分类: 漏洞事件

NSA 发现 Win10 漏洞 影响全球数十亿用户

继Adobe 星期二发布2020年第一个补丁程序软件更新后,微软也发布了一月份安全公告,警告数十亿用户有49个漏洞需要更新。周二发布的补丁程序的特别之处在于它更新修复了一个由美国国家安全局(NSA)发现的被广泛应用于windows10、Server 2016和2019版本中的一个核心组件。 CVE-2020-0601: Windows CryptoAPI欺诈漏洞 根据微软发布的官方公告:这个被称为“’NSACrypt”并定义为CVE-2020-0601的漏洞存在于Crypt32.dll模块中,该模块被包含在windows API系统,会对数据进行加密以及对各种“通行证和加密信息传递”进行解密处理。 但问题在于Crypt32.dll模块主要采用椭圆曲线加密(ECC)方式(该加密形式主要在SSL/TLS证书中使用),而椭圆曲线加密是目前公钥加密行业的标准。NSA在发布的新闻稿中对此现象解释到:攻击者通过通行证会破坏windows的加密验证方式,实现远程代码的执行。 攻击者通过滥用漏洞会破坏的验证方式有: HTTPS连接 签名文件和电子邮件 用户模式进下启动可执行签名代码 尽管该漏洞的技术细节尚未公开,但微软证实:若攻击者成功利用漏洞,会在用户不知情的情况下仿冒用户数字签名,进行恶意软件程序安装,也可以仿冒用户安装任何合法软件。此外,CryptoAPI中的漏洞还可能使远程攻击者更容易冒充网站或对受影响软件上的信息进行解密。 国家安全局表示:“此漏洞是我们与安全社区研究合作的一个例子,为确保用户安全,在此之前一个漏洞已被私下披露进行发布更新,若我们不对漏洞进行修复,其后果会很严重。 除了威胁等级被评为“重要”的Windows CryptoAPI欺诈漏洞之外,微软还修补了48个其他漏洞,其中8个是核心漏洞,其余40个都是重要漏洞。目前对于此种漏洞没有彻底的解决办法,建议用户可通过点击“窗口设置→更新和安全→窗口更新→单击“检查电脑上的更新”来安装最新的软件更新。 Windows系统中的其他重要的RCE漏洞 其中两个是会影响windows远程网关的CVE-2020-0609和CVE-2020-0610,未经身份验证的攻击者可以利用这些网关通过RDP请求在目标系统上执行恶意代码。 “此漏洞采用的是身份预先认证,不需要用户进行交互认证。成功利用此漏洞,攻击者可以在目标系统上执行任意代码,”windows顾问说。而CVE-2020-0611远程桌面客户端中的一个关键问题是它可能会导致反向RDP攻击,恶意服务器可以在连接客户端的计算机上执行任意代码。 “要利用这一漏洞,攻击者需要控制服务器,然后说服用户连接到它,而攻击者还可能危及合法服务器,在其上托管恶意代码,并等待用户连接”微软顾问说到。 幸运的是,微软本月修复的漏洞并未发现被公开披露或任意利用。   消息来源:thehackernews, 译者:dengdeng,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Facebook 漏洞或泄露主页管理员信息

Facebook于上周解决了一个安全漏洞,该漏洞暴露了主页管理员的帐户,并且被黑客利用于向若干个名人的主页发动在野攻击。 主页管理员的帐户是匿名的,除非页面所有者选择公开,但漏洞将会泄露管理员的帐户。 Facebook的“查看编辑历史”允许主页管理员查看所有相关的活动,包括修改过帖子的用户的用户名。黑客可能根据这个漏洞泄露修改者以及管理员的账号,并严重影响隐私。 在安全研究员警告后,Facebook迅速解决了该问题。 黑客攻击的页面列表包括 Donald Trump总统,街头艺术家Banksy,俄罗斯总统Vladimir Putin,前美国国务卿Hillary Clinton,加拿大总理Justin Trudeau,黑客组织匿名人士,气候活动家Greta Thunberg,以及说唱歌手Snoop Dogg等。 2018年2月,安全研究员Mohamed Baset 在Facebook上发现了一个类似漏洞。 Baset解释说,该漏洞属于“逻辑错误”:他之前曾在一个界面点赞了一篇帖子,之后他收到来自Facebook的邀请邮件,邀请链接就指向了这篇帖子所在的页面。研究人员分析了社交网络发送的电子邮件的源代码,发现其中包括页面管理员的姓名和其他信息。   消息来源:SecurityAffairs, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Adobe 发布更新,解决 Illustrator 和 Experience Manager 中的漏洞

Adobe星期二发布了2020年第一个补丁程序软件更新  ,解决了Illustrator和Experience Manager中的多个漏洞。 安全公告称:“ Adobe已发布了针对Adobe Experience Manager(APSB20-01)和Adobe Illustrator(APSB20-03)的安全公告。Adobe建议用户根据说明将其产品更新到最新版本。” Windows版Illustrator CC 2019的安全更新解决了五个严重的内存损坏问题(CVE-2020-3710,CVE-2020-3711,CVE-2020-3712,CVE-2020-3713,CVE-2020-3714),黑客可以利用在目标用户的上下文中执行任意代码。 Fortinet’s FortiGuard实验室负责人Honggang Ren已将所有漏洞报告给Adobe。 尽管已为漏洞分配了严重等级,但其优先级为3,Adobe不会希望这些漏洞被黑客利用。 Adobe还发布了Adobe Experience Manager(AEM)的安全更新,该更新解决了四个被评为重要和中等的问题(CVE-2019-16466,CVE-2019-16467,CVE-2019-16468,CVE-2019-16469)。Netcentric的安全专家Lorenzo Pirondini向Adobe提交了编号为CVE-2019-16466和CVE-2019-16468的漏洞。 Reflected 跨站点脚本(XSS)和 Expression Language注入的危险级别较高,并且可能泄露敏感信息。用户界面注入问题危险性为中等,它也可能导致敏感信息的泄露。     消息来源:SecurityAffairs, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

本月补丁星期二将修复严重安全漏洞 Windows 7 或无缘获得

援引外媒KrebsonSecurity报道,在2020年1月的补丁星期二活动中,微软可能已准备好修复存在于Windows系统中的严重加密漏洞,而该漏洞能够让恶意程序伪装成为受信任的组件欺骗用户进行安装感染。而重点是,今天正式停止支持的Windows 7系统可能不会修复该漏洞。 KrebsonSecurity在推文中写道:“消息源称微软计划在补丁星期二中修复存在于所有Windows版本中的严重安全漏洞,该漏洞是一个核心加密组件,可能会被用来欺骗数字签名软件的来源。显然,国防部和其他一些人会获得一个高级补丁https://t.co/V6PByhjTNR” 报道中称存在于Windows组件crypt32.dll中的安全漏洞非常严重,以至于Microsoft提前向政府安全服务发布了补丁。 KrebsonSecurity表示:“多方消息源确认,微软公司定于本周二发布软件更新,以修复所有Windows版本中核心加密组件中的严重漏洞。目前相关补丁已经提前发给了美军分支机构、以及管理关键互联网基础设施的其他高价值客户/目标,而且这些组织被要求签署协议以阻止他们透露漏洞的细节。” 不过在后续的声明中,微软否认了这一点。更为严重的是,该组件可以追溯到Windows NT时代的所有Windows版本,不过由于Windows 7停止支持,微软将不会发布相应的安全补丁。   (稿源:cnBeta,封面源自网络。)

研究发现五家美国电信企业易受 SIM 卡交换攻击

普林斯顿大学昨日发表的一项学术研究指出,美国五家主要的预付费无线运营商,极易受到 SIM 卡劫持攻击。其特指攻击者致电移动服务提供商,诱使电信企业员工将电话号码更改为攻击者控制的 SIM 卡,使之能够重置密码并访问敏感的在线账户,比如电子邮件收件箱、网银门户、甚至加密货币交易系统。 (图自:Apple,via ZDNet) 该校学者去年花费大量时间测试了美国五家主要电信运营商,以验证其是否能够欺骗呼叫中心的员工,在不提供适当凭据的情况下,将用户电话号码变更为另一个 SIM 卡。 研究团队指出,AT&T、T-Mobile、Tracfone、US Mobile 和 Verizon Wireless 均被发现在其客户支持中心中使用了易受攻击的程序,导致攻击者可借此发起 SIM 卡交换攻击。 此外,研究团队分析了 140 个线上服务和网站,发现有 17 个易被攻击者利用 SIM 卡交换攻击来劫持用户的账户。 为开展研究,团队先是创建了 50 个预付费账户(每运营商 10 个),并在唯一对应的电话上展开真实的通话。 一段时间后,研究团队开始向各个电信企业的客服中心致电,并提出类似的请求。 (图自:Lee et al)   其想法是攻击者会致电电信企业的支持中心,以求更换 SIM 卡,但故意提供了错误的 PIN 码和账户所有者的详细信息。 当在出生日期或账单邮递区号之类的隐私问题上提供不正确的答案时,研究助理会辩解称其在注册时过于粗心,导致提供了错误的信息,且一时难以回想起来。 此时,在前两种身份验证机制都失败后,电信企业会切换到第三套方案 —— 要求提供最近的两次通话记录。 在复杂的攻击流程中,攻击者可能诱骗受害者拨打特定的电话号码,因而运营商的防线很容易被攻破。 研究人员表示,借助这套方案,他们成功地骗过了所有五家美国预付费无线运营商。 在昨日发表研究结果时,团队就已经向受影响的各方发去了通知。T-Mobile 在审查了研究结果之后,决定不再使用呼叫记录进行客户身份验证。 遗憾的是,目前仍有四家运营商在使用易受攻击的验证流程。     (稿源:cnBeta,封面源自网络。)  

Cisco Webex 漏洞允许远程执行代码

上周三,Cisco Systems 发布了14个产品漏洞修补程序,其中包括12个中危漏洞和2个高危漏洞。日前,已修复了2个高危漏洞,其中一个漏洞位于Webex视频会议平台,它在内部网络安全测试中被发现,对Cisco Webex Video Mesh软件在2019.09.19.1956m(固定版本)之前的版本都会产生影响。 该漏洞存在于Cisco Webex Video Mesh的基于Web的管理界面中,该功能可用于视频会议的本地基础结构来增强音频、视频和内容,并在此基础上进行远程攻击。Cisco本周发布安全公告称:成功利用此漏洞可使攻击者在目标节点上以根用户权限对潜存的Linux操作系统执行任意命令。 尽管攻击者可远程利用这些漏洞,但他们需要通过身份验证,这意味着攻击者首先需要通过管理权限登录web管理界面,然后再向应用程序提交请求,但在一般情况下Webex平台对这些请求并不会直接通过。 此外,这家网络巨头还发布了针对Cisco IOS和Cisco IOS XE软件web用户界面中另一个严重故障的修复程序。IOS XE是基于Linux Cisco 网络操作系统(IOS)的一个版本,是Cisco 路由器和交换机的驱动软件。IOS XE支持的产品包括企业交换机(包括Cisco的Catalyst系列)、分支路由器和边缘路由器(包括ASR 1013)。 实验发现,此漏洞可使未经身份验证的远程攻击者在受影响的系统上发起跨站点伪造(CSRF)请求攻击。CSRF攻击者通过使用社交软件发起电子邮件,诱使受害者点击链接,然后将伪造的请求发送到服务器。 Cisco称该漏洞产生原因在于:受影响设备的web用户界面CSRF保护不足,而攻击者可以通过对用户进行恶意跟踪来利用该漏洞。成功利用此漏洞可使攻击者对目标用户的权限进行任意操作,如果用户本身具有管理权限,攻击者还可以更改配置、对命令进行重新加载执行。 据了解,该漏洞由MehmetÖnder Key发现,Cisco IOS或Cisco IOS XE软件16.1.1之前启用了HTTP服务器功能的版本会产生影响。目前还没有发现任何针对该漏洞的解决办法,此漏洞在CVSS上被评分8.8分(满分10分)。   消息来源:threatpost, 译者:dengdeng,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Firefox 曝严重零日漏洞 Mozilla 现已紧急修复

Mozilla今天发布了紧急版本更新,重点修复了可能已经被利用的零日漏洞,允许攻击者来控制用户的计算机。在今天发布的安全通告中,Mozilla将该漏洞评为“严重”,并表示有证据表明多名黑客利用该漏洞进行了定向攻击。 美国网络安全和基础设施安全局警告称,至少有1个以上的漏洞被黑客利用,并且警告称黑客可以利用该漏洞来控制受影响的系统。Mozilla的公告中表示该漏洞的发现,主要归功于国内安全团队奇虎360,是他们向Mozilla报告了这个漏洞。 媒arstechnica就此事向Mozilla和奇虎360发送了咨询邮件,目前均没有立即提供回复。据悉该漏洞编号为CVE-2019-17026,是一个类型混淆方面的严重漏洞,可以导致数据被写入或者读取的时候超出限定的内存位置。而越界阅读能够让攻击者绕过诸如地址空间布局随机化之类的保护,也能够导致计算机崩溃。 该漏洞在本周二发布的Firefox 72.0.1版本更新中进行了修复,该版本还修复了其他11个漏洞,其中6个被评为高(其中三个可以让攻击者在感染的设备上运行恶意程序)。因此推荐用户尽快升级至Firefox最新版本,避免受到该漏洞影响。   (稿源:cnBeta,封面源自网络。)

TikTok 旧版曝光多个安全漏洞 请尽快升级至最新版

目前TikTok全球注册用户数量突破15亿,月活跃用户数量超过7亿,如此庞大的用户群自然也成为了黑客攻击的目标。根据安全公司Check Point发布的最新警告,TikTok的某些版本非常容易受到各种方式的攻击,严重的可能会破坏和窃取存储在手机的个人信息。 Check Point表示,这款时下热门的短视频应用程序中存在多个漏洞,攻击者能够相对容易地控制你的账户,上传或者删除视频,甚至能够公开用户设置为隐藏的视频。这些漏洞于去年11月被发现,Android和iOS端的TikTok都受到影响,不过在最新版本中已经得到修复。 其中一个漏洞是TikTok允许用户通过SMS信息来接受下载链接,而这条信息可以通过官网发起请求。但是这种机制并不完美,因为研究人员找到了一种操纵文本并修改SMS信息中链接的方式,以将特殊命令发送到应用程序(如果已在手机上安装的话)。此外,他们可以使用此漏洞将消息发送到任何电话号码,而不仅仅是用于注册TikTok帐户的电话号码。 随后, 攻击者可以利用浏览器重定向设置中的BUG来控制你的账户,并获取你电子邮件等相关个人信息,甚至可以公开你的私人视频。通过一些更精细的JavaScript代码向导,攻击者甚至可以创建视频并将其发布到第三方帐户中。 Check Point表示,在去年11月反馈了TikTok安全问题之后,字节跳动迅速做出调整在去年12月份发布的新版本中已经修复了这些漏洞。   (稿源:cnBeta,封面源自网络。)

小米米家摄像头被爆安全漏洞:谷歌已紧急禁止集成功能

近期,不时有报道称“智能”安全摄像头出现了一些愚蠢的安全问题,而绑定谷歌账号的小米米家安全摄像头发现的严重漏洞更令人担忧。援引外媒Android Police报道,由于小米米家摄像头存在的风险隐患,目前谷歌官方已经宣布在Google Home、Google Assistant设备上禁止绑定小米的集成功能。 谷歌阻止小米访问Assistant: https://www.bilibili.com/video/av81851575?zw 据悉,这个问题最初是由Reddit社区用户/r/Dio-V发现并分享的,他表示他自家的小米米家1080P Smart IP安全摄像头,会通过小米的Mi Home应用/服务连接绑定谷歌账号从而使用Google /Nest设备。Dio-V表示Nest Hub和米家摄像头都是从AliExpress新购买的,摄像头正在运行固件版本3.5.1_00.66。 在尝试访问小米米家摄像头的监控视频时候, 他并没有看到摄像头拍摄的监控视频流,而是显示来自家中其他房间的静态图片。在上传到Reddit社区的8张静态照片中,包括熟睡婴儿、封闭的门廊以及男子在椅子上睡觉的画面。 Dio-V表示反馈回到Google Nest Hub展示的随机静止图像中,还包括Xiaomi/Mijia品牌的日期和时间戳的,而且所显示的时区和他当前所处的时区也不同。从技术上讲,这可能是一场精心策划的恶作剧,但Dio-V提供的证据却相当可信。另外,这些图片也有可能是测试图像,Dio-V无意中访问了调试模式。当然也存在其他可能的解释。 随后谷歌非常重视这个问题,表示:“我们已经意识到了这个问题,并正在与小米联系以进行修复。同时,我们正在禁用设备上的小米集成。”随后外媒Android Police进行了实测,确实发现在Google Home等设备上已经禁用了米家所有产品的集成。     (稿源:cnBeta,封面源自网络。)

SQLite 漏洞 Magellan 2.0 允许黑客在Chrome浏览器上远程运行恶意程序

近日腾讯刀锋(Tencent Blade)安全团队发现了一组名为“Magellan 2.0”的SQLite漏洞,允许黑客在Chrome浏览器上远程运行各种恶意程序。这组漏洞共有5个,编号分别为CVE-2019-13734、CVE-2019-13750、CVE-2019-13751、CVE-2019- 13752和CVE-2019-13753,所有使用SQLite数据库的应用均会受到Magellan 2.0攻击影响。 Magellan 2.0(麦哲伦)是一组存在于SQLite的漏洞。它由Tencent Blade Team发现,并验证可利用在基于Chromium内核的浏览器的Render进程中实现远程代码执行。作为知名开源数据库SQLite已经被应用于所有主流操作系统和软件中,因此该漏洞影响十分广泛。经测试,Chrome浏览器也受此漏洞影响,目前Google与SQLite官方已确认并修复了此漏洞。 根据腾讯刀锋安全团队官方博文,除了所有基于Chromium的浏览器和Google Home智能音箱设备受到影响之外,苹果旗下iPhone, iPad, MacBook,, Apple Watch, Apple TV等多款热门产品也受到影响。 SQLite漏洞是Tencent Blade Team在安全研究中,通过人工代码审计与自动化测试发现的。这一组漏洞被团队命名为“Magellan(麦哲伦)”。根据SQLite的官方提交记录,麦哲伦漏洞中危害严重的漏洞可能已经存在8年之久。利用麦哲伦漏洞,攻击者可以在用户电脑上远程运行恶意代码,导致程序内存泄露或程序崩溃。 目前,Tencent Blade Team已联合Google、Apple、Facebook、Microsoft及SQLite官方安全团推动漏洞修复进展。与此同时,Tencent Blade Team也提醒用户及时关注系统与软件更新通知,需将SQLite升级到目前最新的3.26.0 版本。 上周发布的谷歌Chrome 71,也已经修补该漏洞。Vivaldi和Brave等基于Chromium的浏览器,都采用最新版本的Chromium。但Opera仍在运行较老版本的Chromium,因此仍会受到影响。 另外,虽然并不支持Web SQL,但Firefox也会受到这个漏洞的影响,原因在于他们使用了可以在本地访问的SQLite数据库,因此本地攻击者也可以使用这个漏洞执行代码。腾讯Blade安全团队建议,使用Chromium系产品的团队,请尽快更新至官方稳定版本71.0.3578.80,如果使用产品中涉及SQLite,请更新到3.26.0. 另外,如暂时没有条件采用官方提供的修补方案,也有一些应急建议方案: 关闭SQLite中的fts3功能; 禁用WebSQL:编译时不编译third-party的sqlite组件。由于WebSQL没有任何规范,目前仅有Chrome、Safari支持。 最后,验证方法:重新编译后的内核应无法在控制台调用openDatabase函数。   (稿源:cnBeta,封面源自网络。)