事件背景勒索病毒文件一旦进入本地,就会自动运行,同时删除勒索软件样本,以躲避查杀和分析。接下来,勒索病毒利用本地的互联网访问权限连接至黑客的c&c服务器,进而上传本机信息并下载加密私钥与公钥,利用私钥和公钥对文件进行加密。
exim邮件服务器可造成远程代码执行的cve-2017-16943号漏洞和可导致拒绝服务的cve-2017-16944号漏洞的poc已于近期被公开,它允许远程攻击者通过特制的bdat命令执行任意代码或导致拒绝服务攻击。作为世界上最流行的mta(mail transfer agent,邮件传输代理)软件之一,exim具有庞大的用户基数(约56%的互联网电子邮件服务器运行着exim)。
回顾以往的大规模安全事件,往往不是由0day漏洞造成的杀伤。反而是poc放出一段时间,利用方便,用户基数巨大的漏洞更容易演化成重大安全事件,比如wannacry在微软推出“永恒之蓝”补丁将近两个月后,仍然在全球疯狂传播。所以在此希望exim邮件服务器管理员对此提高警惕,全网范围内还有数十万台会受此漏洞影响。
漏洞概述
cve编号
cve-2017-16943 cve-2017-16944
受影响的软件
exim
受影响的版本
开启chunking选项的 488和489
攻击方式
网络攻击
攻击复杂度
低
攻击特权要求
无
用户交互
无
严重性
高
exim 488和489中的smtp守护进程中的receivec中的receive_msg函数允许远程攻击者通过使用bdat命令的攻击向量执行任意代码或导致拒绝服务。
处理手段
? 更新exim建议的至 4891版本
? 在设置中将空值分配给chunking_advertise_hosts可关闭易受攻击的函数
防护方案
御界是安全全新推出的边界安全解决方案,其中以下产品涉及到对此漏洞的检测和拦截。
? 御界高级威胁检测系统:基于反病毒实验室的安全能力,依托在云和端的大数据,形成了强大且独特的威胁情报和恶意检测模型,凭借基于行为的防护和智能模型两大核心能力,高效检测未知威胁。通过对企业内外网边界处网络流量的分析,可以感知此漏洞的利用和攻击。
? 御界防apt邮件网关:邮件网关是专门为邮箱打造的安全产品,此产品依托哈勃分析系统的核心技术,结合大数据与深度学习,通过对邮件多维度信息的综合分析,迅速识别apt攻击邮件、钓鱼邮件、病毒木马附件等,有效抵御最新的邮件威胁,保护企业免受数据和财产损失。
参考文档
:wwweximorg
bugseximorgshow_bugcgi?id=2199
githubcomeximeximcommit178ecb70987f024f0e775d87c2f8b2cf587dd542#diff-61b904cc11910651e1e1230def92d804