solidot新版网站常见问题,请点击这里查看。
安全
Wilson(42865)
发表于2024年05月15日 15时08分 星期三
来自继位之争
微软周二释出了五月的例行安全更新,其中之一是修复了四月安全更新导致的 VPN 连接问题。微软没有解释问题的原因,只是声明如果需要帮助个人用户可以通过 Windows Get Help、企业用户通过 Support for Business 获取支持。该问题影响 Windows 11、Windows 10 和 Windows Server 2008 及之后版本。这不是第一次 Windows 安全更新导致 VPN 问题。

安全
Wilson(42865)
发表于2024年05月14日 16时35分 星期二
来自美丽之星
美国就勒索软件组织 Black Basta 对关键基础设施的网络攻击发出警告。该组织成员使用的母语是俄语,过去两年对逾 500 家组织发动了攻击,最新受害者是美国医疗保健系统 Ascension,该机构在美国 19 个州有 140 家医院,上周它遭到了网络攻击,中断了自动化流程,迫使部分医院转为人工。FBI 等机构警告,Black Basta 最近加大了对医疗机构的攻击频率,过去一个月,欧洲和美国至少两家医疗机构成为其勒索软件的受害者。安全公司发现,自 4 月以来 Black Basta 采取了一种新颖的社会工程攻击方法:首先利用世界各地合法机构的 Newsletter 新闻通讯订阅确认邮件,发送给目标用户,使得电邮保护方案不堪重负;然后冒充 IT 团队成员为垃圾电邮问题提供技术支持,在此过程中诱使用户安装远程访问程序。

安全
Wilson(42865)
发表于2024年05月11日 16时14分 星期六
来自诺比的微型反重力装置
微软证实,Windows 11 24H2 的专业版和家用版在首次设置时将默认启用设备加密,在用户重置电脑时将执行自动设备加密设置。微软已在 Windows 11 24H2 RTM 最新预览版本中启用了该功能,意味着该功能会在今年晚些时候推送给所有用户。设备加密使用 BitLocker 加密所有系统驱动器的数据。用户须将 BitLocker 密钥备份到自己的 Microsoft 帐户或外置 U盘。如果没有密钥,用户将无法访问自己的数据。

安全
Wilson(42865)
发表于2024年05月11日 15时41分 星期六
来自艾米七号
Google Cloud 的错误配置导致澳大利亚退休基金管理公司 UniSuper 的数据被完全删除,幸运的是 UniSuper 在另一家公司有备份。UniSuper 管理着 1250 亿澳元的资产。事故发生在上周,UniSuper 的服务因此下线了一周多时间,本周四开始恢复服务。UniSuper CEO Peter Chun 周三致函该基金的 62 万名会员,表示服务中断不是网络攻击造成的,没有任何用户个人数据泄露。Chun 以及 Google Cloud CEO Thomas Kurian 发表联合声明,就此事故向用户道歉。Google Cloud 错误的配置导致了 UniSuper 云订阅帐户被删除。用户保存在 Google Cloud 中的数据通常会在多个区域有备份,当一个区域出现问题或故障后,数据可以迅速恢复。然而此次事故中 UniSuper 的云订阅账号被删除,多个区域的数据全部被删除。Google Cloud CEO 表示这种情况以前从未发生过,本不应该发生。Google Cloud 已经采取措施确保相同的事故不会再次发生。

安全
Wilson(42865)
发表于2024年05月07日 23时13分 星期二
来自人猿泰山之米甸探险
研究人员发现了迫使 VPN 应用将流量路由到加密通道之外的新型攻击,该攻击被称为 TunnelVision,影响几乎所有运行在非 Linux 和非 Android 系统上的 VPN。漏洞据信自 2002 年以来就存在并被发现和利用。攻击者能读取、丢弃或修改泄露的流量,而受害者则继续保持 VPN 和互联网的连接。攻击通过操纵分配 IP 地址给本地网络设备的 DHCP 服务器实现。被称为选项 121 的设置允许 DHCP 服务器覆盖默认路由规则,通过使用选项 121 路由 VPN 流量经过 DHCP 服务器,攻击会将数据传送到 DHCP 服务器。攻击允许部分或全部流量路由通过非加密通道,而 VPN 应用仍然会报告流量被加密。Android 系统完全不受影响的原因是它没有实现选项 121。

安全
Wilson(42865)
发表于2024年05月06日 19时04分 星期一
来自水刀子
哈工大的五名研究人员发表了一篇预印本,分析了近 1.4 万个政府网站,称安全隐患严重。研究人员分析了域名解析、第三方库利用、CA 服务、CDN 服务、ISP、HTTPS 普及、IPv6 集成、DNSSEC 实施和网站性能。他们发现,逾四分之一的政府网站域名没有域名服务器(NS)纪录,意味着可能缺乏有效的 DNS 配置,可能不可靠或无法访问;过于依赖五家 DNS 服务商,存在单点故障隐患;4250 个网站系统使用了漏洞版本的 jQuery JavaScript 库,含有 CVE-2020-23064 漏洞,容易被远程攻击;中移动、中电信、中联通和阿里云四家 ISP 占据了 98.29% 的市场份额;10,187 个网站未配置 X-Content-Type-Options,易受 MIME 类型欺骗攻击;10,323个网站未设置内容安全策略(CSP)标头,增加跨站脚本攻击的风险; 8,182 个网站缺乏反 CSRF 令牌,易受跨站点请求伪造 (CSRF)攻击;3,203 个网站内容安全策略包含通配符指令;8,158 个网站缺少反点击劫持标头,易受点击劫持攻击;3,313 个网站未启用 Cookie 的 HttpOnly 属性;6,624 个网站的 cookie 缺少 SameSite 属性;1,069 个网站会泄露了私有 IP 地址信息,可能会泄露系统架构敏感信息。研究人员认为这些问题可能无法短时间内解决。

安全
Wilson(42865)
发表于2024年04月29日 23时18分 星期一
来自平格尔的奇遇
英国周一成为全世界第一个禁止物联网设备默认使用弱用户名和密码的国家。如果默认使用的密码是唯一的,那么仍然是允许的。《The Product Security and Telecommunications Infrastructure Act 2022 (PSTI) 》为产品制造商引入了最低安全标准,要求公司向消费者公开其产品将在多长时间内收到安全更新。根据 PSTI 法,容易猜测的弱密码如 admin 或 12345 被明确禁止,制造商还必须公布联络方法方便用户报告 bug。未能遵守规定的产品将会面临召回,以及最高 1000 万英镑或全球收入 4% 的罚款,两者之间取数值较高的一个。

安全
Wilson(42865)
发表于2024年04月29日 22时18分 星期一
来自魔法生活
波兰总检察长向议会表示,前任政府使用以色列间谍软件 Pegasus 监视了数百人,其中包括民选官员。Pegasus 由以色列公司 NSO Group 开发,能完全控制被感染的移动设备,能提取设备上的密码、照片、消息、联系人和浏览历史记录,激活麦克风和摄像头进行实时窃听。Pegasus 的使用发生在右翼的法律与公正党执政时期,而目前执政的是中间偏右的公民纲领党。数据显示,2017-2022 年,Pegasus 被用于监视 578 人的案件,由三个独立的政府机构使用:其中包括中央反腐局、军事反情报局和内部安全局。2017年 Pegasus 被用于监视 6 人;2018 年增加到 100 人;2019 年 140 人;2020 年 161 人;2021 年 162 人;2022 年停止使用时监视了 9 个人。总检察长表示间谍软件生成了被监视者“私人和职业生活”的大量信息。他强调波兰政府无法完全控制所收集的数据,因为该系统运行是基于是以色列公司授予的许可证。

安全
Wilson(42865)
发表于2024年04月28日 23时16分 星期日
来自阿尔法计划
黑客正在尝试利用最近披露的一个 WordPress 插件高危漏洞控制网站。该漏洞位于 WordPress Automatic 插件,该插件有逾 3.8 万付费用户,被用于整合其它网站的内容。安全公司 Patchstack 的研究人员上个月披露,WordPress Automatic v3.92.0 及以下版本存在一个 9.9/10 的高危漏洞 CVE-2024-27596,该漏洞属于 SQL 注入,可被用于执行各种敏感操作,包括获得管理权限,上传恶意文件完全控制网站。插件开发商 ValvePress 已经发布了补丁 v3.92.1 修复漏洞。网络安全公司 WPScan 本周报告,自漏洞披露以来,它纪录到了逾 550 万次漏洞利用尝试。它没有披露有多少次尝试成功了。

安全
Wilson(42865)
发表于2024年04月28日 19时47分 星期日
来自天空的孩子
思科 Talos 安全团队研究人员警告,有政府背景的黑客正利用思科防火墙的两个 0day 入侵世界各地的政府网络。研究人员称,从去年 11 月起,被称为 UAT435 aka STORM-1849 的黑客组织利用两个 0day 安装两种全新的恶意程序。攻击者使用的利用链组合利用了多个漏洞,其中至少两个是 0day;两种功能完整的后门之一只在内存中运行,以防止监测;攻击者会仔细清除掉后门留下的痕迹。研究人员根据攻击者的行为特征认为其有国家背景。攻击者利用的两个 Adaptive Security Appliances 防火墙 0day 漏洞其中之一是 CVE-2024-20359,另一个是 CVE-2024-20353,思科已经释出了补丁修复漏洞。

安全
Wilson(42865)
发表于2024年04月25日 16时12分 星期四
来自布兰尼肯夫人
印度杀毒软件 eScan 至少从 2019 年起通过 HTTP 提供更新。这一做法被黑客滥用了五年,HTTP 流量容易被中间人拦截和纂改。安全公司 Avast 的研究人员报告,黑客对 eScan 的更新机制执行了中间人攻击,安装了名为 GuptiMiner 的恶意程序。Avast 向印度政府的计算机应急中心(CERT)报告了这一问题,2023 年 7 月 31 日收到 eScan 的回复称问题已经修复。研究人员不清楚攻击者是如何拦截 eScan 的 HTTP 流量的,怀疑目标网络已遭到某种程度的入侵,能将流量路由到恶意中间人。

安全
Wilson(42865)
发表于2024年04月25日 15时07分 星期四
来自我是6号
恶意程序使用可信域名传播不是什么新鲜事。安全公司 McAfee 披露,一种新的 LUA 恶意程序加载器使用了微软在 GitHub 的开源库 vcpkg 和 STL 的网址进行传播。恶意攻击者滥用了 GitHub 的一个缺陷或设计决策,当用户在软件包库发表评论上传文件时它会自动生成一个关联网址,即使评论最后并没有发布。当用户看到来自微软库的文件网址时可能会认为是可信网址。举例来说, “https://github[.]com/microsoft/vcpkg/files/14125503/Cheat.Lab.2.7.2.zip, https://github[.]com/microsoft/STL/files/14432565/Cheater.Pro.1.6.0.zip”, 这两个文件都不属于 vcpkg 和 STL 库,而是作为用户评论的一部分上传的。

安全
Wilson(42865)
发表于2024年04月23日 23时42分 星期二
来自龙牙
加拿大多伦多大学公民实验室的研究人员分析了百度、荣耀、华为、讯飞、OPPO、三星、腾讯等九家厂商的云输入法,发现八家输入法软件包含严重漏洞,允许研究人员完整破解厂商设计用于保护用户输入内容的加密法。还有部分厂商并未使用任何加密法保护用户输入内容。研究人员向受影响的九家开发商提交了漏洞报告,大部分开发商均认真看待问题并予以回应,修补了漏洞,但仍有少数输入法未修补漏洞。在测试的九家厂商的应用程序中,仅有华为的产品未发现任何上传用户输入内容至云端相关的安全问题,其余每一家厂商都至少有一个应用程序含有漏洞,使得被动型网络攻击者得以监看用户输入的完整内容。

安全
Wilson(42865)
发表于2024年04月23日 21时48分 星期二
来自机器人的逃跑计划
微软周一披露,一个高危漏洞被俄罗斯黑客组织利用了四年之久。该漏洞编号为 CVE-2022-38028,位于 Windows 打印后台处理程序中,威胁评分 7.8/10,它能与其它漏洞组合利用提权获得系统权限。该漏洞是 NSA 报告的,微软在 2022 年修复时没有披露该漏洞正被利用。周一微软披露黑客组织 Forest Blizzard 至少从 2020 年 6 月甚至可能早在 2019 年 4 月起就利用该漏洞。Forest Blizzard 的其它名字包括了 APT28、Sednit、Sofacy、GRU Unit 26165 和 Fancy Bear,被认为与俄罗斯军事情报总局的 26165 部队有关联。黑客利用漏洞获得系统权限之后会安装恶意程序 GooseEgg,该工具为后续行动提供了一个简单的界面用于安装其它具有系统权限的恶意程序。GooseEgg 会将恶意程序安装到特定子目录下,这些子目录名字包括了 Microsoft、Adobe、Comms、Intel、Kaspersky Lab、Bitdefender、ESET、NVIDIA、UbiSoft、Steam。举例来说,它可能会创建特定的目录如 C:\ProgramData\Adobe\v2.116.4405。

安全
Wilson(42865)
发表于2024年04月23日 17时31分 星期二
来自穹顶之下
Change Healthcare 终于承认了安全研究人员早已通过区块链纪录知道的事实:它在遭遇勒索软件攻击之后向该组织 AlphV/BlackCat 支付了价值 2200 万美元的 150 比特币赎金。然而该公司同时警告了客户敏感医疗数据可能会暴露的风险。Change Healthcare 支付的赎金在勒索软件组织内部引发了内讧,主要组织者跑路,而仍然控制着数据的同伙威胁泄露数据。Change Healthcare 的做法被认为会鼓励勒索软件黑帮向其它医疗机构发动攻击。此次事件已经给该公司造成 8.72 亿美元的损失,未来损失可能会进一步扩大到 10 亿美元以上。

安全
Wilson(42865)
发表于2024年04月22日 23时46分 星期一
来自侦图机
前白宫网络政策高级总监 A.J. Grotto 认为美国政府有个微软问题:微软是美国国家安全的威胁。微软的网络安全问题影响到了美国政府,如中国俄罗斯黑客都是通过微软产品入侵美国政府机构访问政府官员的邮箱。Grotto 称,微软对美国政府有巨大的影响力,而该公司并不慑于使用。他估计美国 85% 的政府生产力软件来自微软,Windows 操作系统所占份额更大,“微软在很多方面锁定了政府,它能将与安全漏洞相关的大量成本转嫁给联邦政府。”他希望美国政府能鼓励更多的竞争。

安全
Wilson(42865)
发表于2024年04月22日 18时42分 星期一
来自平格尔的奇遇
勒索软件黑帮今年开局不利。网络安全公司 Coveware 的数据显示,2024 年第一季度支持勒索赎金的企业比例下降至 28%,2023 年第四季度则是 29%。支付比例下降是因为企业和组织采用了更先进的保护措施,巨大的法律压力,以及勒索软件黑帮再三违背了不会发布或出售盗窃数据的诺言。虽然支付比例下降,但支付金额仍然在上升。Coveware 的数据显示 2023 年支付给勒索软件黑帮的赎金高达 11 亿美元。原因是黑帮增加了攻击频率,攻击更多目标,并要求更详细的赎金金额。2024 年第一季度,平均赎金金额为 381,980 美元,比前一季度下降 32%,赎金中位数 25 万美元,同比增加 25%。

安全
Wilson(42865)
发表于2024年04月19日 22时40分 星期五
来自失落之心
自称 GhostR 的黑客组织声称 3 月从 World-Check 数据库窃取了 530 万记录,威胁在网上公开。该数据库被企业用于检查潜在客户是否在制裁和金融犯罪相关的黑名单上。World-Check 是“了解你的客户(know your customer,KYC)”合规项目的筛选数据库,允许公司确定潜在客户是否属于高风险或潜在犯罪分子,如与洗钱有关联或受政府制裁。黑客是从一家能访问 World-Check 数据库的新加坡公司窃取的,但没有披露该公司名字。

安全
Wilson(42865)
发表于2024年04月17日 16时16分 星期三
来自异形:痛苦之河
今年 2 月遭勒索软件攻击的美国医疗公司 Change Healthcare 的母公司 UnitedHealth 披露,此次攻击至今造成的损失为 8.72 亿美元。UnitedHealth 在截至 3 月 31 日的第一季度财报中表示,攻击对公司的影响为每股 0.74 美元,预计到年底会增加到每股 1.15-1.35 美元。与此次攻击相关的补救工作还在进行之中,因此随着时间推移,与业务中断和修复相关的总费用可能会超过 10 亿美元,其中包括可能向勒索软件组织 ALPHV/BlackCat 支付 2200 万美元的赎金。Change Healthcare 拒绝证实是否支付了赎金,而 ALPHV/BlackCat 在获得赎金之后宣布停止运作,它没有向其加盟成员支付佣金。但这些加盟成员仍然控制着窃取自 Change Healthcare 的数据,没有获得佣金的组织开始威胁泄露窃取的数据。

安全
Wilson(42865)
发表于2024年04月17日 15时08分 星期三
来自帕迪多街车站
OpenJS 基金会发出警告,称 XZ 后门事件可能不是一起孤立事件。在 XZ 事件中,攻击者 Jia Tan(化名)潜伏长达两年多时间,最终获得信任成为项目的共同维护者。OpenJS 基金会称,他们观察到了类似的行动,他们收到了一系列邮件,要求基金会采取行动更换其管理的流行 JavaScript 项目的维护者,以解决高危漏洞。邮件使用了 GitHub 关联邮箱。这和 XZ 项目维护者 Lasse Collin 收到的施压邮件十分相似。类似事件凸显了快速发展的开源生态系统所面临的安全风险,尤其是今天软件的依赖关系错综复杂。