安全通告（2017年10月简报）

本期安全公告发布2017年10月的病毒威胁、系统漏洞和国内外安全动态等。请用户及时更新杀毒软件病毒库并且访问各厂商站点获取并安装各漏洞的补丁或升级程序。

关于WPA2无线网络密钥重装漏洞的安全公告

近日，国家信息安全漏洞共享平台（CNVD）收录了WPA2无线网络组密钥重装漏洞（CNVD-2017-，对应CVE-2017-13077、CVE-2017-13078、CVE-2017-13079、CVE-2017-13080、CVE-2017-13081、CVE-2017-13082、CVE-2017-13084、CVE-2017-13086、CVE-2017-13087、CVE-2017-13088）。远程攻击者利用该漏洞可实现包括数据包解密和注入、TCP连接劫持、HTTP内容注入或单播和组寻址帧的重放攻击。

一、漏洞情况分析

WPA全名为Wi-FiProtected Access，中文译名Wi-Fi网络安全接入，包括：WPA和WPA2两个标准，是一种保护无线电脑网络（Wi-Fi）安全的系统。WPA2 (WPA 第二版)是基于WPA的一种新的加密方式，具备完整的IEEE 802.11i标准体系。

WPA2无线网络加密协议漏洞，入侵方式被称作“密钥重装攻击”。Wi-Fi保护访问II（WPA2）的密钥协商握手协议存在设计缺陷，可通过部分报文重放，重置随机数和会话密钥，导致无线接入点（AP）或客户端重新安装密钥。攻击者利用这些漏洞，可在AP和客户端的连接范围内，实现包括数据包解密和注入、TCP连接劫持、HTTP内容注入或单播和组寻址帧的重放攻击，破坏数据传输的机密性。

CNVD对该漏洞的综合评级为“中危”。

二、漏洞影响范围

受影响的厂商如下：

ArubaNetworks、Cisco、Espressif Systems、Fortinet, Inc.、FreeBSD Project、Google、HostAP、Intel Corporation、Juniper Networks、Microchip Technology、Microsoft Corporation、OpenBSD、Peplink、Red Hat, Inc.、Samsung Mobile。

三、处置措施

目前，已修复该漏洞的厂商如下，建议用户及时下载补丁进行更新：

http://www.cnvd.org.cn/webinfo/show/4261

关于Bad Rabbit勒索软件情况的预警通报

近日，一款名为“Bad Rabbit”（坏兔子）的勒索软件在境外蔓延。第一时间对该勒索软件进行分析，现将有关情况通报如下：

一、基本情况

2017年10月24日， “Bad Rabbit”（坏兔子）勒索软件在境外蔓延，目前涉及的国家主要有俄罗斯、乌克兰、德国、土耳其等欧洲国家，受害者包括俄罗斯的国际文传电讯社、乌克兰敖德萨国际机场、乌克兰基辅地铁系统等欧洲多国基础设施。

与之前的“Wannacry”与“Petya”不同，“Bad Rabbit”并未使用漏洞进行传播。攻击者通过攻陷合法网站，在合法网站中植入恶意代码，伪装成Adobe Flash升级更新弹窗，诱导用户主动点击下载并手动运行伪装成Adobe Flash的“Bad Rabbit”勒索软件。此勒索软件会加密感染者电脑中的文件，并提示受害者支付0.05比特币的赎金；此外，该勒索软件会扫描内网SMB共享，使用弱密码和Mimikatz工具获取登录凭证等手段尝试登录和感染内网其它主机。

二、影响范围

目前，该勒索软件主要在境外蔓延。根据CNCERT监测，10月24日至10月25日期间，境内仅发现极少量IP存在该勒索软件下载以及分发行为。疑似感染地区包括广东、河南、福建与北京。截止到此通报发布日期，我国境内尚未发现规模性感染。

三、处置建议

尽管此勒索软件并未利用漏洞进行大规模传播，但不排除后续出现利用漏洞进行传播的变种的可能。针对国内互联网用户, CNCERT的防护建议如下：

1、检查系统中是否存在以下三个文件之一，若存在则说明已经感染该勒索软件，请立即清除：

C:\Windows\dispci.exe

C:\Windows\infpub.dat

C:\Windows\cscc.dat

2、安装并及时更新杀毒软件产品；

3、及时关闭计算机以及网络设备上的445和139端口；

4、及时更新系统安全补丁；

5、关闭不必要的网络共享；

6、使用强度较高的密码并定期更换，降低系统密码被破解的风险；

7、不要轻信网站弹窗，请从官方网站或可信渠道下载软件更新；

8、定期在不同的存储介质上备份计算机上的重要文件。