【写在前面的话】其实2008年已经过去3个月了,其实这篇博客是一个“续貂”之作,源于皓月的2008盘点。我只是取了一个巧,悄悄增添了一些陋见和博客广告,狗尾貂皮大家不得不混而读之,呵呵。
本文旨在于对2008信息安全业界及安全技术的演进趋势加以整理,方便大家各位能够较为清晰的加以回顾。为确保适合于不同读者阅读,本期盘点以时间顺序并分事件篇与工具篇加以阐述。不详之处,还望多指点批评。 Read more…
F-Secure is now reporting on a worm which exploits the critical vulnerability addressed in Microsoft’s MS08-067 bulletin which target English versions of Windows XP (SP2 and SP3) and Windows 2003 SP2. The exploit payload downloads a dropper that they detect as Trojan-Dropper.Win32.Agent.yhi. The worm component is detected as Exploit.Win32.MS08-067.g and the kernel component as Rootkit.Win32.KernelBot.dg. IBM X-Force will continue to monitor the situation for further developments while the threat level remains at AlertCon 1. Users are advised to patch any remaining systems which may remain vulnerable and, in compliance with recommended best common practices, block ports 139/tcp and 445/tcp from untrusted networks.
Click here for more information.
以下内容来自于<Stefan Frei>的演讲材料Dynamics of Insecurity – 关于不安全的动力学。原文可以在下面的链接下载到:http://www.techzoom.net/risk
Risk exposure
Black Risk (exogenous)
Time from discovery to disclosure
Only a closed group is aware of the vulnerability. This group could be anyone from hackers, organized crime or responsible security researchers/vendors
在黑色风险区,只有发现者周围的很小的圈子了解这个漏洞和可能的利用方法,它的破坏力很难估测,这段时间,作为一般性的组织和企业来说,很难了解,就更不用说管理了。
Gray Risk (exogenous)
Time from disclosure to patch
User waits for the vendor to issue a patch. Public is aware of this risk but has not yet received remediation from vendor
Read more…
NetworkAsia上有一篇Gregg Keizer的文章讲这次MS08-067与两年前,也就是2006年8月份的RPC漏洞MS06-040不是同一个原因。这句话援引的是微软公司的一个专家Michael Howard所述。这句话的下文是:所以大家并不应该对微软公司没有一起发现这个新的漏洞MS08-067感到惊讶。Howard最后还表示了他对于微软软件安全生命周期SDL(Security Development Lifecycle)的满意。坦白说,我对这位老兄的话还是也没有什么特别意见,软件吗,流程吗,测试吗,不可能完美,出个漏洞也不是什么新鲜事。
可是,这次MS08-067捅出的的篓子可不是一般漏洞可比。有一句话很准确地描述了其影响: 基本上指哪打哪!更为不幸的是,现在我们的桌面已经被Windows独占了,非关键应用也基本上跑在Windows服务器上,稍大型的企业都会有数百上千台Windows服务器。此类漏洞一出,基本上企业的IT基础设施都是“不设防”城市了。 Read more…
针对这次紧急的MS08-067, 我们在周五一早,就开始向管理层汇报,并动员了所有的安全团队和服务器、应用运行团队的服务器管理员:
1 在周末对Windows服务器打MS08-067补丁
2 另外,紧急更新了全球所有的病毒服务器代码,保证可以查杀相关蠕虫
3 加入了新的LANDesk对客户端的补丁auto-fix分发
4 重新检测全球所有的防火墙系统,内网隔离系统,确保封锁135/139/445端口
5 启动紧急响应流程,要求SOC保证监视和通知,相关人员保持24小时可联系。
至今,非常感谢各个团队的理解和辛苦工作,艰苦努力,进展良好。接下来的一周非常关键,我们还需努力。也祝各位同行同仁都能顺利过关。
2008年10月24日, 微软发补丁修危急漏洞 影响所有Windows版本。微软在MS08-067号安全公告(“KB958644”)中警告称,这一缺陷存在于Server服务中,黑客可以利用一个经过特别设计的远程过程调用请求执行任意代码。
建议大家迅速行动,在Windows服务器、各个版本桌面机的补丁系统、反病毒、防火墙和IPS系统等做好紧急处理。 Read more…
Recent Comments