绿盟科技互联网安全威胁周报 NSFOCUS-18-11

绿盟科技漏洞库本周新增漏洞记录91条,其中高危漏洞数量14条,中危漏洞数量42条,低危漏洞数量35条。本次周报建议大家关注微软凭据安全支持提供协议(CredSSP)漏洞(CVE-2018-0886),攻击者可以通过中间人攻击(man-in-the-middle)来利用该漏洞,微软已经在3月份更新中解决了这个问题。建议用户及时更新。

一、焦点漏洞

微软凭据安全支持提供协议(CredSSP)漏洞

  • NSFOCUS ID 39088
  • CVE ID CVE-2018-0886

受影响版本

未安装3月份安全更新的Windows版本

漏洞点评

微软的凭据安全支持提供协议(CredSSP)被曝存在一个漏洞(CVE-2018-0886),该漏洞源于CredSSP中的一处加密逻辑问题,当客户端计算机和服务器通过远程桌面协议(RDP)和Windows远程管理(WinRM)连接协议彼此验证时,攻击者可以通过中间人攻击(man-in-the-middle)来利用该漏洞。微软已经在3月份更新中解决了这个问题。用户应立即通过Windows自动更新服务来下载更新安全补丁进行防护。

(数据来源:绿盟科技安全研究部&产品规则组)

二、互联网安全威胁态势

2.1 CVE统计

cve-201811

最近一周CVE公告总数与前期相比大幅上升。

2.2 威胁信息回顾

  • 标题:美国土安全部被批了,来看DHS安全评估报告
    • 时间:2018.03.12
    • 摘要:美监察长办公室(OIG)发布了“对2017年财年DHS信息安全计划的评估”报告。简而言之,美国国土安全部(DHS)运行的软件过时了,没有修补关键漏洞,甚至包括WannaCry 勒索软件的漏洞。监察办提出了五项建议,即DHS首席信息安全官同意在2018年9月20日之前完成。
    • 链接:http://toutiao.secjia.com/dhs-it-security
  • 标题:只感染了100台电脑的恶意软件“弹弓” 卡巴发了25页的报告
    • 时间:2018.03.13
    • 摘要:卡巴发布了一份报告,称发现了潜伏6年的路由器恶意软件Slingshot弹弓,虽然在全球只感染了100多台计算机,但其功能异常复杂,其背后的开发人员已经花费了大量的时间和金钱。
    • 链接:http://toutiao.secjia.com/router-malware-slingshot
  • 标题: AMD安全处理器爆出4种类型13个0Day漏洞 可以窃取数据并安装恶意软件
    • 时间:2018.03.14
    • 摘要:intel cpu漏洞刚过去,AMD CPU 0Day漏洞又来了。研究人员周二表示,他们发现了各种AMD芯片中的4种类型13个关键安全漏洞,据称将这些漏洞可以让攻击者窃取安装AMD CPU的设备上的敏感数据,并可以安装恶意软件,包括服务器、工作站和笔记本电脑。这四种漏洞类型包括Chimera漏洞、Ryzenfall漏洞、Fallout漏洞、Masterkey漏洞。
    • 链接:http://toutiao.secjia.com/amd-ryzen-epyc-chips-flaws
  • 标题:13万多美国公民个人信息数据泄露 纽约一家医院服务器遭入侵
    • 时间:2018.03.15
    • 摘要:纽约州奥尔巴尼的一家医院的服务器遭受攻击,在未经授权的一方获得服务器访问权限时,发生了数据泄露,约135,000名美国公民个人信息发生数据泄露。
    • 链接:http://toutiao.secjia.com/ny-hospital-databreach
  • 标题:暗网中的快递 BlackTDS流量分发服务 恶意软件及攻击工具包快件直达
    • 时间:2018.03.15
    • 摘要:暗网正在销售新的恶意软件流量分发系统BlackTDS并提供相关服务,并且正在推广,称BlackTDS是作为部署攻击工具包exploit kit和恶意软件的经济实惠方式。
    • 链接:http://toutiao.secjia.com/black-tds-cloud-tds
  • 标题:SOFACY APT ADOPTS NEW TACTICS AND FAR EAST TARGETS
    • 时间:2018-03-09
    • 摘要:A new analysis of the Russian-speaking Sofacy APT gang shows a continual march toward Far East targets and overlapping of activities with other groups such as Lamberts, Turla and Danti.
    • 链接:https://threatpost.com/sofacy-apt-adopts-new-tactics-and-far-east-targets/130337/
  • 标题:CredSSP Flaw in Remote Desktop Protocol Affects All Versions of Windows
    • 时间:2018-03-13
    • 摘要:A critical vulnerability has been discovered in Credential Security Support Provider protocol (CredSSP) that affects all versions of Windows to date and could allow remote attackers to exploit RDP and WinRM to steal data and run malicious code.
    • 链接:https://thehackernews.com/2018/03/credssp-rdp-exploit.html?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+TheHackersNews+%28The+Hackers+News+-+Security+Blog%29
  • 标题:N1CTF国际赛句型
    • 时间:2018-03-13
    • 摘要:北京时间3月10日早上9点N1CTF国际赛正式拉开战幕。N1CTF国际赛由国内知名战队Nu1L战队主办命题
    • 链接:http://www.youxia.org/2018/03/37095.html
  • 标题:Warning – 3 Popular VPN Services Are Leaking Your IP Address
    • 时间:2018-03-15
    • 摘要:Researchers found critical vulnerabilities in three popular VPN services that could leak users’ real IP addresses and other sensitive data.
    • 链接:https://thehackernews.com/2018/03/vpn-leak-ip-address.html?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+TheHackersNews+%28The+Hackers+News+-+Security+Blog%29
  • 标题:Palo Alto Networks to Acquire CIA-Backed Cloud Security Firm Evident.io for $300 Million
    • 时间:2018-03-15
    • 摘要:Network security firm Palo Alto Networks (NYSE: PANW) on Wednesday said that it has agreed to acquire cloud security and compliance firm Evident.io for $300 million in cash
    • 链接:https://www.securityweek.com/palo-alto-networks-acquire-cia-backed-cloud-security-firm-evidentio-300-million?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+Securityweek+%28SecurityWeek+RSS+Feed%29

(数据来源:绿盟科技 威胁情报与网络安全实验室 收集整理)

三. 漏洞研究

3.1 漏洞库统计

截止到2018年3月16日,绿盟科技漏洞库已收录总条目达到39135条。

  • Cisco Web Security Appliance FTP身份验证绕过漏洞
    • 危险等级:中
    • cve编号:CVE-2018-0087
  • Cisco Videoscape AnyRes Live跨站脚本漏洞
    • 危险等级:中
    • cve编号:CVE-2018-0220
  • IBM Security Guardium Big Data Intelligence信息泄露漏洞(CVE-2018-1372)
    • 危险等级:低
    • BID:103237
    • cve编号:CVE-2018-1372
  • F5 BIG-IP ASM远程拒绝服务漏洞(CVE-2017-6154)
    • 危险等级:低
    • BID:103233
    • cve编号:CVE-2017-6154
  • GraphicsMagick ReadOnePNGImage拒绝服务漏洞(CVE-2017-18219)
    • 危险等级:中
    • BID:103258
    • cve编号:CVE-2017-18219
  • Cisco Identity Services Engine本地命令注入漏洞(CVE-2018-0221)
    • 危险等级:中
    • BID:103347
    • cve编号:CVE-2018-0221
  • libTIFF 远程代码执行漏洞(CVE-2016-5314)
    • 危险等级:中
    • BID:91195
    • cve编号:CVE-2016-5314
  • Kingsoft WPS Office Free拒绝服务漏洞(CVE-2018-6400)
    • 危险等级:中
    • cve编号:CVE-2018-6400
  • Apache Tomcat JK ISAPI Connector信息泄露漏洞(CVE-2018-1323)
    • 危险等级:低
    • cve编号:CVE-2018-1323
  • Linux kernel unimac_mdio_probe函数拒绝服务漏洞(CVE-2018-8043)
    • 危险等级:低
    • cve编号:CVE-2018-8043
  • Schneider Electric多个产品DLL加载本地代码执行漏洞(CVE-2018-7239)
    • 危险等级:中
    • BID:103338
    • cve编号:CVE-2018-7239
  • Linux Kernel ‘arch/x86/kernel/cpu/mcheck/mce.c’本地拒绝服务漏洞(CVE-2018-7995)
    • 危险等级:中
    • BID:103356
    • cve编号:CVE-2018-7995
  • libvirt 安全限制绕过漏洞(CVE-2018-6764)
    • 危险等级:中
    • cve编号:CVE-2018-6764
  • NTP decodearr函数缓冲区溢出漏洞(CVE-2018-7183)
    • 危险等级:中
    • BID:103351
    • cve编号:CVE-2018-7183
  • QEMU 拒绝服务漏洞(CVE-2018-7858)
    • 危险等级:低
    • BID:103350
    • cve编号:CVE-2018-7858
  • Linux Kernel 本地拒绝服务漏洞(CVE-2017-18222)
    • 危险等级:低
    • BID:103349
    • cve编号:CVE-2017-18222
  • Linux Kernel ‘drivers/scsi/libsas/sas_expander.c’拒绝服务漏洞(CVE-2018-7757)
    • 危险等级:中
    • BID:103348
    • cve编号:CVE-2018-7757
  • ManageEngine Applications Manager远程代码执行漏洞(CVE-2018-7890)
    • 危险等级:中
    • BID:103358
    • cve编号:CVE-2018-7890
  • Microsoft Windows Kernel信息泄露漏洞(CVE-2018-0811)
    • 危险等级:中
    • BID:103232
    • cve编号:CVE-2018-0811
  • Microsoft ASP.NET Core拒绝服务漏洞(CVE-2018-0808)
    • 危险等级:高
    • BID:103226
    • cve编号:CVE-2018-0808
  • Microsoft ASP.NET Core远程权限提升漏洞(CVE-2018-0787)
    • 危险等级:中
    • BID:103282
    • cve编号:CVE-2018-0787
  • Microsoft Windows Kernel信息泄露漏洞(CVE-2018-0813)
    • 危险等级:中
    • BID:103250
    • cve编号:CVE-2018-0813
  • Microsoft Windows Remote Assistance信息泄露漏洞(CVE-2018-0878)
    • 危险等级:低
    • BID:103230
    • cve编号:CVE-2018-0878
  • Microsoft Windows Kernel信息泄露漏洞(CVE-2018-0814)
    • 危险等级:中
    • BID:103251
    • cve编号:CVE-2018-0814
  • Microsoft Windows GDI权限提升漏洞(CVE-2018-0815)
    • 危险等级:中
    • BID:103234
    • cve编号:CVE-2018-0815
  • Microsoft Windows GDI权限提升漏洞(CVE-2018-0816)
    • 危险等级:高
    • BID:103248
    • cve编号:CVE-2018-0816
  • Microsoft Windows GDI权限提升漏洞(CVE-2018-0817)
    • 危险等级:高
    • BID:103249
    • cve编号:CVE-2018-0817
  • Microsoft Windows Installer权限提升漏洞(CVE-2018-0868)
    • 危险等级:高
    • BID:103236
    • cve编号:CVE-2018-0868
  • Microsoft Edge Chakra脚本引擎内存破坏漏洞(CVE-2018-0872)
    • 危险等级:低
    • BID:103267
    • cve编号:CVE-2018-0872
  • Microsoft Edge Chakra脚本引擎内存破坏漏洞(CVE-2018-0873)
    • 危险等级:低
    • BID:103268
    • cve编号:CVE-2018-0873
  • Microsoft Edge Chakra脚本引擎内存破坏漏洞(CVE-2018-0874)
    • 危险等级:低
    • BID:103269
    • cve编号:CVE-2018-0874
  • .NET Core 拒绝服务漏洞(CVE-2018-0875)
    • 危险等级:高
    • BID:103225
    • cve编号:CVE-2018-0875
  • Microsoft Edge 脚本引擎内存破坏漏洞(CVE-2018-0876)
    • 危险等级:低
    • BID:103289
    • cve编号:CVE-2018-0876
  • Windows Desktop Bridge VFS权限提升漏洞(CVE-2018-0877)
    • 危险等级:高
    • BID:103227
    • cve编号:CVE-2018-0877
  • Microsoft Edge 信息泄露漏洞(CVE-2018-0879)
    • 危险等级:低
    • BID:103303
    • cve编号:CVE-2018-0879
  • Microsoft Internet Explorer/Edge信息泄露漏洞(CVE-2018-0891)
    • 危险等级:高
    • BID:103309
    • cve编号:CVE-2018-0891
  • Microsoft Internet Explorer脚本引擎远程内存破坏漏洞(CVE-2018-0889)
    • 危险等级:高
    • BID:103295
    • cve编号:CVE-2018-0889
  • Microsoft Windows Desktop Bridge本地权限提升漏洞(CVE-2018-0882)
    • 危险等级:高
    • BID:103257
    • cve编号:CVE-2018-0882
  • Microsoft Windows Video Control本地权限提升漏洞(CVE-2018-0881)
    • 危险等级:高
    • BID:103256
    • cve编号:CVE-2018-0881
  • Microsoft Windows Desktop Bridge本地权限提升漏洞(CVE-2018-0880)
    • 危险等级:高
    • BID:103239
    • cve编号:CVE-2018-0880
  • Microsoft Windows Device Guard本地安全限制绕过漏洞(CVE-2018-0884)
    • 危险等级:中
    • BID:103260
    • cve编号:CVE-2018-0884
  • Microsoft Windows Shell远程代码执行漏洞(CVE-2018-0883)
    • 危险等级:中
    • BID:103259
    • cve编号:CVE-2018-0883
  • Microsoft Windows Hyper-V拒绝服务漏洞(CVE-2018-0885)
    • 危险等级:中
    • cve编号:CVE-2018-0885
  • Microsoft Windows 远程代码执行漏洞(CVE-2018-0886)
    • 危险等级:中
    • BID:103265
    • cve编号:CVE-2018-0886
  • Microsoft Windows Hyper-V本地信息泄露漏洞(CVE-2018-0888)
    • 危险等级:高
    • BID:103262
    • cve编号:CVE-2018-0888
  • Microsoft Windows Kernel信息泄露漏洞(CVE-2018-0900)
    • 危险等级:低
    • BID:103244
    • cve编号:CVE-2018-0900
  • Microsoft Windows Kernel信息泄露漏洞(CVE-2018-0901)
    • 危险等级:低
    • BID:103245
    • cve编号:CVE-2018-0901
  • Microsoft Windows Kernel ‘cng.sys’安全限制绕过漏洞(CVE-2018-0902)
    • 危险等级:中
    • BID:103266
    • cve编号:CVE-2018-0902
  • Microsoft Windows Kernel信息泄露漏洞(CVE-2018-0898)
    • 危险等级:低
    • BID:103242
    • cve编号:CVE-2018-0898
  • Microsoft Windows Kernel信息泄露漏洞(CVE-2018-0899)
    • 危险等级:低
    • BID:103243
    • cve编号:CVE-2018-0899
  • Microsoft Windows Kernel信息泄露漏洞(CVE-2018-0897)
    • 危险等级:低
    • BID:103241
    • cve编号:CVE-2018-0897
  • Microsoft Windows Kernel信息泄露漏洞(CVE-2018-0896)
    • 危险等级:低
    • BID:103240
    • cve编号:CVE-2018-0896
  • Microsoft Windows Kernel信息泄露漏洞(CVE-2018-0895)
    • 危险等级:低
    • BID:103238
    • cve编号:CVE-2018-0895
  • Microsoft Windows Kernel信息泄露漏洞(CVE-2018-0894)
    • 危险等级:低
    • BID:103231
    • cve编号:CVE-2018-0894
  • Microsoft Edge 远程内存破坏漏洞(CVE-2018-0893)
    • 危险等级:低
    • BID:103288
    • cve编号:CVE-2018-0893
  • Microsoft Access远程代码执行漏洞(CVE-2018-0903)
    • 危险等级:中
    • BID:103315
    • cve编号:CVE-2018-0903
  • Microsoft Excel安全限制绕过漏洞(CVE-2018-0907)
    • 危险等级:中
    • BID:103325
    • cve编号:CVE-2018-0907
  • Microsoft SharePoint Server远程权限提升漏洞(CVE-2018-0909)
    • 危险等级:中
    • BID:103279
    • cve编号:CVE-2018-0909
  • Microsoft Windows Kernel信息泄露漏洞(CVE-2018-0904)
    • 危险等级:中
    • BID:103246
    • cve编号:CVE-2018-0904
  • Microsoft Windows Storage Services本地权限提升漏洞(CVE-2018-0983)
    • 危险等级:高
    • BID:103381
    • cve编号:CVE-2018-0983
  • Microsoft Windows Kernel ‘Win32k.sys’本地权限提升漏洞(CVE-2018-0977)
    • 危险等级:中
    • BID:103380
    • cve编号:CVE-2018-0977
  • Microsoft SharePoint Server远程权限提升漏洞(CVE-2018-0947)
    • 危险等级:中
    • BID:103306
    • cve编号:CVE-2018-0947
  • Microsoft SharePoint Server远程权限提升漏洞(CVE-2018-0911)
    • 危险等级:中
    • BID:103281
    • cve编号:CVE-2018-0911
  • Microsoft Exchange Server信息泄露漏洞(CVE-2018-0924)
    • 危险等级:低
    • BID:103320
    • cve编号:CVE-2018-0924
  • Microsoft SharePoint Server远程权限提升漏洞(CVE-2018-0912)
    • 危险等级:中
    • BID:103285
    • cve编号:CVE-2018-0912
  • Microsoft SharePoint Server远程权限提升漏洞(CVE-2018-0917)
    • 危险等级:中
    • BID:103296
    • cve编号:CVE-2018-0917
  • Microsoft Office信息泄露漏洞(CVE-2018-0919)
    • 危险等级:中
    • BID:103311
    • cve编号:CVE-2018-0919
  • Microsoft SharePoint Server远程权限提升漏洞(CVE-2018-0916)
    • 危险等级:中
    • BID:103294
    • cve编号:CVE-2018-0916
  • Microsoft SharePoint Server远程权限提升漏洞(CVE-2018-0915)
    • 危险等级:中
    • BID:103293
    • cve编号:CVE-2018-0915
  • Microsoft SharePoint Server远程权限提升漏洞(CVE-2018-0914)
    • 危险等级:中
    • BID:103291
    • cve编号:CVE-2018-0914
  • Microsoft SharePoint Server远程权限提升漏洞(CVE-2018-0921)
    • 危险等级:中
    • BID:103302
    • cve编号:CVE-2018-0921
  • Microsoft SharePoint Server远程权限提升漏洞(CVE-2018-0913)
    • 危险等级:中
    • BID:103290
    • cve编号:CVE-2018-0913
  • Microsoft Office内存破坏漏洞(CVE-2018-0922)
    • 危险等级:中
    • BID:103314
    • cve编号:CVE-2018-0922
  • Microsoft SharePoint Server远程权限提升漏洞(CVE-2018-0944)
    • 危险等级:中
    • BID:103304
    • cve编号:CVE-2018-0944
  • Microsoft Exchange Server信息泄露漏洞(CVE-2018-0941)
    • 危险等级:低
    • BID:103318
    • cve编号:CVE-2018-0941
  • Microsoft Exchange Server远程权限提升漏洞(CVE-2018-0940)
    • 危险等级:中
    • BID:103323
    • cve编号:CVE-2018-0940
  • Microsoft SharePoint Server远程权限提升漏洞(CVE-2018-0923)
    • 危险等级:中
    • BID:103308
    • cve编号:CVE-2018-0923
  • Microsoft Internet Explorer/Edge信息泄露漏洞(CVE-2018-0927)
    • 危险等级:低
    • BID:103310
    • cve编号:CVE-2018-0927
  • Microsoft Internet Explorer信息泄露漏洞(CVE-2018-0929)
    • 危险等级:低
    • BID:103299
    • cve编号:CVE-2018-0929
  • Microsoft Internet Explorer/Edge信息泄露漏洞(CVE-2018-0932)
    • 危险等级:低
    • BID:103307
    • cve编号:CVE-2018-0932
  • Microsoft Internet Explorer远程权限提升漏洞(CVE-2018-0942)
    • 危险等级:低
    • BID:103312
    • cve编号:CVE-2018-0942
  • Microsoft ChakraCore脚本引擎内存破坏漏洞(CVE-2018-0937)
    • 危险等级:低
    • BID:103271
    • cve编号:CVE-2018-0937
  • Microsoft ChakraCore脚本引擎信息泄露漏洞(CVE-2018-0939)
    • 危险等级:低
    • BID:103305
    • cve编号:CVE-2018-0939
  • Microsoft ChakraCore脚本引擎内存破坏漏洞(CVE-2018-0936)
    • 危险等级:低
    • BID:103270
    • cve编号:CVE-2018-0936
  • Microsoft ChakraCore脚本引擎内存破坏漏洞(CVE-2018-0933)
    • 危险等级:低
    • BID:103274
    • cve编号:CVE-2018-0933
  • Microsoft ChakraCore 脚本引擎内存破坏漏洞(CVE-2018-0934)
    • 危险等级:低
    • BID:103275
    • cve编号:CVE-2018-0934
  • Microsoft Internet Explorer脚本引擎内存破坏漏洞(CVE-2018-0935)
    • 危险等级:高
    • BID:103298
    • cve编号:CVE-2018-0935
  • Microsoft ChakraCore脚本引擎内存破坏漏洞(CVE-2018-0930)
    • 危险等级:低
    • BID:103272
    • cve编号:CVE-2018-0930
  • Microsoft ChakraCore脚本引擎内存破坏漏洞(CVE-2018-0931)
    • 危险等级:低
    • BID:103273
    • cve编号:CVE-2018-0931
  • Microsoft Windows Kernel信息泄露漏洞(CVE-2018-0926)
    • 危险等级:中
    • BID:103247
    • cve编号:CVE-2018-0926
  • Microsoft ChakraCore脚本引擎内存破坏漏洞(CVE-2018-0925)
    • 危险等级:低
    • BID:103287
    • cve编号:CVE-2018-0925

(数据来源:绿盟科技安全研究部&产品规则组)

 

发表评论