6月安全大事件第二期

0x001 「BadTunnel」——Windows史上影響最廣泛的漏洞

6月14日晚，微軟方面公布了一個高危漏洞補丁，漏洞名為「BadTunnel」，據目前為止該漏洞是Windows歷史上影響最廣泛的漏洞，從Windows95到Win10均受到該漏洞影響。BadTunnel由現任騰訊玄武實驗室總監，有「黑客教父」之稱的於暘（TK教主）發現。據於暘自己所述，該漏洞是由原始設計問題產生，是一系列各自單獨設計協議和特性協同工作所導致的。當用戶打開一個URL，或者打開任意一種Office文件、PDF文件或其他格式的文件，或者是僅插入一個U盤，都會幫助攻擊者完成對目標用戶的網路劫持，獲取許可權提升。攻擊者可以通過Edge、Internet、MicrosoftnOffice或在Windows中的許多第三方軟體利用該漏洞，也可以通過網路伺服器或U盤來完成攻擊。 即便是是用戶安裝了帶有主動防禦機制的安全軟體，也無法檢測到攻擊。攻擊者還可以利用該對目標系統執行任何惡意代碼。據悉，該漏洞可成功利用率非常之高，尤其是對於微軟已經不支持的Windows版本威脅極大。對於微軟仍然支持的系統，用戶需儘快下載安裝補丁。TK教主將在8月舉行的拉斯維加斯黑客大會上公布該漏洞的詳細細節。

按tk的話說，這是「咱們誰都沒錯，但是不適合在一起」。涉及到這個漏洞的背景協議之一，NETBIOS協議，由IBM公司開發，主要用於數十台計算機的小型區域網，作用是為了給區域網提供網路以及其他特殊功能。系統可以利用多種模式將NetBIOS名（相應計算機名稱）解析為相應IP地址，實現信息通訊。在這個協議下，在區域網內可以假冒任意主機，但這並不被認為是漏洞。

另一個非常重要的協議WPAD，是一套有超過二十年歷史的古老協議。用於自動發現和配置系統的代理伺服器。在區域網內可以利用WPAD劫持假冒任意主機，但這也不認為是漏洞。

但這個漏洞的關鍵，在於「Tunnel」。根據以上協議形成的Tunnel，使對任意網段主機流量進行劫持成為可能。

0x002暴雪遭受DDoS攻擊，部分遊戲服務無法登陸

n2016年6月19日左右，暴雪方面遭受黑客攻擊，旗下部分遊戲（包括爐石傳說，魔獸世界等）無法連接到戰網平台，隨後暴雪方面證實伺服器遭受黑客攻擊。

n6月20日，一名昵稱為「AppleJ4ck」的黑客在推特上發文宣稱對此事負責。他在推特中寫道「別管我，（暴雪）你們還是做些準備吧，小心我的數據包，謝謝」，並稱，這次攻擊「我們是在幫你們戒除網癮」

根據相關的消息，這名昵稱為「AppleJ4ck」的黑客或與Lizard Squad(蜥蜴小組)有關。Lizard Squad是一個以發動大規模DDoS攻擊而在黑客界聞名的黑客組織，曾經對Xbox Live、PlayStation Network、Battlenet、http://PVP.net等知名互聯網企業發動過大規模DDoS攻擊。

早在今年4月，暴雪公司戰網伺服器就遭受過DDoS攻擊，包括《星際爭霸2》、《魔獸世界》、《暗黑破壞神3》等在內的遊戲伺服器宕機。

DDoS（Distributed Denial of Servicenattack，分散式拒絕服務攻擊，縮寫：DDoS）是一種常見的網路攻擊方式，其原理較為簡單，即透過大量合法或偽造的請求佔用大量網路以及器材資源，以達到癱瘓網路以及系統的目的。現在超過四分之三的服務提供商可以做到在20分鐘甚至更少的時間內減輕DDoS攻擊，但DDoS的攻擊力度並沒有因此變小，仍然在全球肆虐，雖然這種攻擊方式有些沒品，但是效果不錯呀：）

0x003 白帽子提交漏洞，廠商報警白帽被逮

2015年12月，烏雲漏洞平台某白帽子向平台提交了世紀佳緣網站SQL注入漏洞，世紀佳緣網站將其修復後，以送禮物的名義向該白帽子索要地址，並在今年1月通知警方。3月警方以非法讀取900條身份信息為由逮捕了該白帽子。（詳見知乎問題https://www.zhihu.com/question/47775182）在第四屆互聯網安全大會上，其父致各位專家的一封信將此事推上風口浪尖，一時間引起廣泛關注。目前警方尚未出示該白帽子非法讀取世紀佳緣網會員信息的證據。

6月20日，世紀佳緣CEO吳琳光在知乎上發表聲明，否認以釣魚形式索要白帽子地址，並且確認了數據存在被盜。（https://www.zhihu.com/question/47775182/answer/108415417?f3fb8ead20=b236eb79b57cedf58da05738b1363143）

6月30日，某位不願意透露姓名的白帽子在烏雲漏洞平台提交世紀佳緣網漏洞，對世紀佳緣網某些行為提出質疑。

相關的法律條文：

國家刑法第二百八十六條規定，關於惡意利用計算機犯罪相關條文

對於違反國家規定，對計算機信息系統功能進行刪除、修改、增加、干擾，造成計算機信息系統不能正常運行，後果嚴重的，處五年以下有期徒刑或者拘役；後果特別嚴重的，處五年以上有期徒刑。

違反國家規定，對計算機信息系統中存儲、處理或者傳輸的數據和應用程序進行刪除、修改、增加的操作，後果嚴重的，依照前款的規定處罰。

關於界定「情節嚴重」

《最高人民法院、最高人民檢察院關於辦理危害計算機信息系統安全刑事案件應用法律若干問題的解釋》相關規定：

非法獲取計算機信息系統數據或者非法控制計算機信息系統，具有下列情形之一的，應當認定為刑法第二百八十五條第二款規定的「情節嚴重」：

（一）獲取支付結算、證券交易、期貨交易等網路金融服務的身份認證信息十組以上的；

（二）獲取第（一）項以外的身份認證信息五百組以上的；

（三）非法控制計算機信息系統二十台以上的；

（四）違法所得五千元以上或者造成經濟損失一萬元以上的；

（五）其他情節嚴重的情形。

實施前款規定行為，具有下列情形之一的，應當認定為刑法第二百八十五條第二款規定的「情節特別嚴重」：

（一）數量或者數額達到前款第（一）項至第（四）項規定標準五倍以上的；

（二）其他情節特別嚴重的情形。

明知是他人非法控制的計算機信息系統，而對該計算機信息系統的控制權加以利用的，依照前兩款的規定定罪處罰。

這裡只列出相關的法律條文，我本人不站隊，列出了只是科普一下。具體的判決結果要等待司法程序的完成，重點在於是否是該白帽子竊取了世紀佳緣網的相關信息，警方能否給出有效證據。

最後希望各位同行白帽子在滲透測試過程中盡量不要去碰數據，以防萬一。希望此事能得到圓滿的解決。

————————————————————————————————————————

題外話

最近太忙，這篇文章主要是@Murasaki幫了大忙，謝謝。

最近可圈可點的大事件素材不夠啊，本來想在DDoS那一段加個攻擊流程，然而仔細想了想，肯定是違規的，這期內容少，請各位看官多多包涵。

大家有什麼建議歡迎私信和評論，謝謝大家。

鞠躬。

by魏十七&Murasaki

推薦閱讀：