分类: 漏洞事件

逾 2000 万亚马逊 Echo 与 Google Home 设备易遭 BlueBorne 攻击

网络安全公司 Armis 研究人员于今年 9 月在蓝牙协议中发现 8 处零日漏洞,允许黑客远程操控 Android、iOS、Windows 与 Linux系统后普遍影响逾 53 亿台机器,其中包括所有运行 9.3.5 或更旧版本的 iOS 设备、运行时间超过 Marshmallow 或更旧版本的 Android 设备以及运行 Linux 版本的数百万智能蓝牙设备等。随后,研究人员将这 8 处漏洞构建成一组攻击场景,并将其称为 “ BlueBorne ”攻击。 近期,Armis 研究人员在调查时发现逾 2000 万台亚马逊 Echo 与 Google Home 的智能扬声设备也极易遭到 BlueBorne 攻击,允许攻击者完全接管蓝牙设备、传播恶意软件,甚至建立 “ 中间人 ”(MITM)连接,从而在无需与受害用户进行交互时访问设备关键数据与网络。不过,要想快速实现攻击,除受害设备的蓝牙处于开启状态外,还需在攻击设备连接范围之内。 调查显示,亚马逊 Echo 或将受到 BlueBorne 其中两处漏洞影响: Ο Linux 内核中存在远程执行代码漏洞(CVE-2017-1000251) Ο Linux 蓝牙堆栈(BlueZ)中存在信息泄漏漏洞(CVE-2017-1000250) 而 Google Home 设备会受到其中一处漏洞影响: Ο Android 设备中存在信息泄露漏洞(CVE-2017-0785) 值得注意的是,BlueBorne 对亚马逊 Echo 的威胁要比 Google Home 设备更加严重,因为它所使用的 Linux 内核易受远程代码执行漏洞的攻击,且自身的 SDP 服务器也存在信息泄露的风险。然而,Google Home 主要受到 Android 蓝牙堆栈中信息泄露的影响,其允许攻击者阻止 Home 的蓝牙通讯功能后肆意开展拒绝服务(DoS)攻击。 Armis 在发现亚马逊与谷歌设备极易遭受 BlueBorne 攻击后立即对其进行了报备,随后两家公司也迅速发布了漏洞补丁修复。研究人员提醒用户可以从 Google Play 商店安装 “ BlueBorne 漏洞扫描器 ”,以检查设备是否遭受 BlueBorne 攻击。如果发现易受攻击,建议用户在不使用设备时关闭蓝牙。目前 Amazon Echo 客户应确认所使用的设备运行着 v591448720 或更高版本,而 Google 方面尚未提供有关其版本的任何信息。 原作者:Swati Khandelwal,编译:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Windows 7/8.1 迎来 11 月更新汇总:修复诸多 BUG

据悉,微软在本月的补丁星期二活动中为 Windows 10 系统发布了更新,并也面向 Windows 7/8.1、Windows Server 2008/2012 发布了月度更新汇总。如果用户还在使用 WIndows 7 SP1 或者 Windows Server 2008 R2 SP1,那么可通过微软 Update Catalog 中下载 KB4048957 更新。  KB4048957 更新主要修复的内容如下: ● 修复了基于微软 JET Database 引擎(Microsoft Access 2007 以下版本或者其他非微软应用)的应用在创建和打开微软 Excel的.xls 文件出现错误的问题。错误提示信息为:“Unexpected error from external database driver (1). (Microsoft JET Database Engine)。” ● Microsoft Windows Search Component, Microsoft Graphics Component, Windows kernel-mode drivers, Windows Media Player和Windows kernel 的安全更新。 如果你正在使用 Windows 8.1 或者 Windows Server 2012 R2,那么你会获得 KB4048958 更新,包含的更新内容如下: ● 修复虚拟智能卡无法访问 Trusted Platform Module (TPM)的问题 ● 修复了基于微软 JET Database 引擎(Microsoft Access 2007 以下版本或者其他非微软应用)的应用在创建和打开微软 Excel 的 .xls 文件出现错误的问题。错误提示信息为:“Unexpected error from external database driver (1). (Microsoft JET Database Engine)。” ● 修复了 IE 浏览器使用更大字体时候出现崩溃的情况 ● 修复了导致 SharePoint Online 网站无法在 IE 浏览器中工作的情况 ● Microsoft Windows Search Component, Microsoft Graphics Component, Windows kernel-mode drivers, Windows Media Player和Windows kernel 的安全更新。 由于本次累积更新刚刚推出,目前尚不清楚是否出现“惯例”的无法安装问题,但是每次更新多少都会出现这样或者那样的问题。但坦白来说,首先微软服务面向的设备众多,而且在每次的累积更新中都经过了大量的测试,并努力地降低失败安装的比例。 稿源:cnBeta,封面源自网络;

英国协同办公软件 Huddle 存在安全漏洞,或致毕马威会计师事务所、英国医疗服务 NHS 等机构敏感信息泄露

据英国媒体 BBC 报道,安全研究人员于近期访问毕马威会计师事务所(KPMG)共享的工作日志时意外发现英国协同办公软件 Huddle 存在一处安全漏洞,致使用户敏感信息在线泄露。目前,该研究人员已通过与毕马威无关的签名证书获取公司财务信息。此外,英国国家卫生服务组织 NHS、内政部和税务及海关部等超过 16 万家机构均使用了该办公软件处理企业工作。 调查显示,如果不同用户利用该漏洞在 20 毫秒内进行两次登录将会得到同一授权密码,这意味着在双因素验证过程中,第一位点击链接输入密码的人与下一位用户将被认为是同一个人并被授予管理员权限。据称,该漏洞影响了今年 3 月至 11 月期间的六位客户会话,并证实第三方供应商可能已经访问目标客户敏感信息,而官方发言人表示,“在同一时间段内 Huddle 发生过四千九百多万次登录,发生这种错误的情况是非常罕见”。 Huddle 随后发表声明,宣称公司对于此次事件的发生深表歉意,他们正与其所有合作厂商取得联系,以便妥善解决此类问题。 安全研究人员经调查发现,虽然该漏洞对于政府、金融机构以及大学在内的用户群体来说影响较小,但所有软件都可能存在漏洞,甚至那些声称为用户信息提供超级安全保护的软件。目前,Huddle 已在接到通知后及时修复补丁。不过,毕马威现并未发表任何置评。 原作者:Jason Murdock,译者:青楚  本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

AVGater 攻击:可滥用反病毒软件隔离功能提权,影响卡巴斯基、趋势科技等多家安全厂商产品

HackerNews.cc 11 日消息,安全专家 Florian Bogner 近日设计了一种名为 AVGater 的攻击方法 ,可通过滥用某些杀毒软件的隔离功能来提升权限。目前已确认有包括卡巴斯基、趋势科技,Check Point 在内的多个流行反病毒软件也受此漏洞影响,均可通过滥用隔离功能感染系统并提权。 安全专家 Bogner 的表示,攻击者先通过引导杀毒软件软件将恶意 DLL 文件放入隔离区,然后攻击者利用软件 (具备 SYSTEM 权限)的 Windows 进程来恢复该文件。然而恶意 DLL 并不会被恢复到原始路径,而是进入操作系统执行特权的区域(如 Program Files 或 Windows 文件夹),而在此区域内低权限用户根本无法删除恶意文件。 “如果一个非特权用户能够操纵跨越安全边界的任何通信通道(”非特权用户模式到特权用户模式“或”特权用户模式到内核模式“),那么他将能够提升他的特权。”Bogner 表示,正如视频中所演示的情况,文件恢复过程通常由具备特权的杀毒软件执行,因此文件系统 ACL 是可以被规避的(因为它们并不真正指望 SYSTEM 用户权限)。这种类型的问题被称为特权文件写入漏洞,可用于在系统中的任何位置放置恶意 DLL。同时专家也强调,AVGater 漏洞只能是在“受影响系统可以恢复被隔离文件”的情况下被利用。 影响卡巴斯基、趋势科技等多家安全厂商产品 研究人员表示,目前漏洞影响到来自 Emsisoft,卡巴斯基实验室,Malwarebytes,趋势科技,Check Point 和 Ikarus 的反病毒软件,其他厂商的反病毒解决方案也会受到影响,但考虑到问题严重性目前不便透露这些厂商的名称。 安全专家 Bogner 目前仅发表了针对 Emsisoft 和 Malwarebytes 反病毒软件的 AVGater 攻击详细分析报告 ,Emsisoft 和 Malwarebytes 官方也已在一周内发布了安全补丁。HackerNews.cc 在此提醒读者朋友们尽快留意安全厂商发布的相关信息并及时更新反病毒产品。 详细报告内容:<#AVGater: Getting Local Admin by Abusing the Anti-Virus Quarantine> 文章编译自 securityaffairs.co,译者:FOX 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

研究显示通过 USB 接口触发英特尔 ME 漏洞可成功入侵目标系统

网络安全公司 Embedi 研究人员 Maksim Malyutin 于今年 3 月发现 Intel Management Engine(IME) 存在一处高危漏洞(CVE-2017-5689),允许黑客用作后门攻击时执行恶意活动。随后,莫斯科安全机构 Positive Technologies(以下简称 PT) 于今年 9 月找到一种利用 IME 漏洞展开黑客攻击的最新技术,并计划将在 12 月举行的欧洲 Black Hat 安全会议上展示。 自 2008 年起,英特尔处理器平台都内置了一个低功耗的子系统 ME,其包含一个或多个处理器核心并与平台控制器中枢芯片协同使用,是 Intel 的一个固件接口,用于处理器与外围设备的通讯传输。 然而,事情并未结束。PT 研究人员近期发表一份安全报告,旨在提供关于该漏洞利用技术的更多细节,即从目标设备的 USB 接口触发漏洞访问系统,从而允许任何主板上都可运行无符号代码。此外,知情人士透露,该漏洞技术可以通过以下两种方式加以利用: 1、非特权网络攻击者可以通过获取系统特权配置英特尔主动管理技术(AMT)和英特尔标准可管理性(ISM)加以利用: CVSSv3 分值为 9.8   / AV:N / AC:L / PR:N / UI:N / S:U / C:H / I:H / A:H 2、非特权本地攻击者可以通过获取非特权网络或本地系统特权配置英特尔可管理性特性(ISM)加以利用:  CVSSv3 分值为 8.4   / AV:L / AC:L / PR:N / UI:N / S:U / C:H / I:H / A:H PT 研究人员表示,他们已经利用英特尔管理引擎的硬件进行了调试(JTAG),并通过英特尔 USB 接口(DCI)获得了对所有 PCH 设备(平台控制器中心)的访问权限。不过,这种技术仅影响 Skylake 及新平台的处理器。目前,研究人员表示暂时无法彻底移除 IME 组件,因为它被植入于计算机中最核心的中央处理器里。而现在唯一的预防手段,就是关闭 IME 固件。 原作者:Pierluigi Paganini,译者:青楚  本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Brother(兄弟)打印机安全漏洞或导致设备遭受拒绝服务攻击

据外媒 11 月 7 日报道,网络安全公司 Trustwave 研究人员 SpiderLabs 近期发现 Brother 制造与出售的联网打印机存在一处安全漏洞,允许攻击者远程操控设备后展开拒绝服务攻击。目前据 Shodan 搜索结果显示,全球至少 14,989 台 Brother 打印机设备暴露于公网当中很可能会受到这一漏洞影响。 研究人员表示,攻击者主要通过该漏洞向在线的目标打印机发送错误格式的 HTTP POST 请求来执行攻击,从而远程操控设备。从网络角度来看,虽然与普通的 HTTP 流量攻击类似,但该活动的攻击极其频繁,每隔几分钟就会针对受损设备发送一个请求并完成一次攻击。 Trustwave 威胁情报负责人 Karl Sigler 表示:“这一漏洞危及了所有具备 Debut 嵌入式网络服务器的 Brother 设备,其 1.20 版本或更早版本普遍遭受影响。不幸的是,尽管我们多次联系 Brother 公司解决这个问题,但他们至今并未发布补丁程序。” 对此,为降低漏洞所产生的影响,研究人员提醒设备管理员使用防火墙或类似设备严格限制访问权限。此外经调查发现,这一漏洞似乎不会得到妥善解决,因为即使官方提供补丁更新打印机系统,也可能需要人工部署,例如攻击者可能会事先启动拒绝服务攻击,随后利用社会工程等手段冒充技术人员直接物理访问相关 IT 资源。 原作者:Michael Mimoso,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链

以太坊钱包 Parity 被曝安全漏洞,致价值 2.8 亿以太坊遭冻结

作为比特币的竞争对手,成立于 2014 年的加密货币以太坊(Ethereum)在全球市场日益升温,总价值超过 280 亿美元。但在全球火爆的背后安全问题也日益突显,今年 7 月以太坊钱包 Parity 被黑客攻击窃取了 15.3 万以太坊(约合 3200 万美元)之后,近期再次被曝存在安全漏洞,导致价值数亿美元的以太坊被冻结。 以太坊钱包 Parity 的幕后公司 Parity Technologies 披露信息称,由于自 7 月 20 日开始部署的多重签名钱包技术出现问题,共用的 library 合约被抹除,导致以太坊钱包 Parity 的多重签名钱包的余额都被冻结,无法移动。目前,已经确认有 930000 个以太坊(价值 2.8 亿美元)被冻结。 今年 7 月 19 日,多重签名钱包 Parity1.5 及以上版本出现安全漏洞,15 万个以太坊 ETH 被盗,共价值 3000 万美元。Parity 表示,此次其旗下的以太坊钱包被盗主要是由一个名为 wallet.so 的多重签名智能合约出现漏洞所导致的。 稿源:cnBeta,封面源自网络;

GhostWriter 漏洞:配置错误的亚马逊 AWS S3 存储器存在 MitM (中间人)攻击风险

据外媒 11 月 6 日报道,安全公司 Skyhigh 将管理员对亚马逊 AWS S3 存储器配置错误的情况命名为“ GhostWriter 漏洞 ”,其首席科学家兼总工程师 Sekhar Sarukkai 周五在博文中发布警告称 “ GhostWriter 漏洞或将允许黑客针对托管公司的客户/内部员工进行中间人(MitM)攻击后窃取用户敏感信息”。 研究人员表示,攻击者只需要通过互联网识别具有写入权限的公开 S3 存储器后就可访问目标服务器并覆盖所有数据与文件,或上传恶意软件至存储器。此外,存储 JavaScript 或其他代码的存储器管理人员更应该关注这个问题,以确保黑客不会为了分发恶意软件、挖掘比特币等操作默默覆盖原始内容。 一旦攻击者发现一台具有写入权限的公开 S3 存储器时,他就可以通过替换任一广告程序代码后将其重定向至恶意页面,从而进行中间人攻击或拦截流量的操作。此外,由于该攻击手段极其隐蔽且多数组织均依赖于亚马逊云服务商的信任,因此该类攻击活动并不容易被用户察觉。 目前,尚不清楚该漏洞是否已被利用,但它显然存在。好在研究人员在发现漏洞后立即通知了亚马逊并与其合作,以便迅速解决问题。另外,研究人员还提醒各企业管理员将公司托管的存储器设置为不可公开写入,并确保员工只能从安全的 S3 存储器中下载文件以避免来自外部的黑客攻击。 原作者:Kevin Townsend,译者:青楚  本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

IEEE P1735 电子标准存在多处漏洞,允许黑客访问企业知识产权

IEEE P1735 电子标准描述了加密电子设计知识产权(IP)的方法,以及如何管理 IP 的访问权限;规定了用于电子设备硬件与软件的加密设计知识产权方法和技术建议,以及互操作性模型的工具和流程,其中包括选择加密和编码算法以及加密密钥管理。与此同时,它还保护了电子设备硬件与软件免于逆向工程和 IP 盗窃。 研究人员表示,由于 IEEE P1735 电子标准允许不同制造厂商的代码在硬件组件中运行以及安全交互,意味着解密过程极其复杂。因此,几乎所有的供应商都采用 IEEE P1735 电子标准保护他们的知识产权。不过,佛罗里达大学的研究人员近期在审查 IEEE P1735 电子标准时发现多处漏洞,或将允许黑客绕过安全防御体系后以明文方式访问企业知识产权。以下是研究人员发现的主要漏洞列表: ο CVE-2017-13091:在 CBC 模式下,填充的错误指定允许使用 EDA 工具破解 oracle; ο CVE-2017-13092:HDL 语法的错误指定允许使用 EDA 工具作为破解 oracle; ο CVE-2017-13093:可修改任何加密的 IP 密码,以插入硬件木马; ο CVE-2017-13094:可修改加密密钥并在任何 IP 中插入硬件木马; ο CVE-2017-13095:可修改许可证的拒绝回应; ο CVE-2017-13096:可修改权限模块以摆脱或放松访问控制; ο CVE-2017-13097:可修改权限模块以解除或放松访问控制。 原作者:Pierluigi Paganini, 译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Apple Watch 出现设备崩溃漏洞:疑与时令变化相关

据外媒 macrumors 报道,当地时间 11 月 4 日,Apple Watch 出现了一个奇怪的漏洞,即当用户通过 Siri 询问诸如 “现在温度是多少”、“现在下雨了吗”等天气问题时手表则会出现崩溃的情况。已经有多名用户在苹果相关论坛上反映了这一问题。 经证实,受该漏洞影响的设备包括了 LTE 版 Apple Watch Series 3 和 GPS 版 Apple Watch Series 3 以及老款运行 watchOS 4.1 的 Apple Watch。不过并不是所有国家的用户都受到了影响,获悉,该问题似乎仅出现在了美国、加拿大、欧洲。目前,尚不清楚导致这一问题出现的原因,而天气软件运行则一切良好,重启或重置手表都无法解决问题。 奇怪的是,当通过 Siri 询问明天或下周的天气时并不会出现以上这种问题–也就是说,只有询问当下天气的时候才有。对此,一位 reddit 用户认为,这很有可能跟即将到来的时令变化有关。也许苹果很快就能解决掉这个问题,但对于受影响的用户来说现在最好的办法就是避免通过 Siri 询问天气。 稿源:cnBeta,封面源自网络;