内容转载

= ̄ω ̄= 内容转载

Microsoft Word 曝高危零日漏洞推送恶意软件 Dridex 操控百万用户

据外媒报道,黑客正在利用 Microsoft Word 中尚未披露的零日漏洞发动攻击。安全人员表示,黑客可以利用该漏洞静默安装恶意软件 Dridex 操控百万用户设备。 相关报道称,该漏洞不同于多数与文档相关的漏洞。它尚未被修复,而且不依赖于宏命令。Office 通常会在用户启用宏命令文档时提醒用户存在风险。相反,该漏洞的触发方式为引诱用户打开一个伪装的 RTF 文档,该文档将从服务器下载恶意 HTML 应用程序,之后该程序将下载并执行恶意脚本,最终为用户计算机植入恶意软件 Dridex 。 恶意软件 Dridex 侵略性攻击,人们本该对附在电子邮件上的任何 Word 文档保持警惕,即使它由熟知的收件人发送。安全研究人员 McAfee 率先于上周五发现该漏洞并发表声明,由于 HTML 应用程序可以执行,允许黑客在目标计算机上绕过系统保护机制运行代码。另一家安全公司 FireEye 也在上周六公布了相似报告,并表示已经向微软报告了该漏洞。 FireEye 安全人员称,该问题与 Windows Object Linking and Embedding (OLE)  功能有关,OLED 功能则主要用于 Office 和 Windows 内建文档查看器 WordPad ,在过去几年该功能已经引发多个漏洞。值得一提的是,该漏洞影响所有的 Office 版本,包括最新版本 Office 2016 ,而攻击从今年 1 月就已经开始。 本文据 HackerNews、天极网 报道翻译、整理,封面来源于网络。

指纹识别也不安全,“万能指纹”解锁成功竟率达 65%

据《每日邮报》 11 日报道,自苹果 iPhone 5s 发布以来,指纹识别一直都是最安全的手机卫士,但研究人员研究发现,他们开发的“ 万能指纹 ”很轻松就能骗过指纹传感器。利用 “万能指纹”,研究人员还可以轻松解锁,进入应用完成支付。 对指纹识别安全性提出疑问的是纽约大学和密歇根州立大学的研究人员,他们开发的“ 万能指纹 ”解锁成功率高达 65%。iPhone 5s 用上指纹识别后,这项技术逐渐普及,就连普通的千元机也全面指纹化了。苹果在宣传 Touch ID 时,也称指纹识别的出错率仅为五万分之一。 虽然眼下研究人员测试时用的是计算机模拟器,并非市面上销售的智能机,但他们警告称人工物理指纹的制造技术近期提高很快。手机上的指纹识别传感器好骗也是有原因的,研究人员认为此类传感器面积较小,它们只能扫描人手指的一部分指纹,但为了解锁准确率,手机需要存储手指多个部分的指纹。此外,许多用户为了解锁方便存了多个手指的指纹。这样一来,这些碎片化指纹出现匹配错误的几率就大大提高了。虽然人类指纹独一无二,但研究人员已经在不同的指纹中找到了相同点,利用这些相同点,他们就能做出“万能指纹”。 同时,由于手机在多次识别不成功后才需要输入密码,因此犯罪分子可以制作一种五个指头都使用“万能指纹”的特殊手套。带上这样的手套,顺利解锁全世界一半的 iPhone 根本不在话下。不过,一些厂商已经意识到了问题的严重性,虹膜识别开始成为新的手机保护神,未来相信这项技术也会逐渐在智能手机上得到普及。 稿源:cnBeta、凤凰网科技,封面源自网络

银监会:清理整顿校园网贷、“现金贷”违法业务

据银监会网站 10 日消息,近日,银监会印发《中国银监会关于银行业风险防控工作的指导意见》(以下简称《指导意见》),在全国范围内进一步加强银行业风险防控工作,切实处置一批重点风险点,消除一批风险隐患,严守不发生系统性风险底线。 《指导意见》重点强调防控十大类型风险,其中特别提出要推进互联网金融风险治理,要求持续推进网络借贷平台(P2P)风险专项整治,做好校园网贷、“现金贷”业务的清理整顿工作。 《指导意见》明确了银行业风险防控工作的目标原则。银行业金融机构要落实中央经济工作会议要求,按照坚持底线思维、分类施策、稳妥推进、标本兼治的基本原则,把防控金融风险放到更加重要的位置,切实有效化解当前面临的突出风险,严守不发生系统性风险底线。 《指导意见》明确了银行业风险防控的重点领域。银行业风险防控的重点领域,既包括信用风险、流动性风险、房地产领域风险、地方政府债务违约风险等传统领域风险,又包括债券波动风险、交叉金融产品风险、互联网金融风险、外部冲击风险等非传统领域风险,基本涵盖了银行业风险的主要类别。 《指导意见》要求,各银行业金融机构切实履行风险防控主体责任,实行“一把手”负责制,制定可行性、针对性强的实施方案,严格自查整改。要求各级监管机构做到守土有责,及时开展工作督查,对自查整改不到位、存在违法违规问题的机构,要严肃问责。(徐利) 稿源:cnBeta、新浪科技,封面源自网络

黑客利用美国国税局工具窃取学生的贷款信息

上周四,美国国税局局长约翰·科斯基宁( John Koskinen )告诉参议院财政委员会( Senate Finance Committee ),说国税局去年秋天发现有黑客入侵系统。2016 年 9 月,国税局发现行骗者可以利用某些人的个人信息填写财务补助申报单,“ 数字检索工具 ”( Data Retrieval Tool )会用这些人的税务信息填写单据。 有了假信息,行骗者可以制作虚假税务申报单。科斯基宁称,他们发现不到 8000 份申报单被处理过,拨付的退款总计达 3000 万美元。工具是 FAFSA( 联邦学生援助申请表 )系统的一部分,它可以决定学生上大学时能够获得多少资金援助。 目前 FAFSA 工具已经下线,国税局正在开发软件掩盖个人税务数据,防止信息进一步被窃取,不过软件要到 10 月份才能启用。学生和家长仍然可以使用网络申报系统,不过税务信息需要手动填写。 稿源:cnBeta,封面源自网络

澳大利亚统计局停止统计拨号上网相关数据

随着固定宽带技术的兴起,如有线,DSL,光纤,以及 3G 和 4G 蜂窝连接等无线替代品,拨号互联网连接用户数量逐渐下降。事实上,多年来,像英国电信这样的大型企业已经停止提供拨号上网服务,迫使用户找到替代方案。 有趣的是,拨号上网用户数量大幅度下降,现在澳大利亚统计局( ABS )已经决定停止统计拨号上网相关数据。收集 2000 年第四季度数据之后,ABS 于 2001 年 3 月发布了第一个互联网活动报告,发现澳大利亚有 374.5 万拨号互联网用户。形成鲜明对比的是,截至 2016 年 6 月底,ABS 报告显示,澳大利亚互联网拨号用户仅剩下 9 万用户,占澳大利亚所有互联网连接的 0.7%。 澳大利亚统计局( ABS )“ 互联网活动 ”报告中的另一个有趣的统计数据是下载数据量。截至 2000 年九月的三个月内,只有超过 1TB 数据通过拨号和永久网路连线下载。相比之下,截至 2016 年 6 月底的六个月,拨号互联网用户共下载了28TB,每个用户平均下载量为 311MB。 稿源:cnBeta,封面源自网络

报复美国炮轰叙空军基地:ShadowBrokers 泄露大量 NSA 文件

上周六,黑客组织 “Shadow Brokers” (影子经纪人)泄露了大量美国国家安全局(NSA)的文件,其中深度披露了这家精英间谍机构的黑客攻击方法。在 Medium 上的一篇长博文中,Shadow Brokers 分享了一个可以打开所有加密文件夹的密码(此前该组织试图在互联网上拍卖)。 “Shadow Brokers” 组织表示,此举是为了表达对特朗普政府上任以来的不满,其中包括上周早些时候美国政府对叙利亚空军基地发动的导弹袭击(理由是“政府军对平民使用了化学武器”)。 文件泄露之后,安全研究人员们已经着手审查。根据 Twitter 上的爆料,这批漏洞主要针对 Linux,有些数据甚至可以追溯到 1990 年代。 另据网友分析表示,ShadowBrokers 爆料的文件中包含了Linux EQGRP 工具、Solaris rpc.cmsd 远程 root 漏洞(含 9 种目标类型)等。 斯诺登随后发布 Twitter 表示:“快速翻阅了一遍 ShadowBrokers 泄露的顶级 NSA 工具,虽然并不完全,但 NSA 应该可以很快发现从哪流出的(不然就是该机构的丑闻了)。” 稿源:据 cnBeta 报道内容整理,封面源自网络

黑客周五晚上拉响了达拉斯城市紧急警报器

德克萨斯州达拉斯周围的夜间紧急警报器在星期五晚上启动,报警声超过一个小时,促使大量的电话打入该市 911 中心。市应急管理处的官员已经确认没有紧急情况,而是达拉斯紧急警报器系统被黑客入侵。 该市新闻办公室主任萨娜·赛义德告诉记者,这个城市的156个紧急警报器被激活。但是,达拉斯城市官员没有透露进一步细节。达拉斯警报系统现在已经重新上线并运行。但是,根据知情人士透露,在警报系统被黑之后,城市官员被迫基本上拔掉整个系统,完全停用警报系统。调查后,城市官员确认了系统存在的漏洞,并且进行了及时修补。 该市正在寻找保护整个系统免受再次攻击的方法。达拉斯市市长麦克罗林斯告诉“达拉斯晨报”,这个事件迫使市政府需要升级和更好地维护城市技术基础设施。而且该市正在努力“查明和起诉这些黑客。 稿源:cnBeta,封面源自网络

零售商 GameStop 潜在安全漏洞,客户信息陷入危险

如果您的信用卡信息存储在 GameStop 的网站上,可能需要谨慎,还需要注意您的卡上的未经授权的费用,并将其报告给您的银行。来自黑客的恢复信息可能包括信用卡号码! 对于 GameStop 或其客户来说,这不是一个美好的一天。 根据 Krebs on Security,视频游戏连锁店正在调查其网站上的潜在安全漏洞。GameStop 与传统的实体店一起在其网站上销售游戏,硬件和配件。客户的个人信息(包括信用卡信息)可能面临风险。据称这次黑客发生在 2016 年 9 月至 2017 年 2 月之间。 “ GameStop 最近收到了第三方的通知,认为它在 GameStop.com 网站上使用的卡的支付卡数据正在网站上发售,” GameStop 告诉 Krebs Security。 “ 那天,一家领先的安全公司正在调查这些索赔。 GameStop 已经并将继续不懈地处理本报告,并采取适当措施,消除可能发现的任何问题。“ 如果您的信用卡信息存储在 GameStop 的网站上,您可能需要谨慎。您还需要注意您的卡上的未经授权的费用,并将其报告给您的银行。来自黑客的恢复信息可能包括信用卡号码,姓名,到期日期和 CVV2 号码。 企业数字版权管理( EDRM )公司 Seclore 的首席执行官(“ 数字版权管理 ”)( EDRM )公司 Seclore 的首席执行官在电子邮件中告诉 GamesBeat。 “有一个原因是公司不允许将这个 CVV2 数据存储在自己的数据库中,所以黑客能够拦截这些安全代码的事实显着提高了事件的严重性。我对 GameStop 客户的建议是仔细检查您的购买历史,以进行欺诈活动,如果您怀疑它可能已被盗用,请取消您的卡。与大多数事情一样,特别是网络安全,一盎司的预防胜过一磅治疗。 对于 GameStop 来说,这是一个很大的 2017 年,该公司上个月宣布计划在全国关闭 100 多家门店,而随着越来越多的消费者以数字方式购买游戏,收入继续下滑。 稿源:爱玩网,封面源自网络

维基解密最新文件揭露 CIA 恶意工具 “Grasshopper” 如何攻击 Windows PC

在过去的一个月里,维基解密已经曝光一系列据说显示美国中情局 (CIA) 如何监视电子设备的文件,其中包括 CIA 专门针对苹果电脑 Mac 和 iPhone 手机进行监控的项目。最新放出的 Vault 7 系列文件则主要围绕 “Grasshopper”。“Grasshopper” 据称是该机构入侵 Windows PC 的开发工具包,是其针对 Windows 系统的一个高度可配置木马远控植入工具。 CIA工程技术研发小组(EDG)LOGO 根据外媒 Ars Technica 发现的用户手册,Grasshopper 是一种软件工具,可让代理商构建定制安装程序来定位特定的 PC。该工具具有基于许多软件漏洞的漏洞的所有构建模块,中情局可根据需要选择:“操作员会使用一系列技术在目标设备上进行配置,从而执行安装一个或者多个攻击程序。在安装过程中,每个攻击安装器都是针对独立配置的组件而设计的。运营商可以基于目标环境的评估指定该安装。使用自定义规则语言描述目标条件。操作员可以在执行期间配置该工具以输出日志文件以供以后进行过滤。” 软件工具手册表明,CIA 通过黑客使用恶意软件的组件来窃取财务信息,而不仅仅是由自己的人员发现的漏洞。幸运的是,今天维基解密泄露的文件大多是用户手册和技术文档,而不是代码。 稿源:cnBeta,封面源自网络

恶意软件的玩笑?弹幕射击游戏获得高分方可解锁文件

据外媒报道, “Rensenware”是一种能锁住用户文件的新型恶意软件。不过与其他恶意软件有所不同的是,这款恶意软件并不要求受感染的用户支付一笔费用来解锁文件,而是要求用户在一款弹幕射击类游戏中获得高分来解锁文件。 这种恶意软件要求玩家在《东方星莲船 ~ Undefined Fantastic Object.》的最高难度 “Lunatic” 中取得 2 亿分的高分。 “Rensenware” 恶意软件创造者 Tvple Eraser 随后向公众致歉:“我把它当成一个玩笑,只是希望希望东方官方系列作品的人们也能开怀大笑。” Tvple Eraser 随后也发布了一个工具来帮助那些任何可能错误地下载原始版本的人进行解锁。Tvple Eraser 已经用更安全的“剪切”版本替换了 “Rensenware” 版本,其不会通过强制加密文件来锁住文件。 稿源:cnBeta,封面源自网络