内容转载

= ̄ω ̄= 内容转载

OpenSSH 8.0 发布,修复 SCP 存在 35 年的漏洞

OpenSSH 8.0 发布了,此版本缓解了 scp(1) 工具和协议漏洞 CVE-2019-6111,该漏洞此前我们之前报导过:知名文件传输协议 SCP 被曝存在 35 年历史的安全漏洞。 将文件从远程系统复制到本地目录时,SCP 客户端无法验证 SCP 服务器返回的对象是否与请求的东西一致,这使得攻击者可以使用恶意服务器控制的内容创建或破坏本地文件。 OpenSSH 8.0 的缓解措施添加了客户端检查,查看从服务器发送的文件名与命令行请求是否匹配。 SCP 协议已经过时,不灵活且不易修复,OpenSSH 官方建议使用更现代的协议进行文件传输,如 sftp 和 rsync。 此版本新特性包括: ssh(1)、ssh-agent(1)、ssh-add(1):PKCS#11 token 中添加对 ECDSA 密钥的支持。 ssh(1)、sshd(8):基于 Streamlined NTRU Prime 4591^761 和 X25519 的组合,添加实验性量子计算抗性密钥交换方法。 ssh-keygen(1):将默认 RSA 密钥大小增加到 3072 位。 ssh(1):允许“PKCS11Provider = none”覆盖 ssh_config 中 PKCS11Provider 指令的后续实例。 ssh(1):提示是否录制新主机密钥时,输入密钥指纹作为“yes”。 ssh-keygen(1):在单个命令行调用上签名多个证书时,允许自动递增证书序列号。 scp(1)、sftp(1):接受 -J 选项作为 scp 和 sftp 命令行上 ProxyJump 的别名。 ssh-agent(1)、ssh-pkcs11-helper(8)、ssh-add(1):接受“-v”命令行标志以增加输出的详细程度;将详细标志传递给子进程,例如从 ssh-agent 启动的 ssh-pkcs11-helper。 ssh-add(1):添加“-T”选项以允许通过执行签名和验证来测试代理中的密钥是否可用。 sshd(8):在 PAM 环境中暴露 $SSH_CONNECTION。 完整更新内容查看更新日志: http://www.openssh.com/txt/release-8.0   (稿源:开源中国,封面源自网络。)

Facebook 承认员工可获取数百万 Instagram 用户的明文密码

Facebook周四称,该公司员工可在一个内部数据库中看到数以百万计的Instagram用户密码,这些密码以可搜索的格式存储在数据库中。Facebook此次宣布的这一消息是对上个月发表的一篇博文的更新,当时该公司披露信息称,公司员工可以看到数百万Facebook用户密码。 Facebook在这篇博文中提供的最初说法是,数以千计的Instagram密码被泄露。网络安全记者布赖恩·克雷布斯(Brian Krebs)则在3月报道称,最多6亿个Facebook密码遭到泄露。 Facebook在博文中表示,除了此前提到的数千名用户以外,该公司将进一步向密码被泄露的数百万名Instagram用户发出通知。Facebook还称,该公司在进行内部调查后确定,这些密码并未“被滥用或不正当地访问”。但是,数千名Facebook员工本可看到这些密码,而且自此事在今年3月被首次曝光以来,Facebook一直都没有提供调查的最新信息。 在纳斯达克周四的常规交易中,Facebook股价小幅下跌0.50美元,报收于178.28美元,跌幅为0.28%。     (稿源:新浪科技,封面源自网络。)

黑客在 Telegram 上出售伊朗间谍部队 APT34 的黑客工具源代码

2017年,黑客组织Shadow Brokers对外宣称他们已经成功入侵了美国国家安全局(NSA)下属的黑客组织Equation Group,下载了后者大量的攻击工具并在网上发起拍卖。而现在又有黑客发布了类似的黑客工具,不过这次来自于伊朗精英网络间谍部队之一,在业内被称之为APT34,Oilrig或HelixKitten。 尽管本次发布的黑客工具并没有2017年NSA泄露的黑客工具那么复杂,但它们依然是非常危险的。这些黑客工具自今年3月中旬开始在网络上发布,以Lab Dookhtegan这个假名在Telegram频道上进行出售。 除了黑客工具之外,Dookhtegan还发布了一些似乎是来自APT34组织的黑客受害者的数据,这些数据主要是通过网络钓鱼页面收集的用户名和密码组合。 在3月中旬的时候,外媒ZDNet已经报道过这些黑客攻击以及受害者数据。在推特私信中,一位推特用户分享了一些在Telegram上发现的相同文件,因此有理由相信这个推特用户和Telegram上的 Lab Dookhtegan是同一个人。 在推特私信交流中,这位泄露者生成参与了该组织的 DNSpionage 活动,但泄露者极有可能是外国情报机构的成员,试图隐藏他们的真实身份,同时给予更加相信伊朗的黑客工具和操作的真实性。 一些网络安全专家已经确认了这些工具的真实性。 Alphabet的网络安全部门Chronicle今天早些时候向ZDNet证实了这一点。在今天发布的Telegram频道中,黑客共泄露了6个黑客工具的源代码,此外还有部分来自活跃后端面板的内容以及收集的受害者数据。 这6个黑客工具分别为: –  Glimpse(基于PowerShell的的新版木马,Palo Alto Networks命名为BondUpdater) –  PoisonFrog(旧版BondUpdater) –  HyperShell(称之为TwoFace的Palo Alto Networks网络外壳) –  HighShell(另一个Web shell) –  Fox Panel(钓鱼工具包) –  Webmask(DNS隧道,DNSpionage背后的主要工具) 根据Chronicle报道,Dookhtegan总共泄露了66名受害者的数据,这些受害者主要来自中东国家,还有非洲,东亚和欧洲。数据来自两个政府机构,也来自私营公司。 Telegram频道上指定的两家最大公司是阿提哈德航空公司和阿联酋国家石油公司。   (稿源:cnBeta,封面源自网络。)

俄罗斯通过新法规 必要时可切断国际互联网

新浪科技讯 北京时间4月18日晚间消息,据美国财经网站CNBC报道,俄罗斯议会本周通过了一项新法规,可能进一步将全球互联网公司隔离在俄罗斯之外。目前,这项新法规还有待俄罗斯总统普京(Vladimir Putin)的签字。 俄罗斯将这项法律定位为一项安全和隐私措施,旨在对抗美国日益咄咄逼人的网络安全立场和日益危险的总体安全威胁形势。但俄罗斯境外的活动人士和其他国际观察人士表示,这项法规将使普京政府对国内的互联网流量拥有更大的控制权。 当前,俄罗斯在允许美国社交媒体公司进入该市场已经保持相对严格的控制,并利用俄罗斯政府支持的替代性服务,以取代Facebook和谷歌Gmail等服务。 这项新法规名为《Stable Runet》,法将赋予俄罗斯通信监管机构Roskomnadzor更广泛的权力,以监控网络流量,并可能提供一个“关闭开关”,即在发生网络攻击时,将俄罗斯与更广泛的互联网断开。 有业内人士称,无论如何执行这项法规,它都可能会进一步助长所谓的“互联网巴尔干化”,即全球网络空间将进入一个“被主权壁垒分割”的“碎片化”时代。   (稿源:新浪科技,封面源自网络。)

Facebook 再爆用户不知情下收集了 150 万电子邮件联系人

援引外媒Business Insider报道,在未经用户知情或者同意的情况下当用户开设Facebook账号的时候,Facebook已经收集了150万用户的电子邮件联系方式。报道称自2016年5月以来,该社交网络巨头已经收集了超过150万新加入社交网络用户的联系人列表。对此Facebook官方表示这些联系人是“无意中上传至Facebook”的,而且现在已经着手进行删除。 一位安全研究专家注意到当用户注册新账号来验证身份的时候,Facebook会要求部分用户输入电子邮件密码。而这种行为遭到了安全专家的广泛抨击。外媒Business Insider随后发现,如果用户在注册过程中输入电子邮件密码,会在没有获得允许的情况下导入用户的电子邮件联系人。 Facebook发言人随后承认通过这种方式已经收集了150万电子邮件联系人,并以此用来创建Facebook的社交网络并向这些联系人发送添加请求。目前尚不清楚这些联系人是否也被用于有针对性的广告投放。 Facebook发言人表示在2016年5月之前,公司提供了一个选项在验证用户账号的同时自愿上传其电子邮件账号的联系人。不过在此之后Facebook对这项功能进行了调整,并且文字提醒用户那些上传的电子邮件联系人将会被删除,然而底层功能并没有彻底删除。随后发言人表示,Facebook没有访问用户电子邮件的内容。   (稿源:cnBeta,封面源自网络。)

阿桑奇被捕后 厄瓜多尔政府和机构网站遭到 4000 万次攻击

由于厄瓜多尔现任总统莫雷诺撤回了外交庇护,维基解密创始人朱利安·阿桑奇(Julian Assange)藏身厄瓜多尔驻英大使馆将近7年之后被抓。在接受法新社采访的时候, 厄瓜多资讯与通讯科技部副部长芮尔(Patricio Real)表示在阿桑奇遭到逮捕之后,已经受到了大规模针对该国的网络攻击。 报道中称在撤销对维基解密(WikiLeaks)创办人阿桑奇的政治庇护以来,该国的政府和机构网站遭到了4000万次的网络攻击。芮尔表示这些攻击始于4月11日,不仅来自厄瓜多尔国内,而且还来自于美国、巴西、荷兰、德国、罗马尼亚、法国、奥地利及英国地区。 厄瓜多尔电信部电子政务部副部长哈维尔·贾拉(Javier Jara)补充道,这些网络攻击基本上都是容量耗尽攻击(volumetric attack),企图耗尽转发或链接容量。目前厄瓜多尔的外交部,中央银行,总统办公室,内部收入服务以及一些部委和大学均遭到了攻击,导致访问非常困难,但是没有发生窃取或者破坏数据的行为。 目前,阿桑奇正被安置在伦敦的贝尔马什监狱。美国已经要求将他引渡到美国,以面临入侵政府电脑等多项指控。而阿桑奇的支持者认为,引渡回美国只是为了快速安加罪名的借口。   (稿源:cnBeta,封面源自网络。)

EA修复Origin客户端漏洞:黑客可远程运行恶意代码

据美国科技媒体TechCrunch报道,EA已经修复了在线游戏平台Origin上的一个漏洞。在此之前,研究人员发现该漏洞可能导致玩家在电脑上远程运行恶意代码。 安装了Origin应用的Windows用户都会受此影响。有数千万用户使用Origin应用来购买、获取或下载游戏。为了方便用户通过网页访问具体的游戏商店,该客户端拥有自己的URL机制,可以让玩家通过点击origin://这样的链接来打开应用和加载游戏。 但Underdog Security的两位安全专家却发现,这款应用可以被用于在被害者的电脑上运行恶意程序。研究人员提供了概念验证代码进行演示。这段代码获得跟登录用户相同的权限,从而运行任何应用。这段概念验证代码演示了如何启动系统自带的计算器。 但更糟糕的是,黑客还可以发送恶意的PowerShell指令,黑客经常利用这种手段来下载恶意组件和安装勒索软件。 研究人员表示,恶意链接可以通过电子邮件方式发送,也可以在网页上列出。如果恶意代码与浏览器中自动运行的跨站脚本配合,还可以自动触发。 黑客只需要一行代码即可在无需密码的情况下访问用户帐号。 Origin的macOS客户端不会受此影响。 EA发言人证实已经修复这项漏洞。   (稿源:新浪科技,封面源自网络。)

不满支持论坛,安全人员连续公布三个 WordPress 插件漏洞

被曝含 0day 漏洞的插件是 Yuzo Related Posts 和 Yellow Pencil Visual Theme Customizer,目前这两个插件已下架,开发人员建议用户尽快将涉及插件移除。 近日,有安全研究人员连续在 Plugin Vulnerabilities 平台上,对外公布了 3 个 WordPress 外挂程式的 0day 漏洞,将 10 万个 WordPress 网站于陷于安全风险中。相关研究人员在公布这些漏洞时,提到他们只是为了抗议 WordPress 支持论坛版(WordPress Support Forum)的版主行为。只要版主停止不当行为,他们会立即终止对外揭露 0day 漏洞。 被揭露漏洞的 3 个 WordPress 插件分别是 Social Warfare、Yuzo Related Posts 和 Yellow Pencil Visual Theme Customizer。其中,Warfare 是个社交网站分享插件,有超过 6 万个 WordPress 网站安装了该插件。研究人员在 3 周前公布了 Social Warfare 的安全漏洞,插件开发人员即时将它修补了。 另外两个插件就没这么幸运了。可用来自动找出相关文章的 Yuzo Related Posts 原本拥有 6 万个安装数量,可自定义主题的 Yellow Pencil Visual Theme Customizer 则有 3 万个安装数量,这两个插件都都惹来了攻击,目前已在 WordPress 插件商店下架,插件开发人员还建议用户应尽快将所安装的版本移除。 据了解,原本安全人员在公开漏洞前,会给开发者一定的缓冲时间。而这次漏洞曝光,研究人员故意不遵循责任揭露,直接对外公开这些 WordPress 插件漏洞。他们声称目的是为了抗议 WordPress 支持论坛版主的不当行为。这些版主明知有些热门插件含有漏洞,却未通知相关的开发人员。版主们甚至会联手隐瞒插件的安全问题,为了推广特定安全服务而阻拦用户得到其它帮助。 这次漏洞接连曝光事件,看起来很像是 Plugin Vulnerabilities 平台与 WordPress 支持论坛之间的恩怨而引发的。前者不仅是为 WordPress 打造,定位更是专门对抗 WordPress 插件漏洞的服务。但不论如何,原本应该是维护 WordPress 安全的事件,目前却已危及到了众多 WordPress 网站的安全。   (稿源:开源中国,封面源自网络。)

卡巴斯基实验室:win32k.sys 又曝出了新的零日漏洞

卡巴斯基实验室在安全公告中称,其安全研究人员在 win32k.sys 中又发现了一个新的零日漏洞,代号为 CVE-2019-0859 。2019 年 3 月,卡巴斯基的自动化漏洞利用防护(EP)系统检测到了对微软 Windows 操作系统中的漏洞尝试。但在进一步分析后,他们发现 win32k.sys 中确实存在新的零日漏洞,而且这是实验室最近几月内第五次发现被利用的本地提权漏洞。 Win7 SP1 x64 上的 win32k!xxxFreeWindow+0x1344 弹窗(图自:Kaspersky Lab) 2019 年 3 月 17 日,卡巴斯基实验室向微软提交了漏洞报告,该公司确认了该漏洞,并分配了 CVE-2019-0859 这个编号。 万幸的是,微软已经为该漏洞发布了一个补丁,并通过 Windows Update 进行了推送。 卡巴斯基实验室称,功劳簿上有 Vasiliy Berdnikov 和 Boris Larin 这两位安全研究人员的名字。 至于 CVE-2019-0859 漏洞的技术细节,主要是 CreateWindowEx 函数中隐含的 Use-After-Free 漏洞。 执行期间,CreateWindowEx 会在首次创建时,将 WM_NCCREATE 消息发送到窗口。 借助 SetWindowsHookEx 函数,可在窗口调用过程之前,设置处理 WM_NCCREATE 消息的自定义回调。 然而在 win32k.sys 中,所有窗口都由 tagWND 结构呈现,其具有“fnid”字段(亦称 Function ID)。 该字段用于定义窗口的类,所有窗口分为 ScrollBar、Menu、Desktop 等部分,此前卡巴斯基已经分享过与我们已经写过与 Function ID 相关的 bug 。 在 WM_NCCREATE 回调期间,窗口的 Function ID 被设置为 0,使得我们能够钩子内部为窗口设置额外数据,更重要的是 Hook 后立即执行的窗口过程的地址。 将窗口过程更改为菜单窗口过程,会导致执行 xxxMenuWindowProc,且该函数会将 Function ID 启动到 FNID_MENU(因为当前消息等于 WM_NCCREATE)。 在将 Function ID 设置为 FNID_MENU 之前操作额外数据的能力,可强制 xxxMenuWindowProc 函数停止菜单的初始化、并返回 FALSE 。 因此发送 NCCREATE 消息将被视为失败的操作,CreateWindowEx 函数将通过调用 FreeWindow 来停止执行。 卡巴斯基实验室发现,野外已经有针对 64-bit 版本的 Windows 操作系统的攻击(从 Windows 7 到 Windows 10),其利用了众所周知的 HMValidateHandle 漏洞来绕过 ASLR 。 成功利用后,漏洞会借助 Base64 编码命令来执行 PowerShell,主要目的是从 https // pastebin.com 下载执行二、三阶段的脚本。 其中三阶段脚本的内容很是简洁明了 —— 捷豹 shellcode、分配可执行内存、将 shellcode 复制到已分配的内存、以及调用 CreateThread 来执行 shellcode 。 shellcode 的主要目标,是制作一个简单的 HTTP 反向 shell,以便攻击者完全控制受害者的系统。     (稿源:cnBeta,封面源自网络。)

俄罗斯:9个月内 Facebook 和 Twitter 必须遵守数据保护法

新浪科技讯 北京时间4月16日晚间消息,据路透社报道,俄罗斯通信监管机构“联邦通信、信息技术与大众传媒监督局”(以下简称“Roscomnadzor”)局长亚历山大·扎罗夫(Alexander Zharov)今日称,Twitter和Facebook还有9个月的时间来遵守俄罗斯的数据保护法。 根据俄罗斯的法规,企业需要将俄罗斯用户的个人数据存储在俄罗斯境内的服务器上。但到目前为止,Facebook和Twitter这两家社交网络仍未说明它们将如何以及何时遵守该法规。 Roskomnadzor今年1月曾表示:“针对我们在本地服务器上存储俄罗斯用户个人信息的要求,Facebook和Twitter给出了正式的答复。但它们并未具体说明目前的实际执行情况,也没有说明将在何时执行该要求。” 为此,Roskomnadzor今年年初已对这两家公司提起民事诉讼。扎罗夫今日还称,希望Facebook和Twitter最终不要被封杀。   (稿源:新浪科技,封面源自网络。)