分类: 漏洞事件

医疗安全研究:起搏器生态系统网络存在安全隐患,短期内难以解决

据外媒 26 日报道,安全研究人员在本周发表的一份研究报告中指出困扰领先起搏器生产厂商的一系列网络安全问题,主要包括缺乏身份验证与加密功能、第三方软件库遭受成千上万漏洞攻击等,使起搏器再度成为医疗器械安全领域的热议话题。 起搏器是用于调节异常心律的植入式心脏装置,大多数可由医师与技术人员在设备附近或远程更新。WhiteScope IO 研究人员 Billy Rios 与 Jonathan Butts 针对四家厂商生产的起搏器程控仪( 临床设置中用于监测可植入装置工作原理与设置治疗参数的装置 )进行了射频通信检测。 检测结果表明,为植入体提供支持的基础设施普遍存在严重安全漏洞,患者护理与网络安全之间的斗争相持不下。此外,所有心脏起搏器系统在可移动媒介上均存在未加密文件系统。就软件而言,Rios 与 Butts 在现有厂商生产的程控仪第三方库中发现 8,000 多个已知漏洞。由于医疗机构将未加密数据(社会保障卡号与病历等)存储在程控仪中,因此部分设备不仅存在患者私人信息被窃取的风险,还具有侵犯患者隐私之嫌。 安全专家表示,纵观医疗设备现状,全面修复更新仍不失为一大挑战。尽管美国食品药品监督管理局( FDA )已经努力简化了网络安全更新常规流程,但检测结果仍显示所有程控仪均与存在已知漏洞的陈旧软件有关。 报告详细内容见《 Pacemaker Ecosystem Evaluation.pdf 》 原作者:Michael Mimoso,译者:青楚,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Windows 7、8.1 遭遇 NTFS 文件名错误,可让系统浏览网页时或崩溃

安全人员最近发现 Windows 7 和 8.1 有一个 bug,致使某些不良文件名导致系统锁定或蓝屏死机,恶意网页可以通过使用它们作为图像源来嵌入这些文件名。如果用户使用任何浏览器访问这样的网页,电脑不久就会死机,甚至会可能会直接崩溃。 Windows 9x 时代,操作系统就存在处理特殊文件名的 bug, Windows 有许多文件名是 “ 特殊的 ”,因为它们不代表任何实际的文件,仅仅代表硬件设备。这些特殊文件名可以从文件系统中的任何位置访问,即使它们不存在于磁盘上。 Windows 系统正确处理了访问 con 设备的请求,但是如果文件名包括两个对特殊设备的引用,例如 C:\con\con-then,Windows 将会崩溃。如果从网页引用该文件,例如,通过尝试从 file:///c:/con/con 加载映像,则电脑访问这恶意页面时,机器都将崩溃。 幸运的是,这个 bug 似乎并不影响 Windows 10,它使用另一个特殊的文件名 $MFT。 $MFT 是 Windows NTFS 文件系统使用的特殊元数据文件的名称。该文件存在于每个 NTFS 卷的根目录中,但是 NTFS 驱动程序以特殊的方式处理它,并且它对于大多数软件而言是隐藏的,无法访问。目前,微软已被告知 Windows 7、8.1 系统存在的这个 bug,但是他们并未宣布修复 bug 的具体时间。 稿源:cnBeta;封面源自网络

Samba 发现一个七年历史的远程代码执行漏洞

Samba 团队发布安全通知,释出补丁修复了一个七年历史的远程代码执行漏洞。该漏洞编号为 CVE-2017-7494,在某些条件满足的情况下仅仅只需要一行代码就能利用该漏洞执行恶意代码。 这些条件包括:445 端口可通过互联网访问,配置共享文件有写入权限,文件的服务器路径能被猜出。恶意攻击者之后只需要上传一个共享库,就能让服务器加载和执行恶意代码。 Samba 团队称,漏洞会影响 3.5.0 之前的所有版本,督促用户尽可能快的更新。 稿源:solidot奇客,封面源自网络  

Netgear 路由器 NightHawk R7000 新款固件具有远程数据收集功能

据外媒报道,美国知名企业 Netgear 公司于上周更新的 Netgear NightHawk R7000 无线路由器固件具有远程数据收集功能,可收集路由分析数据并发送至厂商服务器。 安全研究人员 AceW0rm 于去年 8 月发现多款 NetGear 路由器存在远程代码漏洞并上报厂商,但 Netgear 公司并未做出任何回应。随后,AceW0rm 于同年 12 月公开披露该漏洞概念验证代码。 调查显示,Netgear NightHawk R7000 路由器新款固件可收集路由器连接设备的总数、IP 地址、MAC 地址、WiFi 信息以及连接WiFi的设备信息等数据。 目前,Netgear 正低调处理该问题并声称新固件数据收集功能属于常规诊断处理范畴,有助于厂商快速了解用户操作习惯与路由器运行方式。Netgear表示,如果用户注重隐私且不希望 Netgear 收集数据信息,可禁用此功能或使用 DD-WRT(一款基于 Linux 的开源固件,旨在加强无线网络路由器的安全与性能)替换该固件。 原作者: Wang Wei, 译者:青楚,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

固态硬盘驱动器在设计上存在安全漏洞,易导致数据损毁

近年来,出于对提升系统运行速度的渴求,传统机械硬盘( HDD )的市场正被更高速的固态硬盘驱动器( SSD )蚕食。尽管很多用户仍在采用 SSD 系统盘 + HDD 仓库盘的组合,但后者被淘汰也只是时间问题。然而卡内基梅隆大学的研究人员们,却在 SSD 的设计上找到了一处安全漏洞,使得它极易遭受某种特定类型的攻击,致使其过早失效与数据损毁。 首先,该问题似乎仅影响采用 MLC(多层单元)存储颗粒的 SSD,采用 SLC(单层单元)存储颗粒的 SSD 则不再此列。前者在性价比上更具优势,因此市面上的普及率也很高。此外,尽管这项研究并未涉及采用“三层单元”(TLC)存储颗粒的 SSD,但 ExtremeTech 指出 —— 由于采用了与 MLC SSD 相同类型的编程周期,TLC SSD 也面临着相同的漏洞威胁。 问题源自于 MLC 是如何被编程的。 与 SLC SSD 不同,MLC 驱动器会将数据从一块缓存(而不是主控)中写入闪存单元。通过拦截这一进程,攻击者就可以破坏需要被写入的数据。显然,此举会导致内存中存储的数据损坏,甚至对 SSD 本身造成损害、减少其使用寿命。 稿源:cnBeta;封面源自网络

EternalBlue 漏洞早现端倪,勒索病毒 WannaCry 爆发并非偶然

据外媒 22 日报道,网络安全专家发现至少有 3 个黑客组织在勒索软件 WannaCry 爆发数周前就已利用 NSA EternalBlue SMB 漏洞开展大规模黑客活动。 黑客组织 “ Shadow Brokers ”( 影子经纪人 )于今年 4 月披露 SMB 协议漏洞后没多久,多个黑客组织就已利用该漏洞展开大规模网络攻击,例如自 4 月 24 日起就处于活跃状态的僵尸网络 Adylkuzz。 网络安全公司 Cyphort 在蜜罐服务器中检测到某黑客组织曾于 5 月初利用 SMB 漏洞提供远程访问木马(RAT)隐藏服务,尽管后者并未显示出类似于 WannaCry 勒索软件的网络蠕虫功能。但 Cyphort 分析报告指出,一旦该漏洞被成功利用,攻击者将发送加密 payload 感染目标系统、关闭 445 端口以防止其他恶意软件滥用同一漏洞。 此外,该报告还包括一些特殊威胁指标,例如 C&C 服务器可以向恶意软件发送各种命令,其中包括监控屏幕、捕获音频与视频、读取击键记录、传输数据、删除文件、终止进程、下载执行文件等多种操作。 安全公司 Secdo 也表示,黑客组织早在 4 月中旬就已利用基于 EternalBlue 漏洞感染受损网络中的所有机器并渗透登录凭据。当月下旬,Secdo 安全专家还发现另一起利用 EthernalBlue 漏洞的攻击事件,或与利用僵尸网络分发后门的某中国黑客组织有关。此外,Heimdal 安全专家也于近期发现无文件恶意软件 UIWIX 利用 EternalBlue 漏洞在受感染系统的内存中运行。 总而言之,在勒索软件 WannaCry 肆意传播之前,至少有 3 个黑客组织已利用 NSA 黑客工具开展网络攻击活动。这在很大程度上意味着安全社区未能及时监控威胁或共享所观察到的攻击信息。 原作者: Pierluigi Paganini, 译者:青楚,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Terror EK 漏洞开发工具包新添指纹识别功能

据外媒报道,Talos 网络安全团队发现,继 Stegano 漏洞开发工具包( EK )更新版本发布后,Terror EK 于近期也进行了优化完善,不仅可以指纹识别用户设备,还可针对特定漏洞侵入目标系统。 Terror EK 最早出现在 2017 年 1 月的威胁势态中,其安全专家于 4 月观察到黑客利用 Terror EK 开展的攻击活动呈显著上升趋势。由于该工具包与 Sundown EK 存在相似之处,所以 MalwareBytes Labs 专家最初认为是后者的新变种,但调查结果显示,两种工具包实际由不同研究人员开发。 黑客 @666_KingCobra 曾在各地下论坛以不同名称(  Blaze、Neptune 与 Eris)发布 Terror EK 售卖广告。Malwarebytes Labs 专家表示,Terror EK 在恶意软件传播活动中主要利用 IE 浏览器、Flash 与 Silverlight 漏洞传播 Smoke Loader。此外, Terror EK 还参与了另一起攻击活动,即利用不同登录页面传播恶意软件 Andromeda。 调查显示,Terror EK 新版本能够确定受害者 PC 端运行的特定操作系统、浏览器版本、安装的安全补丁与插件。当黑客通过不同浏览器(如 IE11 或 IE8 )访问该网站时,则需使用不同插件。此外,安全研究人员还发现,Terror EK 使用基于 cookie 的身份验证下载漏洞并阻止第三方访问。据称该方法不仅可以防止调查人员了解受害系统如何遭受感染,还可防止其他攻击者窃取这些漏洞。 原作者: Pierluigi Paganini, 译者:青楚 ,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

汇丰银行语音识别系统存在漏洞,可通过模仿声音绕过验证、获取账户信息

据 BBC  20 日报道,香港知名企业汇丰银行( HSBC )的一个客户 Dan Simmons 与其孪生兄弟发现银行语音识别系统存在漏洞,可通过模仿目标用户的声音进行身份验证并获取账户信息。 汇丰银行于 2016 年推出语音识别 ID 系统,要求客户设置人体声音为登录凭证,以便使用手机银行时可快速核实身份并授权访问帐户信息。汇丰银行表示,其语音识别系统可在数秒内分析客户声音并检查超过 100 种行为举止与身份特征(包括嘴巴的大小、形状、谈话的速度以及言语的表达),以便匹配客户原始录音并允许使用手机银行登录。 BBC 报道称,Dan Simmons 在设立汇丰语音身份验证帐户后,弟弟 Joe 经过 8 次尝试、成功通过帐户详细信息、出生日期及简单的谈话访问了 Dan 汇丰帐户。虽然 Joe 无法从账户中提取任何资金,但他可获取账户余额、近期交易及转账信息。 汇丰银行表示,已在第一时间对系统进行了审查,并限制客户在被阻止访问之前只可进行三次语音 ID 识别检测。此外,该负责人还表示,就目前而言语音识别系统依旧是认证客户最安全的方法之一,该技术的引入不仅比 PIN 或密码验证安全可靠,还可大大减少电话欺诈行为。 原作者: Hyacinth Mascarenhas, 译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Joomla! 3.7.0 Core 出现 SQL 注入漏洞,可致用户敏感数据泄露

安全公司 Sucuri 研究人员于近期发现,全球知名开源内容管理系统 Joomla! 3.7.0 Core 由于数据过滤不严谨出现 SQL 注入漏洞(CVE-2017-8917),允许黑客远程窃取数据库敏感信息、获得未经授权的网站访问权限。 知道创宇 404 安全团队针对该漏洞已输出分析报告: http://paper.seebug.org/305/ 考虑到 SQL 注入漏洞可使数百万网站遭受黑客攻击的风险,我们强烈建议网站管理员立即下载安装最新版本 Joomla! 3.7.1,以防黑客再度入侵网站、窃取用户信息。 本文内容翻译、整理:青楚,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

Chrome 漏洞可使黑客窃取 Windows 10 登录凭证

据外媒 17 日报道,安全公司 DefenseCode 的研究人员发现了 Google Chrome 浏览器中存在的一个漏洞,其允许攻击者通过欺骗用户在 Windows PC 端下载恶意文件或 SCF 文件,从而窃取用户登录凭证并启动 SMB(服务器消息块)中继攻击。 研究人员表示,此次攻击活动极其简单,受害者在点击恶意链接时,将自动下载 Windows Explorer Shell 或 SCF 文件,而 SCF 文件被触发后会向攻击者发送 SMB 服务器身份验证请求,从而泄露受害者的用户名与哈希密码。 调查显示,攻击者仅需诱导受害者在 Windows 环境下使用 Chrome 浏览器访问其恶意网站,即可窃取并使用受害者的身份凭证,即便受害者并无管理员权限。此外,研究人员表示,该漏洞将影响所有 Windows 版本下的 Chrome 浏览器,甚至包括 Windows 10 系统。 Chrome 的这一漏洞目前尚未被修复。安全专家提醒用户可通过禁用浏览器自动下载功能来防范风险,同时将 SMB 服务限制在专用网络内,并配置好基于 Internet SMB 服务器连接的防火墙端口。 原作者:India Ashok,译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接