201712月,微软重要安全更新总结
Exim邮件服务器可以导致远程代码执行CVE-2017-16943号码缺陷和拒绝服务可能导致拒绝服务CVE-2017-16944号破绽的POC近期已公开,允许远程攻击者通过特殊方式进行特殊攻击BDAT下令执行任何代码或拒绝服务攻击。事宜靠山
Exim邮件服务器可以导致远程代码执行CVE-2017-16943号码缺陷和拒绝服务可能导致拒绝服务CVE-2017-16944号破绽的POC最近被公开,它允许远程攻击者通过特制攻击BDAT下令执行任何代码或拒绝服务攻击。作为世界上最受欢迎的MTA(Mail Transfer Agent,邮件传输代理)软件之一,Exim用户基数重大(约56%互联网电子邮件服务器运行Exim)。
回顾过去的大规模安全问题,往往不是原因0day破绽造成的杀伤。反而是POC释放一段时间,行使便利,用户基础的伟大缺陷更容易演变成重大的安全问题,就像Wannacry在微软推出永恒之蓝补丁近两个月后,它仍然在世界各地疯所以我希望在这里Exim邮件服务器管理员要小心,整个网络范围内还有几十万台会受到这个缺陷的影响。
破绽概述
CVE编号
CVE-2017-16943/ CVE-2017-16944
软件受影响
Exim
版本受影响
开启chunking选项的 4.88和4.89
攻击方式
网络攻击
攻击复杂度
低
攻击特权要求
无
用户交互
201712月第二周舆情周报
无
严重性
高
Exim 4.88和4.89中的SMTP在守护过程中receive.c中的receive_msg函数允许远程攻击者通过使用BDAT随机代码执行下令的攻击向量或导致拒绝服务。
处置手段
? 更新Exim官网建议的至 4.89.1版本
? 在设置中将空值分配给chunking_advertise_hosts可关闭易受攻击的函数
防护方案
皇家边界是腾讯安全新推出的边界安全解决方案,其中以下产品涉及检测和阻挡这一缺陷。
? 腾讯皇家高级威胁检测系统:基于腾讯反病毒实验室的安全能力,依托腾讯在云和端的大数据,形成了一个成长而奇怪的威胁情报和恶意检测模型,依靠基于行为保护和智能模型的两个焦点能力,有效地检测未知威胁。通过分析企业内外网络边界的网络流量,我们可以感知到这一缺陷的行使和攻击。
? 腾讯御界防APT电子邮件网关:电子邮件网关是专门为电子邮件制作的安全产品。本产品依托哈勃分析系统的焦点技术,连接大数据和深度学习,通过对电子邮件多维信息的综合分析,快速识别APT攻击邮件、钓鱼邮件、病毒木马附件等,有助于抵御最新的邮件威胁,珍惜企业免受数据和财产损失。
参考文档
http://www.exim.org/
https://bugs.exim.org/show_bug.cgi?id=2199
https://github.com/Exim/exim/commit/178ecb70987f024f0e775d87c2f8b2cf587dd542#diff-61b904cc11910651e1e1230def92d804
201712月2周勒索病毒周报