CCERT月报多重措施防范钓鱼邮件攻击

文/郑先伟

微软于6月15日正式关闭了IE浏览器，这意味着这款历史长达27年的浏览器将彻底退出历史舞台，微软今后将不会为其提供任何技术支持，包括安全更新。用户可以使用微软的Edge浏览器来替代IE浏览器，如果碰到只支持IE内核的服务，可以临时启用Edge兼容IE的模式来访问。除了IE浏览器外，另一个即将停止支持的是CentOS操作系统，CentOS 8已于2021年年底停用，CentOS 7则将于2024年底跟随RHEL 7一起停止提供服务。对于这些已经或者即将停用的系统或产品，虽然在原有的使用功能上不会有什么影响，但是在安全性上却得不到保障，建议用户尽快寻找新的替代产品或解决方案。

在安全投诉事件统计方面，随着各类安全演练的活动开展，针对资产探测的扫描数量会大幅增加。

近期各类钓鱼邮件攻击有所抬头，这些钓鱼攻击邮件的内容变得更具有欺骗性。与以往冒充系统管理员要求修改账号密码的内容不同，这类钓鱼邮件会根据不同目标用户编辑适配的内容来增加迷惑性。例如，专门针对高校的钓鱼邮件攻击以项目申报回执，课题评审等作为邮件内容诱骗用户点击病毒附件，很多老师因为恰巧正在进行课题申报，所以会毫不犹豫地选择相信邮件的内容。对于这种情况，除了需要老师有很好的安全意识外，还需要系统具备很好的病毒防范能力。

近期新增严重漏洞评述：

2022年4月~5月CCERT安全投诉事件统计

1.微软2022年6月的例行安全更新共涉及漏洞数56个，其中严重等级的13个，重要等级的43个。需要特别关注的是微软支持诊断工具（MSDT）远程代码执行漏洞（CVE-2022-30190）。攻击者可以利用精心构造的Office文档中的远程模板功能从服务器上下载恶意的HTML文件，进而使用MSDT的功能执行任意命令，即便用户关闭了宏功能，该漏洞依然可以被利用。如果攻击文件被存成RTF格式，漏洞还可依赖资源管理器的预览功能被利用，而无需用户打开文件。目前该漏洞的攻击代码已经被公开，互联网上已经发现了相应的攻击，建议用户尽快使用系统自带的更新功能进行补丁更新。

2.BIG-IP是F5公司的一款集成了网络流量管理、应用程序安全管理、负载均衡等功能的应用交付平台，在互联网上使用较为广泛。F5 BIG-IP中存在访问控制错误漏洞（CVE-2022-1388），该漏洞是由于iControl REST的身份验证功能存在缺陷，导致未经身份验证的攻击者可以通过管理端口或自身IP地址对BIG-IP系统进行网络访问，执行任意系统命令。目前厂商已经在最新版本中修补了相关漏洞，建议设备管理员根据自身使用情况尽快进行升级。

3.Confluence是Atlassian公司开发的一款专业的企业知识管理与协同软件。近期Atlassian发布安全公告披露其Confluence产品中存在OGNL注入漏洞（CVE-2022-26134），该漏洞允许攻击者在未经身份验证的情况下通过发送恶意的Web请求完成注入，进而在系统实例上执行任意命令。建议使用该产品的用户尽快升级产品或使用临时的措施降低漏洞带来的风险。

4.Mozilla发布了多个产品的安全更新，以解决在Pwn2Own Vancouver 2022黑客大会中暴露的多个0day漏洞，其中包括两个Firefox浏览器的0day漏洞。第一个漏洞是顶层Await实现中的原型污染漏洞（CVE-2022-1802），第二个漏洞的编号为CVE-2022-1529。目前厂商已经在最新的版本中修补了上述漏洞，建议用户尽快进行更新。

5.Chrome浏览器发布了最新版本（102.0.5005.115），修补了之前版本中的7个漏洞，其中需要关注的有内存释放后使用漏洞（CVE-2022-2007），当程序在释放内存分配后没有清除指针时，就会触发“释放后使用”问题，并可能被用于任意代码执行、拒绝服务或数据损坏。另一个是在Chrome的图形引擎抽象层ANGLE中发现的界外读取漏洞（CVE-2022-2011）。建议用户尽快使用浏览器自带的更新功能进行更新。

安全提示

面对越来越有针对性的钓鱼邮件攻击，我们应该从邮件服务器端、个人终端和安全意识等多方面入手进行防护。对于邮件服务端，可以通过增加防病毒网关来防范；对于用户终端，要正确安装防毒软件和及时安装补丁程序；在用户安全意识培养方面，除了加大宣传力度外，也可以通过一些真实的钓鱼攻击演练来加深用户的印象。