CCERT月报：钓鱼邮件攻击更具针对性！高校需防范

　　11月教育网整体运行平稳，未发现影响严重的安全事件。网站安全事件数量与10月基本持平。

　　钓鱼邮件作为一种社会工程学攻击方式一直是高校网络中数量较多的一种攻击，近期这类攻击有向智能化精准化转变的趋势。与传统的广泛撒网、内容统一的模式不同，新的钓鱼邮件攻击在目标选择、内容编辑上都变得更有针对性。攻击者会事先针对攻击目标的基本情况进行摸底，联系当下时事冒充攻击目标上级（主管单位或是领导）的身份来发送相关钓鱼邮件，例如攻防演练期间冒充学校信息化主管部门要求用户安装紧急补丁程序等。由于邮件中精确的提到学校部门名称、当下正在进行的事情，用户往往很难分辨真假，稍不留神就容易上当。这类钓鱼邮件的防范较为困难，只能依靠学校加大监测力度，加强用户宣传来防范。

2020年10-11月CCERT安全投诉事件统计

　　近期新增严重漏洞评述：

　　1.微软2020年11月的月度例行安全公告共修复了微软旗下多款产品中存在的112个安全漏洞。涉及Windows操作系统、Office办公软件、IE浏览器、Edge浏览器、Exchange Server、Microsoft Dynamics、Azure Sphere、Windows Defender、Microsoft Teams和Visual Studio。这112个漏洞中有17个为严重等级，93个为重要等级，2个为一般等级。其中Windows cng.sys权限提升漏洞（CVE-2020-17087）是一个在野被利用的0day漏洞。该漏洞存在于Windows系统的cng.sys驱动程序中，攻击者可以利用该漏洞结合其他普通权限的远程攻击漏洞一起来获取系统管理权限。已知的在野攻击中该漏洞正在与一个Google Chrome浏览器的0day漏洞（CVE-2020-15999，已在Chrome浏览器最新版本中修复）一起被利用。建议用户尽快使用系统自带的更新功能进行补丁更新。漏洞详情请参见：https://msrc.microsoft.com/update-guide/en-us/releaseNote/2020-Nov

　　2.10月Oracle的安全更新中修复了WebLogic中多个远程代码执行漏洞，但在补丁程序发布后其中一个漏洞（CVE-2020-14882）出现了旁路绕过的攻击效果。攻击者可以构造特殊的HTTP请求在未经身份验证的情况下接管WebLogic Server Console，为此Oracle官方紧急发布了带外补丁来修补这个漏洞的编号为（CVE-2020-14750）的安全漏洞，建议WebLogic的用户尽快进行补丁更新。漏洞详情请参见：https://www.oracle.com/security-alerts/alert-cve-2020-14750.html

　　3.Adobe在11月发布了安全更新，用于修补Windows系统和Mac系统下的Acrobat DC、Acrobat Reader DC、Acrobat 2020、Acrobat Reader 2020、Acrobat 2017和Acrobat Reader 2017中的14个安全漏洞，其中有3个为严重等级，6个为重要等级，5个为一般等级，这些漏洞可能导致远程代码执行、权限提升、敏感信息泄露等，建议用户尽快进行版本更新。

　　4.VMware公司发布了一个风险通告（VMSA-2020-0026），通告中包含两个漏洞，VMware缓冲区/栈溢出漏洞（CVE-2020-4004）、VMware权限提升漏洞（CVE-2020-4005）。这两个漏洞结合利用可以导致虚拟机逃逸并最终获取宿主机/服务器的管理权限。另一个存在Workspace One版本中的指令注入漏洞（CVE-2020-4006）则允许攻击者经由TCP 8443端口访问组态工具并以管理员权限在底层系统上执行任意命令。目前上述漏洞的补丁程序还未正式发布，厂商建议以临时缓解措施来降低风险，详细的信息请参见：https://www.vmware.com/security/advisories/VMSA-2020-0026.html

　　安全提示

　　为应对来钓鱼邮件带来的风险，建议学校采取以下措施：

　　1. 加强对邮件服务器的监测，及时发现异常的群发行为。

　　2. 建立快速响应机制，一旦监测到钓鱼邮件应第一时间向用户示警。

　　3. 完善校内的发布机制，不通过邮件来进行可执行文件的分发（制定可执行程序的分发通过特定网页下载的机制）。

　　4. 加强用户的安全培训，增强用户的安全意识，要求用户不随意运行邮件附件，对有疑问的操作通过多渠道确认后方可执行。

　　来源：《中国教育网络》杂志
　　作者：郑先伟（中国教育和科研计算机网应急响应组成员）
　　责编：项阳