分类: 今日推送

微软登录系统存在漏洞:用户 Office 帐号受影响

据美国科技媒体 TechCrunch 报道,当一系列漏洞串联在一起后可以构成完美的攻击以获得微软用户帐号的访问权限。简言之,就是欺骗用户点击某个链接。 印度“漏洞猎手” Sahad Nk 率先发现微软的子域名“ success.office.com ”未正确配置,给了他接管该子域名的可乘之机。   他利用 CNAME 记录——一个用于将一个域名链接到另一个域名的规范记录——来将未配置的子域名指向他自己的 Azure 实例。在 TechCrunch 于发布前获悉的一篇文章中,Nk 表示,通过这种方式,他可以接管该子域名,并劫持任何发送到该子域名的数据。 这本身不是什么大问题,但 Nk 还发现,当用户通过微软的 Live 登录系统登录他们的帐号后,微软的 Office、Store 和 Sway 等应用亦可以受骗将其身份验证登录指令发送他新近接管的域名。这是因为这些应用均使用一个通配符正则表达式,从而所有包含“office.com”字符的域名——包括他新接管的子域名——都能获得信任。 举例来说,一旦受害用户点击了电子邮件中发送的特殊链接,该用户将使用其用户名和密码通过微软的登录系统登录他们的帐号。获得帐号访问指令好比拥有某人的凭据——可以允许攻击者悄无声息地侵入该用户的帐号。 但是指示微软登录系统将帐号指令发送至 Nk 接管的子域名的恶意 URL ——若为恶意攻击者控制的话,恐会致使无数帐号暴露于风险之下。最糟糕的是,恶意 URL 看上去完全正常——因为用户仍然通过微软的系统进行登录,并且该 URL 中的 “wreply” 参数也没有疑点,因为它确实是 Office 的一个子域名。 换句话说,恶意攻击者可以轻而易举地访问任何人的 Office 帐号——甚至企业和集团帐号,包括他们的邮件、文档和其他文件等,而且合法用户几乎无法辨识。 Nk 在 Paulos Yibelo 的帮助下已向微软报告了该漏洞,后者已经将漏洞修复,并为 Nk 的工作支付了漏洞赏金。     稿源:cnBeta,封面源自网络;

微软发布 KB4461585 更新:修复 Outlook 2010 崩溃问题

上周本站曾报道部分 Windows 10 用户在安装 Windows 10 更新 KB4461529 后,导致 Outlook 2010 崩溃无法正常使用。而今天微软再发布了 KB4461585 更新,修复了上述 BUG,用户也可以通过 Microsoft Download Center 进行手动下载安装。 访问: 微软中国官方商城 – 首页 KB4461529 是微软发布的关键安全漏洞补丁,主要修复了 Office 生产力套件中所存在的漏洞,在未经修复的电脑上一旦用户打开黑客特制的文件之后可以允许黑客执行任意远程代码。但在升级之后,用户反馈称导致 64 位 Outlook 崩溃无法使用。   稿源:cnBeta.COM,封面源自网络;

黑客在 Windows 安装文件中隐藏加密货币挖掘恶意软件

安全研究人员表示,黑客现在伪装加密货币挖掘恶意软件,并将其作为合法的 Windows 安装包传递出去。研究人员表示,这种恶意软件,通常被称为 Coinminer,使用了一系列混淆方法,使其攻击特别难以检测。 这一发现来自安全公司趋势科技(Trend Micro),它表示,恶意软件作为 Windows Installer MSI 文件到达受害者的计算机上,这是值得注意的,因为 Windows Installer 是用于安装软件的合法应用程序。使用真正的 Windows 组件使其看起来不那么可疑,并可能允许它绕过某些安全过滤器。 黑客的诡计并不止于此。研究人员指出,一旦安装,恶意软件目录包含充当诱饵的各种文件。除此之外,安装程序还附带了一个脚本,可以杀掉在受害者电脑上运行的任何反恶意软件进程,以及受害者自己的加密货币挖掘模块。 研究人员还观察到,恶意软件具有内置的自毁机制,使检测和分析更加困难,它会删除其安装目录下的每个文件,并删除系统中的任何安装痕迹。虽然趋势科技还无法将攻击链接定位到特定国家/地区,但它注意到安装程序使用了西里尔语。平心而论,西里尔语似乎在加密货币罪犯中非常受欢迎。     稿源:cnBeta,封面源自网络;  

Facebook 将为 Workplace 提供单独域名保障商户数据安全

新浪科技讯 北京时间11月1日凌晨消息,9月28日,在Facebook公布了一项影响数百万用户的安全漏洞的那一天,该公司创业企业业务负责人向顶级客户沃尔玛确保其数据尚未泄露。 沃尔玛是Facebook的Workplace的客户。而Workplace是Facebook社交网络的工作版本,公司付费以后,他们的员工可以使用Facebook风格的功能进行沟通,例如私人消息,新闻提要和实时流。根据Facebook在2017年10月分享的最多数据显示,该服务与Slack和其他企业通信服务竞争,被包括星巴克和雪佛龙在内的30,000家组织使用。 在9月28日的沟通中,Facebook的Workplace负责人Julien Codorniou向沃尔玛企业首席信息官Clay Johnson表示,Facebook正在采取措施进一步将Facebook的企业业务与其消费者服务分开。根据沃尔玛副总裁乔·帕克(Joe Park)的说法,Facebook告诉该公司,Facebook很快会为Workplace提供单独的域名。 Park称,“我们得到的保证是(企业)数据将会存在于Facebook的消费者版本之外,这是彻底的改变,他们甚至会改变域名以反映这一点。” 新域名Workplace.com现已成为营销网站。 Facebook的Workplace产品经理卢克泰勒(Luke Taylor)周三告诉CNBC,预计在2019年的某个时候,Facebook企业客户将会从Workplace页面登录。 泰勒表示,这一域名的改变来自于一部分Facebook的Workplace客户先前对企业工具与Facebook的消费者业务托管在同一域名表示担忧。该公司已经逐一告知客户有关域名转移的信息。 泰勒告诉CNBC,“我们已经处于和他们分开这样的一个位置。继续把他们一起放在Facebook.com域名上有点困难了。从品牌的角度来看,这是我们想做的事情,当然我认为这也让我们的客户对产品本身更加信任。” 泰勒说,该公司希望首先对新客户开始使用该域名,然后帮助现有客户迁移进入。 “我们将与客户合作,确保客户以他们的节奏进行迁移”,泰勒表示:“当你看到Oculuses,Instagrams甚至Facebook的消费业务时,他们都拥有自己的域名和自己的品牌标识。正如我们看到我们的增长如此迅速增长以及我们对市场的牵引力增加,我们感到现在恰好是推进自有品牌的正确时机。”   稿源:新浪科技,封面源自网络;

Git 中的远程代码执行漏洞已被修复 多个工具受影响

据外媒 BleepingComputer 报道,Git 项目组于前两天公布了一个在 Git 命令行客户端、Git Desktop 和 Atom 中发现的任意代码执行漏洞,这是一个比较严重的安全漏洞,可能会使得恶意仓库在易受攻击的计算机上远程执行命令。 这个漏洞已被分配 CVE-2018-17456 这个唯一 ID,与之前的 CVE-2017-1000117 可选注入漏洞相似 —— 恶意仓库可以新建一个 .gitmodules 文件,其中包含以破折号开头的 URL。 通过破折号,当 Git 使用 –recurse-submodules 参数来克隆仓库时,该命令会将 URL 翻译为一个选项,然后可以使用该选项在计算机上进行远程代码执行。 当运行 “git clone –recurse-submodules” 时,Git 会解析 .gitmodules 文件中的 URL 字段,然后将其作为参数传递给 “git clone” 子进程。如果 URL 字段是一个字符串,并使用短划线开头,这个 “git clone” 子进程将会把 URL 翻译为一个选项。这可能导致用户运行 “git clone” 时,会执行 superproject 中的任意脚本。 下面通过一个例子进行说明,下面的漏洞使用了恶意的 .gitmodules 文件(注意 URL 如何以破折号开头),以使得 Git 认为这是一个选项。然后 “touch VULNERABLE/git@github.com:/timwr/test.git” 这条命令将会被执行。 [submodule "test"] path = test url = ssh://-oProxyCommand=touch VULNERABLE/git@github.com:/timwr/test.git 此漏洞已在 Git v2.19.1 (with backports in v2.14.5, v2.15.3, v2.16.5, v2.17.2, and v2.18.1), GitHub Desktop 1.4.2, Github Desktop 1.4.3-beta0, Atom 1.31.2 和 Atom 1.32.0-beta3 中得到修复。 Git 项目组强烈建议所有用户升级到最新版本的 Git client, Github Desktop 或 Atom,以免遭受恶意仓库的攻击。     稿源:开源中国,封面源自网络;

新型僵尸勒索软件 Virobot 肆虐微软 Outlook

根据趋势实验室披露的安全报告,一种全新的僵尸网络勒索软件Virobot正通过微软Outlook进行大肆传播。报告中指出该恶意软件同时兼具僵尸网络和勒索软件的特征,在微软Outlook上以垃圾邮件的方式进行传播。 报告中写道:“Virobot首次发现于2018年9月17日,是对臭名昭著的Locky勒索软件变种分析7天之后发现的。一旦感染Virobot,它就会检查注册表键值(计算机GUID和产品秘钥)来确认系统是否应该加密。然后通过加密随机数生成器(Random Number Generator)来生成加密和解密你要。此外伴随着生成的秘钥,Virobot还会将收集的受害者数据通过POST发送到C&C服务器上。” 趋势科技还表示Virobot还可以记录用户敲击键盘的次数,并共享诸如信用卡信息和密码在内的诸多敏感数据。键盘记录器也会将这些信息发送至C&C服务器上。所以为了预防受到感染,请确保你不要打开非可靠源的附件。   稿源:cnBeta,封面源自网络;

Google 的 Tink 库让你丢掉手中成百上千页的密码学书籍

近日,谷歌在其安全博客中详细介绍了其开源的一款多语言、跨平台加密开发库Tink。一直以来,加密技术就是保护用户数据的有效手段,但是加密技术涉及到了非常艰深的密码学知识,开发者如果想要理解如何正确去实施密码学,这个过程将会花费他们大量时间去研究目前积累了数十年的学术文献。在当下高强度的开发工作下,显而易见,通常开发者都难有这样富足的时间。这样就给产品的安全带来了致命威胁,怎么办呢? Google 为此开发了一款多语言、跨平台的加密软件库,用以帮助内部开发人员提供安全的加密代码。谷歌介绍,在内部,Tink 已经被用于保护许多产品的数据,如 AdMob、Google Pay、Google Assistant、Firebase 与 Android Search App 等。Google 在两年前将 Tink 于 GitHub 上开源,此次借着其第一个支持云、Android 与 iOS 的 1.2.0 版本发布,谷歌为开发者介绍了它的特性、意义与使用示例等内容。 谷歌描述,Tink 旨在提供安全、易于正确使用且难以滥用的加密 API,它建立在现有安全相关的库之上,如 BoringSSL 和 Java Cryptography Architecture,但谷歌专门的团队 Project Wycheproof 发现了这些库中的一些弱点,Tink 进行了跟进,使之更加安全。 使用 Tink,许多常见的加密操作,如数据加密、数字签名等只需几行代码就可以完成,以下是使用 Java 中的 AEAD 接口加密和解密的 demo: import com.google.crypto.tink.Aead;    import com.google.crypto.tink.KeysetHandle;    import com.google.crypto.tink.aead.AeadFactory;    import com.google.crypto.tink.aead.AeadKeyTemplates;    // 1. Generate the key material.    KeysetHandle keysetHandle = KeysetHandle.generateNew(        AeadKeyTemplates.AES256_EAX);    // 2. Get the primitive.    Aead aead = AeadFactory.getPrimitive(keysetHandle);    // 3. Use the primitive.    byte[] plaintext = ...;    byte[] additionalData = ...;    byte[] ciphertext = aead.encrypt(plaintext, additionalData); Tink 希望消除尽可能多的潜在误用。例如,如果底层加密模式需要 nonce(密码学中只被使用一次的任意或非重复的随机数),但重用 nonce 的话会产生安全问题,那么这时 Tink 将不允许用户传递 nonce。 Tink 的功能很多,大概有如下几个方面: 可以安全抵御选择密文攻击,允许安全审计员和自动化工具快速发现那些与安全要求不匹配的代码。 隔离了用于潜在危险操作的 API,例如从磁盘加载明文密钥。 为密钥管理提供支持,包括密钥轮换和逐步淘汰已弃用的密码。 可以通过设计进行扩展:可以轻松添加自定义加密方案或内部密钥管理系统,以便与 Tink 的其它部分无缝协作。Tink 的任何部分都难以更换或移除,所有组件都是可组合的,并且可以以各种组合进行选择和组合。例如,如果只需要数字签名,则可以排除对称密钥加密组件,以最大限度地减少应用程序中的代码大小。 这个开发库为广大开发者带来了极大便利,如果你还没体验过,赶快去试试吧: https://github.com/google/tink       稿源:开源中国,封面源自网络;

Cookie 机制问题多 Chrome 工程师提出改造方案

日前 Chrome 工程师 Mike West 发表了一篇文章提议改造 Cookie 标准,以强化 HTTP 状态管理。Mike 分析了目前 Cookie 存在的几个方面的问题,包括很难安全使用、浪费用户资源,以及隐私问题,通过它可以以令人惊讶的方式跟踪用户在网络上的活动。   关于浪费用户资源,Mike 解释,服务器可以为一个注册域名存储大量 Cookie,并且很多 Cookie 可以通过 HTTP 请求发送。例如 Chrome 允许为每一个域名存储大约 180 个 Cookie,相当于约 724kB 数据。在众多 Cookie 中,其请求头大小的中位数是 409 字节,但是其中却有 90% 有 1589 字节,95% 占了 2549 字节,99% 甚至达到了 4601 字节,另外有约 0.1% 的 Cookie 头非常大,超过了 10kB。如此滥用,效率低下。 隐私方面,众所周知 Cookie 可以用于身份验证,但它同时也可以用来悄悄跟踪用户的相关信息。 而关于安全使用的难处,Mike 列出了几条在开发中安全使用 Cookie 遇到的问题: Cookie 对 JavaScript 默认是可用的,这使得一次 XSS 可以获取持久凭证。虽然十年前引入了 HttpOnly 属性,目前也只有大概 8.31% 的人使用 Set-Cookie 进行相应设置。 默认情况下,Cookie 会被发送到非安全的源,这会导致凭据被盗。Secure 属性虽然可以标记安全的 Cookie 源,但目前只有大概 7.85% 的人使用 Set-Cookie 进行了设置。 Cookie 经常在请求发送者毫不知情的情况下被发送。SameSite 属性可以减少 CSRF 风险,但是目前只有大概 0.06% 的人使用 Set-Cookie 进行了设置。 Mike 认为,一方面 Cookie 采用的缓解安全问题的属性很差,Cookie 根本不符合我们决定对其它类型的 Web 可访问数据强制执行的安全边界。它们在给定的可注册域中流过源,它们忽略端口和方案,这意味着它们可以被网络攻击者轻易伪造,并且它们可以缩小到特定路径,这些特征使得它们难以推理,并制定激励措施来削弱平台其它部分的同源策略。 Mike 给出了一套新方案,他解释,用户代理可以通过为用户访问的每个安全源生成唯一的 256 位值来控制它代表用户表示的 HTTP 状态,此 Token 可以作为结构化 HTTP 请求头传递到源: Sec-HTTP-State:token = * J6BRKagRIECKdpbDLxtlNzmjKo8MXTjyMomIwMFMonM * 此标识符或多或少类似于客户端控制的 Cookie,但有一些值得注意的区别: 客户端控制 Token 的值,而不是服务器。 Token 只能用于网络层,而不能用于 JavaScript(包括类似网络的 JavaScript、例如 Service Workers)。 用户代理每个源只生成一个 256 位 Token,并且只将 Token 暴露给生成它的源。 不会为非安全源生成或传递 Token。 默认情况下,Token 将与同一站点请求一起提供。 Token 一直存在,直到服务器、用户或用户代理重置为止。 在些基础上,将为开发人员提供一些可通过 Sec-HTTP-State-Options HTTP 响应头触发的控制点,有如下选项: 1、某些服务器需要跨站点访问其 Token,其它服务器可能希望将交付范围缩小到同源请求,服务器可以指定任一选项: Sec-HTTP-State-Options: ..., delivery=cross-site, ... 或者: Sec-HTTP-State-Options: ..., delivery=same-origin, ... 2、某些服务器希望限制 Token 的生命周期,可以允许它们设置 TTL(以秒为单位): Sec-HTTP-State-Options: ..., ttl=3600, ... 时间到期后,Token 的值将自动重置。同时服务器也可能希望明确触发 Token 的重置行为(例如,在注销时),这可以通过设置 TTL 为 0 来实现: Sec-HTTP-State-Options: ..., ttl=0, ... 在任何一种情况下,都可以向当前运行的页面通知用户的状态变化,以便执行清理操作。当发生重置时,用户代理可以将消息发送到名为 http-state-reset 的源的 BroadcastChannel(并且可能唤醒源的 Service Worker 以响应用户驱动的重置): let resetChannel = new BroadcastChannel('http-state-reset'));resetChannel.onmessage = e => { /* Do exciting cleanup here. */ }; 3、对于某些服务器,客户端生成的 Token 足以维持状态,它们可以将其视为不透明的会话标识符,并将用户的状态绑定到服务器端。其它服务器需要额外的保证,他们可以信任 Token 的出处,为此,服务器可以生成唯一密钥,将其与服务器上的会话标识符相关联,并通过 HTTP 响应头将其传递给客户端: Sec-HTTP-State-Options: ..., key=*ZH0GxtBMWA...nJudhZ8dtz*, ... 客户端将存储该密钥,并使用它来生成某些数据集的签名,从而降低 Token 被捕获的风险: Sec-HTTP-State: token=*J6BRKa...MonM*, sig=*(HMAC-SHA265(key, token+metadata))* Mike 同时也表示,该方案并不是一个完全与 Cookie 不同的新东西,并不是要在目前替换掉 Cookie,虽然弃用 Cookie 是应该的,但是当下该方案只是提出了一种在 Cookie 同时存在的情况下也能发挥作用的补充机制。     稿源:开源中国,封面源自网络;

Mozilla:云端 DOH 比传统 DNS 更安全 性能差别不大

Mozilla 今年 3 月时,在 Firefox Nightly 版本进行了 DOH(DNS Over HTTPS)与传统 DNS 的比较实验,探讨后者是否能被前者取代,结果显示虽然 DOH 服务平均比传统 DNS 慢6毫秒,但是相比之下,DOH 不止服务更安全,而且在极端情况下,甚至能比传统 DNS 的回应还快几百毫秒。 现在的浏览器用户依赖不够安全的传统 DNS 协议来访问目标网站,可能面临被追踪(Tracking)或是欺骗(Spoofing)等风险。Mozilla 引用了 2018 年 Usenix 安全研讨会的论文,研究显示 DNS 服务现在正受到严重的干扰,而且面临各种资料收集的隐私威胁。Firefox 开发了 DOH 技术,让浏览器从一个或多个可信任的服务中获取 DNS 信息,以提供高安全与高隐私的 DNS 服务。 由于以可信任的 DOH 云端服务取代传统 DNS 是一个剧烈的改变,在选择 DOH 服务器时需要考虑很多因素,因此 Mozilla 对此展开了测试,主要想了解两个问题,第一个,使用 DOH 是否能取代传统 DNS?第二个,使用 DOH 是否会出现额外的连接错误?在 7 月的时候有约 25000 名 Firefox Nightly 63 使用者参与了 Cloudflare 与 Mozilla 共同举行的测试,测试总共收集到了超过十亿条的 DOH 数据,目前测试已结束。 结果显示,与传统 DNS 相比,和云端服务供应商合作使用 HTTPS 发出 DNS 请求,在无缓存的 DNS 查询上,性能影响很小,大多数的查询只慢了约 6 毫秒,但从权衡安全性和保护隐私数据的角度出发,这是可以被接受的成本。而且在某些情况下,甚至能比传统 DNS 还快几百毫秒。 另外,这个测试除了解性能方面的影响,还考虑了连接错误率,在软故障(Soft-fail)模式下使用 DOH 云端服务的用户,和传统 DNS 用户相比,错误连接率并没有明显差异。软故障模式主要使用 DOH,当域名无法正确解析或是 DOH 提供的地址连接失败时,便退回使用传统 DNS。 Mozilla 提到,他们正努力于创造一个可信任的 DOH 供应商生态,以满足较高标准的数据处理需求,后续会在一组供应商中或是依照地理位置划分 DNS 传输,这项试验可能会在不久之后进行。     稿源:开源中国,封面源自网络;

PHP 现反序列化漏洞,或使 WordPress 遭远程攻击

英国安全公司 Secarma 的研究主管 Sam Thomas 本月在 Black Hat 和 BSides 安全会议上展示了 PHP 编程语言的安全漏洞,并指出该漏洞影响了所有接受用户资料的 PHP 应用程序和库,包括 WordPress 等内容管理系统(CMS),并将允许远程程序攻击。 序列化(Serialization)与反序列化(Deserialization)是所有编程语言都具备的功能,序列化将对象转换为字符串,以将数据迁移到不同服务器,服务或应用程序上,然后通过反序列将字符串还原到对象。 安全研究员 Stefan Essar 在 2009 年就透露了 PHP 中反序列化黑客控制的数据带来的风险,而相关的漏洞不仅存在于 PHP 中,还存在于其他编程语言中。 Thomas 公布的是 PHP 的新攻击技术,可用于各种场景,例如 XML External Entity(XEE)漏洞或服务器端伪造请求(SSFR)漏洞等。 Thomas 表示,过去外界认为 XXE 漏洞带来的最大问题是信息外泄,但现在可出发程序执行。相关攻击分为两个阶段。 首先,将包含恶意对象的 Phar 存档上传到攻击目标的本地文件系统,然后触发一个基于 phar:// 的文件操作,就可能导致恶意程序执行。 Thomas 已利用 PHP 的反序列化程序成功攻击了 WordPress 与 Typo3 内容管理平台,以及 Contao 所采用的 TCPDF 库。   稿源:开源中国社区,封面源自网络;