4月第4周安全回顾 IIS服务器存漏洞 汇丰银行丢失敏感数据

阅读提示：本周（080421至080427）信息安全威胁程度为为低。目前正进行得如火如荼的美国总统大选中，各候选人的支持者把战场拉到了互联网上，除了常规的互联网宣传攻势外更出现了黑客行动的影子：黑客利用候选人奥巴马的网站上的跨站脚本漏洞，将访问者重定向到候选人希拉里的网站上，结合之前在爱沙尼亚总统竞选中黑客针对某候选人网站发起DDOS攻击的报道，显示黑客攻击开始出现政治化的趋势。

本周（080421至080427）信息安全威胁程度为为低。目前正进行得如火如荼的美国总统大选中，各候选人的支持者把战场拉到了互联网上，除了常规的互联网宣传攻势外更出现了黑客行动的影子：黑客利用候选人奥巴马的网站上的跨站脚本漏洞，将访问者重定向到候选人希拉里的网站上，结合之前在爱沙尼亚总统竞选中黑客针对某候选人网站发起DDOS攻击的报道，显示黑客攻击开始出现政治化的趋势。

媒体方面：本周值得关注的新闻集中在漏洞攻击、威胁趋势和电子商务安全领域。

漏洞攻击：Microsoft警告IIS服务器中存在严重漏洞；关注指数：高

新闻：周二，来自ITnews的消息，Microsoft当天发布安全公告称，旗下产品IIS Web服务器和MS SQL数据库服务器中存在一个严重的代码处理漏洞，如果黑客成功利用该漏洞，将可以在运行该这两种产品的服务器上得到系统权限。目前Microsoft已经确认，该漏洞影响的操作系统范围包括Windows XP SP2、Windows Server 2003、Windows Vista和Windows Server 2008。

Microsoft还称，目前尚未接到有针对该漏洞的攻击报告，因此正在考虑是尽快还是等到稍晚一点的5月例行补丁升级周期，再发布针对该漏洞的补丁程序。

笔者观点：根据Microsoft在周四对该漏洞发布的补充公告称，该漏洞主要影响IIS Web服务器，尤其是当IIS Web服务器将ASP.NET代码的执行信任级别设置为完全信任时。而MS SQL数据库服务器所受的影响较小，因为MS SQL服务器上很少有将执行权限授予所有用户的情况。

Microsoft还在补充公告中提供了解决这个漏洞的临时设置建议，用户可以在以下链接： http://www.microsoft.com/technet/security/advisory/951306.mspx中找到进一步的消息。

笔者建议：虽然这个漏洞对默认安装的IIS Web服务器和MS SQL数据库服务器的影响不大，对提供基于Windows ASP.net技术的网页空间提供商，或是对内部部门提供共享Web服务器的企业来说，却是一个严重的安全隐患，黑客在成功入侵并上传Webshell之后，将能够通过这个漏洞达到控制服务器的目的，并进一步进行恶意代码注入、敏感信息盗取等攻击。建议采用上述代码信息级别配置的相关用户，尽快根据Microsoft补充公告中的配置建议进行修改，并随时关注Microsoft的补丁公告，及时进行软件版本的升级。如果在配置调整过程中出现原有网站代码无法正确执行的情况，可通过修改代码或暂时禁用受影响功能来解决。

威胁趋势：新SQL Injection技术威胁Oracle数据库；关注指数：高

新闻：周四，来自TechTarget的消息，数据库安全专家David Litchfield日前公开了一种针对Oracle数据库的新SQL Injection技术，这种称为旁路注入（Lateral Injection）的技术的攻击手法，使用的是以往被认为安全的DATE和NUMBER两种数据类型。黑客能够借助这种新的技术，在Oracle数据库上执行其精心构造的数据库命令。

笔者观点：由于Oracle数据库的性能及安全性领先于其他数据库厂商的产品，因此Oracle数据库在大型企业应用的应用十分广泛，这也决定了Oracle数据库安全领域的敏感性。David Litchfield日前所公开的新Oracle攻击方法，其值得关注的地方在于，这种SQL注入新方法针对的是以往被认为是安全的数据类型（DATE和NUMBER），此外，它也没有像其他的SQL注入攻击那样，直接使用用户的输入数据，而是通过Web应用程序的缺陷将精心构造的SQL语句注入到Oracle的安全数据类型中，从而绕过了Oracle数据库对常规数据库攻击方法的安全防御措施。这也显示，虽然Oracle数据库对常见数据库漏洞的安全防御措施做得好，但也不意味着它是无懈可击的，去年中开始的Oracle漏洞公开活动也陆续挖掘出相当多的Oracle漏洞，如去年底出现的Oracle空指针等漏洞，而稍早一些时候进行的针对Oracle用户的调查也显示，超过三分之一的Oracle用户并没有对部署的Oracle数据库进行过补丁升级的操作。

笔者建议，由于安全业界对数据库安全的日益重视，对Oracle等企业中常用的数据库产品的漏洞挖掘和公开还将进一步继续，相应的，针对企业数据库产品的攻击手法和数量也会有相当大幅度的上升，企业的数据库应用将面临前所未有的威胁。因此，建议企业重视数据库安全并提高现有数据库部署的安全级别，根据应用需要和数据敏感程度，制定符合企业安全策略的数据库安全管理及响应策略，企业用户也可以适当关注目前市场上已经推出的诸多数据库安全产品，选择最适合自己的产品。

电子商务安全：汇丰银行丢失37万客户敏感数据显示银行内部的数据安全仍存在严重缺陷；

关注指数：高

新闻：周四，来自金融媒体FTAdviser.com的消息，英国最大的银行汇丰银行（HSBC）当天承认，在一次邮件丢失中损失了37万客户详细资料。包含有这些敏感数据的磁盘是汇丰银行2月份从英国南安普敦寄到瑞士的过程中丢失的，目前仍没有找回。汇丰银行的发言人辩解称，当时是由于两个地区之间的网络通讯中断，汇丰银行出于业务处理速度的考虑才选择使用邮件快递的方式传送这些敏感数据的，这些敏感数据有密码保护，但没有经过加密处理。

笔者观点：汇丰银行对客户敏感数据丢失事件公开的技术细节，如包含大量敏感数据的光盘通过普通快递服务进行投递、只使用较弱的密码方式而不是加密方式对敏感数据进行保护等，显示汇丰银行在内部敏感数据的传输上仍存在相当大的安全问题，对其各内部部门之间的敏感数据使用和包含也没有一个安全的成型的管理流程，从而为这次敏感数据泄漏事件埋下了伏笔。尽管从当天的另外一个新闻：汇丰银行在其在线银行服务站点上使用VeriSign公司的EV SSL技术来看，汇丰银行对保护在线业务和用户权益也进行了相当大的投入，但还是远远不够的。根据笔者以前的项目经验，国内的许多银行也存在类似的安全问题，而且在线业务的安全程度和国外大型银行比起来也有相当大的差距。

笔者建议：汇丰银行的敏感数据丢失事件可说是为国内银行业敲响了警钟，国内银行业应提高对内部部门之间的敏感数据传输安全性的重视，同时制定对应的安全管理规范。同时，汇丰银行事件也再次显示了一个企业级的数据加密安全方案对银行业的重要性，无论敏感数据是在银行内部各部门之间进行交换，还是在银行与用户之间进行传输，都应该经过高强度的加密保护，这样，即使发生敏感数据载体丢失或失密的极端情况，也能最大限度保护银行及用户的财产和合法权益。