[弱點通告]IE 存在允許遠端執行程式碼的Zero-Day 弱點 CVE-2014-1776 ，請評估暫時改用其他瀏覽器！

說明

弱點：CVE-2014-1776 Microsoft Internet Explorer 含有允許遠端執行程式碼的Zero-Day 弱點，惡意人士可透過引誘使用者瀏覽事先建立的惡意網頁後，便可執行任意程式碼、提升權限、規避部份安全限制等讓使用者系統受駭之安全性弱點。目前已知會受到影響的版本為Internet Explorer 6~11 版本，網智數位建議請使用者評估暫時改用其他瀏覽器。

微軟官方對此漏洞的解釋 

該漏洞是一個遠端執行代碼的漏洞。該漏洞發生在在Internet Explorer讀取已被刪除或沒有被正確地分配在記憶體中的物件時。這漏洞可能是利用 Memory corruption的方式讓攻擊者可能可以對目前使用Internet Explorer的使用者電腦執行任意代碼。惡意人士可利用此弱點使用水坑型攻擊(Watering Hole Attack) 手法，針對目標瀏覽器使用群(Internet Explorer 6 ~ 11)可能會瀏覽的網站植入Flash 網頁，當目標群以Internet Explorer 瀏覽器瀏覽時則可攻擊成功。該攻擊利用Internet Explorer 無法處理使用釋放後記憶體錯誤(use-after-free) 的漏洞使惡意人士取得使用者權限並得以遠端執行程式碼。

微軟官方目前還在研究調查此漏洞，並建議使用者開啟防火牆和安裝安全軟體，也會在之後推出新的安全性更新，但須注意的是!

Windows XP 並不會在此次更新內，使用 XP 的用戶應該考慮升級您的作業系統或是改用Google Chrome或火狐Firefox瀏覽器。

影響範圍

除了 Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012, and Windows Server 2012 R2 外的所有 Windows 系統上的 IE6~IE11 全系列中獎 !

建議措施

安裝 Enhanced Mitigation Experience Toolkit 4.1 (EMET) 

安裝 Enhanced Mitigation Experience Toolkit 4.1 (EMET) 利用額外的保護來防堵此漏洞攻擊，並請關閉Flash plugin，以避免遭受此弱點攻擊成功。

什麼是 Enhanced Mitigation Experience Toolkit？
Enhanced Mitigation Experience Toolkit (EMET) 是一種公用程式，可協助預防軟體中的弱點被利用。EMET 使用安全防護技術達成此目標。這些技術就像是特殊的防護與障礙，有心人士必須通過這些防護與障礙才能利用軟體弱點。這些安全防護技術不保證弱點不被利用。然而，運用這些技術能讓漏洞更難以遭受入侵。
EMET 4.0 及較新版本也提供可設定的 SSL/TLS 憑證釘選功能，稱為憑證信任。此功能的用途為偵測利用公開金鑰基礎結構 (PKI) 的攔截式攻擊。

注意! EMET 3.0 並不能防範此漏洞

更改瀏覽器

使用者若瀏覽企業內部網站則仍可使用IE 瀏覽器，連至外部網站時建議暫時改用其他瀏覽器，以避免遭受惡意攻擊。

提高警覺

請勿隨意瀏覽來源不明的網頁以及開啟郵件附加檔案，以降低受駭風險。

Read More

[教學]CentOS 6.4 安裝 vsftpd FTP Server

我們有個企業解決方案(無論您需要哪種項目的服務，我們都可以滿足你的需求，如果我們沒有適合您的解決方案，我們也會您開發適合您的解決方案)，最近一個客戶請我們架設FTP Server，需求是便宜、快速、穩定與安全，我第一個就想到使用Linux(免錢)來架vsFTPd(本身系統非常快速與穩定)啦，vsFTPd (very secure FTP daemon) 作者為Chris Evans其主要著眼於安全、快速、穩定，在Linux系統中是很常用到的服務。安裝也非常的快速及簡單，安裝方法如下：

1. 安裝 vsftpd：
[root@localhost ~]# yum -y install vsftpd
[root@localhost ~]# touch /etc/vsftpd/chroot_list
[root@localhost ~]# chkconfig vsftpd on

2. 安裝完後讓防火牆可以通過 21 Port：
[root@localhost ~]# iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 21 -j ACCEPT
[root@localhost ~]# service iptables save

3. 編輯 "/etc/vsftpd/vsftpd.conf" [root@localhost ~]# vim /etc/vsftpd/vsftpd.conf
找到：anonymous_enable=YES
將 YES 改成 NO。
如要限制用戶只能在自己的家目錄，則在檔案加入:
限制用戶只能在家目錄 (/etc/vsftpd/chroot_list 的用戶可不受限制)
chroot_local_user=YES
chroot_list_enable=YES
chroot_list_file=/etc/vsftpd/chroot_list
如要 ftp 的檔案列表可以看到跟 Server 上同樣的時間，請在檔案加入:
# 使用本地時區
use_localtime=YES

4. 啟動 vsftpd：
[root@localhost ~]# service vsftpd start


基本上以上設定就架好FTP Server了，但如果你使用root登入會發現FTP 會回傳530 Permission denied.。為什麼會這樣呢？root不是最大權限系統管理者帳號嗎？理論上應該是通行無阻才對，原來是因為安全性的關係vsftp預設會將系統某些重要帳號設定為無法使用FTP服務。

[root@localhost ~]# ftp 192.168.0.118
Connected to 192.168.0.118 (192.168.0.118).
220 Welcome to ftp.netqna.com FTP Server.
Name (192.168.0.118:root): root
530 Permission denied.
Login failed.
ftp>

那要怎麼讓root可以登入FTP呢？請執行下面幾個動作

移除ftpusers 裡面的帳號

vim /etc/vsftpd/ftpusers
找到root 前面加上#號註解

[root@localhost ~]# vim /etc/vsftpd/ftpusers
# Users that are not allowed to login via ftpbin
#root
daemon
adm
lp
sync
shutdown
halt
mail
news
uucp
operator
games
nobody
[root@localhost ~]#


移除user_list裡面的帳號

vim /etc/vsftpd/user_list
一樣找到root 前面加上#號註解

[root@localhost ~]# vim /etc/vsftpd/user_list
# vsftpd userlist
# If userlist_deny=NO, only allow users in this file
# If userlist_deny=YES (default), never allow users in this file, and
# do not even prompt for a password.
# Note that the default vsftpd pam config also checks /etc/vsftpd/ftpusers
# for users that are denied.bin
#root
daemon
adm
lp
sync
shutdown
halt
mail
news
uucp
operator
games
nobody
[root@localhost ~]#


重新啟動VSFTPd 

[root@localhost ~]# /etc/init.d/vsftpd restart
Shutting down vsftpd: [ OK ]
Starting vsftpd for vsftpd: [ OK ]


重新使用root登入

[root@localhost ~]# ftp 192.168.0.118
Connected to 192.168.0.118 (192.168.0.118).
220 Welcome to ftp.netqna.com FTP Server.
Name (192.168.0.118:root): root
331 Please specify the password.
Password:
230 Login successful.
Remote system type is UNIX.
Using binary mode to transfer files.
ftp> bye
221 Goodbye.
[root@localhost ~]#


增加FTP Server安全性

雖然root登入很方便，但還是有一定程度的安全性議題，畢竟FTP傳輸協定是明文在傳輸的，預設本身沒有加密，萬一帳號被竊取，很有可能導致公司重要資料被竊取，建議新增一個FTP User，而這個User不能登入系統，只能使用FTP 服務，即使帳號密碼被竊取，起碼可以將駭客的權限限制到FTP服務。以下兩個方法可以增加FTP的安全性。

限制FTP使用者

如果我們想把chris這個用戶目錄定位在/var/www/html/chris/public_html這個目錄中，並且不能登錄系統，我們應該如下操作

[root@localhost ~]# adduser -d /var/www/html/chris/public_html -g ftp -s /sbin/nologin chris
[root@localhost ~]# passwd chris

另外如果希望讓chris可以切換目錄，其它都不行的話，可以修改vsftpd.conf 加上兩行設定

[root@localhost ~]# vim /etc/vsftpd/vsftpd.conf
chroot_list_enable=YES
chroot_list_file=/etc/vsftpd/chroot_list
並將chris寫入 /etc/vsftpd/chroot_list 之中即可!!


限制來源IP

設定只允許 192.168.0.0/24 的主機使用 FTP Server
編輯「/etc/hosts.allow」，輸入 vsftpd: 192.168.0.x
編輯「/etc/hosts.deny」，輸入 vsftpd: ALL

總結

雖然已經限制了FTP使用者，也針對信任的來源IP才可以使用FTP 服務，看起來好像很安全了，但是就如上文所說的，FTP還是使用明文傳輸，萬一網路環境不乾淨，駭客躲在網路的傳輸中加入一個惡意的節點，攔截所有經過的網路封包，接著嘗試取得封包內的機密訊息，例如帳號、密碼等..。這時如果訊息沒有經過加密就很有可能帳號密碼因此就外洩了，可怕的是在攔截的過程中雙方都會收到彼此的訊息，管理者很難發現被中間人攻擊了，建議可以使用SFTP (SSH File Transfer Protocol)，就算封包被攔截竊取，駭客也需要花時間去解密，起碼管理者有緩衝的時間，做一些因應與處理。

延伸閱讀

[資訊安全]如何避免或破解Netcut網路剪刀手(ARP Spoofing)造成的斷線情形
[資訊安全]如何解決麻煩的161816.com ARP Spoofing

Read More

網頁應用防火牆(Web Application Firewal, WAF)

隨著 Web2.0 時代的到來，網站應用也逐漸被大眾廣泛的接受和使用。企業的ｅ化雖然可為企業帶來可觀的商業利益，但建置網站的資安問題也緊跟著浮出檯面。

事實上，網站攻擊會越來越氾濫的原因，其實跟網站本身有很深的關聯。由於網路的興起，從政府機關、金融機構、中小企業以至於學校、個人都開始架設自己的網站，而且，為了與來訪者互動，多半都會使用ASP、PHP、CGI、JSP等網路應用程式。但是因為這些程式的開發者程度不一，有些甚至沒有受過專業訓練，只是從網路上隨便抄程式碼拼湊起來，所以這些程式可說是良莠不齊，漏洞百出。

若想解除Web的安全威脅，最根本的解決方式在於重新檢視所有的Web程式，即所謂的白箱測試Code Review，從中找出不安全的程式碼再加以修改，而且有些程式碼的掃瞄軟體可幫忙程式設計師找出不安全的程式碼。但是Code Review的工程浩大，很不切實際，因此網頁應用防火牆(Web Application Firewal, WAF)應運而生。而面對網站的安全問題，許多廠商推出了像是IDS、IPS、WAF等..網站防護的資安產品，這些產品是什麼？有什麼不同之處呢？今天會針對網頁應用防火牆(Web Application Firewal, WAF)來做個簡單的介紹。

延伸閱讀：

網路型入侵偵測系統(Network-based Intrusion Detection System)

主機型入侵偵測系統﹙Host-based Intrusion Detection System , HIDS﹚

以往僅能看到L3、L4攻擊的網路安全閘道器已無法應付這些針對L7應用程式的攻擊方式，必須仰賴像網頁應用程式防火牆(Web Application Firewal, WAF)的第七層網路安全設備來抵禦這些新型威脅。WAF的設計宗旨是防禦針對網頁應用程式的常見攻擊，像是OWASP Top 10 中最常出現的跨網站腳本攻擊(Cross Site Scripting, XSS)以及資料庫隱碼(SQL injection) 等攻擊。簡單的說WAF的作用就是為了保護網站主機，在我們來得及改善網站的安全性之前，拉起一道防護網，以減少被攻擊成功的機會。

OWASP TOP 10（年度 10 大 Web 安全漏洞）

OWASP 是一個專門研究 Web 軟體安全的社群，他們每年均會提出最有威脅的 Web 安全漏洞來提醒使用者，以下簡單的說明 OWASP 所提出的 Web 安全漏洞。

Injection（注入攻擊）

由於程式設計師出於疏失或經驗不足而未對於使用者輸入的參數值進行檢驗，以致於惡意使用者可利用惡意的輸入值（如惡意 SQL 指令串或惡意的 script 碼），讓系統自動執行惡意的指令而對系統造成危害。此類攻擊以 SQL injection，command injection 為代表，其中以 SQL injection 最具代表也最具危害性。

Cross Site Scripting（XSS，跨網站腳本攻擊）

跨網站腳本攻擊的原因跟 SQL injection 一樣，同樣是因為程式沒有檢驗使用者輸入的參數內容所造成。不過與 SQL injection 最大的不同在於，SQL injection 會對資料庫所在的主機造成重大危害，但 XSS 攻擊主要會造成瀏覽者安全上的危害，往往不會對於主機造成危害，也因此常被管理者所忽略，而使得此種攻擊有越來越普遍的趨勢。XSS 攻擊流程如下：

1. 攻擊者將含有 XSS 漏洞的網頁，置於受害的網站伺服器上 。 
2. 當不知情的使用者瀏覽此網頁時（如瀏覽某則留言），即會啟動 XSS 攻擊碼而將無辜的第三者相關資訊回傳到駭客的電腦上。

Broken Authentication and Session Management（鑑別與連線管理漏洞）

此漏洞是指網站自行開發的身份證驗證與連線 (session) 管理具有安全性的缺失，例如一個網站身份驗證流程如下：

1. 當使用者登入成功後，會將一個（含有帳號及密碼甚至權限等相關資訊的 cookies，丟至使用者的電腦端上）。 
2. 網站再存取該使用者的授權 cookies 來判別使用者的身份。 

在上述流程中，如果 cookies 並未加密，惡意的使用者只要取得此 cookies 即可得知其它使用者相關的機密資訊。或者加密的演算法不夠嚴謹，一旦被破解，也會造成使用者的機密資料外流，甚至可冒充其它的使用者（提升權限至管理者）。

Insecure Direct Object References（不安全的物件參考）

如果一個經驗不足的程式設計師，想要實做一支能動態顯示檔案內容的程式，會直覺想到直接把要顯示的檔案當做參數傳進去，如下連結所示：

http://xxx.xxx.xxx.xxx/show.php?file=xxx.txt
而後在接到參數值後，再直接開檔顯示即可。可是如果一個有心人傳進去的參數為：
http://xxx.xxx.xxx.xxx/show.php?file=../../etc/passwd
其中 ".." 為回到上一層，此種參數即可能將系統中的 /etc/ 目錄下的 passwd 檔案顯示出來。

Cross Site Request Forgery（CSRF，跨網站冒名請求）

從某種角度來看，CSRF 可視為廣義的跨網站攻擊 (XSS) ，但 CSRF 通常是在使用者已登入系統服務下發動攻擊。例如：

在討論區中的某段留言塞進一段可直接登出 (logout) 的惡意程式碼，當使用者登入後，在瀏覽相關留言時，只要瀏覽到這段留言，即會觸發該段惡意程式碼，而直接將使用者登出。此即為 CSRF 攻擊。

Security Misconfiguration（不安全的組態設定）

此漏洞較偏向管理面的問題，如未更改預設的帳號及密碼或未定時的更新系統的安全修正程式等等。

Failure to Restrict URL Access（未適當限制的 URL 存取）

一般網站通常會分成前端程式及後端管理程式。基於安全的考量 ，後端管理程式不應該直接被 Internet 上的使用者查詢，而應該限制僅有某些管理者可查詢及存取。如果網站未限制，而使 Internet 上的其它使用者也可正常的查詢，即可能造成潛在的安全漏洞。

Unvalidated Redirects and Forwards（未驗證的網頁重新導向）

有些網站提供網頁重新導向至其它的網站，惡意的攻擊者可利此種特性，將惡意網址插入到重新導向的參數中，讓使用者連接到惡意的網站上。

Insecure Cryptographic Storage（不安全的加密儲存）

網站並未對機密的資料做加密處理或使用不嚴謹的加密演算法，而導致攻擊者在取得相關的機密資料後，可以很輕易的取得相關資訊。

Insufficient Transport Layer Protection（不安全的傳輸防護）

由於 HTTP 連線均是採用明碼的方式連線，攻擊者在任何一個節點均可能利用 Sniffer（竊聽）方式取得來往資料。如果網站採用 HTTP 連線方式，來往的封包均以明碼方式傳輸，攻擊者即可輕易的取得相關機敏資訊。

儘管某些入侵防禦系統(Intrusion Prevention Systems, IPS)也能提供一定程度的應用層的防禦功能，但是它們不具備WAF的精度和準度，為什麼呢？因為這兩者是完全不同的兩種技術，IPS是基於特徵碼，而WAF是從行為來分析，以下介紹WAF與IPS的不同：

1. WAF主要只針對HTTP（s）協定進行防護，而IPS較廣泛的針對大多數的網路協定。 
2. WAF 是針對網路行為來進行分析，IPS 則是作特徵碼的比對，相較之下，WAF屬於動態防護，而IPS就偏於靜態。例如針對一般的SQLInjection（資料庫隱碼注入）攻擊，兩者都能夠防護。但是，如果網站資料是加密的（主要是採用HTTPS）或是攻擊者將資料編碼過（如URL Encoding），由於加密過後，風包頭尾資訊就看不到了，IPS便無法阻擋這種方式的攻擊。 
3. WAF防護行為通常包含了黑白名單與特徵碼分析，所謂黑白名單，主要是指已知允許或不允許的網頁連線行為。例如，必須先到登入頁面才能瀏覽某個網站頁面，如果有攻擊者試著規避此一程序，WAF可以偵測到這種行為，而IPS主要只比對特徵碼。 
4. WAF可針對網站表單欄位內容進行檢查與限制，IPS則無此功能。因此若要做到防止表單欄位內容竄改，就要使用WAF。 
5. WAF從網頁連線要求開始就記錄和追蹤，IPS只針對封包記錄。

總結

所以說IPS主要是防禦面相是廣的，而WAF的防禦面相是深的，每個產品的資安防護都有個有不足，唯有搭配使用才能將網站做到一定程度的防護。

Read More