adv

致长期以来一直关注solidot的海内外朋友,请点击这里查看。
安全
lx1(25847)
发表于2019年05月02日 16时12分 星期四
来自
中国安全研究人员在 4 月 18 日披露了甲骨文刚刚修复的一个高危漏洞:Weblogic 反序列化漏洞(CVE-2018-2628)。安全研究人员是在去年 11 月将漏洞报告给了甲骨文,漏洞允许攻击者在未授权的情况下远程执行任意代码。漏洞影响 Weblogic 10.3.6.0、12.1.3.0、12.2.1.2 和 12.2.1.3。研究人员公开了漏洞细节,随后该漏洞观察到被攻击者利用挖掘数字货币,以及安装勒索软件,整个过程无需任何点击或互动。Cisco Talos 的研究人员报告,该漏洞至少从 4 月 21 日起就被活跃利用。攻击者被发现在尚未修复的计算机上安装一种新的勒索软件叫 Sodinokibi,除了加密重要的数据,该勒索软件还尝试毁掉备份,防止受害者简单利用备份恢复加密的数据。奇怪的是,攻击者随后还利用相同的漏洞安装了另一种勒索软件叫 GandCrab。
安全
lx1(25847)
发表于2019年05月01日 09时42分 星期三
来自
彭博社援引内部文件和知情人士的消息报道,欧洲最大的移动运营商沃达丰于 2009 年到 2011 年之间在华为的路由器和宽带网络网关等网络设备中发现了后门,利用这些后门,华为能未经授权访问沃达丰在意大利的固线网络。这一报道再次引发了争议,不仅沃达丰公开表达了异议,其他人也对彭博社的可信度再次提出了质疑。此前它的中国芯片后门报道未提供真正确凿的证据。沃达丰回应称,它发现的是安全漏洞,已经被华为修复,漏洞并不能被远程访问,只能在本地访问,因此无法被华为利用。沃达丰称,路由器漏洞是在 2011 年发现和修复的,宽带网关漏洞是在 2012 年发现和修复的。彭博社报道的正确性取决于漏洞和后门的区别,漏洞是无意的代码错误,允许未经授权访问;后门则是有意的编码去允许未经授权访问。彭博社描述的所谓后门实际上是常见的漏洞,没有任何迹象显示这是华为有意植入的后门。
安全
lx1(25847)
发表于2019年04月30日 11时56分 星期二
来自
本月早些时候,微软透露它的 Outlook.com、Hotmail 和 MSN 服务遭到未知攻击者入侵。现在,部分受害者声称黑客窃取了他们的加密数字货币。一位受害者提供了屏幕截图,称黑客访问了他的收件箱,重置了他的 Kraken [dot] com 账号,撤回了比特币。Kraken 是一个受欢迎的数字货币交易所。这位受害者展示了微软的通知以及黑客在其邮箱设置的转发规则:所有提到 Kraken 的邮件都被转发到了黑客控制的 Gmail 邮箱。但目前还无法确认此次入侵是否真的针对数字货币
安全
WinterIsComing(31822)
发表于2019年04月28日 17时49分 星期日
来自
一家深圳公司(该公司网站基本不更新)开发的软件 iLnkP2P 被发现存在严重安全漏洞,全世界有数百万物联网设备受到影响。iLnkP2P 被广泛用于安全摄像头和网络摄像头、婴儿监视器、智能门铃和数字录像机,它允许用户从任何地方简单快捷的访问设备。用户只需要下载移动应用,扫描设备上的二维码或六位数 ID。但安全研究员 Paul Marrapese 发现, iLnkP2P 设备没有提供任何验证或加密,很容易被枚举破解,允许攻击者与这些联网设备建立直接连接,绕过防火墙的限制。全世界有 200 多万物联网设备存在该漏洞,其中 39% 位于中国,19% 位于欧洲,还有 7% 在美国。几乎半数存在漏洞的设备是海芯威视生产的,它的设备 ID 使用了前缀 FFFF、GGGG、HHHH、IIII、MMMM 和 ZZZZ。
安全
lx1(25847)
发表于2019年04月27日 19时51分 星期六
来自
Docker 向用户发去通知Docker Hub 的一个数据库在 4 月 25 日被发现遭到未经授权访问。在发现之后他们立即采取措施进行干预并确保网站安全。在短暂的数据库未经授权访问期间,大约 190,000 账号的敏感数据暴露,部分用户泄露了用户名、哈希密码、用于 Docker 自动构建的 Github 和 Bitbucket 令牌。Docker 已经要求受到影响的用户改变密码,撤销了 GitHub 令牌和访问密钥。Docker Hub 是一个分享预配置 Docker 镜像的仓库,预配置的镜像可以节省管理员的设置时间。类似的供应链攻击正日益猖獗。
安全
lx1(25847)
发表于2019年04月26日 19时42分 星期五
来自
微软在几年前公布了一项安全基线配置,其中要求 60 天强制更新密码。但在最新的 Windows 10 version 1903 和 Windows Server version 1903 的安全基线配置草案中,这一要求被放弃了。密码过期政策的用意是好的,但在现实中,它却会导致系统更不安全,因为用户不喜欢每过 60 天就要记一个新密码,因此他们通常会选择一个容易记住的弱密码,然后在后面添加 1,2,3 或 4,这种密码组合很容易被暴力破解。在 GPU 等加速计算组件的帮助下,暴力破解密码是非常迅速的。在理想情况下,多要素验证而不是频繁更换密码更有利于保护系统安全。
安全
lx1(25847)
发表于2019年04月25日 16时58分 星期四
来自
一位自称 L&M 的黑客逆向工程了两个 GPS 跟踪器应用 ProTrack 和 iTrack 的 Android 版本,发现所有用户在注册时会获得默认密码 123456。他随后利用 API 暴力破解了数百万用户名,然后写了一个脚本组合这些用户名和默认密码尝试登录,他成功入侵了 7000 多个 iTrack 账户和 20,000 多个 ProTrack 账户。这些账号允许他监视相关汽车的位置,对于某些型号的汽车,GPS 跟踪器应用还允许远程关闭处于停车或低于时速 12 英里行驶的汽车引擎。
安全
lx1(25847)
发表于2019年04月25日 16时25分 星期四
来自
高通芯片组被广泛用于智能手机和平板,但这些芯片组的一个安全漏洞将允许攻击者从被称为 Qualcomm Secure Execution Environment(QSEE)的芯片安全域窃取私钥和加密密钥。漏洞编号为 CVE-2018-11976,高通已经释出了补丁,但鉴于 Android 生态系统的现状,绝大部分智能手机和平板在很长时间里不太可能会得到修复。漏洞影响高通芯片如何处理 QSEE 中的数据。
安全
lx1(25847)
发表于2019年04月24日 14时59分 星期三
来自
安全公司卡巴斯基上个月披露了华硕遭遇的供应链攻击,攻击者入侵了华硕自动更新工具的服务器,利用自动更新将恶意后门推送到客户计算机里,恶意文件有华硕的证书签名。据估计,有 50 万用户通过华硕的自动更新收到了恶意后门,但攻击者只对其中 600 台计算机发动了针对性的后续攻击。这一攻击被命名为 ShadowHammer 行动。卡巴斯基研究人员的进一步分析发现,华硕不是唯一一家遭到攻击的,还有至少六家企业被黑客渗透。研究人员发现了与 ShadowHammer 行动相关的恶意程序样本,使用了相似的算法去计算 API 函数哈希,也用了有效且合法的证书签名。所有恶意程序样本都以不同理由使用了 IPHLPAPI.dll。被渗透的企业包括了僵尸游戏《Infestation: Survivor Stories》的开发商 Electronics Extreme,韩国《Point Blank》游戏开发商 Zepetto,以及 Innovative Extremist,此外还有一家游戏开发商、一家集团控股公司和一家制药公司,它们都在韩国。
安全
lx1(25847)
发表于2019年04月23日 18时30分 星期二
来自
现代加密系统的一个关键部分是产生足够随机的熵(或噪音),开源硬件开发者黄欣国(Andrew“bunnie”Huang)在为 betrusted 项目工作时设计了一个移动友好的雪崩噪音生成器。现有的开源噪音生成器要么太大要么功耗太高,都不适合整合到移动设备里。黄欣国称,他发现雪崩噪音生成器的原理很难找到,因此决定公布自己的设计笔记,以备未来有人想要重新设计噪音生成器时提供一个参考。
安全
lx1(25847)
发表于2019年04月22日 11时36分 星期一
来自
英国网络安全中心对泄漏账号的分析显示,超过 2300 万人使用密码 123456。这并非是人们不喜欢用复杂的密码,而更可能的原因是这些账号是可抛弃的,它们并不重要的需要使用复杂密码。 123456 之后使用频率最高的密码是 123456789、qwerty、password、111111、12345678、abc123、1234567、password1 和 12345。如果你是足球迷,那么“利物浦”或“切尔西”的使用频率都非常高。如果是音乐迷,那么根据使用频率 50 分乐队打败了金属乐队。最常见的虚构角色密码是“超人”(superman,333,139 人)、“火影忍者”(naruto,242,749)、“跳跳虎”(tigger,237,290)、“口袋妖怪”(pokemon,226,947)和“蝙蝠侠”(batman,203,116)。
安全
lx1(25847)
发表于2019年04月20日 18时58分 星期六
来自
英国安全研究员 Marcus Hutchins,aka MalwareTech,2017 年因发现 WannaCry 的关闭开关阻止了该勒索软件的进一步传播而被视为一位安全领域的英雄,但他在当年前往美国参加安全会议 Black Hat 和 DEF CON 后准备在机场离境时遭到 FBI 逮捕,被控开发、传播和维护了银行木马 Kronos。本周 Hutchins 承认他开发了银行木马, 他对此表示遗憾,并愿意为错误承担责任,表示正将几年前误用的技能用于建设性目的。根据认罪协议,Hutchins 承认了两项指控,检方放弃了另外八项指控,每一项指控的最大刑期是五年,最高罚款 25 万美元。他承认开发了银行木马 Kronos 和 UPAS-Kit,承认与同谋 Vinny、VinnyK 和 Aurora123 在网上宣传和销售这两种木马,时间发生在 2012 年 7 月到 2015 年 9 月之间,之后他改变了职业轨道成为了安全研究员。
安全
lx1(25847)
发表于2019年04月18日 18时32分 星期四
来自
思科 Talos 安全部门的研究人员披露,名叫 Sea Turtle 的网络间谍组织利用 DNS 劫持技术攻击了 40 个不同的组织,在此过程中他们甚至入侵了多个国家级顶级域名系统,令整个国家的域名流量面临风险。黑客的受害者包括了电信公司、ISP 和域名注册商。但最主要的受害者及其最终目标是政府机构,包括外交部、情报机构、军事目标和能源相关组织。这些机构都位于中东和北非。通过入侵互联网的目录系统,黑客能悄悄使用中间人攻击能拦截发送给目标的所有数据。Talos 表示难以确定攻击者的国籍,但它提供了受害者所在的国家名单,包括:阿尔巴尼亚、亚美尼亚、塞浦路斯、埃及、伊拉克、约旦、黎巴嫩、利比亚、叙利亚、土耳其和阿联酋。
微软
lx1(25847)
发表于2019年04月17日 15时57分 星期三
来自
微软在 Windows 8 中引入的磁贴服务 Windows Live Tiles 允许网站在磁贴上展示新闻,但该服务未获成功,软件巨人后来把这个服务关闭了,但忘记删除域名服务器条目。结果被人利用漏洞接管了相关的子域名,允许他们在磁贴上展示任意的图片和内容。这种攻击方法被称为子域名接管攻击。发现漏洞的人通知了微软,然而微软却没有任何回应,因此他们把这件事公布了出来
安全
lx1(25847)
发表于2019年04月17日 15时28分 星期三
来自
杀毒软件公司 Bitdefender 发表报告(PDF),一种此前主要在中国传播的恶意程序扩散到了世界其它地方。习惯下载和安装破解软件的用户面临的风险最大。这种恶意程序被称为 Scranos,其最重要的组件是一个隐藏在软件中的 rootkit 驱动,允许恶意程序长久滞留在系统中,获得对系统的完整控制权限。Scranos 的功能包括从 Google Chrome、Chromium、Mozilla Firefox、 Opera、Microsoft Edge、IE、百度浏览器和 Yandex 浏览器提取 cookies 和窃取登录凭证,从 Facebook、Amazon 和 Airbnb 窃取支付账号,向 Facebook 朋友发送钓鱼信息,窃取 Steam 的登录凭证,向 IE 注入广告程序,订阅 YouTube 频道等等。
安全
lx1(25847)
发表于2019年04月16日 20时36分 星期二
来自
去年 7 月释出的 Adblock Plus 引入了重写请求的过滤器选项,之后 AdBlock 和 uBlock(不是 uBlock Origin)都加入了对这一选项的支持。在特定条件下,$rewrite 过滤器选项列表的维护者可以向网页注入任意代码。受影响的扩展用户超过一亿。Armin Sebastian 在个人博客上解释了利用该选项执行任意代码的工作原理,他建议 Adblock Plus 移除 $rewrite 选项,因为该功能容易遭到滥用。用户可以切换到另一个流行的广告屏蔽扩展 uBlock Origin,它不支持 $rewrite 选项,因此不受该攻击的影响。
安全
lx1(25847)
发表于2019年04月16日 12时56分 星期二
来自
印度 IT 外包巨头 Wipro 正在调查其 IT 系统遭到入侵,并被用于对其客户发动攻击的报道。Wipro 是印度第三大 IT 外包公司,匿名消息来源称该公司的系统被用于作为起跳点对其数十家客户的系统发动钓鱼式刺探。它的客户跟踪到了可疑的恶意网络侦查活动,攻击者被发现来自于 Wipro 的网络。Wipro 的一家客户已经取消了与该公司的合同,但不清楚是否与网络入侵有关。Wipro 则发表声明声称其网络系统有多重安全保障。
安全
lx1(25847)
发表于2019年04月15日 17时23分 星期一
来自
微软开始向部分 Outlook.com、Hotmail 和 MSN 客户发去通知,称黑客能访问他们的账号。微软发现今年早些时候它的电邮服务支持代理的凭证遭到入侵,允许黑客在 1 月 1 日到 3 月 28 日之间未经授权访问部分用户的账号,黑客能浏览到电邮地址、文件夹名字和邮件标题,但无法访问邮件内容或附件。目前不清楚有多少账号受到影响。黑客无法窃取到用户的登录细节或个人信息,但出于谨慎微软推荐受影响的用户重置他们的密码。
安全
lx1(25847)
发表于2019年04月15日 15时36分 星期一
来自
安全研究员 John Page 披露了一个 IE 0day 漏洞,该漏洞允许远程攻击者利用 IE 提取本地文件。漏洞利用不需要用户打开 IE 浏览器,只需要你的 Windows 设备安装了 IE,这意味着大部分 Windows 机器都受到影响,即使用户不再用 IE。攻击者利用了 .MHT 文件格式的漏洞,.MHT 被 IE 用于 Web 存档,而大部分现代浏览器已经不使用 .MHT 格式,因此当用户尝试打开一个.MHT 文件,Windows 操作系统会默认使用 IE 打开。为了利用该漏洞,用户需要打开从电邮、消息应用等接收到的 .MHT 附件。微软目前还没有释出修复补丁,何时修复还是未知之数。
安全
lx1(25847)
发表于2019年04月12日 14时30分 星期五
来自
两名安全研究人员披露了 Wi-Fi WPA3 标准中的一组漏洞,这组漏洞被命名为 Dragonblood。攻击者可利用这些漏洞在受害者网络范围内获取 Wi-Fi 密码和渗透进网络。Dragonblood 由五个漏洞构成,包括一个拒绝访问攻击,两个降级攻击和两个侧通道信息泄露。后四个漏洞都利用了 WPA3 标准 Dragonfly 密钥交换机制中的设计缺陷,可用于获取用户密码。