solidot新版网站常见问题,请点击这里查看。
adv
安全
WinterIsComing(31822)
发表于2022年03月24日 21时45分 星期四
来自羊皮纸迷踪
安全公司 Avast 的研究人员发表报告《Operation Dragon Castling》,称攻击者利用金山办公软件 WPS Office 的漏洞,攻击东南亚尤其是台湾香港菲律宾的博彩公司。鉴于攻击者的娴熟技术和使用的先进工具,研究人员怀疑是某个 APT 组织在搜集情报或获取经济利益。攻击者使用的策略包括向目标公司的支持团队发送邮件,要求他们检查软件的 bug,邮件附带了一个感染了病毒的安装程序。攻击者使用的另一种方法是假的 WPS 更新程序 wpsupdate.exe,该更新程序从属于金山的域名 update.wps[.]cn 下载,但域名对应的 IP 地址 103.140.187.16 不属于金山公司所有。研究人员猜测是它是攻击者使用的假更新服务器。该更新程序会通过侧加载(sideloading)安装两个恶意程序建立后门控制被感染计算机。
安全
WinterIsComing(31822)
发表于2022年03月23日 15时02分 星期三
来自乌鸦从高塔坠落
在黑客公布内部环境的屏幕截图之后,身份认证管理服务商 Okta 证实遭到 Lapsus$ 组织的入侵。首席安全官 David Bradbury 称黑客可能访问了大约 2.5% 的客户数据。Okta 有超过 1.5 万家客户,2.5% 相当于 375 家。Okta 的客户包括亚马逊、苹果和微软等科技巨头,每一家公司都有数以万计的员工,因此受影响的人数可能相当多。 Lapsus$ 刚刚入侵了微软服务器窃取了微软多个产品的源代码,微软已经证实了此事,称攻击者是利用了电话社会工程技术。
微软
1
WinterIsComing(31822)
发表于2022年03月22日 20时52分 星期二
来自莉莉丝的孩子1:破晓
Lapsus$ 黑客组织宣称入侵了微软内部的 Azure DevOps 服务器,窃取到 Bing、Cortana 等微软内部项目的源代码。Lapsus$ 随后公开了一个解压后有 37GB 大小的压缩文件,包括了 Bing 90% 的源代码,Bing Maps 和 Cortana 项目 45% 的源代码。研究过泄密文件的安全研究人员认为它们是真实的内部源代码。泄露源代码不涉及微软的桌面软件如 Windows、Windows Server 和 Microsoft Office。微软表示正对此事展开调查。Lapsus$ 最近完成了多次高调的入侵行动,攻击了多家知名企业,其中包括英伟达,暂时不清楚它是如何入侵的,有安全研究人员怀疑它收买了相关企业的内部人士。
安全
wanwan(42055)
发表于2022年03月22日 18时04分 星期二
来自再会,谢谢所有的鱼
FIDO 联盟董事会成员包括 Amazon、Google、PayPal、RSA、Apple 和微软(以及 Intel 和 Arm)。该组织将其使命描述为减少世界“对密码的过度依赖”。FIDO 发布了一份白皮书,阐述了愿景,即解决困扰无密码功能可用性的问题,这些问题阻碍了推广。

这份白皮书是概念性而非技术性的,经过多年的投资,在将 FIDO2 和 WebAuthn 无密码标准集成到Windows、Android、iOS 等系统中后,现在取决于下一步的成功。FIDO 正寻找让无密码方案难以前进的核心问题。结论是一切都要归结为切换或添加设备的程序。例如如果设置新手机的过程过于复杂,又没有简单的方法可以登录你所有的应用程序和帐户,或者你必须使用密码重新建立对这些帐户的所有权,那么大多数用户都会觉得改变现状太麻烦了。

无密码 FIDO 标准依赖设备的生物识别扫描仪或者主 PIN 码在本地验证身份,无需将数据通过互联网传输到网络服务器进行验证。FIDO 认为,最终解决新设备问题的关键概念是让操作系统实现“FIDO 凭据”管理器,类似于内置的密码管理器。这种机制不会直接存储密码,而是存储可以在设备之间同步并由设备的生物识别或者密码锁保护的加密密钥。在去年夏天全球开发者大会上,苹果宣布了自己的 FIDO 版本,这是一项被称为“Passkeys in iCloud Keychain”的 iCloud 功能,苹果称这是“对后密码世界的贡献。

FIDO 的白皮书还包含了另一个部分,是对其规范的拟议补充,允许现有的设备(如笔记本电脑)充当硬件令牌,类似于独立的蓝牙身份验证加密狗,通过蓝牙提供物理身份验证。这个想法实际上仍然是防御网络钓鱼,因为蓝牙是一种基于邻近的协议,可以作为一种有用的工具,根据需要开发出不同版本的、真正的无密码方案,这些方案都无需保留备份密码。Google 产品经理 Christiaan Brand 专注于身份和安全以及在FIDO项目上的合作,他表示,密码式的计划在逻辑上遵循智能手机或多设备无密码未来的图景。Brand表示:“老实说,我们一直牢记‘让我们超越密码’这个宏伟愿景的最终状态,只有每个人口袋里都有手机,它才能实现。”对 FIDO 而言,当务之急是转变帐户的安全范式,使网络钓鱼成为过去。当被问及情况是否真的如此时,密码的丧钟是否真的最终敲响,Brand 变得严肃起来,但他毫不犹豫地回答:“我觉得一切都在聚拢。”
安全
WinterIsComing(31822)
发表于2022年03月20日 19时30分 星期日
来自终极失控
过去几年发生了多起加油站油泵被入侵,数百甚至数万加仑的汽油被盗的安全事件。油泵和家用路由器一样存在安全隐患。卡巴斯基研究人员在 2018 年发现部分油泵使用的嵌入式控制器让它容易被黑客控制。控制器单元运行基于 Linux 的系统,安装了一个迷你 httpd 服务器。控制器是加油站的核心,它们很多都年代久远,是在十多年前安装到加油系统中的,而且与互联网相连。研究人员认为,一名技术精湛的黑客能从世界任何地方进入加油系统。
安全
WinterIsComing(31822)
发表于2022年03月17日 13时19分 星期四
来自绿里
一位 NPM 包维护者为抗议俄罗斯入侵乌克兰而故意搞破坏,制造了最新一起供应链攻击安全事故,凸显了代码中的依赖传递会对安全产生巨大影响。RIAEvangelist 维护的 node-ipc 非常受欢迎,周下载量超过一百万。维护者创建了名为 peacenotwar 的模块表达抗议,该模块几乎无人下载,但他随后将 peacenotwar 作为 node-ipc 的依赖推送给了下游用户,受影响版本为 node-ipc@10.1.1 和 node-ipc@10.1.2,目前这两个版本都已经废弃。
安全
WinterIsComing(31822)
发表于2022年03月16日 17时42分 星期三
来自精灵王之女
广泛使用的加密库 OpenSSL 发现了一个可远程利用的高危漏洞。计算模平方根的 BN_mod_sqrt() 包含 bug 会导致无限循环,它能用于发动拒绝服务攻击。OpenSSL 项目释出了 OpenSSL 3.0.2 和 1.1.1n 修复了漏洞。该漏洞是由 Google 安全研究员 Tavis Ormandy 在 2 月 24 日报告的,Google 的 David Benjamin 和 OpenSSL 项目的 Tomáš Mráz 开发了补丁。
USA
WinterIsComing(31822)
发表于2022年03月15日 22时31分 星期二
来自天渊
2015 年乌克兰电网因网络攻击导致基辅等地区断电数小时,此后美国一直在帮助乌克兰加强网络防御。去年 10 月 和 11 月,美国派遣了更多人去帮助乌克兰保护基础设施,其中部分人员为美国陆军 Cyber Command 的士兵。此次加派人员是为了应对即将爆发的战争。美国人担心俄罗斯在战争前夕会秘密在乌克兰网络中植入休眠的恶意程序,战争爆发的同一时间激活和发动毁灭性的网络攻击。美国的这一行动有助于解释为什么乌克兰的网络基础设施至今安然无恙。乌克兰和美国官员将这一行动描述为防御性的。由美国士兵和平民组成的网络任务小组在乌克兰铁路局发现并清除了一种设计抹掉数据的恶意程序,它能通过指令删除关键文件瘫痪整个计算机网络。在战争爆发后的十天内,乌克兰有近百万平民是通过铁路网逃到安全地带。在乌克兰网络遭到 DDoS 攻击之后,美国团队在数小时内安排并部署了 Fortinet 公司的软件。
安全
WinterIsComing(31822)
发表于2022年03月11日 22时13分 星期五
来自最后的独角兽
美国周三和周四先后引渡了两位勒索软件黑帮的嫌疑犯。22 岁的乌克兰人 Yaroslav Vasinskyi 是在去年 8 月入境波兰时被捕的,本周三引渡到美国,他所受到的指控最长刑期高达 115 年,他被认为要对去年 7 月针对美国远程管理公司 Kaseya 的供应链攻击负主要责任,这次攻击感染了 800 到 1,500 家依赖于 Kaseya 软件的机构,Vasinskyi 合作的勒索软件组织 Sodinokibi/REvil 要求受害者支付 7000 万美元的赎金。34 岁的加拿大魁北克居民 Sebastien Vachon-Desjardin 周四引渡到美国,他是在去年 1 月被捕的,被控通过参与 NetWalker 勒索软件活动获得了超过 2700 万美元。加州大学旧金山分校是 NetWalker 的受害者之一,它为解密数据支付 114 万美元赎金。
安全
WinterIsComing(31822)
发表于2022年03月09日 18时44分 星期三
来自时间的地图
研究人员警告,网络犯罪分子正在利用一种新方法将 DDoS 攻击流量放大 40 亿倍。DDoS 放大攻击非常受网络罪犯的欢迎,它可以大幅减少发动攻击所需的计算资源。最早的放大攻击是利用错误配置的 DNS 服务器,能将攻击流量放大 54 倍,较新的放大攻击方法包括利用 Network Time Protocol 服务器(放大约 556 倍)、Plex 媒体服务器( 5 倍)、Microsoft RDP (86 倍)、Connectionless Lightweight Directory Access Protocol ( 50 倍)等。此前最大的 DDoS 放大攻击是 memcached,能将流量放大最高 5.1 万倍。最新的攻击利用的是错误配置的 Mitel,它能放大 40 亿倍的原因之一是大幅延长攻击时间。一个欺骗性的数据包可以诱发持续时间长达 14 小时的 DDoS 攻击,数据包放大率达到了创纪录的 4,294,967,296:1。
安全
WinterIsComing(31822)
发表于2022年03月09日 15时44分 星期三
来自探寻者
360 集团创始人周鸿祎表示,在万物互联时代,中小微企业是供应链攻击的“跳板”,极有可能成为国家数字安全的缺口。周鸿祎说,中小微企业是国家经济的“毛细血管”,既是税收和就业的“半壁江山”,也是产业供应链体系的重要一环。然而,中小微企业数字安全基础薄弱、重视不足,如果在数字化的同时没有补足安全短板,黑客组织就能以中小微企业为跳板,针对大型企业、政府和关键信息基础设施发起供应链攻击,造成重大安全事件。温州一家超市今年年初就受到勒索病毒攻击——黑客向其索要 0.042 枚比特币(总价值约 12000 元)作为赎金,且支付赎金后黑客并未恢复超市数据,严重影响正常运转。
安全
WinterIsComing(31822)
发表于2022年03月08日 23时33分 星期二
来自白鸟异传
Web 托管公司 IONOS 的 Max Kellermann 在多次收到客户投诉日志服务器上的日志文件损坏之后展开了调查,发现 Linux 内核存在一个高危漏洞,与数年前曝出的 DirtyCow 提权漏洞类似,但更容易利用。他将该漏洞命名为 dirty pipe。dirty pipe 存在于 Linux 5.8 之后的版本中,是未初始化变量导致的,它允许任何人向任意文件写入数据,即使文件是 O_RDONLY 或不可改变。它能被用于向任意进程注入代码。Linux 5.16.11、5.15.25 和 5.10.102 修复了该漏洞。
安全
WinterIsComing(31822)
发表于2022年03月08日 18时21分 星期二
来自挽救计划
Google 官方博客介绍了乌克兰相关的网络战。Google 称它的安全团队 Threat Analysis Group (TAG)过去十二个月向乌克兰用户发出了数百次政府支持黑客攻击警告,通知用户他们成为政府黑客的攻击目标。过去两周 TAG 监测到了已知黑客组织发起的钓鱼和间谍活动。与俄罗斯情报总局有关联的黑客组织 FancyBear/APT28 对乌克兰媒体 ukr.net 的用户发起了钓鱼攻击;白俄黑客组织 Ghostwriter/UNC1151 对波兰乌克兰的政府和军方组织发起了钓鱼攻击;Mustang Panda/Temp.Hex 对欧洲组织发起钓鱼攻击,攻击者发送的附件使用了 Situation at the EU borders with Ukraine.zip 之类的名字;乌克兰政府网站和 Liveuamap 等遭到 DDoS 攻击。
安全
WinterIsComing(31822)
发表于2022年03月07日 20时46分 星期一
来自奥泊城的珍宝
英国皇家霍洛威大学和意大利卡利亚里大学的研究人员发现可利用亚马逊智能音箱 Amazon Echo 自己的扬声器发出语音命令,迫使其打开门,拨打电话和进行未经授权的购买,以及控制其它智能电器。研究人员发现,在唤醒词之后紧跟着一个可执行的命令,Amazon Echo 就会执行它,执行敏感命令需要口头确认,但只要在发出命令 6 秒后加上 yes 就能绕过。这一攻击被研究人员称为 Alexa vs. Alexa(或 AvA)。研究报告发表在预印本网站 arxiv 上。亚马逊已经释出了补丁修复了漏洞。
安全
WinterIsComing(31822)
发表于2022年03月07日 13时27分 星期一
来自电波骑士
微软 Windows 操作系统自带的安全软件 Windows Defender 对绝大部分人而言在安全保障方面已经足够强了。安全软件不存在完美的解决方案,无论安装了免费的还是付费的杀毒软件,用户的计算机仍然会感染病毒。人是安全防御中最薄弱的一环,无论多安全多昂贵的系统人这一关突破了那么整个系统也就畅通无阻了。Windows Defender 虽然简单,但只要加固一下它能比得上任何安全软件。加固的方法包括创建本地组策略设置、启用微软的加强版实时保护 Microsoft Advanced Protection Service (MAPS)等等。
安全
WinterIsComing(31822)
发表于2022年03月06日 19时51分 星期日
来自世界主宰
Mozilla 释出紧急更新 Firefox 97.0.2,修复了两个正被利用的 0day 漏洞,Firefox 用户应尽可能快的升级。其中一个漏洞是 CVE-2022-26485,为 XSLT 参数处理中的释放后使用(Use-after-free)漏洞,正被攻击者用于远程代码执行;第二个漏洞是 CVE-2022-26486,为 WebGPU IPC 框架中的释放后使用漏洞,被用于沙盒逃逸。释放后使用漏洞是指一个应用程序本应释出其占用的内存供其它应用程序使用,但因为 bug 导致该应用程序仍然继续使用或占用内存。
安全
WinterIsComing(31822)
发表于2022年03月04日 15时45分 星期五
来自泰山和蚁人
HardenedVault 写道 "美国政府发出最高级呼吁人们注意固件供应链中的主要弱点,并警告说,操作系统下方的这一层会带来毁灭性风险,美国国土安全部(DHS)和商务部领导层发布的一份新的联合草案报告称,固件为恶意攻击者颠覆现代计算的核心提供了一个庞大且不断扩大的攻击面固件层保护经常被忽视,但它是设备中的单点故障,是攻击者可以大规模破坏设备的最隐蔽的方法之一。“攻击者可以破坏操作系统和虚拟机管理程序的可见性,绕过大多数安全系统,于攻击时在网络和设备中长时间隐藏和持久化,并造成不可挽回的损害。”这两个机构在对美国部署的关键IT基础设施的供应链进行了为期一年的评估后表示固件也可以成为一个有利可图的目标,攻击成本相对较低。在过去几年中,黑客越来越多地针对固件发起毁灭性攻击。这份长达87页的报告(PDF)是为支持拜登关于保护美国供应链的行政命令而发布的,该报告警告说,固件在计算堆栈中的特权地位为隐形攻击者提供了主要优势。尽管它在电子设备中发挥着至关重要的作用,但这些机构坚持认为,固件安全“传统上并不是制造商或用户的高度优先事项,并不总是得到很好的保护。”在评估过程中,这些机构发现网卡,Wi-Fi适配器和USB集线器等项目上的固件通常没有使用公钥或私钥正确签名。平台级系统安全是一个异常复杂的体系,既要保证每个层级在设计和实现过程中考虑安全和其他因素(比如性能,兼容性)的平衡,又必须尽可能的探索出所有的攻击路径并且给出最极端场景下的威胁模型,在这场与复杂性长期博弈涉足多个技术层面和产业生态层面,赛博堡垒的白皮书中对技术层面有一些基本描述,要完整的防护一个单一计算节点,需要从Linux主机加固,Linux内核安全防护固件安全,芯片安全特性开箱,可信计算/机密计算等多方面组合才能完成,即使在此基础上,把高级威胁防护的计算节点通过分布式邦联化/去中心化的方式扩展到整个网络还需要密码学的支撑。只有在以上前提满足的情况下,才能应对来自操作系统以下层级的已知和未知的威胁。"
安全
WinterIsComing(31822)
发表于2022年03月03日 15时26分 星期四
来自精灵王之女
去年五月曝光的一种恶意应用被发现重新进入了 Google Play 官方应用市场。被称为 TeaBot 和 Anatsa 的恶意应用是一种远程访问木马,允许攻击者远程浏览被感染设备的屏幕,与设备执行操作,它主要设计窃取数十种银行类应用的敏感数据。安全公司 Cleafy 本周报告,TeaBot 重返 Google Play 市场,通过二维码扫描应用 QR Code & Barcode Scanner 传播,在下架前恶意应用的下载量超过了一万此。研究人员称,新版本的 TeaBot 增加了对保险、加密钱包和加密货币交易所等应用的攻击,它针对的应用数量从此前的 60 款增加到了 400 多款,它支持的语言加入了俄语、斯洛伐克语和汉语。
安全
WinterIsComing(31822)
发表于2022年03月01日 22时57分 星期二
来自终极游戏Ⅰ:使命召唤
HardenedVault 写道 "Alexander Popov 于2021年发表了一篇文章 Four Bytes of Power: Exploiting CVE-2021-26708 在 Linux 内核中使用四字节覆盖漏洞来执行权限提升,这篇文章详细的分析和记录了提升root权限的漏洞利用全过程,根据公开信息可以看出,如果创建了多个特权进程,并且同时释放了cred指针(或者特权进程的创建时间比释放的cred指针晚一点),那么其中一个进程的cred可以位于释放的地址,这使得权限提升成为可能,sshd 则是可以满足需要的特权进程,赛博堡垒借助sshd简化了整个漏洞利用的过程,可以轻松绕过现有Linux内核主线的防御机制,报告中也谈到了防御特性的优先级问题,虽然已经2022年,但Linux主线内核在数据污染攻击的面前依然非常脆弱,PaX/GRsecurity和VED都可以轻松防护此类攻击并且让攻击者难以绕过防护机制,根据赛博堡垒客户的反馈,平台安全级别的诸多威胁中,大多数带有花哨名称安全产品(例如:EDR/ XDR,HIDS等)的可绕过级别只能保持"L1:I can win",安全产品容易被攻陷对于生产环境来说并不是一件值得骄傲的事情,不是吗?"
安全
WinterIsComing(31822)
发表于2022年03月01日 22时56分 星期二
来自父子双雄
赛门铁克研究人员发表报告《Daxin: Stealthy Backdoor Designed for Attacks Against Hardened Networks》,他们发现了一种复杂先进的后门工具 Daxin,至少有十年历史。Daxin 设计作为一种 Windows 内核驱动,实现了先进的通信功能,具有高度的保密性,在感染计算机后它允许攻击者读写任意文件。它能监视特定模式的传入 TCP 流量,当特定模式检测到后,Daxin 能切断合法的接收方接管连接。除了劫持合法 TCP/IP 连接外,Daxin 能在被感染计算机上部署额外的恶意组件,能在多台被感染的计算机上创建加密通信通道。它最早发现的样本创建时间是 2013 年,已具有了最近变种的所有先进功能,这意味着该工具在 2013 年已经发展成熟。