒引擎的同時，朋友們可能也會由於無法對每次檢查任務進行歸檔而感到遺憾。反病毒廠商F-secure最新推出的在線可疑文件檢查工具採用了基於卡巴斯基和其餘兩個廠商的反病毒引擎，並已經支持每次掃描任務的歸檔和查看，有興趣的朋友能夠嘗試一下。

該在線檢查工具的地址以下： [url]https://analysis.f-secure.com/portal/login.html[/url]

推薦閱讀：

1）***如何利用用戶的相關數據；

推薦指數：高

若是要竊取用戶的真實身份信息，***不必定須要直接攻陷用戶的系統，只須要拿到幾個由目標用戶建立的文件，就可能經過分析文檔的相關數據來獲取用戶至關多的身份隱私信息。聽起來很神奇？ 其實***只是利用了相關數據的基本分析技能。有興趣的朋友能夠從darkreading.com文章《***如何利用用戶的相關數據》瞭解更多：
[url]http://www.darkreading.com/security/vulnerabilities/showArticle.jhtml?articleID=214200389&subSection=Vulnerabilities+and+threats[/url]

2）如何在不影響業務的前提下消除內部人威脅？

推薦指數：高

因爲內部人員熟悉業務和防範機制，所以來自內部人員的威脅是企業和機構用戶最難防護的威脅。然而，擔憂對現有業務或流程形成干擾，形成工做效率的降低，每每又是衆多企業和機構一直沒法實施有效的內部控制的首要因素。如何在不影響業務的前提下消除內部人威脅？ 相信eweek.com的這篇文章可以給朋友們一些啓示：
[url]http://www.eweek.com/c/a/Security/How-to-Mitigate-Insider-Threat-without-Disrupting-Business/?kc=rss[/url]