分类: 漏洞事件

Zoom 客户端爆出安全漏洞 可向攻击者泄露 Windows 登陆凭据

近日,Windows 版 Zoom 客户端爆出了容易受到 NUC 路径注入攻击的安全漏洞。作为一款音视频会议应用,Zoom 还允许用户在聊天界面通过发送文本消息来互相交流。然而外媒 Bleeping Computer 指出,攻击者可利用聊天模块的漏洞,窃取点击了相关链接的用户的 Windows 登陆凭据。 发送聊天消息时,所有发送的 URL 都将经过转换,以便群内其他成员点击,继而在默认的浏览器中打开网页。 然而安全研究人员 @ _g0dmode 发现,Zoom 客户端竟然还将 Windows 网络 UNC 路径,也转换成了聊天消息中可单击的链接。 如图所示,常规 URL 和 NUC 路径(\\evil.server.com\images\cat.jpg),都被转换成了聊天消息中的可点击链接。 若用户单击 UNC 路径链接,则 Windows 将尝试使用 SMB 文件共享协议连接到远程站点,以打开远程路径中的 cat.jpg 文件。 默认情况下,Windows 将发送用户的登录名和 NTLM 密码哈希值,但稍有经验的攻击者均可借助 Hashcat 之类的免费工具来逆向运算。 安全研究人员 Matthew Hickey(@ HackerFantastic)实测发现,其能够在 Zoom 中顺利注入,并且可以借助当前的民用级 GPU 和 CPU 来快速破解。 除了窃取 Windows 登陆凭据,Hickey 还向 Bleeping Computer 透露,通过点击链接的方式,UNC 注入还适用于启动本地计算机上的程序(比如 CMD 命令提示符)。 庆幸的是,Windows 会在程序被执行前发出是否允许其运行的提示。想要堵上这一漏洞,Zoom 必须阻止 Windows 客户端的 UNC 路径转换功能(屏蔽部分可点击的超链接)。 据悉,Hickey 已经在 Twitter 上向 Zoom 官方发去了有关该安全漏洞的通知,但目前尚不清楚该公司已采取怎样的行动。 注重安全的客户,可在官方补丁发布前,通过组策略来限制向远程服务器传出 NTLM 通信(参考如下操作): 计算机配置 -> Windows 设置 -> 安全设置 -> 本地策略 -> 安全选项 -> 网络安全:限制NTLM -> 发送到远程服务器的 NTLM 通信(然后全部配置为拒绝)。 需要注意的是,如果在已经加入相关域的计算机上配置上述组策略时,可能会在尝试访问共享时遇到问题。 如果是无权访问组策略设置 Windows 10 家庭版用户,亦可使用注册表编辑器来完成相关限制操作(dword 配置为 2): [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0]”RestrictSendingNTLMTraffic”=dword:00000002 如需正确创建此键值,Windows 用户记得以管理员身份来启动注册表编辑器。 若日后有必要恢复默认发送 NTLM 凭据的 Windows 行为,也只需删除对应的 RestrictSendingNTLMTraffic 键值。   (稿源:cnBeta,封面源自网络。)  

冠状病毒爆发期间 研究人员在 Zoom 当中发现更多安全问题

在冠状病毒爆发期间,视频会议应用程序和服务使用率增加,导致安全人员在Zoom当中发现更多安全问题。据报道,视频会议服务Zoom可以通过解决苹果常规安全措施而在Mac上安装,并且还宣传其具有端到端加密功能,但显然没有。 之前它已将用户数据发送到Facebook(据称已修复),现在它还被指控存在两个单独的安全问题。Twitter用户@ c1truz_(恶意软件跟踪器VMRay的技术负责人)报告说,Zoom的Mac应用安装程序使用了预安装脚本,并据称显示了伪造的macOS系统消息。 c1truz称,在Mac上安装该应用程序时,无需用户给出最终同意,并且高度误导性的提示用于获得root特权。AppleInsider已就指控指控与Zoom取得联系,但尚未收到评论。苹果也没有公开发表评论。不过,之前苹果为纠正Zoom安全问题而强制对用户进行Mac OS更新。 另外,The Intercept声称Zoom并不是真正的端到端加密,在整个视频聊天中,用户和Zoom服务器之间的连接被加密,但是并不能阻止Zoom本身看到呼叫过程。Intercept说:“实际上,Zoom使用了其自己的术语定义,这使Zoom本身可以访问会议中未加密的视频和音频。”Zoom发言人向The Intercept证实了这一点,并表示当前无法为Zoom视频会议启用E2E加密。   (稿源:cnBeta,封面源自网络。)

沙特利用 SS7 漏洞可监控美国任意手机用户位置和信息

立法者和安全专家不断发出警告:全球蜂窝网络存在诸多安全隐患。近日一位告密者称,沙特政府在实施“systematic”监视活动中,利用这些漏洞可以追踪任意美国公民的信息。 systematic是沙特监视海外公民的大型活动,利用强大的移动间谍软件入侵持不同政见者和激进分子的电话以监视其活动。而其中就包括华盛顿邮报专栏作家贾马尔·卡舒吉(Jamal Khashoggi),后者于2018年在领事馆内被沙特特工团队杀害。 根据英国卫报获得的数据缓存,记录了从去年11月开始的4个月时间内数百万沙特公民的位置信息。在报道称,这些位置追踪信息是沙特的三大手机运营商通过七号信令系统(SS7,Signaling System Number 7)漏洞而执行的,而有理由相信背后有沙特政府的影子。 七号信令系统是一种被广泛应用在公共交换电话网、蜂窝通信网络等现代通信网络的共路信令系统。七号信令系统是国际电信联盟推荐首选的标准信令系统。这也是T-Mobile用户可以拨打AT&T用户电话或者给Verizon用户发送短信的原因。 不过专家表示该系统存在诸多漏洞可以让攻击者通过运营商来接听电话和阅读短信。SS7还允许运营商通过发出“提供订户信息”(PSI)请求来跟踪设备所在未知,精度可以达到几百英尺范围。这些PSI请求通常是为了确保正确地向该小区用户计费,例如他们是否在另一个国家的运营商上漫游。 但是尽管有多年的警告和大量关于利用该系统进行攻击的报道,但美国最大运营商几乎没有采取任何措施来确保外国间谍不会滥用其网络进行监视。 美国联邦参议院情报委员会成员罗恩·怀登(Ron Wyden)表示:“我一直在警告美国运营商存在该安全漏洞。如果这份报告是正确的,那么政府机构就可以介入美国的无线网络以追踪我们国内的任何人。” 负责监管蜂窝网络的机构FCC发言人未回应置评请求。     (稿源:cnBeta,封面源自网络。)

Intel 处理器曝新漏洞 打补丁性能骤降 77%

幽灵、熔断漏洞曝光后,Intel、AMD处理器的安全漏洞似乎突然之间增加了很多,其实主要是相关研究更加深入,而新的漏洞在基本原理上也差不多。事实上,Intel、AMD、ARM、IBM等芯片巨头都非常欢迎和支持这类漏洞安全研究,有助于提升自家产品的安全性,甚至资助了不少研究项目,近日新曝光的LVI漏洞就是一个典型。 LVI的全称是Load Value Injection,大致就是载入值注入的意思,由安全研究机构BitDefender首先发现,并在今年2月10日汇报给Intel。 它影响Intel Sandy Bridge二代酷睿以来的绝大部分产品,只有Cascade Lake二代可扩展至强、Coffee Lake九代酷睿Comet Lake十代酷睿部分免疫,Ice Lake十代酷睿完全免疫。 该漏洞可以让攻击者绕过Intel SGX软件保护扩展机制,从处理器中窃取敏感信息,类似幽灵漏洞,不过Intel、BitDefender都认为它只有理论攻击的可能,暂不具备实质性威胁。 Intel表示,受影响产品只有关闭超线程才能规避此漏洞,不过同时Intel也更新了SGX平台软件、SDK开发包,以避免潜在的安全威胁,简单说就是在受影响指令前增加了一道LFENCE指令保护墙。 Intel以往的安全补丁经常会影响性能,但幅度都不是很大,这次又会怎样呢? Phoronix找了一颗至强E3-1275 v6(Kaby Lake),在Linux环境下进行了测试,包括未打补丁、分支预测前载入LFENCE、RET指令前载入LFENCE、载入后执行LFENCE、同时载入LFENCE/RET/分支预测。 结果发现,分支预测和RET指令前载入LFENCE影响不大,性能只损失3%、8%左右,但后两种情况损失惨重,幅度高达77%。 这不是一夜回到解放前,直接就打回原始社会了…… 不过幸运的是,LVI漏洞对普通消费者可以说几乎毫无影响,因为主流PC根本用不到SGX,企业用户倒是因为经常使用SGX、虚拟化而必须重视起来。 同样幸运的是,要想利用这个漏洞极为复杂,理论上可以通过JavaScript发起攻击,但难度极大。   (稿源:cnBeta,封面源自网络。)

White Source 研究报告:开源漏洞在 2019 年增长近 50%

开源组件已成为当今许多软件应用程序的基础组成部分,这也使得其在安全性方面受到越来越严格的审查。根据开源管理专家 WhiteSource 发布的一份新报告,可知 2019 年公开的开源软件漏洞数增加到了 6000 多个,增速接近 50% 。庆幸的是,有超过 85% 的开源漏洞已被披露,且提供了相应的修复程序。 遗憾的是,开源软件的漏洞信息并没有集中在一处发布,而是分散在数百种资源中。有时索引的编制并不正确,导致搜索特定数据成为了一项艰巨的挑战。 根据 WhiteSource 的数据库,在国家漏洞数据库(NVD)之外报告的所有开源漏洞中,只有 29% 最终被登记在册。 此外研究人员比较了 2019 年漏洞排名前七的编程语言,然后将之与过去十年的数量进行了比较,结果发现历史基础最好的 C 语言占有最高的漏洞百分比。 PHP 的相对漏洞数量也大幅增加,但没有迹象表明其流行度有同样的提升。尽管 Python 在开源社区中的普及率持续上升,但其漏洞百分比仍相对较低。 报告还考虑了通用漏洞评分系统(CVSS)的数据,是否是衡量补漏优先级的最佳标准。 过去几年中,CVSS 已进行了多次更新,以期达成为可对所有组织和行业提供支持的客观可衡量标准。 然而在此过程中,CVSS 也改变了高严重性漏洞的定义。这意味着在 CVSS v2 标准下被定为 7.6 的漏洞,在 CVSS v3.0 标准下可能被评为 9.8 。 对于各个开源软件的开发团队来说,这意味着他们面临着更多的高严重性漏洞问题,导致现有超有 55% 的用户被高严重性或严重性问题所困扰。 报道作者总结道:列表中提及的开源项目漏洞,并不意味着其本质上是不安全的。作为用户,也应了解相关安全风险,并确保将开源依赖保持在最新状态。   (稿源:cnBeta,封面源自网络。)

微软发布紧急安全更新:修复 SMBv3 协议漏洞

在本月的补丁星期二活动日上,微软对所有受支持的Windows 10系统发布了累积更新,并对Edge、Internet Explorer和其他组件进行了安全改进。在活动日期间,网络上意外曝光了存在于SMBv3协议中全新蠕虫漏洞,为此今天微软发布了紧急更新对其进行了修复。 该协议允许计算机上的应用程序读取文件,以及向服务器请求服务。然而新曝光的严重漏洞或被攻击者利用,在 SMB 服务器或客户机上执行远程代码。 该公司在昨日的安全公告中解释称:该漏洞影响 1903 / 1909 版本的 Windows 10 和 Windows Server 操作系统。庆幸的是,目前尚无漏洞被利用的报告。 据悉,未经身份验证的攻击者,可将特制数据包发送到目标 SMBv3 服务器。得逞之前,攻击者需配置恶意的 SMBv3 服务器,并诱使用户连接到该服务器。需要注意的是,在宣布漏洞的同一天,微软并未在“星期二补丁”中修复这一缺陷。 面向Windows 10 Version 1903和Version 1909,微软今天紧急发布了累积更新KB4551762,修复了这个严重的SMBv3漏洞,并替代此前发布的KB4540673通过Windows Update部署。 微软推荐用户尽快安装该更新,以避免受到该漏洞的影响。用户可以通过在“更新和安全性”>“ Windows Update”中检查更新来下载并安装重要的安全更新。与预览更新不同,这是一个强制性修补程序,如果您今天不手动安装,它将在某些时候自动在后台安装。   (稿源:cnBeta,封面源自网络。)

微软证实影响 Windows 10 操作系统的 SMBv3 协议漏洞

微软已经确认,在 Windows 10 操作系统的最新版本中,存在着一个 SMBv3 网络文件共享协议漏洞。该协议允许计算机上的应用程序读取文件,以及向服务器请求服务。然而新曝光的严重漏洞或被攻击者利用,在 SMB 服务器或客户机上执行远程代码。 该公司在昨日的安全公告中解释称:该漏洞影响 1903 / 1909 版本的 Windows 10 和 Windows Server 操作系统。庆幸的是,目前尚无漏洞被利用的报告。 据悉,未经身份验证的攻击者,可将特制数据包发送到目标 SMBv3 服务器。得逞之前,攻击者需配置恶意的 SMBv3 服务器,并诱使用户连接到该服务器。 需要注意的是,在宣布漏洞的同一天,微软并未在“星期二补丁”中修复这一缺陷。有鉴于此,该公司建议 IT 管理人员禁用 SMBv3 压缩功能,以防止攻击者借此发起攻击。 至于更多替代方法,亦可查阅微软门户网站(ADV200005)提供的详细信息。如果一切顺利,其有望在下月的“补丁星期二”那天得到正式修复。 如有需要,还可订阅微软的安全通知服务,以及时知晓后续进展。   (稿源:cnBeta,封面源自网络。)

17 年历史的 RCE 漏洞已影响数个 Linux 系统

一个影响点对点协议守护程序(Point-to-Point Protocol daemon,pppd)软件,并具有 17 年历史的远程代码执行(remote code execution,RCE)漏洞已对几个基于 Linux 的操作系统造成了影响。Pppd 软件不仅预先安装在大多数 Linux 系统中,而且还为流行的网络设备的固件提供 power。 该 RCE 漏洞由 IOActive 的安全研究人员 Ija Van Sprundel 发现,其严重之处在于,由守护程序软件的可扩展身份验证协议(EAP)数据包解析器中的逻辑错误所导致的堆栈缓冲区溢出漏洞。 根据 US-CERT 发布的咨询报告表示,该漏洞已被标记为 CVE-2020-8597。在严重程度方面,CVSS 则将其评为 9.8 分。 将一个 crooked EAP 打包程序发送到目标 pppd 客户端或服务器后,黑客就可以对此漏洞进行利用。其可以利用此漏洞并在受影响的系统上远程执行任意代码,从而接管系统的全部控制权。 而加重该漏洞严重程度的是,点对点协议守护程序通常具有很高的特权。这也就导致一旦黑客通过利用该漏洞控制服务器,就可以获得 root-level 的访问特权。 据 Sprundel 透露,该漏洞在 2.4.2 到 2.4.8 的 pppd 版本或过去 17 年中发布的所有版本中都一直存在。他已经确认以下 Linux 发行版已受到 pppd 漏洞的影响: Ubuntu Debian Fedora SUSE Linux Red Hat Enterprise Linux NetBSD 此外,还有以下设备也附带了受影响的 pppd 版本,并且容易受到攻击: TP-LINK products Synology products Cisco CallManager OpenWRT Embedded OS 建议用户们在补丁发布后尽快更新其系统,以规避潜在的攻击。   (稿源:开源中国,封面源自网络。)

英特尔 CSME 爆出严重安全漏洞 现已发布修复补丁

近日英特尔发布公告称自家CPU主控存在严重的安全漏洞,允许黑客绕过存储加密、授权内容保护,并在物联网设备中接管控制硬件传感器。目前英特尔官方已经发布了固件和软件更新,并提供检测工具以缓解这些漏洞的影响。 该漏洞存在于啊英特尔融合的安全性和可管理性引擎(CSME)中,具有物理访问权限的攻击者可以在单个平台上执行以下操作: 绕过英特尔反重播保护, 从而允许对存储在英特尔CEME内的机密进行潜在的暴力攻击; 获得未经授权的英特尔管理引擎BIOS扩展 (英特尔MEBX) 密码; 篡改英特尔CSME文件系统目录或服务器平台服务和可信执行环境数据文件的完整性。 英特尔®融合安全管理引擎(英特尔® CSME)子系统中的潜在安全漏洞可能允许: 特权提升 拒绝服务 信息泄露 受影响产品: 在12.0.49 (仅限 IoT:12.0.56)、13.0.21、14.0.11 之前,此潜在漏洞不会影响英特尔® CSME 版本。英特尔 CSME/ME 版本10和11。 此外英特尔还提供了检测工具CSME_Version_Detection_Tool_Windows .zip:适用于 Windows用户 该下载包含两个版本的工具: 第一个版本是一种交互式 GUI 工具,可用于发现设备的硬件和软件细节,并提供风险评估。建议对系统的本地评估使用此版本。 该工具的第二个版本是控制台可执行文件,它将发现信息保存到 Windows 注册表和/或 XML 文件中。对于想要跨多台机器执行批量发现的 IT 管理员来说,这一版本更方便,可以找到面向固件更新的系统。 CSME_Version_Detection_Tool_Linux tar gz:适用于 Linux 用户,该工具的版本是一个命令行可执行文件,它将显示被测系统的风险评估。   (稿源:cnBeta,封面源自网络。)  

Android 三月安全更新将全面修复 MediaTek-SU 权限漏洞

谷歌今日重申了让 Android 智能机保持最新的安全更新的重要性,使用基于联发科芯片方案的设备用户更应提高警惕。在 2020 年 3 月的安全公告中,其指出了一个存在长达一年的 CVE-2020-0069 安全漏洞。XDA-Developers 在本周的一份报告中写到,早在 2019 年 4 月,他们就已经知晓了此事。 与谷歌在 CVE-2020-0069 中披露的漏洞类似,XDA-Developers 论坛将之称作 MediaTek-SU,后缀表明恶意程序可借此获得超级用户的访问权限。 利用 MediaTek-SU 安全漏洞,恶意程序无需先获得设备的 root 权限(处理 bootloader 引导程序),即可获得几乎完整的功能权限,甚至肆意编辑和修改相关内容。 对恶意软件作者来说,此举无异于打开了 Android 手机上的后门面板,使之可以对用户为所欲为。 从获得放权访问权限的那一刻起,他就能够染指任何数据、输入和传入传出的内容。应用程序甚至可以在后台执行恶意代码,在用户不知情的状况下将命令发送到设备上。 联发科很快发现了该漏洞并发布了修复程序,但遗憾的是,设备制造商并没有太大的动力去向用户推送安全更新。经过一年的时间,仍有许多用户暴露于风险之中。 好消息是,现在联发科与谷歌达成了更紧密的合作,以期将这一修复整合到 3 月份的 Android 标准安全更新补丁中。在厂商推送 OTA 更新后,还请及时安装部署,以消除这一安全隐患。   (稿源:cnBeta,封面源自网络。)