绿盟科技互联网安全威胁周报——第 201822周

截止到2018年6月1日,绿盟科技漏洞库已收录总条目达到39939条。本周新增漏洞记录65条,其中高危漏 洞数量6条,中危漏洞数量43条,低危漏洞数量16条。本周焦点漏洞:Microsoft ‘Win32k.sys’ 本地权限提升漏洞。Microsoft Windows的Win32k.sys组件在处理内存对象时,存在缺陷,导致特权提升漏洞。成功利用此漏洞的攻击者可以在内核模式中运行任意代码。

一. 互联网安全威胁态势

1.1 CVE统计

最近一周CVE公告总数与前期相比小幅下降。

1.2 威胁信息回顾

  • 标题:朝鲜APT组织隐形眼睛蛇向全球发起攻击 包括我国在内的17个国家找到了恶意软件

时间:2018-05-31

摘要:联邦调查局观察到来自朝鲜的APT攻击组织向全球发起恶意软件攻击,攻击组织使用的是Joanap和Brambul恶意软件,这两个都不是新的恶意软件,用户在操作敏感和专有信息时,恶 意软件可能会中断正常操作并禁用系统和文件。 链接:http://toutiao.secjia.com/hidden-cobra

  • 标题:Windows又爆0day 远程代码执行漏洞 微软未修复

时间:2018-05-31

摘要:近日,windows系统又发现一起0day漏洞,该漏洞是由系统中的JScript组件造成的,允 许远程攻击者在用户的PC上执行恶意代码,虽然微软并未提供计划推出补丁的确切时间表,但 一位发言人表明他们正在进行修复。 链接:http://toutiao.secjia.com/windows-0day-jscript

  • 标题:Drupal远程代码执行漏洞威胁态势分析

时间:2018-05-28

摘要:Drupal官方在2018年3月28日发布sa-core-2018-002 (CVE-2018-7600) Drupal内核 远程代码执行漏洞预警,之后一个月内又连续发布两个漏洞,其中包含一个XSS和另一个高危代 码执行漏洞sa-core-2018-004 (CVE-2018-7602),此后两个月内互联网上针对Drupal程序的 攻击非常频繁,绿盟科技威胁情报中心(NTI)结合安全情报数据,从漏洞披露到利用程序的传 播,总结了外界针对Drupal程序的常见攻击手法,对相关态势进行了梳理,希望可以为安全从 业人员提供建议和参考。
链接:http://blog.nsfocus.net/drupal-threat-analysis/

  • 标题:谷歌reCAPTCHA认证机制被发现可绕过 大约60%集成程序含有该漏洞

时间:2018-05-30

摘要:谷歌多年来致力于改进和加强的reCAPTCHA出现可绕过漏洞,该漏洞的攻击需要Web应 用程序中的HTTP请求参数被修改。
链接:http://toutiao.secjia.com/google-recaptcha

  • 标题:PUBLIC GOOGLE GROUPS LEAKING SENSITIVE DATA AT THOUSANDS OF ORGS

时间:2018-06-01

摘要:Thousands of organizations out there are leaking some form of sensitive email, according to an analysis, thanks to a widespread misconfiguration in Google Groups.链接:https://threatpost.com/public-google-groups-leaking-sensitive-data-at- thousands-of-orgs/132455/

  • 标题:SEVERED ATTACK EXTRACTS THE MEMORY OF AMD-ENCRYPTED VMS

时间:2018-05-29

摘要:Virtual machines that use AMD’s Secure Encrypted Virtualization (SEV), a hardware-based encryption scheme, have been found to be vulnerable to the same malicious hypervisor attacks that can affect all processors. A successful attack can extract the full contents of their main memory in plaintext.链接:https://threatpost.com/severed-attack-extracts-the-memory-of-amd- encrypted-vms/132359/

  • 标题:Yahoo Hacker linked to Russian Intelligence Gets 5 Years in U.S. Prison

时间:2018-05-29

摘要:A 23-year-old Canadian man, who pleaded guilty last year for his role in helping
Russian government spies hack into email accounts of Yahoo users and other
services, has been sentenced to five years in prison.链接:https://thehackernews.com/2018/05/yahoo-hacker-russia-intel.html? utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+TheHackersNews+%28The+Hackers+News+- +Security+Blog%29

(数据来源:绿盟科技 威胁情报与网络安全实验室 收集整理)

二. 漏洞研究

2.1 漏洞库统计

截止到2018年6月1日,绿盟科技漏洞库已收录总条目达到39939条。本周新增漏洞记录65条,其中高危漏 洞数量6条,中危漏洞数量43条,低危漏洞数量16条。

  • Apache Batik 信息泄露漏洞(CVE-2018-8013)

危险等级:中

BID:104252

cve编号:CVE-2018-8013

  • Huawei多个服务器产品iBMC信息泄露漏洞(CVE-2018-7942)

危险等级:高

cve编号:CVE-2018-7942

  • Huawei 1288H V5和2288H V5权限提升安全漏洞(CVE-2018-7904)

危险等级:高

cve编号:CVE-2018-7904

  • Huawei 1288H V5和2288H V5权限提升安全漏洞(CVE-2018-7903)

危险等级:高

cve编号:CVE-2018-7903

  • Huawei 1288H V5和2288H V5权限提升安全漏洞(CVE-2018-7902)

危险等级:高

cve编号:CVE-2018-7902

  • BeaconMedaes TotalAlert Scroll Medical Air Systems信息泄露漏洞(CVE-2018-7518)

危险等级:高

cve编号:CVE-2018-7518

  • SAP Internet Transaction Server 跨站脚本漏洞(CVE-2018-11415)

危险等级:低

cve编号:CVE-2018-11415

  • Linux kernel 内存破坏安全漏洞(CVE-2018-11412)

危险等级:中

cve编号:CVE-2018-11412

  • JerryScript 堆缓冲区错误漏洞(CVE-2018-11418)

危险等级:低

cve编号:CVE-2018-11418

  • JerryScript 堆缓冲区错误漏洞(CVE-2018-11419)

危险等级:低

cve编号:CVE-2018-11419

  • BeaconMedaes TotalAlert Scroll Medical Air Systems信息泄露漏洞(CVE-2018-7526)

危险等级:中

cve编号:CVE-2018-7526

  • Moodle远程代码执行安全漏洞 (CVE-2018-1133)

危险等级:中

cve编号:CVE-2018-1133

  • Moodle任意文件下载漏洞 (CVE-2018-1134)

危险等级:中

cve编号:CVE-2018-1134

  • Moodle任意文件下载漏洞 (CVE-2018-1135)

危险等级:中

cve编号:CVE-2018-1135

  • Moodle拒绝服务漏洞 (CVE-2018-1137)

危险等级:低

cve编号:CVE-2018-1137 Moodle

  • 信息泄露漏洞 (CVE-2018-1136)

危险等级:低

cve编号:CVE-2018-1136

  • Trend Micro Maximum Security权限提升安全漏洞 (CVE-2018-6235)

危险等级:中

cve编号:CVE-2018-6235

  • Trend Micro Maximum Security权限提升安全漏洞 (CVE-2018-6236)

危险等级:中

cve编号:CVE-2018-6236

  • Trend Micro Maximum Security权限提升安全漏洞 (CVE-2018-6233)

危险等级:中

cve编号:CVE-2018-6233

  • Trend Micro Maximum Security信息泄露漏洞 (CVE-2018-6234)

危险等级:中

cve编号:CVE-2018-6234

  • Trend Micro Maximum Security权限提升安全漏洞 (CVE-2018-6232)

危险等级:中

cve编号:CVE-2018-6232

  • Trend Micro Smart Protection Server远程代码执行安全漏洞 (CVE-2018-10350)

危险等级:中

cve编号:CVE-2018-10350

  • Trend Micro Smart Protection Server远程拒绝服务安全漏洞 (CVE-2018-6237)

危险等级:中

cve编号:CVE-2018-6237

  • IBM DB2 任意文件覆盖漏洞 (CVE-2018-1452)

危险等级:中

cve编号:CVE-2018-1452

  • IBM DB2 栈缓冲区溢出漏洞 (CVE-2018-1459)

危险等级:中

cve编号:CVE-2018-1459

  • IBM DB2 权限提升漏洞 (CVE-2018-1488)

危险等级:中

cve编号:CVE-2018-1488

  • IBM DB2 权限提升漏洞 (CVE-2018-1515)

危险等级:中

cve编号:CVE-2018-1515

  • IBM DB2 权限提升漏洞 (CVE-2018-1544)

危险等级:中

cve编号:CVE-2018-1544

  • IBM DB2 权限提升漏洞 (CVE-2018-1565)

危险等级:中

cve编号:CVE-2018-1565

  • McAfee VirusScan Enterprise权限提升漏洞 (CVE-2018-6674)

危险等级:中

BID:104180

cve编号:CVE-2018-6674

  • IBM DB2 任意文件覆盖漏洞 (CVE-2018-1450)危险等级:中

cve编号:CVE-2018-1450

  • IBM DB2 任意文件覆盖漏洞 (CVE-2018-1451)

危险等级:中

cve编号:CVE-2018-1451

  • IBM DB2 任意文件覆盖漏洞 (CVE-2018-1449)
危险等级:中

cve编号:CVE-2018-1449

  • IBM Security Guardium Big Data Intelligence跨站脚本漏洞 (CVE-2018-1376)

危险等级:中

cve编号:CVE-2018-1376

  • IBM Security Guardium Big Data Intelligence会话固定漏洞 (CVE-2018-1375)

危险等级:中

cve编号:CVE-2018-1375

  • IBM Security Guardium Big Data Intelligence信息泄露漏洞 (CVE-2018-1370)

危险等级:中

cve编号:CVE-2018-1370

  • IBM Security Guardium Big Data Intelligence信息泄露漏洞 (CVE-2018-1369)

危险等级:中

cve编号:CVE-2018-1369

  • IBM Security Guardium Big Data Intelligence信息泄露漏洞 (CVE-2018-1768)

危险等级:中

cve编号:CVE-2018-1768

  • Linux kernel sr_do_ioctl函数拒绝服务漏洞 (CVE-2018-11506)

危险等级:中

cve编号:CVE-2018-11506

  • Linux Kernel ‘kernel/compat.c’本地信息泄露漏洞(CVE-2018-11508)

危险等级:中

BID:104292

cve编号:CVE-2018-11508

  • VideoLAN VLC ‘input/demux_chained.c’拒绝服务漏洞(CVE-2018-11516)危险等级:中

BID:104293

cve编号:CVE-2018-11516

  • strongSwan 缓冲区溢出漏洞(CVE-2018-5388)

危险等级:中

BID:104263

cve编号:CVE-2018-5388

  • Apache ZooKeeper安全限制绕过漏洞(CVE-2018-8012)

危险等级:低

BID:104253

cve编号:CVE-2018-8012

  • Libmobi buffer_addraw函数信息泄露漏洞(CVE-2018-11436)

危险等级:低

cve编号:CVE-2018-11436

  • Libmobi mobi_reconstruct_parts函数信息泄露漏洞(CVE-2018-11437)

危险等级:低

cve编号:CVE-2018-11437

  • Libmobi mobi_decompress_lz77函数远程代码执行漏洞(CVE-2018-11438)

危险等级:低

cve编号:CVE-2018-11438

  • MyBB ChangUonDyU Advanced Statistics插件跨站脚本漏洞(CVE-2018-11532)

危险等级:中

cve编号:CVE-2018-11532

  • Exiv2 堆缓冲区溢出漏洞(CVE-2018-11531)

危险等级:中

cve编号:CVE-2018-11531

  • CScms 跨站请求伪造漏洞(CVE-2018-11527)

危险等级:中

cve编号:CVE-2018-11527

  • NUUO NVRmini 2 任意文件上传安全漏洞(CVE-2018-11523)

危险等级:中

cve编号:CVE-2018-11523

  • dtSearch 拒绝服务漏洞(CVE-2018-11488)

危险等级:低

cve编号:CVE-2018-11488

  • Libmobi mobi_parse_mobiheader函数信息泄露漏洞(CVE-2018-11432)

危险等级:低

cve编号:CVE-2018-11432

  • Libmobi mobi_get_kf8boundary_seqnumber函数信息泄露漏洞(CVE-2018-11433)

危险等级:低

cve编号:CVE-2018-11433

  • Libmobi buffer_fill64函数信息泄露漏洞(CVE-2018-11434)

危险等级:低

cve编号:CVE-2018-11434

  • md4c 堆缓冲区溢出漏洞(CVE-2018-11536)

危险等级:中

cve编号:CVE-2018-11536

  • SITEMAKIN SLAC SQL注入漏洞(CVE-2018-11535)

危险等级:中

cve编号:CVE-2018-11535

  • Libmobi mobi_decompress_huffman_internal函数信息泄露漏洞(CVE-2018-11435)

危险等级:低

cve编号:CVE-2018-11435

  • Git远程代码执行漏洞(CVE-2018-11235)

危险等级:高

cve编号:CVE-2018-11235

  • ClipperCMS 跨站脚本安全漏洞(CVE-2018-11572)

危险等级:低

cve编号:CVE-2018-11572

  • ClipperCMS 会话固定安全漏洞(CVE-2018-11571)

危险等级:低

cve编号:CVE-2018-11571

  • Espruino jsparse.c拒绝服务漏洞(CVE-2018-11598)

危险等级:中

cve编号:CVE-2018-11598

  • ImageMagick释放后重利用漏洞(CVE-2018-11624)

危险等级:中

cve编号:CVE-2018-11624

  • ImageMagick 堆缓冲区溢出漏洞(CVE-2018-11625)

危险等级:中

cve编号:CVE-2018-11625

  • 多款TP-LINK产品信息泄露安全漏洞(CVE-2018-11482)

危险等级:中

cve编号:CVE-2018-11482

  • 多款TP-LINK产品远程代码执行安全漏洞(CVE-2018-11481)

危险等级:中

cve编号:CVE-2018-11481

(数据来源:绿盟科技安全研究部&产品规则组)

2.2 焦点漏洞

Microsoft ‘Win32k.sys’ 本地权限提升漏洞

NSFOCUS ID 39709

CVE ID CVE-2018-8120

  • 受影响版本

Microsoft Windows Server 2016 Microsoft Windows Server 2012

Microsoft Windows Server 2008 Microsoft Windows RT 8.1 Microsoft Windows 8.1 Microsoft Windows 7

Microsoft Windows 10

  • 漏洞点评

Microsoft Windows的Win32k.sys组件在处理内存对象时,存在缺陷,导致特权提升漏洞。成功利用此漏洞的攻击者可以在内核模式中运行任意代码。此漏洞的利用样本已经曝光,估计后续存在被黑客大规模利用攻击的可能性。目前,Microsoft 已经发布了此漏洞的相应补丁,请受影响的用户及时下载更新。

(数据来源:绿盟科技安全研究部& 产品规则组)

发表评论