安全快讯Top News

微软确认已修复 NTFS 格式磁盘拒绝服务致系统崩溃的漏洞

在1月中旬,我们报道了Windows 10中的一个漏洞,它可以被用来破坏NTFS格式化驱动器的内容。只需要一个特别制作的文件夹名称,就可以导致卷被标记为dirty状态,然后系统需要使用Chkdsk实用程序进行修复。 但Chkdsk并不总是能做到这一点,反而让受害者无法启动系统。几个月前,微软开始在Windows Insiders社区测试修复补丁,现在补丁正在提供给所有用户,微软标记其为解决了被追踪为CVE-2021-28312(Windows NTFS拒绝服务漏洞)的问题。 这些修复措施被列为本月周二发布的补丁的一部分,一同到来的KB5001330和KB5001337更新主要负责卸载Windows 10中的微软Edge的传统版本。但这些Windows 10的更新,一如既往地是一把双刃剑。 不幸的是,虽然这些更新解决了不可否认的破坏性NTFS问题,但它们也给人们带来了其他问题,包括性能下降和访问共享文件夹时出现问题。在安装了Windows 10的相关更新后,试图访问有问题的路径时,会出现与Insiders构建版21322测试期间相同的消息,即” 该目录名称无效”。 有关该漏洞的更多细节,可在微软安全响应中心找到: https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-28312     (消息及封面来源:cnBeta)

美国联邦调查局正评估代码测试公司 Codecov 的黑客入侵事件

美国联邦调查人员正在探查总部位于旧金山的软件审计公司Codecov的黑客入侵事件,该公司表示,该事件影响了其2.9万名客户中数量不详的客户,这可能引发大量公司发生连锁数据泄密事件。 Codecov在一份声明中说,黑客在1月31日开始篡改其软件,该软件在整个科技行业被用来帮助测试代码的错误和漏洞。 然而,Codecov表示,直到本月早些时候,一位精明的客户发现该工具有些不对劲,才发现了这一入侵事件。虽然事件的后果尚不清楚,但这次入侵事件与最近德克萨斯州软件公司SolarWinds被俄罗斯黑客入侵事件相提并论,一是因为这次入侵事件可能对许多使用Codecov的机构产生后续影响,二是因为被篡改的软件在流通中的时间太长。 该公司在其网站上表示,它有2.9万家客户,包括消费品集团宝洁公司、网络托管公司GoDaddy Inc、华盛顿邮报和澳大利亚软件公司Atlassian Corporation PLC。 宝洁、GoDaddy和《华盛顿邮报》没有立即回复寻求评论的信息。Atlassian表示,它知道这一情况,正在进行调查,并且还没有发现任何证据表明其受到了影响。 以色列源代码保护公司Cycode的Dor Atias表示,Codecov使用场景广泛,”大企业、小公司和开源工具都在使用”。入侵Codecov意味着 “你可以从很多大公司获得大量数据,”他说。”这是很大件事。” Codecov表示,联邦政府正在对此事进行调查期间拒绝对其事进行详细说明。联邦调查局和国土安全部的网络安全部门周五均没有立即回复置评要求。   (消息及封面来源:cnBeta)

配送平台 Mercato 发生数据泄露 却没向用户发出提醒

外媒 TechCrunch 报道,在线杂货配送初创公司 Mercato 在今年 1 月发生了用户数据泄露事件,导致数万用户的个人隐私被窃取。导致泄漏的原因是公司托管在亚马逊云端的一个云存储桶被攻击,且没有受到保护。在事件发生之后该公司只是修复了这些数据,但没有向用户发出提醒。 Mercato 成立于 2015 年,主要帮助超过 1000 家小型杂货店和专业食品店提供取餐和配送服务,用户不需要注册 Instacart 或亚马逊 Fresh 等送货服务。Mercato 在波士顿、芝加哥、洛杉矶和纽约开展业务,并在这些地区设有办公场所。 根据外媒 TechCrunch 获得的一份数据副本,该副本中包含了 7 万份订单,时间是在 2015 年 9 月至 2019 年 11 月的,包括了客户姓名和电子邮件地址、家庭地址和订单详情。每条记录还有用户用于下单的设备的 IP 地址。该数据集还包括公司高管的个人资料和订单细节。 目前还不清楚安全漏洞是如何发生的,因为亚马逊云上的存储桶默认是私有的,也不清楚公司是什么时候得知这一曝光事件的。公司需要向州检察长披露数据泄露或安全漏洞,但在法律要求的地方,比如加州,还没有发布通知。该数据集在加州有超过 1800 名用户,是该州数据泄露通知法规定的触发强制披露所需人数的三倍多。   (消息及封面来源:cnBeta)

上亿台设备受影响 高危漏洞 NAME:WRECK 曝光

通过和 JSOF Research 合作,网络安全公司 Forescout Research Labs 在披露了威胁全球上亿台设备的高危漏洞–NAME:WRECK。这是影响 4 个主流 TCP/IP 堆栈(FreeBSD,Nucleus NET,IPnet 和 NetX)的 9 个漏洞组合,对域名系统(DNS)实现有关,会导致拒绝服务(DoS)或远程代码执行(RCE),允许攻击者控制或者宕机目标设备。 这些漏洞影响的TCP/IP堆栈包括但不限于: FreeBSD(影响版本:12.1)-BSD系列中最流行的操作系统之一。 IPnet(影响版本:VxWorks 6.6)-最初由Interpeak开发,现在由WindRiver维护,并由VxWorks实时操作系统(RTOS)使用。 NetX(影响版本:6.0.1)-ThreadX RTOS的一部分,现在是Microsoft维护的一个开源项目,名称为Azure RTOS NetX。 Nucleus NET(影响版本:4.3)-由西门子业务MentorGraphics维护的Nucleus RTOS的一部分,用于医疗、工业、消费类、航空航天和物联网设备。 攻击者可以利用NAME:WRECK漏洞窃取敏感数据、修改或使设备脱机以对制造行业中的政府或企业服务器、医疗机构、零售商或公司造成重大安全事故。攻击者还可以利用这些漏洞篡改住宅或商业场所的智能设备,以控制供暖和通风、禁用安全系统或篡改自动照明系统。   这些漏洞的细节将会在今年 5 月第 1 周召开的信息安全会议 Black Hat Asia 2021 上介绍。根据 Forescout 的研究人员的说法,医疗保健和政府组织是最容易受到所有三个 TCP/IP 堆栈的影响。不祥的是,Forescout 的粗略估计显示,多达 1 亿台或更多的设备可能受到 NAME:WRECK 的影响。 要完全防止这些易受攻击的TCP/IP堆栈版本,需要对设备打补丁,而在报告认为这并不太可能实现,有时甚至是困难的。这是因为所需的努力可能会发生 “巨大的变化”,这取决于有关设备是标准的 IT 服务器还是物联网设备。     (消息及封面来源:cnBeta)

FBI 已展开行动 从被黑 Exchange 服务器中移除后门

美国休斯敦的一家法院已经授权 FBI 展开行动,从美国数百台微软 Exchange 电子邮件服务器中“复制并删除”后门。在几个月前,黑客利用 4 个此前尚未被发现的漏洞攻击了数千个网络。美国司法部本周二宣布了这次活动,并表示这项活动是“成功”。 今年 3 月,黑客组织 Hafnium 利用 4 个漏洞链成功入侵了 Exchange 服务器,并窃取了存储在服务器上的内容。微软虽然修复了这些漏洞,但补丁并没有关闭已经被入侵的服务器的后门。几天之内,其他黑客组织开始用同样的漏洞打击脆弱的服务器,部署勒索软件。 司法部在一份声明中表示:“随着补丁的应用,受感染的服务器数量有所下降。但数百台Exchange服务器仍然脆弱,因为后门很难找到并消除。这次行动删除了一个早期黑客组织剩余的网络外壳,这些外壳可能被用来维持和升级对美国网络的持续、未经授权的访问。FBI进行删除的方式是通过web shell向服务器发出命令,该命令旨在使服务器只删除web shell(由其唯一的文件路径识别)”。 FBI表示,它正试图通过电子邮件通知从其删除后门的服务器的所有者。助理司法部长John C. Demers 说,这次行动“表明司法部致力于利用我们所有的法律工具,而不仅仅是起诉,来破坏黑客活动”。   (消息及封面来源:cnBeta)

安全专家发现基于 Chromium 的浏览器漏洞 可绕过沙盒远程执行

针对 Chrome、Edge 以及其他基于 Chromium 的浏览器,一位安全研究人员在 Twitter 上分享了一个概念验证(PoC)漏洞。虽然这个零日漏洞已经被公开披露,但在最新版的 Chrome 和 Edge 中并未被修复。 安全研究人员 Rajvardhan Agarwal 在基于 Chromium 浏览器中的 V8 JavaScript 引擎中发现了一个远程代码执行漏洞,并通过个人 Twitter 帐号进行了公布。虽然该漏洞已经在最新版本的 V8 JavaScript 引擎中得到修复,但谷歌何时将其添加到 Chrome 浏览器中仍不清楚。 在 Agarwal 提供的概念验证演示中,需要配合另一个漏洞来逃脱 Chromium 沙盒。为了测试该漏洞,BleepingComputer 在启用 -no-sandbox 标志的情况下同时启动了 Chrome 和 Edge,并能够使用该漏洞在 Windows 10 上运行计算器(代表成功入侵)。 虽然在 Twitter 上发布零日漏洞本身是有争议的,但社交网络上的一些用户对 Agarwal 的行为表示质疑,因为该漏洞最初是由来自 Dataflow Security 的 Bruno Keith 和 Niklas Baumstark 发现的,而在泄漏时并未提及他们的功劳。不过,Agarwal 表示他发现该漏洞的时候并不知道对方已经发现了这个漏洞。 更新:在最新的 Chrome 版本中已经修复了这个问题,不过他爆料在 V8 引擎中还有一个漏洞并未得到修复,不过他决定不再公开该漏洞。   (消息及封面来源:cnBeta)

为 FBI 解锁圣贝纳迪诺枪手 iPhone 的公司被曝出:Azimuth Security

就连苹果公司也查不出FBI在哪家公司的协助下解锁了圣贝纳迪诺枪手的一部iPhone,但一份新的报告声称知道做这项工作的秘密公司,它的名字叫Azimuth Security。尽管2016年有很多人猜测FBI雇佣了业内知名的Cellebrite来解锁枪手的iPhone 5C,但直到现在,真正的公司才被点名。 这是一家名为Azimuth Security的澳大利亚国防承包商,现在是L3Harris Technologies的一部分。 据《华盛顿邮报》报道,Azimuth是一家 “羞于对外公开”的公司,但据悉它曾参与为美国、加拿大和英国政府生产黑客工具。苹果公司一直在起诉Azimuth公司,因为它向政府机构出售iPhone虚拟机,并试图解锁客户想要解锁的设备。 尽管如此,苹果并没有认定是Azimuth帮助了FBI。其最终解锁的圣贝纳迪诺iPhone成为苹果与FBI之间备受瞩目的纠纷中心。 苹果CEO蒂姆·库克后来表示,他曾希望将这场纠纷诉诸法庭,但争论的结果是木已成舟:设备成功解锁。 现在有消息称,两名Azimuth黑客向FBI透露了一系列的iOS漏洞,或者说是利用,这些漏洞组合在一起就可以解锁iPhone。据报道,Azimuth公司获得了90万美元的解锁报酬,不过执法部门并没有从手机中找到任何对知晓案情有帮助的情报。   (消息及封面来源:cnBeta)  

白宫向美国各级政府机构下命令:赶紧给微软服务器打补丁

北京时间4月14日早间消息,白宫最高网络安全官员向各政府机构下达命令,要求它们为微软公司Exchange邮件服务器安装新补丁,因为服务器软件存在漏洞,可能会被黑客利用。 日前,美国国家安全局在软件中发现4个漏洞,于是上报给微软,这才有了今天的命令。负责网络和新兴技术的副国家安全顾问安妮·纽伯格(Anne Neuberger)在声明中表示:“我们意识到漏洞可能会带来系统性风险,所以有必要及时披露。” 微软声称至今并没有发现有谁利用漏洞,但黑客将会研究新补丁,看看微软修复了什么,然后黑客可能会利用漏洞攻击未打补丁的计算机。 今年年初时,美国约有2万多台Exchange服务器遭到攻击,这些服务器主要用来处理Web版Outlook邮件。   (消息及封面来源:新浪科技)

Joker 恶意软件感染超过 50 万台华为 Android 设备

超过50万名华为用户从该公司的官方Android商店AppGallery下载了感染Joker恶意软件的应用,订阅了高级移动服务。研究人员在AppGallery中发现了10个看似无害的应用,这些应用含有连接到恶意命令和控制服务器以接收配置和附加组件的代码。 反病毒厂商Doctor Web的一份报告指出,这些恶意应用保留了其宣传的功能,但下载的组件可以让用户订阅高级移动服务。为了让用户无法察觉,受感染的应用程序要求访问通知,这使得他们能够拦截订阅服务通过短信传递的确认代码。 据研究人员介绍,该恶意软件最多可以为一个用户订阅五项服务,不过威胁行为人可以随时修改这一限制。恶意应用程序的清单包括虚拟键盘、相机应用程序、启动器、在线信使、贴纸收集、着色程序和游戏。 其中大部分来自一个开发商,两个来自不同的开发商。这十款应用被超过53.8万名华为用户下载。这些应用告知华为,该公司从AppGallery中删除了这些应用。虽然新用户不能再下载它们,但已经在设备上运行这些应用的用户需要进行手动清理。 研究人员表示,AppGallery中被感染的应用程序下载的相同模块也存在于Google Play上的其他应用程序中,被其他版本的Joker恶意软件使用。完整的被感染应用列表可在这里获得。一旦激活,恶意软件就会与其远程服务器通信,以获取配置文件,其中包含任务列表、高级服务的网站、模拟用户交互的JavaScript。 Joker恶意软件的历史最早可以追溯到2017年,并不断在通过Google Play商店分发的应用中找到它的踪迹。2019年10月,卡巴斯基的安卓恶意软件分析师Tatyana Shishkova在推特上发布了70多个被入侵的应用,这些应用已经进入了官方商店。 而关于Google Play中恶意软件的报道也不断出现。2020年初,谷歌宣布,自2017年以来,已经删除了约1700个感染了Joker的应用。去年2月,Joker仍然存在于商店中,即使在去年7月,它也继续从谷歌的防御系统中溜走。   (消息及封面来源:cnBeta)

拜登政府的国家网络安全“梦之队”已初具规模

在 SolarWinds 软件更新打包服务器遭遇黑客攻击,并且对政企客户造成了巨大的威胁之后,拜登政府也终于下决心组建一支网络安全领域的专业队伍。周一的时候,有外媒报道称,拜登总统已任命两位前国家安全局资深人员,担任美国政府的高级网络安全职务,其中还包括了首位国家网络总监(National Cyber Director)。 今年早些时候发生的针对美国科技巨头 SolarWinds 公司的黑客入侵 + 后门程序植入事件,目前已知至少波及到了 9 家联邦机构。 在周一宣布的人事任命中,包括了奥巴马执政时期的前国家安全局官员、美国网络司令部发起者之一的 Jen Easterly,他已被提名为国土安全部旗下的网络安全咨询部门(CISA)的新负责人。 此外拜登任命了前国家安全局副局长 John“Chris”Inglis 为国家网络总监,这个新职务由国会在去年年底时设立,旨在监督和负责民政与国防机构的网络安全和相关预算。 预计他将与一月份被任命为国家安全委员会网络安全副顾问的 Anne Neuberger 紧密合作,作为 NSA 的前高管,后者也是网络安全的第一负责人,比如协助政府应对 SolarWinds 攻击和 Exchange 邮件服务器黑客事件。 最后,拜登提名了前奥巴马时代的网络安全政策助理秘书 Rob Silvers 来担任国土安全部的战略、政策和计划副部长(近期也有被选至 CISA 的最高职位)。 上述信息由《华盛顿邮报》最先披露,不过 Jen Easterly 和 Rob Silvers 的提名仍需通过参议员的确认。   (消息及封面来源:cnBeta)