0x001 “BadTunnel”——Windows史上影响最广泛的漏洞
6月14日晚,微软方面公布了一个高危漏洞补丁,漏洞名为“BadTunnel”,据目前为止该漏洞是Windows历史上影响最广泛的漏洞,从Windows95到Win10均受到该漏洞影响。BadTunnel由现任腾讯玄武实验室总监,有“黑客教父”之称的于旸(TK教主)发现。据于旸自己所述,该漏洞是由原始设计问题产生,是一系列各自单独设计协议和特性协同工作所导致的。当用户打开一个URL,或者打开任意一种Office文件、PDF文件或其他格式的文件,或者是仅插入一个U盘,都会帮助攻击者完成对目标用户的网络劫持,获取权限提升。攻击者可以通过Edge、Internet、Microsoft Office或在Windows中的许多第三方软件利用该漏洞,也可以通过网络服务器或拇指驱动器来完成攻击。 即便是是用户安装了带有主动防御机制的安全软件,也无法检测到攻击。攻击者还可以利用该对目标系统执行任何恶意代码。据悉,该漏洞可成功利用率非常之高,尤其是对于微软已经不支持的Windows版本威胁极大。对于微软仍然支持的系统,用户需尽快下载安装补丁。TK教主将在8月举行的拉斯维加斯黑客大会上公布该漏洞的详细细节。
按tk的话说,这是“咱们谁都没错,但是不适合在一起”。涉及到这个漏洞的背景协议之一,NETBIOS协议,由IBM公司开发,主要用于数十台计算机的小型局域网,作用是为了给局域网提供网络以及其他特殊功能。系统可以利用多种模式将NetBIOS名(相应计算机名称)解析为相应IP地址,实现信息通讯。在这个协议下,在局域网内可以假冒任意主机,但这并不被认为是漏洞。
另一个非常重要的协议WPAD,是一套有超过二十年历史的古老协议。用于自动发现和配置系统的代理服务器。在局域网内可以利用WPAD劫持假冒任意主机,但这也不认为是漏洞。
但这个漏洞的关键,在于“Tunnel”。根据以上协议形成的Tunnel,使对任意网段主机流量进行劫持成为可能。
0x002暴雪遭受DDoS攻击,部分游戏服务无法登陆
2016年6月19日左右,暴雪方面遭受黑客攻击,旗下部分游戏(包括炉石传说,魔兽世界等)无法连接到战网平台,随后暴雪方面证实服务器遭受黑客攻击。
6月20日,一名昵称为“AppleJ4ck”的黑客在推特上发文宣称对此事负责。他在推特中写道“别管我,(暴雪)你们还是做些准备吧,小心我的数据包,谢谢”,并称,这次攻击“我们是在帮你们戒除网瘾”
根据相关的消息,这名昵称为“AppleJ4ck”的黑客或与Lizard Squad(蜥蜴小组)有关。Lizard Squad是一个以发动大规模DDoS攻击而在黑客界闻名的黑客组织,曾经对Xbox Live、PlayStation Network、Battlenet、等知名互联网企业发动过大规模DDoS攻击。
早在今年4月,暴雪公司战网服务器就遭受过DDoS攻击,包括《星际争霸2》、《魔兽世界》、《暗黑破坏神3》等在内的游戏服务器宕机。
DDoS(Distributed Denial of Service attack,分布式拒绝服务攻击,缩写:DDoS)是一种常见的网络攻击方式,其原理较为简单,即透过大量合法或伪造的请求占用大量网络以及器材资源,以达到瘫痪网络以及系统的目的。现在超过四分之三的服务提供商可以做到在20分钟甚至更少的时间内减轻DDoS攻击,但DDoS的攻击力度并没有因此变小,仍然在全球肆虐,虽然这种攻击方式有些没品,但是效果不错呀:)
0x003 白帽子提交漏洞,厂商报警白帽被逮
2015年12月,乌云漏洞平台某白帽子向平台提交了世纪佳缘网站SQL注入漏洞,世纪佳缘网站将其修复后,以送礼物的名义向该白帽子索要地址,并在今年1月通知警方。3月警方以非法读取900条身份信息为由逮捕了该白帽子。在第四届互联网安全大会上,其父致各位专家的一封信将此事推上风口浪尖,一时间引起广泛关注。目前警方尚未出示该白帽子非法读取世纪佳缘网会员信息的证据。
6月20日,世纪佳缘CEO吴琳光在知乎上发表声明,否认以钓鱼形式索要白帽子地址,并且确认了数据存在被盗。
6月30日,某位不愿意透露姓名的白帽子在乌云漏洞平台提交世纪佳缘网漏洞,对世纪佳缘网某些行为提出质疑。
相关的法律条文:
国家刑法第二百八十六条规定,关于恶意利用计算机犯罪相关条文
对于违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。
违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的,依照前款的规定处罚。
关于界定“情节严重”
《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》相关规定:
非法获取计算机信息系统数据或者非法控制计算机信息系统,具有下列情形之一的,应当认定为刑法第二百八十五条第二款规定的“情节严重”:
(一)获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息十组以上的;
(二)获取第(一)项以外的身份认证信息五百组以上的;
(三)非法控制计算机信息系统二十台以上的;
(四)违法所得五千元以上或者造成经济损失一万元以上的;
(五)其他情节严重的情形。
实施前款规定行为,具有下列情形之一的,应当认定为刑法第二百八十五条第二款规定的“情节特别严重”:
(一)数量或者数额达到前款第(一)项至第(四)项规定标准五倍以上的;
(二)其他情节特别严重的情形。
明知是他人非法控制的计算机信息系统,而对该计算机信息系统的控制权加以利用的,依照前两款的规定定罪处罚。
