绿盟科技互联网安全威胁周报——第 201822周 Secer's Blog - 记录互联网安全历程与个人成长经历

截止到2018年6月1日，绿盟科技漏洞库已收录总条目达到39939条。本周新增漏洞记录65条，其中高危漏洞数量6条，中危漏洞数量43条，低危漏洞数量16条。本周焦点漏洞：Microsoft ‘Win32k.sys’ 本地权限提升漏洞。Microsoft Windows的Win32k.sys组件在处理内存对象时，存在缺陷，导致特权提升漏洞。成功利用此漏洞的攻击者可以在内核模式中运行任意代码。

文章目录

一. 互联网安全威胁态势

1.1 CVE统计

最近一周CVE公告总数与前期相比小幅下降。

1.2 威胁信息回顾

标题:朝鲜APT组织隐形眼睛蛇向全球发起攻击包括我国在内的17个国家找到了恶意软件

时间:2018-05-31

摘要:联邦调查局观察到来自朝鲜的APT攻击组织向全球发起恶意软件攻击，攻击组织使用的是Joanap和Brambul恶意软件，这两个都不是新的恶意软件，用户在操作敏感和专有信息时，恶意软件可能会中断正常操作并禁用系统和文件。链接:http://toutiao.secjia.com/hidden-cobra

标题:Windows又爆0day 远程代码执行漏洞微软未修复

时间:2018-05-31

摘要:近日，windows系统又发现一起0day漏洞，该漏洞是由系统中的JScript组件造成的，允许远程攻击者在用户的PC上执行恶意代码，虽然微软并未提供计划推出补丁的确切时间表，但一位发言人表明他们正在进行修复。链接:http://toutiao.secjia.com/windows-0day-jscript

标题:Drupal远程代码执行漏洞威胁态势分析

时间:2018-05-28

摘要:Drupal官方在2018年3月28日发布sa-core-2018-002 (CVE-2018-7600) Drupal内核远程代码执行漏洞预警，之后一个月内又连续发布两个漏洞，其中包含一个XSS和另一个高危代码执行漏洞sa-core-2018-004 (CVE-2018-7602)，此后两个月内互联网上针对Drupal程序的攻击非常频繁，绿盟科技威胁情报中心(NTI)结合安全情报数据，从漏洞披露到利用程序的传播，总结了外界针对Drupal程序的常见攻击手法，对相关态势进行了梳理，希望可以为安全从业人员提供建议和参考。
链接:http://blog.nsfocus.net/drupal-threat-analysis/

标题:谷歌reCAPTCHA认证机制被发现可绕过大约60%集成程序含有该漏洞

时间:2018-05-30

摘要:谷歌多年来致力于改进和加强的reCAPTCHA出现可绕过漏洞，该漏洞的攻击需要Web应用程序中的HTTP请求参数被修改。
链接:http://toutiao.secjia.com/google-recaptcha

标题:PUBLIC GOOGLE GROUPS LEAKING SENSITIVE DATA AT THOUSANDS OF ORGS

时间:2018-06-01

摘要:Thousands of organizations out there are leaking some form of sensitive email, according to an analysis, thanks to a widespread misconfiguration in Google Groups.链接:https://threatpost.com/public-google-groups-leaking-sensitive-data-at- thousands-of-orgs/132455/

标题:SEVERED ATTACK EXTRACTS THE MEMORY OF AMD-ENCRYPTED VMS

时间:2018-05-29

摘要:Virtual machines that use AMD’s Secure Encrypted Virtualization (SEV), a hardware-based encryption scheme, have been found to be vulnerable to the same malicious hypervisor attacks that can affect all processors. A successful attack can extract the full contents of their main memory in plaintext.链接:https://threatpost.com/severed-attack-extracts-the-memory-of-amd- encrypted-vms/132359/

标题:Yahoo Hacker linked to Russian Intelligence Gets 5 Years in U.S. Prison

时间:2018-05-29

摘要:A 23-year-old Canadian man, who pleaded guilty last year for his role in helping
Russian government spies hack into email accounts of Yahoo users and other
services, has been sentenced to five years in prison.链接:https://thehackernews.com/2018/05/yahoo-hacker-russia-intel.html? utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+TheHackersNews+%28The+Hackers+News+- +Security+Blog%29

(数据来源:绿盟科技威胁情报与网络安全实验室收集整理)

二. 漏洞研究

2.1 漏洞库统计

截止到2018年6月1日，绿盟科技漏洞库已收录总条目达到39939条。本周新增漏洞记录65条，其中高危漏洞数量6条，中危漏洞数量43条，低危漏洞数量16条。

Apache Batik 信息泄露漏洞(CVE-2018-8013)

危险等级:中

BID:104252

cve编号:CVE-2018-8013

Huawei多个服务器产品iBMC信息泄露漏洞(CVE-2018-7942)

危险等级:高

cve编号:CVE-2018-7942

Huawei 1288H V5和2288H V5权限提升安全漏洞(CVE-2018-7904)

危险等级:高

cve编号:CVE-2018-7904

Huawei 1288H V5和2288H V5权限提升安全漏洞(CVE-2018-7903)

危险等级:高

cve编号:CVE-2018-7903

Huawei 1288H V5和2288H V5权限提升安全漏洞(CVE-2018-7902)

危险等级:高

cve编号:CVE-2018-7902

BeaconMedaes TotalAlert Scroll Medical Air Systems信息泄露漏洞(CVE-2018-7518)

危险等级:高

cve编号:CVE-2018-7518

SAP Internet Transaction Server 跨站脚本漏洞(CVE-2018-11415)

危险等级:低

cve编号:CVE-2018-11415

Linux kernel 内存破坏安全漏洞(CVE-2018-11412)

危险等级:中

cve编号:CVE-2018-11412

JerryScript 堆缓冲区错误漏洞(CVE-2018-11418)

危险等级:低

cve编号:CVE-2018-11418

JerryScript 堆缓冲区错误漏洞(CVE-2018-11419)

危险等级:低

cve编号:CVE-2018-11419

BeaconMedaes TotalAlert Scroll Medical Air Systems信息泄露漏洞(CVE-2018-7526)

危险等级:中

cve编号:CVE-2018-7526

Moodle远程代码执行安全漏洞 (CVE-2018-1133)

危险等级:中

cve编号:CVE-2018-1133

Moodle任意文件下载漏洞 (CVE-2018-1134)

危险等级:中

cve编号:CVE-2018-1134

Moodle任意文件下载漏洞 (CVE-2018-1135)

危险等级:中

cve编号:CVE-2018-1135

Moodle拒绝服务漏洞 (CVE-2018-1137)

危险等级:低

cve编号:CVE-2018-1137 Moodle

信息泄露漏洞 (CVE-2018-1136)

危险等级:低

cve编号:CVE-2018-1136

Trend Micro Maximum Security权限提升安全漏洞 (CVE-2018-6235)

危险等级:中

cve编号:CVE-2018-6235

Trend Micro Maximum Security权限提升安全漏洞 (CVE-2018-6236)

危险等级:中

cve编号:CVE-2018-6236

Trend Micro Maximum Security权限提升安全漏洞 (CVE-2018-6233)

危险等级:中

cve编号:CVE-2018-6233

Trend Micro Maximum Security信息泄露漏洞 (CVE-2018-6234)

危险等级:中

cve编号:CVE-2018-6234

Trend Micro Maximum Security权限提升安全漏洞 (CVE-2018-6232)

危险等级:中

cve编号:CVE-2018-6232

Trend Micro Smart Protection Server远程代码执行安全漏洞 (CVE-2018-10350)

危险等级:中

cve编号:CVE-2018-10350

Trend Micro Smart Protection Server远程拒绝服务安全漏洞 (CVE-2018-6237)

危险等级:中

cve编号:CVE-2018-6237

IBM DB2 任意文件覆盖漏洞 (CVE-2018-1452)

危险等级:中

cve编号:CVE-2018-1452

IBM DB2 栈缓冲区溢出漏洞 (CVE-2018-1459)

危险等级:中

cve编号:CVE-2018-1459

IBM DB2 权限提升漏洞 (CVE-2018-1488)

危险等级:中

cve编号:CVE-2018-1488

IBM DB2 权限提升漏洞 (CVE-2018-1515)

危险等级:中

cve编号:CVE-2018-1515

IBM DB2 权限提升漏洞 (CVE-2018-1544)

危险等级:中

cve编号:CVE-2018-1544

IBM DB2 权限提升漏洞 (CVE-2018-1565)

危险等级:中

cve编号:CVE-2018-1565

McAfee VirusScan Enterprise权限提升漏洞 (CVE-2018-6674)

危险等级:中

BID:104180

cve编号:CVE-2018-6674

IBM DB2 任意文件覆盖漏洞 (CVE-2018-1450)危险等级:中

cve编号:CVE-2018-1450

IBM DB2 任意文件覆盖漏洞 (CVE-2018-1451)

危险等级:中

cve编号:CVE-2018-1451

IBM DB2 任意文件覆盖漏洞 (CVE-2018-1449)

危险等级:中

cve编号:CVE-2018-1449

IBM Security Guardium Big Data Intelligence跨站脚本漏洞 (CVE-2018-1376)

危险等级:中

cve编号:CVE-2018-1376

IBM Security Guardium Big Data Intelligence会话固定漏洞 (CVE-2018-1375)

危险等级:中

cve编号:CVE-2018-1375

IBM Security Guardium Big Data Intelligence信息泄露漏洞 (CVE-2018-1370)

危险等级:中

cve编号:CVE-2018-1370

IBM Security Guardium Big Data Intelligence信息泄露漏洞 (CVE-2018-1369)

危险等级:中

cve编号:CVE-2018-1369

IBM Security Guardium Big Data Intelligence信息泄露漏洞 (CVE-2018-1768)

危险等级:中

cve编号:CVE-2018-1768

Linux kernel sr_do_ioctl函数拒绝服务漏洞 (CVE-2018-11506)

危险等级:中

cve编号:CVE-2018-11506

Linux Kernel ‘kernel/compat.c’本地信息泄露漏洞(CVE-2018-11508)

危险等级:中

BID:104292

cve编号:CVE-2018-11508

VideoLAN VLC ‘input/demux_chained.c’拒绝服务漏洞(CVE-2018-11516)危险等级:中

BID:104293

cve编号:CVE-2018-11516

strongSwan 缓冲区溢出漏洞(CVE-2018-5388)

危险等级:中

BID:104263

cve编号:CVE-2018-5388

Apache ZooKeeper安全限制绕过漏洞(CVE-2018-8012)

危险等级:低

BID:104253

cve编号:CVE-2018-8012

Libmobi buffer_addraw函数信息泄露漏洞(CVE-2018-11436)

危险等级:低

cve编号:CVE-2018-11436

Libmobi mobi_reconstruct_parts函数信息泄露漏洞(CVE-2018-11437)

危险等级:低

cve编号:CVE-2018-11437

Libmobi mobi_decompress_lz77函数远程代码执行漏洞(CVE-2018-11438)

危险等级:低

cve编号:CVE-2018-11438

MyBB ChangUonDyU Advanced Statistics插件跨站脚本漏洞(CVE-2018-11532)

危险等级:中

cve编号:CVE-2018-11532

Exiv2 堆缓冲区溢出漏洞(CVE-2018-11531)

危险等级:中

cve编号:CVE-2018-11531

CScms 跨站请求伪造漏洞(CVE-2018-11527)

危险等级:中

cve编号:CVE-2018-11527

NUUO NVRmini 2 任意文件上传安全漏洞(CVE-2018-11523)

危险等级:中

cve编号:CVE-2018-11523

dtSearch 拒绝服务漏洞(CVE-2018-11488)

危险等级:低

cve编号:CVE-2018-11488

Libmobi mobi_parse_mobiheader函数信息泄露漏洞(CVE-2018-11432)

危险等级:低

cve编号:CVE-2018-11432

Libmobi mobi_get_kf8boundary_seqnumber函数信息泄露漏洞(CVE-2018-11433)

危险等级:低

cve编号:CVE-2018-11433

Libmobi buffer_fill64函数信息泄露漏洞(CVE-2018-11434)

危险等级:低

cve编号:CVE-2018-11434

md4c 堆缓冲区溢出漏洞(CVE-2018-11536)

危险等级:中

cve编号:CVE-2018-11536

SITEMAKIN SLAC SQL注入漏洞(CVE-2018-11535)

危险等级:中

cve编号:CVE-2018-11535

Libmobi mobi_decompress_huffman_internal函数信息泄露漏洞(CVE-2018-11435)

危险等级:低

cve编号:CVE-2018-11435

Git远程代码执行漏洞(CVE-2018-11235)

危险等级:高

cve编号:CVE-2018-11235

ClipperCMS 跨站脚本安全漏洞(CVE-2018-11572)

危险等级:低

cve编号:CVE-2018-11572

ClipperCMS 会话固定安全漏洞(CVE-2018-11571)

危险等级:低

cve编号:CVE-2018-11571

Espruino jsparse.c拒绝服务漏洞(CVE-2018-11598)

危险等级:中

cve编号:CVE-2018-11598

ImageMagick释放后重利用漏洞(CVE-2018-11624)

危险等级:中

cve编号:CVE-2018-11624

ImageMagick 堆缓冲区溢出漏洞(CVE-2018-11625)

危险等级:中

cve编号:CVE-2018-11625

多款TP-LINK产品信息泄露安全漏洞(CVE-2018-11482)

危险等级:中

cve编号:CVE-2018-11482

多款TP-LINK产品远程代码执行安全漏洞(CVE-2018-11481)

危险等级:中

cve编号:CVE-2018-11481

(数据来源:绿盟科技安全研究部&产品规则组)

2.2 焦点漏洞

Microsoft ‘Win32k.sys’ 本地权限提升漏洞

NSFOCUS ID 39709

CVE ID CVE-2018-8120

受影响版本

Microsoft Windows Server 2016 Microsoft Windows Server 2012

Microsoft Windows Server 2008 Microsoft Windows RT 8.1 Microsoft Windows 8.1 Microsoft Windows 7

Microsoft Windows 10

漏洞点评

Microsoft Windows的Win32k.sys组件在处理内存对象时，存在缺陷，导致特权提升漏洞。成功利用此漏洞的攻击者可以在内核模式中运行任意代码。此漏洞的利用样本已经曝光，估计后续存在被黑客大规模利用攻击的可能性。目前，Microsoft 已经发布了此漏洞的相应补丁，请受影响的用户及时下载更新。

(数据来源:绿盟科技安全研究部& 产品规则组)