近期,校內釣魚郵件攻擊數量仍呈高發態勢,并具有很強的針對性。被盜取的內部賬號多數是攻擊者通過暴力破解得到的弱口令賬號,這類賬號的密碼雖然符合系統的密碼強度要求(如大于8位、包含大小寫字母、特殊字符和數字),但依然屬于廣義上的弱密碼(例如密碼是學校名稱@數字),在針對性攻擊下很容易被破解,雖然目前大多數郵件系統針對暴力破解攻擊都有相應的限制規則,但由于攻擊者使用了分布式IP和慢速連接規避限制規則,也對郵件系統的運維提出更高的安全要求。
2025年3月-4月CCERT安全投訴事件統計
近期新增嚴重漏洞評述
01
微軟2025年4月的例行安全更新共包含微軟產品的安全漏洞125個,按等級分為11個高危、112個重要和2個低危。按照漏洞類型分為權限提升漏洞49個、遠程代碼執行漏洞33個、身份假冒漏洞3個、信息泄露漏洞17個、拒絕服務漏洞14個、安全功能繞過9個。這些漏洞中需要特別關注的是:
Windows通用日志文件系統驅動程序權限提升漏洞(CVE-2025-29824)。通用日志的驅動程序中存在一個權限提升漏洞,允許普通用戶以SYSTEM用戶的權限來執行任意命令。該漏洞已經存在在野的攻擊。
Windows遠程桌面服務遠程代碼執行漏洞(CVE-2025-27482)。Windows系統的遠程桌面服務存在一個安全漏洞,允許攻擊者通過連接到具有遠程桌面網關角色的系統,觸發競爭條件,利用UAF漏洞執行任意代碼。
Windows輕量級目錄訪問協議(LDAP)遠程代碼執行漏洞(CVE-2025-26663)。LDAP服務中存在一個UAF內存釋放錯誤漏洞,攻擊者利用該漏洞可以在無用戶交互的情況下遠程執行任意代碼。
Windows TCP/IP遠程代碼執行漏洞(CVE-2025-26686)。Windows系統中TCP/IP協議棧實現過程中存在一個安全漏洞,當用戶發起DHCPv6請求時,攻擊者可以發送精心構造的帶有IPv6地址的DHCPv6響應包來利用該漏洞,成功利用漏洞可以在用戶的系統上執行任意代碼。
02
佳能打印機驅動程序代碼執行漏洞(CVE-2025-1268)。佳能的打印機驅動程序中被發現存在一個嚴重的代碼執行漏洞,涉及的驅動版本包括Generic Plus PCL6、UFR II、LIPS4、LIPSLX和PS驅動的版本V3.12及更早版本。目前廠商已經在最新的驅動程序中修補了相關漏洞,建議用戶盡快進行升級。
03
WinRAR安全機制繞過漏洞(CVE-2025-31334)。WinRAR 7.11之前的版本中存在一個安全漏洞,可以繞過Windows系統自帶的Mark of Web(MoTW)安全機制。目前廠商已在7.11之后的版本中修補了該漏洞,建議用戶盡快升級。
04
Chrome瀏覽器136版本修補了之前版本中一直存在的瀏覽器訪問歷史泄露漏洞。新的Chrome里將鏈接訪問記錄與三個關鍵信息綁定——鏈接URL、頂級域名(地址欄域名)及框架來源,以此來阻止跨站點的歷史訪問信息泄露。同時瀏覽器允許同域名下的網站通過顏色來顯示用戶訪問的歷史鏈接信息,保證用戶的使用體驗。
05
Redis數據庫拒絕服務漏洞(CVE-2025-21605)。Redis 7.4.3之前的版本中存在一個拒絕服務漏洞,允許攻擊者通過網絡發送特定的數據包來觸發漏洞,這可能導致內存耗盡從而使得Redis進程崩潰,進而影響依托Redis服務的其他核心服務。廠商目前已經在7.4.3版本中修補了相關漏洞,建議Redis的管理員盡快升級。
安全提示
為防范頻發的釣魚郵件攻擊,可進行如下操作。
一、若服務器支持,建議啟用多因子認證及客戶端專用密碼機制。
二、在郵件系統中為郵件賬號設置強密碼規范要求(包括位數要求、復雜度要求及禁用字符串等),并定期對用戶賬號、密碼進行弱密碼探測。
三、設置嚴格的密碼錯誤次數并自動對超過測試次數的IP進行臨時封禁操作。
四、為郵件系統設置有效的反垃圾郵件網關,并實時更新規則。
五、在郵件系統上建立監測預警機制,發現釣魚郵件攻擊及時響應,向用戶發送告警信息并采取緩解措施(如封禁相關的釣魚網站鏈接)來降低風險。
六、設定特定事務的專用郵件發送賬號,并告知用戶相關信息只會從該賬號發出。
七、定期對用戶開展釣魚郵件有關的安全培訓,增強用戶防騙意識。
來源:《中國教育網絡》2025年4月刊
作者:鄭先偉(中國教育和科研計算機網應急響應組)
責編:陳茜
