solidot此次改版内容包括服务器更新、编程语言、网站后台管理的优化、页面和操作流程的优化等。
adv
安全
WinterIsComing(31822)
发表于2021年03月09日 10时34分 星期二
来自
安全公司 Secureworks 周一发表报告,除了俄罗斯黑客,中国黑客组织也在同一时间内对 SolarWinds 的客户发动了攻击。在俄罗斯黑客发动供应链攻击的同时,安全研究人员去年 12 月披露还有黑客利用了 SolarWinds 公司软件 Orion 的一个漏洞,在该公司客户的网络中安装了名为 Supernova 的 web shell。但当时还不知道是谁发动了攻击。根据其使用的技术、策略和程序,研究人员现在将该黑客组织命名为 Spiral,该组织此前还利用了 ManageEngine ServiceDesk 的漏洞入侵企业网络。
安全
WinterIsComing(31822)
发表于2021年03月08日 13时06分 星期一
来自
依赖混淆供应链攻击最近引发了很多关注,在 Go 生态系统中,依赖混淆问题基本上不存在,原因是它明确指定了要导入的包。但 Go 并不能免于供应链攻击,因为你在导入外部的软件包时可能会犯下输入错误的问题,而如果攻击者利用这种输入错误,那么你仍然可能会不小心在软件中整合了恶意的包。有开发者调查了 Go 生态系统中的这种错误输入供应链攻击,发现了多个流行库的名字相似的可疑软件包。其中之一会访问属于腾讯的 IP 地址,将收集到的系统信息作为 URL 参数以 HTTP 形式发送过去。
安全
WinterIsComing(31822)
发表于2021年03月07日 21时36分 星期日
来自
微软发现了更多 SolarWinds 黑客使用的恶意程序。SolarWinds 黑客被认为与俄罗斯政府有关联,黑客首先入侵了 SolarWinds 公司的软件平台,向其 1.8 万客户推送了含有后门的恶意更新,然后选择少量目标展开后续攻击。微软发现了用于后续攻击的恶意程序:GoldMax、GoldFinder 和 Sibot。其中 GoldMax 使用 Go 语言开发,用于与黑客的 C2 指令控制服务器进行通信,C2 服务器使用了有知名度的转售域名以避开检测;Sibot 则是 VBScript 文件,用于冒充合法的 Windows 任务;GoldFinder 也是用 Go 开发的,是一个定制的 HTTP 跟踪工具。
安全
WinterIsComing(31822)
发表于2021年03月07日 17时41分 星期日
来自
上个月,安全研究员 Alex Birsan 披露了一种新型的供应链攻击:依赖混淆。他发现大企业使用的程序通常会包含非公开的私有依赖包,如果在软件包仓库中加入同名的公开的依赖包,那么这些程序在构建时很可能会优先使用公开的依赖包,可能导致恶意程序在公司内网执行。过去一周,包括苹果、微软和特斯拉在内的数十家企业成为依赖混淆供应链攻击的目标。npm 和 PyPi 开源代码仓库涌入了超过五千个概念验证攻击包。安全公司担心未来类似的现象将会有增无减
安全
WinterIsComing(31822)
发表于2021年03月06日 16时32分 星期六
来自
KrebsOnSecurity 援引消息来源报道,至少三万家美国机构——包括大量的小企业和各级政府被黑客组织利用微软电邮软件 Microsoft Exchange Server 的漏洞入侵。微软本周披露,黑客正在利用 Exchange Server v2013 到 2019 中的四个 0day 漏洞。在漏洞披露的三天内,安全专家称同一黑客组织增加了对尚未修补的 Exchange 服务器的攻击,在入侵之后攻击者留下一个可以后续访问的 web shell。微软表示正与美国网络安全和基础设施安全局密切合作,为客户提供最佳的指南和缓解措施。
安全
WinterIsComing(31822)
发表于2021年03月05日 16时24分 星期五
来自
比特翻转(Bitflips)是指储存在电子设备上的个别比特发生翻转的事件,比如从 0 变为 1 或反之亦然。导致比特翻转的自然因素主要包括宇宙射线、功率波动和温度。2010 年的一项研究估计,4G 内存的计算机在三天内有 96% 的几率会发生比特翻转。即使比特发生翻转,大部分人可能也感受不到影响。一位独立研究员提出了一种发生比特翻转的可能场景:当 Windows PC 尝试访问微软的域名。Windows PC 会频繁访问微软的域名以检查时钟是否精确,或者连上微软的云服务,或者报告崩溃事件。如果 PC 在尝试访问 windows.com 域名发生了比特翻转,导致访问了名叫 whndows.com 的域名?而这个域名恰好控制在恶意者的手中?研究人员发现了 32 个比特翻转后有效的域名,其中 14 个可以购买。他购买了这些域名,在两周时间内记录到了来自 626 个 IP 地址的 199,180 次尝试访问 ntp.windows.com 域名的连接。Windows 操作系统的 NTP 客户端没有身份验证,因此攻击者可以返回 2038 年的时间,让 32 位时间计数溢出。也有人指出,PC 访问这些域名未必是比特翻转导致的,因为也可能是输错了。
Chrome
WinterIsComing(31822)
发表于2021年03月04日 15时33分 星期四
来自
Google 本周释出了 Chrome 的安全更新 v89.0.4389.72,修复了 47 个漏洞,其中包括正被利用 0day。编号为 CVE-2021-21166 的漏洞是微软安全研究员 Alison Huffman 在 2 月 11 日报告的,Google 没有披露漏洞细节,只是表示它知道漏洞正被利用。这是 Google 在今年修复的第二个 0day,上一个是 2 月 4 日修复的 V8 堆溢出漏洞 CVE-2021-21148。
安全
WinterIsComing(31822)
发表于2021年03月02日 13时18分 星期二
来自
极右翼社交平台 Gab 的创始人 Andrew Torba 发表声明(存档)承认,包括特朗普在内的 1.5 万 Gab 账号被盗。未披露身份的黑客利用 SQL 注入漏洞入侵了 Gab,将窃取的 70GB 数据提供给了泄密组织  Distributed Denial of Secrets。这些数据包括了 1.5 万 Gab 用户的 7 万多条信息,以及哈希密码、用户资料和私聊。Gab 创始人在声明中诅咒了 Distributed Denial of Secrets 的联合创始人 Emma Best 以及报道这起被称为 GabLeaks 事件的记者。
安全
WinterIsComing(31822)
发表于2021年02月28日 20时26分 星期日
来自
被广泛用于控制工厂设备的可编程逻辑控制器(PLC)发现了一个可远程访问的高危漏洞。存在漏洞的 PLC 来自罗克韦尔的 Logix 品牌 ,很容易利用。Logix PLC 控制器和工程站包含了一个硬编码的密钥用于验证两个设备之间的通信。黑客在获得密钥之后可以伪装成工程站,操控直接影响制造流程的 PLC 代码或配置。安全研究人员早在 2019 年就通知了罗克韦尔公司,该公司直到本周才披露漏洞,而且没有释出修复漏洞的补丁,只是提供了部分权宜方法。
安全
WinterIsComing(31822)
发表于2021年02月25日 21时35分 星期四
来自
乌克兰指控俄罗斯政府入侵了它的一个政府 Web 入口,植入恶意文件,在终端用户计算机上安装恶意程序。乌克兰国家网络安全协调中心称,恶意文件包含了一个宏,会秘密下载程序远程控制打开文件的计算机。乌克兰称,攻击使用的方法关联到了俄罗斯政府黑客。俄罗斯对乌克兰至今最严重的网络攻击是入侵了乌克兰的电网系统,诱发了断电事故;入侵了一家税务软件公司推送了恶意更新去破坏硬盘。
安全
WinterIsComing(31822)
发表于2021年02月25日 17时28分 星期四
来自
Adobe 在 2020 年 12 月 31 日之后停止更新和分发 Flash Player,之后重庆重橙网络科技有限公司通过网站 flash.cn 独家在中国大陆分发和维护 Flash Player。安全公司 Minerva Labs 在收到多次与 Flash 中国版相关的安全警告之后对其进行了分析,发现 Flash 中国版除了安装 Flash 之外还会下载和运行名叫 nt.dll 的文件,其主要功能类似广告程序,但不排除它可以用于其它恶意目的。Flash 中国版主要影响中国用户。
安全
WinterIsComing(31822)
发表于2021年02月22日 15时04分 星期一
来自
起亚汽车美国前不久其在线服务发生故障,客户无法通过官方应用远程启动汽车。Bleeping Computer 报道声称,起亚公司遭到了勒索软件 DoppelPaymer 的攻击,黑客索要价值 2000 万美元的比特币。DoppelPaymer 攻击者声称他们从起亚汽车美国公司内部窃取了大量数据,如果该公司不再 2 到 3 周内与其进行协商这些数据将会公开。为了不公开数据,DoppelPaymer 索要了价值 2000 万美元的 404 比特币,如果不在预定时间内支付,赎金将会增加到 600 比特币,价值相当于 3000 万美元。起亚汽车发表声明否认遭到勒索软件的攻击,声称只是发生了宕机事故。
安全
WinterIsComing(31822)
发表于2021年02月20日 21时43分 星期六
来自
安全公司趋势科技报告在茄子快传中发现多个安全漏洞,而它的漏洞能导致远程代码执行。茄子快传是下载量最高的传输应用,曾跻身全球应用下载排行榜前十。它最早由联想开发,一度预装在联想手机上,后从联想独立出去。茄子快传的权限相当广,其中包括访问所有本地存储和媒体,摄像头、麦克风、通讯录、位置,甚至还可以删除应用。趋势科技称,茄子快传的漏洞能被用于泄露用户的敏感数据,以及远程执行代码。
微软
WinterIsComing(31822)
发表于2021年02月19日 13时43分 星期五
来自
微软称 SolarWinds 黑客阅读和下载了它三款产品的源代码,但没有证据显示黑客访问了它的产品服务器或客户数据,也没有发现黑客通过它攻击客户。SolarWinds 黑客攻击是被认为是至今最大规模的针对美国的网络间谍行动。微软称,黑客访问了 Azure 组件的少量子集;Intune 组件的少量子集;Exchange 组件的少量子集。
安全
WinterIsComing(31822)
发表于2021年02月17日 16时30分 星期三
来自
2 月 4 日,数百万浏览器标签突然终止。Chrome 开源扩展 The Great Suspender 在变更维护者之后于去年 10 月推送了恶意更新,Google 在 4 个月后终于决定强行移除该扩展。这起事故凸显了开源项目中的控制问题。谁拥有开源项目的代码?是最初的创始人?是维护者?还是整个社区?绝大部分开源项目并没有一个专门的基金会或治理系统去管理项目。如 GitHub 这样的托管平台允许多个人或核心贡献团队控制项目,但在 Chrome Web Store 或 Apple App Store 这样的发行渠道,只能由个人控制着项目账号负责每个版本的发布。The Great Suspender 的功能是暂停不活跃的标签页,它的维护者 Dean Oemcke 于 2020 年 6 月决定转到其它项目,他将 GitHub 库和 Web Store 的所有权转让给了一个未公开身份的人。扩展的用户当然不会关心所有权的转让,但他们即将面临这一转让的影响。去年 10 月新维护者释出的更新包括了下载和执行第三方域名的 JS 文件。这一变动还关闭了自动更新,这意味着即使恶意代码移除现有用户仍然会继续使用恶意版本。这并不是第一次开源项目转让之后变成恶意。Raymond Hill 将 uBlock 的所有权转让给了新维护者 Chris Aljoudi,结果他利用这个项目牟利,甚至允许广告商付钱躲避屏蔽。这促使 Raymond Hill 创建了分支 UBlock Origin。Hugo Xu 的扩展 Nano Adblocker 和 Nano Defender 是基于 UBlock Origin,在将项目的所有权转让出售给土耳其的开发者之后变成了恶意应用
安全
WinterIsComing(31822)
发表于2021年02月15日 21时19分 星期一
来自
微软总裁 Brad Smith 接受 CBS 60 分钟节目采访时候表示,SolarWinds 黑客攻击是至今“最庞大最复杂的攻击”。他可能忘记了美国以色列对伊朗铀浓缩工厂发动的 Stuxnet 蠕虫攻击,就复杂程度而言 Stuxnet 攻击远在 SolarWinds 攻击之上;但就规模而言,SolarWinds 攻击可能确实在 Stuxnet 之上。SolarWinds 攻击行动被广泛认为是俄罗斯黑客发动的,旨在收集情报,攻击者首先入侵了美国政府机构和大型企业使用的 SolarWinds 网络监视管理平台 Orion,向其客户推送了含有后门的恶意更新,然后选择性的发动后续攻击。黑客了访问美国财政部、司法部、商务部等机构的内部邮件。
安全
WinterIsComing(31822)
发表于2021年02月15日 19时20分 星期一
来自
安全公司 Lookout 报告 Android 间谍软件的两种变种 Hornbill 和 SunBird 被发现与孔夫子黑客组织有关联。孔夫子 APT 组织最早是在 2013 年发现的,主要攻击东南亚的政府机构、巴基斯坦军方成员,印度选举官员和核机构,被认为与印度政府有关联。新发现的两种 Android 恶意程序主要用于入侵流行的消息应用 Whatsapp,提取聊天内容。其中 Hornbill 是基于商业间谍软件 MobileSpy,SunBird 是基于印度开发的间谍软件 BuzzOut。
安全
WinterIsComing(31822)
发表于2021年02月13日 20时02分 星期六
来自
俄罗斯搜索引擎和电邮服务商 Yandex 披露,它的一名雇员出售了客户邮箱的访问权限。该公司没有公开这名雇员的名字,称其为三名系统管理员之一,拥有提供邮件服务技术支持必要的访问权限。有 4,887 名客户受到影响,Yandex 正在联系这些客户,要求他们修改密码。它表示已经屏蔽了未经授权的登录。Yandex 称它是在一次例行安全检查时发现这起事故的。
安全
WinterIsComing(31822)
发表于2021年02月10日 23时40分 星期三
来自
HardenedLinux 写道 "近几年的各种后门疑云的背景下,硬件供应链是一个令人关注的话题,信息安全最大的宿敌之一就是复杂性,而如何驯服这只野兽需要足够的耐性的知识去构建适当的方法论,受到硬件黑客Andrew Bunnie Huang的著作《硬件黑客的复仇:大规模廉价制造之华强北风云录》的启发,HardenedLinux社区近期就硬件设计和制造过程中所涉及的基本流程进行了一次小测试,即cheap-pcb项目,EDA工具使用的是自由软件实现Kicad完成了一款引出的绝大部分IO和USB的基于廉价STM32的开发板,具有串口编程电路,SPI读写测试基于stm32-vserprog完成,对于器件,尺寸,厂家在设计阶段和生产阶段的选型和兼容性问题都有详细的记录和总结,如果一款量产后的成本低于10美金的硬件都会经历诸多流程以及几十甚至上百种器件的搭配和组合,那针对x86工作站或者服务器级别的硬件制作一个类似固件领域的黄金镜像将是一件非常具备挑战性的工作。"
安全
WinterIsComing(31822)
发表于2021年02月10日 23时39分 星期三
来自
一位安全研究员设法利用一种新颖的软件供应链攻击入侵了 35 家大型科技公司的内部系统,这些公司包括了 Microsoft、Apple、PayPal、Shopify、Netflix、Yelp、Tesla 和 Uber。这次攻击利用了开源生态系统的一个设计缺陷:依赖关系混乱。Alex Birsan 注意到 PayPal 使用的一个程序包含了非公开的私有 npm 包,他想知道如果他创建一个同名的公开的 npm 包,那么软件在构建时是优先使用私有的还是公开的版本?为了测试这一假说,他向流行的软件包库 npm、PyPI 和 RubyGems 上传了同名的冒牌项目,每个项目都包括了相同的说明,解释软件包不包含任何有用的代码,只是用于安全研究目的。他发现,公开的软件包会比私有的软件包优先度更高;某些情况下版本更高的软件包优先度更高,无论私有还是公开。利用这一方法,他成功入侵了多家知名科技公司,获得了超过 13 万美元的漏洞报告奖励。