CCERT月報：關注定制開發應用系統的漏洞風險—中國教育和科研計算機網CERNET

中國教育和科研計算機網中國教育 | 高?？萍?/a> | 教育信息化 | 下一代互聯網 | CERNET

CERNET第二十八/二十九屆學術年會在福州舉辦

CERNET第二十七屆學術年勝利召開
戰“疫”| 停課不停學大家在行動
教育部"智慧教育示范區"創建與發展

校園信息化

資源與應用

產品與裝備

信息服務

首頁 > 教育信息化 > CERNET之窗 > CCERT

CCERT月報：關注定制開發應用系統的漏洞風險

2023-10-09 中國教育和科研計算機網

　　8月是年度各種攻防演練活動開展的月份，隨著每年類似活動的開展，各單位的整體安全防護能力有了很大提升。今年演練中暴露出來的0day漏洞數量有降低的趨勢，并且主要集中在國產應用軟件及系統中，這也從側面說明這些年國產軟件的使用率顯著提高，同時安全性也有所增強。

　　近期安全投訴事件數量較為平穩。在病毒與木馬方面，需要關注的還是各類釣魚郵件攻擊。

2023年7月-8月CCERT安全投訴事件統計

　　近期新增嚴重漏洞評述

　　01

　　微軟2023年8月的例行安全更新共包含微軟產品的安全漏洞74個，非微軟產品（Chrome瀏覽器）的12個，安全工具2個。兩個安全工具中，一個用于阻止7月暴露的Office和Windows HTML組件遠程代碼執行漏洞（CVE-2023-36884）的攻擊鏈，另一個用于Windows系統內存保護工具的縱深防御功能更新。這些微軟產品漏洞中需要特別關注的有以下幾個。

　　微軟消息隊列服務代碼執行漏洞（CVE-2023-35385、CVE-2023-36910、CVE-2023-36911），三個漏洞的CVSSv3評分均為9.8。遠程攻擊者可以通過發送惡意制作的MSMQ 數據包到MSMQ服務器來利用漏洞，成功利用這些漏洞可以在目標服務器上遠程執行任意代碼。利用該漏洞需要系統啟用消息隊列服務，用戶可以通過檢查系統服務是否存在名為Message Queuing的運行服務以及計算機是否偵聽TCP端口1801，來判斷是否開放了相關服務。

　　微軟Exchange Server權限提升漏洞（CVE-2023-21709），其CVSSv3評分為9.8。攻擊者可以利用獲取的普通郵件賬號登錄用戶系統，并利用該漏洞提升權限到SYSTEM級別執行任意命令，進而完全控制郵件服務器。為避免攻擊者通過暴力破解的方式獲得合法的普通郵件賬號，建議用戶使用強壯的密碼來保住自身賬號安全。

　　微軟Outlook遠程代碼執行漏洞（CVE-2023-36895），其CVSSv3評分為8.8。遠程攻擊者可以誘騙受害者打開特制的郵件來利用該漏洞，成功利用漏洞能以當前用戶的權限執行任意命令。

　　Microsoft Teams遠程代碼執行漏洞（CVE-2023-29328、CVE-2023-29330），兩個漏洞的CVSSv3評分均為7.8。攻擊者可以通過誘騙受害者加入其設置的惡意Teams會議，在受害用戶的上下文中遠程執行代碼，成功利用該漏洞可以訪問、修改受害者的信息，或導致端計算機拒絕服務。

　　鑒于上述漏洞的危害性，建議用戶盡快使用系統自帶的更新功能進行補丁更新。

　　02

　　WPS是用戶使用較為廣泛的國產辦公軟件。近期在攻防演練活動中，數個該產品的0day漏洞被發現用來進行實戰攻擊。攻擊者利用漏洞生成惡意Word文檔引誘用戶點擊（通常是作為郵件的附件發送），受害者若使用WPS軟件打開了文檔，無需其他任何操作攻擊者即可控制用戶的機器。目前廠商已經收到了相關漏洞的通告，建議用戶及時關注廠商動態，按照相應的要求安裝補丁或更新版本。

　　03

　　WinRAR是目前互聯網上使用較為廣泛的解壓軟件之一。WinRAR 6.23之前的版本中存在一個0day漏洞（CVE-2023-38831），攻擊者利用該漏洞創建惡意的RAR壓縮文件，這些文件包含看似無害的JPG（.jpg）圖像、文本文件（.txt）或PDF（.pdf）文檔等文件。用戶一旦解壓這些文件，就會通過腳本在設備上安裝惡意軟件。該漏洞最早的攻擊代碼可以追溯到今年4月，目前已被多個惡意軟件家族使用。為避免風險，建議用戶盡快將自身使用的WinRAR軟件升級到6.23版。

　　04

　　通達OA是目前網絡上使用范圍較廣的一種協同辦公OA系統，在近期的攻防演練活動中，暴露出其11.5版本中包含了多個SQL注入及未授權訪問漏洞。目前相關的漏洞POC已經公布，建議用戶盡快聯系相關廠商咨詢升級問題。

　　安全提示

　　學校各類定制開發的應用系統是每次攻防活動中值得關注的目標，這類系統的漏洞風險通常來源于兩個方面：一是定制開發過程中使用的底層框架自身存在安全漏洞風險，二是定制開發時代碼編寫不規范導致的安全漏洞風險。要降低前者風險，用戶需要建立應用系統的供應鏈列表并定期監測維護，發現框架漏洞并及時處置。而后者由于是定制開發，其源代碼未公開，通過公共途徑發現漏洞的幾率較小，建議通過定期的滲透測試和代碼審查來發現漏洞，降低風險。

　　來源：《中國教育網絡》2023年8月刊

　　作者：鄭先偉（中國教育和科研計算機網應急響應組）

　　責編：項陽

　　特別聲明：本站注明稿件來源為其他媒體的文/圖等稿件均為轉載稿，本站轉載出于非商業性的教育和科研之目的，并不意味著贊同其觀點或證實其內容的真實性。如轉載稿涉及版權等問題，請作者在兩周內速來電或來函聯系。

相關閱讀

CCERT月報：密碼技術審查和評測將從嚴執行2023/06/12
CCERT月報：釣魚郵件攻擊大幅增加！高校需防范2023/06/02
CCERT月報：虛擬化平臺病毒攻擊頻發2023/03/06
CCERT月報：讓ChatGPT為網絡安全工作服務2023/04/23
CCERT月報：VMware 高危漏洞需警惕2022/12/14
CCERT月報：2022年度網民網絡安全滿意度穩中有升2023/02/13
CCERT月報：供應鏈安全管控迫在眉睫2022/10/28
CCERT月報：APT 攻擊入侵！校園網需重點防御2022/09/28

互聯網技術探究

　　一起關注互聯網發展、互聯網技術、互聯網體系結構……

教育信息化教學應用實踐共同體項目

　在教育部科技司領導下，中央電化教育館組織實施了教育信息化教學應用實踐共同體項目...

工作要點聚焦：教育信息化、網絡安全……都怎么干？

　　工作要點聚焦：教育信息化、網絡安全……都怎么干？

btа√天堂资源在线官网,а√天堂中文最新版在线下载,一人一狗卡了六个小时视频