CCERT月報：釣魚郵件攻擊大幅增加！高校需防范

4月教育網運行平穩，未發現影響嚴重的安全事件。

(資料圖)

2023年3月-4月CCERT安全投訴事件統計

從去年下半年開始，釣魚郵件攻擊的數量大幅增加，近期不但未見減弱，還有愈演愈烈的趨勢。這些釣魚郵件所偽造的內容緊跟時事，非常有欺騙性，比如偽造個稅退稅信息、領取疫情專項補貼等內容，用戶稍不留心就容易中招。

由于這些郵件的內容都屬于正常的通知范疇，很難通過語義讓反垃圾郵件網關自動識別出來，再加上很多垃圾郵件是通過盜取郵件服務器內合法郵箱發送的，這就給服務端的識別和防范帶來很大困難。

在沒有足夠的威脅情報和AI技術支持前，我們只能靠加大用戶安全意識和加強郵件日志的人工檢測來降低風險。

近期新增嚴重漏洞評述

01

微軟2023年4月的例行安全更新共涉及漏洞數98個，其中嚴重等級的7個、重要等級的91個。

漏洞的類型包括20個提權漏洞、8個安全功能繞過漏洞、45個遠程代碼執行漏洞、10個信息泄露漏洞、9個拒絕服務漏洞和6個身份假冒漏洞。

這些漏洞中有1個屬于0day漏洞，Windows通用日志文件系統驅動程序特權提升漏洞(CVE-2023-28252)。利用該漏洞，攻擊者可以在無需交互的情況下將當前用戶權限提升SYSTEM級別。

另一個需要關注的漏洞是微軟消息隊列遠程代碼執行漏洞(CVE-2023-21554)，攻擊者可以將特制惡意MSMQ消息發送到MSMQ服務器上，就能觸發該漏洞在遠程服務器上執行任意代碼。

除了上述漏洞外，4月初微軟還針對Edge瀏覽器的17個漏洞發布了補丁程序。

鑒于上述漏洞的危害性，建議用戶盡快使用Windows自帶的更新服務進行補丁更新。

02

4月VMWare公司發布了緊急安全更新，用于修補在3月Pwn2Own Vancouver 2023黑客大賽中披露的兩個0day漏洞。

其中一個漏洞編號為CVE-2023-20869，存在于藍牙設備共享功能中，是基于堆棧的緩沖區溢出漏洞，允許本地攻擊者在主機上運行虛擬機的VMX進程時執行代碼。

另一個漏洞編號為CVE-2023-20870，同樣存在于藍牙設備功能中，惡意行為者能夠從VM讀取管理程序內存中包含的特權信息。攻擊者利用這兩個漏洞，可以讓Workstation和Fusion軟件運行任意代碼。

建議使用了相關產品的用戶盡快進行升級。

03

Chrome Skia是谷歌公司開發的一個圖形引擎庫，它具有高效、跨平臺和自定義的特點。Chrome Skia被廣泛應用于Google Chrome瀏覽器、Android操作系統以及其他Google產品中。

本月Google官方修補了Chrome Skia的一個整數溢出漏洞(CVE-2023-2136)，當Skia進行算術運算導致值超過整數類型的最大限制時，會發生整數溢出。

攻擊者可以誘導用戶打開特制的HTML頁面來觸發該漏洞，成功利用該漏洞可以在目標系統上任意執行代碼。

04

惠普在4月的一份安全公告中表示，公司發現了一個打印機中的高危漏洞(CVE-2023-1707)，漏洞影響了包括HP Enterprise LaserJet和HP LaserJet Managed在內的打印機。利用該漏洞，攻擊者可以獲取其他網絡用戶與打印機之間的通訊內容。

由于漏洞本身的復雜性，惠普預計大概需要90天來開發補丁程序。在沒有補丁程序之前，惠普建議受影響的系統固件版本降級到FS5.5.0.3。

建議用戶隨時關注廠商的動態，并使用防火墻將打印機限制在可控的訪問范圍。

05

WebLogic中間件中存在一個JNDI注入漏洞(CVE-2023-21931)，需要引起關注，該漏洞允許未經身份驗證的攻擊者通過T3和IIOP協議訪問易受攻擊的WebLogic Server，并利用漏洞在服務器上執行任意代碼。該漏洞是因為CVE-2023-21839漏洞未修補完全而導致的。目前Oracle已在第二季度的安全公告中修補了該漏洞，建議相關用戶盡快進行補丁更新。

安全提示

對于校園網內頻發的釣魚郵件攻擊，可以采用以下一些措施來降低攻擊帶來的風險：

1.使用帶有威脅情報的反垃圾郵件網關，網關會根據已知的威脅情報去識別郵件內容中是否包含惡意的URL鏈接，以此來識別過濾釣魚郵件。

2.在郵件服務器上限制普通用戶單位時間內郵件的發送頻率和發送范圍，可以有效降低被控賬號發送垃圾郵件的數量，降低影響面。設定專用的群發郵件賬號并妥善管理賬號密碼，對其他普通用戶的發送頻率進行限制，一旦發現有異常行為及時告警。

3.對釣魚郵件進行監控，一旦發現釣魚郵件，及時向涉及的用戶發送安全告警郵件，并可在網絡邊界對釣魚郵件使用的釣魚網站的URL進行封禁。

作者：鄭先偉（中國教育和科研計算機網應急響應組）

責編：項陽

關鍵詞