CCERT月报：Windows系统存在TCP/IP高危漏洞

　　春节期间教育网整体运行平稳，未发现影响严重的安全事件。春节寒假期间，安全事件的整体投诉数量呈下降趋势。

　　在病毒与木马方面，随着近期加密货币的交易价格升级，以获取加密货币为目的的勒索攻击变得愈发猖獗。有案例显示攻击者正在利用虚拟化软件的漏洞（如VMware的漏洞）来对云平台进行攻击。

　　与以往的攻击行为不同，攻击成功后，他们不会直接去获取平台上虚拟主机内的数据信息，而是直接将平台上的虚拟主机文件进行加密然后勒索解密赎金。

2020年12-2021年2月CCERT安全投诉事件统计

　　近期新增严重漏洞评述：

　　01

　　微软2021年1月和2月的例行安全公告中共修复了微软旗下多款产品中存在的139个安全漏洞，涉及Windows操作系统、Office办公软件、Edge浏览器、Skype、反病毒引擎、.NET开发环境等多个Windows平台下的应用软件和组件。

　　这里面需要特别关注的是2月补丁中修补的两个Windows系统中TCP/IP协议实现漏洞（CVE-2021-24074、CVE-2021-24086），这两个漏洞影响大部分Windows操作系统中的TCP/IP协议栈。

　　CVE-2021-24074为远程代码执行漏洞，漏洞出现的原因是Windows系统在实现IPv4数据包分片重组的过程中存在缺陷导致内存存在越界访问的可能，攻击者可以通过向系统发送特殊构造的数据包分片来触发相关的漏洞，并成功利用该漏洞在系统上执行任意代码。

　　另一个CVE-2021-24086则被归属为拒绝服务漏洞，攻击者可以通过发送多个精心制作的IPv6数据包（多个IP包头、无效包头、多个分片头等）来触发漏洞，成功利用该漏洞可能导致系统发生崩溃出现蓝屏现象。

　　这两个漏洞属于高危等级，因为可以通过网络数据包直接触发，前置条件不多，因此一旦攻击代码成熟可能会发生大规模利用的情况。不过目前漏洞的详细细节还未公布，可用的攻击代码还未发布，建议用户尽快进行系统安全更新以降低漏洞带来的风险。

　　02

　　Oracle公司于1月发布了其2021年第一季度的安全更新，本次更新共涉及329个安全漏洞，其中179个属于高危漏洞，293个可以通过网络远程利用。这些漏洞涉及Oracle的大部分产品和组件，建议相关产品的管理员尽快进行版本更新。

　　03

　　sudo是一个功能强大的工具，其允许普通用户执行root权限命令，大多数类Unix系都默认包含sudo命令，包括目前主流的Linux和Mac OS系统。

　　近期sudo被披露存在一个基于堆的缓冲区溢出漏洞（CVE-2021-3156），该漏洞被命名为“Baron Samedit”，可导致本地权限提升。

　　该漏洞据悉已经在相关的系统中存在了近十年。目前相关的系统均已发布了该漏洞的补丁程序，建议用户尽快更新。

　　04

　　VMware公司在2月的安全公告中修补了VMware多个组件存在的多个安全漏洞。包括VMware vCenter Server远程代码执行漏洞和VMware ESXi OpenSLP堆溢出漏洞。

　　前一个漏洞影响vCenter Server，未经身份验证的攻击者通过向vCenter Server主机的443端口发送恶意构造请求，写入后门文件，进而控制相关服务器。

　　后一个漏洞影响ESXi，未经身份验证的攻击者利用该漏洞可以攻击同网段的虚拟机，通过向目标主机的427端口发送恶意构造请求，触发OpenSLP服务基于堆的缓冲区溢出，导致远程代码执行。目前VMware厂商已经发布了补丁程序，建议相关的管理员尽快对自己的软件进行升级。

　　05

　　DNSmasq是一款轻量化的DNS递归解析服务，被广泛应用于各类嵌入式设备（如家用路由器等）。近期DNSmasq被发现存在多个安全漏洞，可能导致DNS缓存被污染。

　　目前漏洞的细节未公布，但是相关的厂商已经在新的版本2.83中修补了这些漏洞，建议用户可以根据自己的使用情况进行升级

　　安全提示

　　Windows系统中存在的TCP/IP协议实现漏洞的代码一旦被公布可能就会引发全范围的攻击，建议学校管理员尽快对涉及的系统进行升级，并通知用户对自身的系统进行安全更新。

　　由于相关漏洞属于网络协议层级，所以很难通过防火墙或是其他网关设备进行阻挡，只能尽可能在攻击出现之前将漏洞进行修补。

　　作者：郑先伟（中国教育和科研计算机网应急响应组成员）
　　责编：项阳