Apache Http Options 请求方法存在安全漏洞,可致内存信息泄漏

HackerNews.cc  9 月 18 日消息,安全研究人员 HannoBöck 于近期发现 Apache HTTP OPTIONS 请求方法存在一处安全漏洞( CVE-2017-9798 ),允许攻击者在网站管理员尝试使用无效的 HTTP 方法进行 “Limit” 指令请求时,远程窃取服务器内存信息。目前,官方认定漏洞危险等级为【中危】。 影响范围: ο Apache HTTP 软件 2.2.34/2.4.27 之前版本 解决方法: ο 研究人员已在线发布漏洞概念验证( PoC ) ο 各发行版本厂商陆续发布更新,建议运行 Apache Web 服务器的用户升级至最新版本。 更多详细内容: ο 原文详细报告《Optionsbleed – HTTP OPTIONS method can leak Apache’s server memory》 原作者:HannoBöck,译者:青楚  本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

曾入侵美国国防部军事系统的英国黑客被判 18 个月监禁

25 岁的英国黑客肖恩 · 卡弗里( Sean Caffrey ) 于 2014 年 6 月 15 日入侵美国国防部( DoD )军事系统后访问超过 800 名卫星通信系统用户账号与电子邮件地址、窃取 3 万多条卫星电话通讯记录。国家通信协会( NCA )网络犯罪部门与西中部地区警察随后展开调查,并于 2015 年 3 月将其逮捕。2017 年 6 月 15 日,Caffrey 在 Birmingham Crown 法院认罪,承认窃取美国国防部军事卫星机密资料。 Birmingham Crown 法院根据相关法案条例于 2017 年 9 月 14 日宣布 Caffrey 判处结果,即该名黑客被判 18 个月监禁,缓期 18 个月。 NCA 国家网络犯罪调查主管 Tony Adams 表示:“由于 Caffrey 攻击政府计算机系统是一种极其严重的罪行,因此法院在其指导方针下对其判处该法规最高刑期。另外,值得注意的是,像此类黑客行为一旦被执法部门发现,将会被其严肃对待并提交至法庭处理 ”。联邦调查局驻洛杉矶总部的办公室主任 Danny Kennedy 表示,这一判处结果是国际执法部门合作的完美例子。联邦调查局将继续与各相关部门加强合作,共创合法网络安全空间。 原作者:Jason Murdock,译者:青楚  本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

全球虚拟化软件企业 VMware 修复产品多处漏洞

据外媒报道,网络安全公司 Comixuris UG 研究人员 Nico Golde 与 Ralf-Philipp Weinmann 于今年 6 月发现全球虚拟化软件研发与销售企业 VMware 的 ESXi、vCenter 服务器、Workstation 与 Fusion 产品中存在多处漏洞,允许攻击者在获取用户低等特权时执行任意代码。近期,VMware 研究人员在线发布漏洞补丁修复程序。 调查显示,上述产品漏洞中最为严重的一处与 SVGA 设备的越界写入有关,其编号为 CVE-2017-4924( CVSS 分值为 6.2)。SVGA 是一台由 VMware 虚拟化产品实现旧版虚拟图像显卡仪器,而该漏洞允许攻击者在 SVGA 主机上执行任意代码。目前,OS X 上的 ESXi 6.5、Workstation 12.x 与 Fusion 8.x 产品普遍遭受影响。 研究人员发布的第二处漏洞(CVE-2017-4925)被列为中等危害,其主要影响 OS X 上的 ESXi 5.5、6.0、6.5 版本、Workstation 12.x 版本与 Fusion 8.x 版本。值得注意的是,具有正常用户权限的攻击者可以利用此漏洞破坏其虚拟机设备。 第三处漏洞(CVE-2017-4926)也被列为中等危害,允许具有 VC 用户权限的攻击者可以在其他用户访问 XSS 页面时执行恶意 JavaScript 代码。不过,研究人员发现该漏洞仅影响 vCenter Server H5 6.5 版本的客户端设备。 原作者:Eduard Kovacs,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

英国 NCC 为加强网络威胁保障,推出 CENTA 计划提供安全支持

HackerNews.cc  9 月 15 日消息,英国国家计算中心( NCC )为保障政府、央行、监管机构等多家组织的网络安全,特创立新一代威胁保障中心(CENTA)、聘请三家银行网络专家 Phillip Larbey、Anthony Long 与 Fiona Paterson 就网络弹性与最佳实践方案提供可靠建议。 网络弹性(cyber resilience)也称为运维弹性(operational resilience)是指网络在遇到灾难事件时快速恢复和继续运行的能力。(百度百科) 安全专家 Larbey 曾就职于英国央行网络职能部门,而现被任命为 NCC 副董事并主管 CENTA 计划;Paterson 在过去两年中主要负责制定英国央行的网络弹性策略;Long 此前主要在零售、国际银行与保险市场进行交付与开发网络测试计划。 知情人士透露,CENTA 计划主要为境外央行与监管机构提供全球网络安全咨询服务、协助有关机构对网络弹性的准备、设计、实施与支持,以及网络安全测试监管制度的设计与发展。此外,该计划还将为各机构提供培训、网络管理测试、根源分析、纠正修复与安全审核等项目。 Larbey 表示:“我们将与地缘政治论坛合作,为政府部门、中央银行、监管机构等多家组织提供网络安全咨询与支持,以维护网络安全管理最高标准。而这些使命将是 NCC 的一剂补药,因为 NCC 在过去网络动荡的一年里,已收到三次重大合同取消后的利润警告。” NCC 网络风险管理与治理总监 Ben Jepson 表示:“政府与监管机构是最具网络威胁的受害组织,而我们创建 CENTA 计划,旨在提供专门的安全咨询服务,以便帮助各机构提高网络威胁防御能力。” 原作者:John Leyden,译者:青楚  本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Equifax 全美最大数据泄露案跟进:逾 40 万英国客户信息或已被黑客窃取

美国征信企业 Equifax 上周证实,公司网站遭黑客攻击,逾 1.43 亿美国公民记录在线泄露,其中包括姓名、住址、出生日期、社会保障号,有时甚至还会包含公民驾照信息。另外,泄露信息还包括 20.9 万美国用户信用卡号,以及 18.2 万美国用户部分争议性文件。研究人员经调查表示,数据的泄露从 5 月中旬开始,直至 7 月 29 日才被察觉。 近期,Equifax 英国分支机构表示,虽然内部系统并未受到严重影响,但黑客在此次泄露事件中可能已经访问超过 40 万(2011 – 2016 年在美国存储的)英国客户信息,其中包括用户名、出生日期、邮件地址及电话号码等。不过,Equifax 证实受影响数据并不包括用户住宅地址、密码与财务数据等敏感信息。此外,调查人员表示从黑客所访问信息的性质来看,英国客户在此事件中受影响程度较有限 。 目前,Equifax 公司已联系受影响客户并免费向他们提供个人身份信息综合保护服务,旨在保障用户信息安全、提醒用户警惕潜在的欺诈活动。 原作者:India Ashok,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

流行音乐媒体 Vevo 服务器遭黑客组织 OurMine 入侵,致使逾 3.1 TB 内部文件与视频在线泄露

HackerNews.cc 9 月 16 日消息,流行音乐媒体 Vevo 服务器遭黑客组织 OurMine 入侵,致使逾 3.1 TB 内部文件与视频在线泄露,其中包括 90 多名不同艺术家私人档案(例如:泰勒斯威夫特、贾斯汀比伯、凯蒂佩里、小甜甜布兰妮、麦当娜等)、公司社交媒体战略备忘录、英国 Vevo 办公室禁用报警系统说明、电商营销信息、每周音乐排行榜等内部文件。 OurMine 是一个自称安全黑客的团队,他们经常通过侵入一些大咖的社交网络账号给自己打广告。就在上个月他们还曾窃取过 HBO 和《权力的游戏》的社交媒体账号(注:窃取 1.5TB 数据的并非 OurMine 团队),但 OurMine 宣称他们仅仅 “ 在测试 HBO 系统的安全性能 ”。不过,他们此前主要攻击的目标是科技圈内的 CEO、企业与新闻网站,旨在通过漏洞入侵社交账号后兜售自家安全服务。 黑客组织 OurMine 在窃取 Vevo 大量数据后于 9 月 14 日通知公司,但遭到雇员怀疑与亵渎。不过,尽管 OurMine 已泄露大量数据,但他们还是在官网声称:“ 如果 Vevo 代表主动与我们取得联系,我们会立即删除数据 ”。最终,OurMine 删除了在线数据。随后,Vevo 在一份声明中证实并表示此次泄露事件主要是通过网络钓鱼攻击的结果。目前,Vevo 已妥善解决这个问题并正在加大调查力度,以确保公司信息安全。 原作者:Hyacinth Mascarenhas,译者:青楚  本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Python PyPI 被发现含有 10 款恶意代码安装包

据外媒 9 月 15 日报道,斯洛伐克国家安全局( NBU )研究人员近期在编程语言 Python 的第三方存储库 PyPI 中发现 10 款含有恶意代码的 Python 安装包,旨在感染目标主机系统、窃取用户敏感信息。 调查显示,攻击者主要使用一种被称为 “误植域名” 的技术,即在上传类似合法程序安装包至索引时( 例如:“ urlib ” 而并非 “ urllib ” ),PyPI 存储库不会执行任何类型的安全检查或审计,因此攻击者在线传播这些模块并不困难。另外,攻击者还会将恶意代码植入软件安装脚本,以便快速感染目标用户系统。 研究人员表示,由于这些软件安装包的恶意代码基本相同,因此它们的功能大同小异。不过,尽管在安装脚本 setup.py 时将会被植入恶意代码,但它们对于主机系统来说相对无害。此外,恶意代码只收集受感染主机的使用信息,例如伪造安装包的名称、版本、用户名以及计算机主机名。据悉,NBU 安全研究人员于上周联系 PyPI 管理员后,他们立即删除了这些含有恶意代码的安装包。其中存在恶意代码的软件安装包包括: – acqusition (uploaded 2017-06-03 01:58:01, impersonates acquisition) – apidev-coop (uploaded 2017-06-03 05:16:08, impersonates apidev-coop_cms) – bzip (uploaded 2017-06-04 07:08:05, impersonates bz2file) – crypt (uploaded 2017-06-03 08:03:14, impersonates crypto) – django-server (uploaded 2017-06-02 08:22:23, impersonates django-server-guardian-api) – pwd (uploaded 2017-06-02 13:12:33, impersonates pwdhash) – setup-tools (uploaded 2017-06-02 08:54:44, impersonates setuptools) – telnet (uploaded 2017-06-02 15:35:05, impersonates telnetsrvlib) – urlib3 (uploaded 2017-06-02 07:09:29, impersonates urllib3) – urllib (uploaded 2017-06-02 07:03:37, impersonates urllib3) 安全研究人员表示,恶意代码主要与 Python 2.x 一起使用,而运行在 Python 3.x 应用程序时将会发生错误。这些恶意软件安装包于 2017 年 6 – 9 月一直处于活跃状态,目前也有证据表明,多个恶意安装包已被开发人员使用。对此,安全专家除了要求 Python 程序人员检查他们的软件安装包是否遭受感染外,还建议他们在下载 Python 安装包时避免使用 “ pip ”(一个 Python 包安装程序),因为 pip 不支持加密签名。 原作者:Catalin Cimpanu,译者:青楚  本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

银行木马 BankBot 感染 Google 商店 160 款应用程序,阿联酋金融机构成为黑客首选攻击目标

趋势科技(Trend Micro)研究人员于 9 月 13 日发布安全报告,指出 Android 恶意软件 BankBot 已成功感染逾 160 款 Google 商店中的合法应用程序。相关数据显示,该款恶意软件新变种主要瞄准 27 个国家银行机构展开攻击活动,其中 10 家受害组织来自阿联酋地区。 恶意软件 BankBot 于今年 1 月浮出水面,其主要使用虚假页面覆盖真实网页欺骗不知情用户输入登录凭证等敏感信息。此外,BankBot 还可劫持与拦截用户 SMS 信息,从而绕过基于短信的双重身份验证。 近期,研究人员再次发现 5 款受感染的新型应用程序,其中颇受用户欢迎的一款已被下载 5000-10000 次。研究人员表示,最新版本的 BankBot 变体只有安装在真实设备中才会运行。然而,一旦安装并运行 BankBot 后,它将自动检查受感染设备上是否存在银行应用安装包。倘若存在,BankBot 将立即连接至 C&C 服务器并上传安装包名称与标签。随后,C&C 服务器还会向受感染应用发送恶意链接,从而下载包含用于覆盖页面的恶意文件库,以便攻击者后续使用。 图1. BankBot 下载覆盖网页 值得注意的是,研究人员发现该款恶意软件在针对阿联酋银行应用程序时,表现略有不同。BankBot 并非直接显示虚假的覆盖页面,而是请求用户输入电话号码等信息。随后,C&C 服务器会在一个 FireBase 邮件中向目标受害者发送恶意链接。一旦用户进入指定页面,他们将会被提示输入银行具体信息。即使用户提供的信息正确,也会弹出一个 “ 错误页面 ” ,致使受害者必须再次输入信息进行确认。显然,BankBot 的开发人员想要再次核实受害者银行凭证,以便快速正确登录用户账号、窃取资金。 图2.伪造阿联酋银行应用程序屏幕 目前,BankBot 开发人员似乎正尝试使用新技术操作扩大目标攻击范围,对此,研究人员提醒用户在安装任何应用程序前(即使从 Google Play 商店下载)始终验证应用权限,以防黑客恶意攻击。 附:趋势科技原文报告《 BankBot Found on Google Play and Targets Ten New UAE Banking Apps 》 原作者:Hyacinth Mascarenhas,译者:青楚  本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

趋势科技:韩文处理器 HWP 系统遭黑客网络钓鱼攻击

HackerNews.cc  9 月 14 日消息,趋势科技( Trend Micro )研究人员近期发现黑客正以 “ 比特币 ” 或 “ 金融安全准则 ” 为主题分发附带恶意 PostScript 代码的文件,旨在感染韩文处理器(HWP)系统、展开网络钓鱼攻击活动。 图一:诱导文件样本 韩文处理器(HWP)是一款颇受韩国公民欢迎的文字处理应用程序,它具备运行 PostScript 代码的功能,这是一种最初用于打印与印刷系统的编程语言。另外,PostScript 的其中一个分支被称为 Encapsulated PostScript(被封装的 PostScript 格式),它增加了运行代码的限制范围,从而使部分文档的打开更加安全。但不幸的是,较老版本的 HWP 系统并未约束这些限制。 调查显示,此类攻击手段主要是利用恶意 PostScript 代码在受害设备上获取立足接入点,以便展开攻击活动。虽然 PostScript 无法执行 shell 命令,但它确实能够操控目标设备文件。此外,研究人员表示,攻击者入侵目标设备后,首先将系统文件丢弃到各种启动文件夹中,并在等待用户重启设备前使用不同攻击方式破坏系统,其攻击方式包括: Ο 在启动文件夹中删除快捷方式执行 MSHTA.exe 文件。 Ο 删除启动文件夹中的快捷方式和%Temp%目录中的 DLL 文件。该快捷方式主要调用 rundll32.exe 执行 DLL 文件。 Ο 在启动文件夹中删除可执行文件。 图二: HWP 文件中的代码示例 目前,经调查显示,2014 年以后更新的版本不易受此类问题影响。因此,研究人员建议用户更新至最新版本,以防黑客攻击、保障系统安全。 稿源:Trend Micro,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

微软零日漏洞( CVE-2017-8759 )已被利用于传播恶意软件 FinSpy

据外媒 9 月 13 日报道,网络安全公司 FireEye 研究人员近期发现微软 Office 文档存在一处零日漏洞( CVE-2017-8759 ),允许黑客操控受影响系统、安装间谍程序 FinSpy、更改或删除原始数据,以及诱导受害用户打开电子邮件下载特制文档或恶意应用程序。 FireEye 研究人员表示,资金充足的网络间谍组织于今年 7 月就已利用该漏洞传播恶意软件 FinSpy,其主要瞄准讲俄语的用户展开网络攻击活动。 FinSpy 是一款监控软件,由英国 Gamma 组织开发,并仅面向政府与执法机构出售,但隐私倡导者推测该软件也可能被售于专制政权机构。此外,FireEye 研究人员经调查发现间谍软件 FinSpy 在近期的攻击活动中 “ 使用 ” 了混淆代码与内置虚拟设备,以便隐藏受害系统内部进行反分析监控。 一旦受害系统感染恶意软件,FinSpy 不仅能够录制所有通信来电与短信消息,还可远程开启目标设备的摄像头、麦克风,以及实时定位与跟踪用户设备。目前,研究人员尚不清楚有多少用户已被攻击,也不了解此次攻击活动是否与俄罗斯政府有关。不过,好在作为微软每月安全更新的一部分,研究人员已发布漏洞修复补丁。 原作者:Mohit Kumar,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接