微软平均每天检测到超 7 万个活跃的Web Shell

根据Microsoft发布的报告,该公司平均每天检测到77,000个活动的Web Shell,它们分布在46,000台受感染的服务器上。 Web Shell是用Web开发编程语言(例如ASP,PHP,JSP)编写的代码,攻击者将其植入Web服务器上以进行远程访问和执行代码。 平均每天检测到77,000个web shell,这一数字不得不让人意识到黑客的活动有多么频繁。 微软发布的报告称:“Microsoft Defender高级威胁防护(ATP)  每月在平均46,000台不同的计算机上能检测到77,000个web shell”。 “Web shell具有多方面的威胁,企业应该为此建立全方面的防御。”微软总结道。“增强服务器对互联网的可检测性是发现和解决Web Shell威胁的关键。可以通过监视Web应用程序目录中是否写入了Web脚本文件来检测Web Shell。Outlook Web Access(OWA)之类的应用程序很少更改,应当警惕写入这类应用程序目录的脚本。”   消息来源:SecurityAffairs, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Facebook 修复了 WhatsApp 中的漏洞,阻止黑客访问用户本地文件系统

Facebook 解决了 WhatsApp 中的一个严重漏洞(CVE-2019-18426),黑客可能利用该漏洞读取macOS 和Windows 操作系统的用户文件。 根据Facebook发布的安全公告,与iPhone端WhatsApp搭配使用时,WhatsApp Desktop中的一个漏洞允许跨站点脚本编写和本地文件读取。用户单击特制文字消息中的链接预览将会触发此漏洞。   Weizman在WhatsApp的内容安全策略(CSP)中发现了一个漏洞,使得黑客可以对进行跨站点脚本攻击(XSS),后续还发现黑客还可以利用此漏洞获得Windows和macOS 上WhatsApp应用文件的读取权限。 专家写道: “如果您运行的应用是易受攻击的旧版本,该漏洞将有可能对您造成不良影响。” “关于如何使用fetch()API,例如,可以从本地操作系统读取文件,例如本例中的C:\ Windows \ System32 \ drivers \ etc \ hosts文件的内容,” 该漏洞可能使黑客在消息中注入恶意代码和链接,这些消息和链接对于受害者是完全透明的。   消息来源:SecurityAffairs, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Sudo 漏洞允许非特权 Linux 和 macOS 用户以 root 身份运行命令

苹果的安全专家Joe Vennix发现了一个漏洞(CVE-2019-18634),它允许非特权Linux和macOS用户以root身份运行命令。 此漏洞仅能在特殊配置下利用。 仅当“pwfeedback”选项已在sudo配置文件中启用时才能利用该漏洞。root的 pwfeedback 选项允许在用户输入密码时提供视觉反馈。 专家指出,即使用户不在用户文件中也可以触发此漏洞。 “无需获得 root 权限即可触发此漏洞,只需启用 pwfeedback 即可。” sudo 开发人员 Todd C. Miller 写道。 “在输入密码时,可以通过管道大量输入sudo进行复现。例如:” $ perl -e 'print(("A" x 100 . "\x{00}") x 50)' | sudo -S id Password: Segmentation fault 造成此漏洞的原因有两个: 从终端设备以外的其他设备读取时一般不会忽略pwfeedback选项。由于缺少终端,因此行擦除字符的版本始终为初始值0。 如果存在写错误,擦除星号行的代码将无法正确重置缓冲区位置,但是会重置剩余的缓冲区长度。这将导致getln()函数写到缓冲区以外。” 如果启用了该选项,可以在用户配置文件中将“Defaults pwfeedback” 改为 “Defaults !pwfeedback” 。 sudo 维护人员发布了 root 的 1.8.31版本。 “虽然 sudo 的1.8.26到1.8.30版本中也有逻辑错误,但是由于1.8.26之后的版本对EOF处理进行了改动,所以无法利用漏洞。”Miller解释道。 在2019年10月,Vennix 发现了一个Sudo绕过问题,即使“sudo用户配置”不允许进行root访问,恶意用户或恶意程序仍然可以在目标Linux系统上以root用户身份执行任意命令。   消息来源:SecurityAffairs, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Facebook 漏洞或泄露主页管理员信息

Facebook于上周解决了一个安全漏洞,该漏洞暴露了主页管理员的帐户,并且被黑客利用于向若干个名人的主页发动在野攻击。 主页管理员的帐户是匿名的,除非页面所有者选择公开,但漏洞将会泄露管理员的帐户。 Facebook的“查看编辑历史”允许主页管理员查看所有相关的活动,包括修改过帖子的用户的用户名。黑客可能根据这个漏洞泄露修改者以及管理员的账号,并严重影响隐私。 在安全研究员警告后,Facebook迅速解决了该问题。 黑客攻击的页面列表包括 Donald Trump总统,街头艺术家Banksy,俄罗斯总统Vladimir Putin,前美国国务卿Hillary Clinton,加拿大总理Justin Trudeau,黑客组织匿名人士,气候活动家Greta Thunberg,以及说唱歌手Snoop Dogg等。 2018年2月,安全研究员Mohamed Baset 在Facebook上发现了一个类似漏洞。 Baset解释说,该漏洞属于“逻辑错误”:他之前曾在一个界面点赞了一篇帖子,之后他收到来自Facebook的邀请邮件,邀请链接就指向了这篇帖子所在的页面。研究人员分析了社交网络发送的电子邮件的源代码,发现其中包括页面管理员的姓名和其他信息。   消息来源:SecurityAffairs, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Adobe 发布更新,解决 Illustrator 和 Experience Manager 中的漏洞

Adobe星期二发布了2020年第一个补丁程序软件更新  ,解决了Illustrator和Experience Manager中的多个漏洞。 安全公告称:“ Adobe已发布了针对Adobe Experience Manager(APSB20-01)和Adobe Illustrator(APSB20-03)的安全公告。Adobe建议用户根据说明将其产品更新到最新版本。” Windows版Illustrator CC 2019的安全更新解决了五个严重的内存损坏问题(CVE-2020-3710,CVE-2020-3711,CVE-2020-3712,CVE-2020-3713,CVE-2020-3714),黑客可以利用在目标用户的上下文中执行任意代码。 Fortinet’s FortiGuard实验室负责人Honggang Ren已将所有漏洞报告给Adobe。 尽管已为漏洞分配了严重等级,但其优先级为3,Adobe不会希望这些漏洞被黑客利用。 Adobe还发布了Adobe Experience Manager(AEM)的安全更新,该更新解决了四个被评为重要和中等的问题(CVE-2019-16466,CVE-2019-16467,CVE-2019-16468,CVE-2019-16469)。Netcentric的安全专家Lorenzo Pirondini向Adobe提交了编号为CVE-2019-16466和CVE-2019-16468的漏洞。 Reflected 跨站点脚本(XSS)和 Expression Language注入的危险级别较高,并且可能泄露敏感信息。用户界面注入问题危险性为中等,它也可能导致敏感信息的泄露。     消息来源:SecurityAffairs, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Facebook 向 Cambridge Analytica 泄露用户信息,被巴西政府罚款 165 万美元

巴西因Facebook与 Cambridge Analytica 共享用户数据而对Facebook罚款165万美元。 检察官称,Facebook允许应用程序“ This is Your Digital Life”的开发人员访问巴西443,000位用户的数据。 “ This is Your Digital Life ” 应用发布于2014年 ,由Global Science Research(GSR)研发。该应用向用户提供1或2美元以进行在线调查,并请求访问该用户的个人资料信息。超过270,000个用户同意进行授权,这使得该应用可以使用这些信息进行学术研究。 丑闻遭到曝光之后,Facebook“暂停”了与Cambridge Analytica(CA)及其控股公司的所有业务。 巴西当局还开始调查隐私丑闻,以确定其公民的参与。 周一,巴西代表表示,“没有证据表明巴西的用户数据已转移到Cambridge Analytica”。 Facebook的发言人说:“我们已经更改了平台,并限制了应用程序开发人员可以访问的信息。” 巴西司法部指出,这家社交网络巨头未能充分告知其用户“默认隐私设置的后果”。Facebook对于隐私设置对访问“朋友和朋友的数据”可能产生的后果并不透明。” Facebook可以在10天之内对该决定提出上诉,并且可以在一个月内支付罚款。 2019年7月,美国联邦贸易委员会(FTC)批准了与Cambridge Analytica丑闻有关的Facebook创纪录的50亿美元和解协议。 2019年7月,意大利数据保护监管机构因违反隐私法,对Facebook 处以 100万欧元(110万美元)的罚款。 2018年10月,英国信息专员办公室(ICO) 因为同样的原因对Facebook 罚款 500,000英镑。   消息来源:SecurityAffairs, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Sodinokibi 攻击了加州 IT 服务提供商 Synoptek 并获得赎金

Synoptek 是一家总部位于美国加利福尼亚州的IT管理和云托管服务提供商,其在前段时间遭遇了Sodinokibi勒索软件攻击,并向其支付了赎金以解密其文件。 最近几周,Sodinokibi 勒索软件在美国的攻击行动异常活跃,去年12月,美国主要数据中心提供商之一CyrusOne也遭到了该勒索软件的打击。 Synoptek 拥有的客户超过1100个,包括地方政府,金融服务,医疗保健,制造业,媒体,零售和软件。 感染时间发生在12月23日,黑客首先入侵了公司网络,然后安装了勒索软件。 该公司证实了此次攻击,但没有说明是否会向黑客支付赎金。 “12月23日发生了勒索事件,但我们对此采取了应对措施。” Synoptek在周五美国东部时间下午6点之前在推文中写道,“我们立即采取了行动,并正在与客户一起努力解决这个问题。” Synoptek首席执行官蒂姆·布里特(Tim Britt)在一封电子邮件中告诉 CRN,此次攻击仅影响到了Synoptek的部分客户。Britt 称其员工在26号圣诞假期结束之前已经解决了大多数客户的问题。 Sodiniokibi团伙似乎专注于针对美国IT提供商。该恶意软件于2019年8月感染了PercSoft公司,并于12月感染了Complete Technology Solutions的系统。   消息来源:SecurityAffairs, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

男子因通过钓鱼邮件骗取 Google 和 Facebook 1.2 亿美元被判处 5 年徒刑

Evaldas Rimasauskas(48)于2017年3月被地方当局逮捕。原因是其伪装成亚洲大型硬件供应商Quanta Computer并从这两家IT巨头盗窃了大量资金。 起诉书中明确提到了Facebook和Google。根据调查人员的说法,Rimasauskas创建了电子邮件帐户,诱骗Facebook和Google的员工们相信这些电子邮件来自亚洲硬件供应商。 Rimasauskas假扮那些经常与Google 和 Facebook进行数百万美元交易的Quanta员工,并通过向这些员工发送钓鱼邮件,诱导他们向自己的帐户汇款。 Evaldas Rimasauskas于2017年5月在 Vilnius 地方法院照–来源法新社   Rimasauskas使用来自塞浦路斯,立陶宛,匈牙利,斯洛伐克和拉脱维亚的多个银行帐户来接收欺诈性付款。 美国执法部门于2017年将其逮捕。Rimasauskas 对邮件欺诈,身份盗窃和三项洗钱罪等犯罪事实供认不讳。 司法部发布新闻稿称:“除了监禁,法官还命令Rimasauskas在刑满释放后接受两年的监控,没收49,738,559.41美元,并要求其支付26,479,079.24美元的罚款。”     消息来源:SecurityAffairs, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链

Citrix 产品存漏洞,8 万家公司面临风险

黑客可以利用Citrix的应用交付控制器 (NetScaler ADC) 和网关 (NetScaler Gateway) 中的漏洞(CVE-2019-19781)潜入公司内网。这个漏洞是由Positive Technologies的Mikhail Klyuchnikov发现的。 据估计,158个国家/地区的80,000家公司面临潜在风险,其中大多数在美国 (38%),其次是英国,德国,荷兰和澳大利亚。 “利用该漏洞,黑客不需要盗取任何账号就可以直接访问公司内网。” Positive Technologies发表的帖子中写道。 该漏洞会影响该产品的所有版本以及支持该产品的所有平台,包括Citrix ADC和Citrix Gateway 13.0,12.1,12.0,11.1和10.5。 专家指出,由于黑客无需盗取账户便能利用该漏洞,由此,所有黑客都可以在未授权情况下获得服务器中的产品和内网资源。 Citrix可用于连接工作站和关键业务系统。由于可以通过内网使用Citrix,黑客有可能通过漏洞从服务器攻击内网资源。 Citrix发布了解决措施,他们推荐用户更新所有易受攻击的软件版本。 Positive Technologies指出,该漏洞是2014年在Citrix软件中引入的,因此,重要的是还要检测以前的漏洞利用。   消息来源:SecurityAffairs, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

加密货币挖矿僵尸网络使用 Taylor Swift 图像隐藏恶意软件payload

加密货币挖矿僵尸网络MyKingz(也称为Smominru,DarkCloud或Hexmen)在感染链中使用流行歌手泰勒·斯威夫特(Taylor Swift)的图像来隐藏恶意软件payload。   MIKINGZ僵尸网络的简短历史 MyKingz首次出现的时间在2017年底,其在此后一直是市场上最大的加密采矿恶意软件。 MyKingz背后的小组主要致力于感染Windows系统,通过在系统中部署各种挖矿程序来获取利润。 MyKingz具有僵尸网络中最多样化的Internet扫描和感染机制。如果有什么可以扫描的端口或者可以利用的漏洞,MyKingz有相当一部分的概率参与其中。从MySQL到MS-SQL,从Telnet到SSH,从RDP到IPC和WMI等,都是它的目标。 这使僵尸网络发展非常迅速。据报道,在MyKingz诞生的头几个月,它便已经感染了超过525,000个Windows系统,价值超过230万美元。 MyKingz也是EternalBlue漏洞的忠实拥护者,其隐藏在公司网络内部,规模估计高达100万个,并可能更大。 尽管有些人认为僵尸网络自2018年初以来就已经消失了,但Guardicore和Carbon Black在今年夏天发布的报告显示,僵尸网络仍然非常活跃,仍在感染大量计算机,估计每天大约有4700个新系统受到感染。 泰勒·斯威夫特 总部位于英国的安全公司Sophos在本月发现了该僵尸网络的新进展。 由于MyKingz的Internet扫描模块可以识别易受攻击的主机并在受感染的计算机上立足,因此,他们需要一种在被入侵的系统上部署各种恶意软件payload的方法。 据Sophos称,MyKingz的工作人员现在正在尝试进行隐写术,该技术可以使他们将合法文件内的恶意文件隐藏起来。MyKingz团队将恶意EXE隐藏在流行歌手Taylor Swift的JPEG图像内。 图片:Sophos Labs 使用此技术的目的是欺骗在企业网络上运行的安全软件。这些安全产品将只会使主机系统下载普通的JPEG文件,而不下载危险得多的EXE文件。 MyKingz绝不是第一个利用隐写术或名人形象的恶意软件团伙。去年,另一个恶意软件团伙使用女演员斯嘉丽·约翰逊(Scarlett Johansson)的图像在PostgreSQL数据库上部署了恶意软件。 近几个月来,恶意软件帮派也从图像中完全消失了,一些恶意软件操作正在尝试使用其他文件格式进行基于隐写术的攻击,例如WAV音频文件。 但是,尽管这对于MyKingz近期的攻击活动来说可能是一个有趣的发现,但使用Taylor Swift映像隐藏恶意软件并不是最主要的问题。 最主要的问题是,在过去的两年中,MyKingz被证明是对Windows计算机和企业网络的最大威胁之一。该僵尸网络很可能会破坏任何未打补丁或端口未保护的系统。 根据Sophos关于MyKingz的最新报告,MyKingz运营商目前平均每天可赚取约300美元,使他们的历史记录总数达到9,000 XMR左右,价值超过300万美元。     消息来源:ZDNet, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接