全球观天下！CCERT月报：钓鱼邮件攻击大幅增加！高校需防范

4月教育网运行平稳，未发现影响严重的安全事件。

【资料图】

2023年3月-4月CCERT安全投诉事件统计

从去年下半年开始，钓鱼邮件攻击的数量大幅增加，近期不但未见减弱，还有愈演愈烈的趋势。这些钓鱼邮件所伪造的内容紧跟时事，非常有欺骗性，比如伪造个税退税信息、领取疫情专项补贴等内容，用户稍不留心就容易中招。

由于这些邮件的内容都属于正常的通知范畴，很难通过语义让反垃圾邮件网关自动识别出来，再加上很多垃圾邮件是通过盗取邮件服务器内合法邮箱发送的，这就给服务端的识别和防范带来很大困难。

在没有足够的威胁情报和AI技术支持前，我们只能靠加大用户安全意识和加强邮件日志的人工检测来降低风险。

近期新增严重漏洞评述

01

微软2023年4月的例行安全更新共涉及漏洞数98个，其中严重等级的7个、重要等级的91个。

漏洞的类型包括20个提权漏洞、8个安全功能绕过漏洞、45个远程代码执行漏洞、10个信息泄露漏洞、9个拒绝服务漏洞和6个身份假冒漏洞。

这些漏洞中有1个属于0day漏洞，Windows通用日志文件系统驱动程序特权提升漏洞(CVE-2023-28252)。利用该漏洞，攻击者可以在无需交互的情况下将当前用户权限提升SYSTEM级别。

另一个需要关注的漏洞是微软消息队列远程代码执行漏洞(CVE-2023-21554)，攻击者可以将特制恶意MSMQ消息发送到MSMQ服务器上，就能触发该漏洞在远程服务器上执行任意代码。

除了上述漏洞外，4月初微软还针对Edge浏览器的17个漏洞发布了补丁程序。

鉴于上述漏洞的危害性，建议用户尽快使用Windows自带的更新服务进行补丁更新。

02

4月VMWare公司发布了紧急安全更新，用于修补在3月Pwn2Own Vancouver 2023黑客大赛中披露的两个0day漏洞。

其中一个漏洞编号为CVE-2023-20869，存在于蓝牙设备共享功能中，是基于堆栈的缓冲区溢出漏洞，允许本地攻击者在主机上运行虚拟机的VMX进程时执行代码。

另一个漏洞编号为CVE-2023-20870，同样存在于蓝牙设备功能中，恶意行为者能够从VM读取管理程序内存中包含的特权信息。攻击者利用这两个漏洞，可以让Workstation和Fusion软件运行任意代码。

建议使用了相关产品的用户尽快进行升级。

03

Chrome Skia是谷歌公司开发的一个图形引擎库，它具有高效、跨平台和自定义的特点。Chrome Skia被广泛应用于Google Chrome浏览器、Android操作系统以及其他Google产品中。

本月Google官方修补了Chrome Skia的一个整数溢出漏洞(CVE-2023-2136)，当Skia进行算术运算导致值超过整数类型的最大限制时，会发生整数溢出。

攻击者可以诱导用户打开特制的HTML页面来触发该漏洞，成功利用该漏洞可以在目标系统上任意执行代码。

04

惠普在4月的一份安全公告中表示，公司发现了一个打印机中的高危漏洞(CVE-2023-1707)，漏洞影响了包括HP Enterprise LaserJet和HP LaserJet Managed在内的打印机。利用该漏洞，攻击者可以获取其他网络用户与打印机之间的通讯内容。

由于漏洞本身的复杂性，惠普预计大概需要90天来开发补丁程序。在没有补丁程序之前，惠普建议受影响的系统固件版本降级到FS5.5.0.3。

建议用户随时关注厂商的动态，并使用防火墙将打印机限制在可控的访问范围。

05

WebLogic中间件中存在一个JNDI注入漏洞(CVE-2023-21931)，需要引起关注，该漏洞允许未经身份验证的攻击者通过T3和IIOP协议访问易受攻击的WebLogic Server，并利用漏洞在服务器上执行任意代码。该漏洞是因为CVE-2023-21839漏洞未修补完全而导致的。目前Oracle已在第二季度的安全公告中修补了该漏洞，建议相关用户尽快进行补丁更新。

安全提示

对于校园网内频发的钓鱼邮件攻击，可以采用以下一些措施来降低攻击带来的风险：

1.使用带有威胁情报的反垃圾邮件网关，网关会根据已知的威胁情报去识别邮件内容中是否包含恶意的URL链接，以此来识别过滤钓鱼邮件。

2.在邮件服务器上限制普通用户单位时间内邮件的发送频率和发送范围，可以有效降低被控账号发送垃圾邮件的数量，降低影响面。设定专用的群发邮件账号并妥善管理账号密码，对其他普通用户的发送频率进行限制，一旦发现有异常行为及时告警。

3.对钓鱼邮件进行监控，一旦发现钓鱼邮件，及时向涉及的用户发送安全告警邮件，并可在网络边界对钓鱼邮件使用的钓鱼网站的URL进行封禁。

作者：郑先伟（中国教育和科研计算机网应急响应组）

责编：项阳