分类: 漏洞事件

Zoom 漏洞:超 50 万个 Zoom 账户泄露并在 Dark Web 出售

早在今年4月份左右,Zoom被爆出漏洞,在Dark Web和黑客论坛上,超过50万个Zoom帐户可供出售,1块钱可以买7000个。在某些情况下,是免费赠送的。这些凭据是通过凭据注入攻击收集的,其中黑客尝试使用在较早的数据泄露中泄露的帐户尝试登录Zoom。然后将成功的登录名编译成列表,然后出售给其他黑客。 网络安全情报公司Cyble 告诉BleepingComputer,大约2020年4月1日,他们开始在黑客论坛上看到免费的Zoom帐户发布,以在黑客社区中获得越来越高的声誉。 这些帐户通过文本共享站点共享,黑客在该站点上发布电子邮件地址和密码组合的列表。 在以下示例中,免费放出了与佛蒙特大学,科罗拉多大学,达特茅斯,拉斐特,佛罗里达大学等学院相关的290个帐户。 BleepingComputer已联系了这些列表中显示的随机电子邮件地址,并确认某些凭据是正确的。 一位暴露的用户告诉BleepingComputer,列出的密码是旧密码,这表明其中一些凭证可能来自较旧的凭证注入攻击。 批量出售帐户 在看到卖家在黑客论坛上发布帐户后,Cyble伸出手来大量购买大量帐户,以便可以将潜在的漏洞用于警告客户。 Cyble能够以每个帐户0.0020美元的价格购买不到5美分的Zoom凭证(大约530,000个)。 购买的帐户包括受害者的电子邮件地址,密码,个人会议URL及其HostKey。 Cyble告诉BleepingComputer,这些帐户包括大通,花旗银行,教育机构等知名公司的帐户。 对于属于Cyble客户的帐户,情报公司能够确认它们是有效的帐户凭据。 Zoom在给BleepingComputer的声明中说,他们已经雇用了情报公司来帮助查找这些密码转储,以便他们可以重置受影响的用户的密码。 “为消费者服务的网络服务通常会受到此类活动的攻击,这通常涉及不良行为者测试来自其他平台的大量已被破坏的凭据,以查看用户是否在其他地方重用了它们。这种攻击通常不会会影响使用他们自己的单点登录系统的大型企业客户,我们已经聘请了多家情报公司来查找这些密码转储以及用于创建密码转储的工具,并且该公司已关闭了数千个试图欺骗网站的网站用户下载恶意软件或放弃其凭据。我们将继续进行调查,以锁定我们发现遭到入侵的帐户,要求用户将其密码更改为更安全的方式,并正在寻求实施其他技术解决方案以支持我们的努力。” 更改Zoom密码(如果在其他地方使用) 由于所有公司都受到凭据注入攻击的影响,因此对于注册帐户的每个站点,您必须使用唯一的密码。 通过这些攻击,利用暴露在过去数据泄露中的帐户,然后在线销售,每个站点使用唯一的密码可以防止一个站点的数据泄露影响另一个站点数据。 您还可以通过“ 我已被拥有”和Cyble的AmIBreached数据泄露通知服务检查您的电子邮件地址是否因数据泄露而泄漏。 两种服务都将列出包含您的电子邮件地址的数据泄露事件,并进一步确认您的凭据已被公开。     (稿源:TechWeb,封面源自网络。)

三星即将发布换壁纸导致设备异常重启的修复补丁

几天前,一些用户抱怨三星 Android 移动设备遭遇了一个奇怪的 bug,导致手机可能在更换了不受支持的壁纸后陷入循环启动。原因是这些图片的直方图数值(>255)高于 Android 移动操作系统所支持的 sRGB 色域空间,且所有运行最新版谷歌 Android OS 的设备都会受到影响。 庆幸的是,在收到 bug 反馈之后,包括三星在内的第三方开发者和原始设备(OEM)制造商都在积极着手修复。 SamMobile 援引消息人士的话称,该公司已做好通过 OTA 更新来修复此 bug 的准备。 对于 Galaxy 设备用户来说,三星建议暂时不要从网络上下载任意壁纸图像,直到该问题彻底得到修复。 当然,最终还是得看谷歌官方的 Android 开源项目社区能够从根源上治好这个病根,不然同样的问题依然会上演“你方唱罢我登场”的剧情。   (稿源:cnBeta,封面源自网络。)

五角大楼使用创企研发的 Mayhem 工具搜索软件 Bug

据《连线》(Wired)杂志报道,去年年底,互联网基础设施公司Cloudflare的安全工程师David Haynes发现自己正盯着一张奇怪的图像。“那纯粹是胡言乱语,”他说。“一大堆灰黑色的像素,由机器制造出来的。”他拒绝分享图片,称这将是一个安全风险。Haynes的谨慎是可以理解的。这张图片是由一个名为Mayhem的工具创建的,该工具可以探测软件以发现未知的安全漏洞,由卡内基梅隆大学的衍生创企ForAllSecure制作。 Haynes一直在Cloudflare软件上进行测试,该软件可以调整图片的大小以加快网站的速度,并向它提供了几张照片样本。Mayhem将它们变异成了一些不正常的的图片,通过触发一个不被注意到的bug,使照片处理软件崩溃,这个漏洞可能会给付费给Cloudflare以保持网站正常运行的客户带来问题。 此后,Cloudflare将Mayhem作为其安全工具的标准配置。美国空军、海军和陆军也使用了它。上个月,五角大楼授予ForAllSecure一份4500万美元的合同,让Mayhem在整个美军中推广使用。该部门有大量的Bug可供查找。2018年的一份政府报告发现,国防部在2012年至2017年期间测试的几乎所有武器系统都存在严重的软件漏洞。 Mayhem还不够精密,不足以完全取代人类漏洞查找员的工作,他们利用软件设计知识、代码阅读技巧、创造力和直觉来寻找漏洞。但ForAllSecure联合创始人兼CEO David Brumley表示,该工具可以帮助人类专家完成更多的工作。世界上的软件有更多的安全漏洞,专家们没有时间去发现,而每分钟都有更多的漏洞出现。“安全并不在于是否安全或不安全,而在于你的行动速度有多快。”Brumley说。 Mayhem起源于2016年在拉斯维加斯一家赌场举行的一场不寻常的黑客大赛。数以百计的人到场观看由五角大楼的研究机构Darpa主办的网络大挑战赛。但舞台上没有一个人,只有七台电脑服务器。每台服务器上都有一个机器人,它试图发现并利用其他服务器的漏洞,同时也发现并修补自己的漏洞。8个小时后,由Brumley所带领的卡内基梅隆大学安全实验室团队制作的 “Mayhem “获得了200万美元的最高奖项。 目前仍是卡内基梅隆大学教授的Brumley说,这段经历让他相信,他的实验室创造的东西在现实世界中可以派上用场。他抛开了团队的机器人的进攻能力,认为防御更重要,并着手将其商业化。“网络安全挑战赛( Cyber Grand Challenge)表明,完全自主安全是可能的。”他说。“计算机可以做得相当不错。” 以色列等国政府都提出了合同,但ForAllSecure与美国政府签约。它得到了国防创新部门的合同,这是五角大楼的一个小组,试图将新技术快速引入美军。ForAllSecure受到了挑战,通过寻找美军使用的军用变体商用客机的控制软件中的漏洞来证明Mayhem的能力。在几分钟内,这个自动黑客就发现了一个漏洞,该漏洞随后被飞机制造商验证并修复了。 Mayhem发现的其他漏洞还包括今年早些时候在数百万台网络设备中使用的OpenWRT软件中发现的一个漏洞。去年秋天,该公司的两名实习生从Netflix的漏洞赏金计划中获得了一笔奖金,因为他们利用Mayhem发现了软件中的一个漏洞,该软件可以让人们将视频从手机发送到电视上。 Brumley表示,汽车和航空航天公司对这个工具的兴趣特别浓厚。汽车和飞机对软件的依赖性越来越强,而这些软件需要多年的可靠运行,而且很少更新。 Mayhem只针对基于Linux操作系统的程序,发现漏洞的方式有两种,一种是随机的,另一种更有针对性。第一种称为模糊测试,它涉及到用随机生成的输入(如命令或照片)轰炸目标软件,并观察是否有触发可利用的漏洞。第二种被称为符号执行,涉及到创建一个目标软件的简化数学表示。可以对这个被简化的替身进行分析,以确定真实目标中的潜在弱点。 近几年来,模糊测试工具在计算机安全领域的应用越来越广泛。去年,谷歌发布了一个模糊测试工具,并表示已经在其Chrome浏览器中发现了16000多个Bug。但Cloudflare公司的Haynes表示,该技术在行业内仍未得到普遍使用,因为模糊测试工具通常需要对每个目标程序进行太多仔细的调整。他说,ForAllSecure精心打造的Mayhem更具适应性,让Cloudflare可以更常规地使用模糊测试。Haynes说,符号执行可以找到更复杂的Bug,之前主要是在研究实验室中使用。 亚利桑那州立大学教授Ruoyu Wang希望Mayhem只是计算机安全领域更自动化的未来的开始,但他说,这将需要bug查找机器人与人类进行更多的合作。 Mayhem表明,自动化可以做有用的工作,Wang说,但现有的自动寻找漏洞的机器人在复杂的互联网服务或软件包中不能起到多大的作用。最好的软件还远远不能像人类那样聪明到理解程序的意图和功能。Mayhem比任何人类更快地尝试很多不同的东西的能力都无法替代。“很多自动查找漏洞的难点问题,现在还远远没有解决。”Wang说。 Wang曾是一个名为Mechanical Phish的团队的一员,该团队在2016年Darpa锦标赛上获得了第三名。他现在正在从事该机构的一个名为CHESS的新研究项目,试图制造出更强大的Bug查找软件。“现在,最先进的自动化不知道什么时候会遇到障碍,”Wang说。“它应该意识到这一点,并向人类咨询。”   (稿源:cnBeta,封面源自网络。)

Android 新 bug,一张壁纸导致三星、一加等手机崩溃

Android 出现了一个颇有美感的新 Bug。推特网友 Ice Universe 爆料称,当安卓手机用户将一张夕阳风光图片在安卓设备上作为壁纸使用时,会导致手机系统崩溃,屏幕出现无限闪烁。 受影响的设备主要包括三星、一加 和 Google Pixel 等智能手机。此外,该图像还导致了 Android 模拟器崩溃。 这张图片在社交媒体平台上广为流传,尽管已有示警,但还是有些用户无视警告将其设置为了壁纸。而该图像导致 Android 智能手机出现故障的原因则在于,它的颜色编码配置文件不正确,超出了 Android 的处理范围。 如果你已不幸中招,可以执行以下操作解决此故障: 尝试通过同时按下电源和增大音量按钮以安全模式启动智能手机。 如果你使用的是自定义 ROM,或者是卡在启动循环中的 rooted Android 设备,请将墙纸数据重置为默认值。 通过 bootloader 将设备恢复出厂设置,不过值得注意的是,在此过程中,所有数据都会丢失。 事实上,这也不是最近出现的唯一一个怪异 bug。上个月,还曾出现了一个仅仅是使用泰卢固语编写的一条短信,就导致了 iOS 设备崩溃的 bug。     (稿源:开源中国,封面源自网络。)

iOS/iPadOS 13.5.1 发布:修复 unc0ver 越狱漏洞 Apple Pay 支持八达通

今天苹果发布了 iOS/iPadOS 13.5.1 以及 watchOS 6.2.6系统更新,对两周前发布的 iOS/iPadOS 13.5进行了安全修复。在安全更新日志中明确提及了 unc0ver 越狱使用的漏洞,因此想要越狱的用户尽量不要升级。 iOS/iPadOS 13.5.1本次更新的安装包容量为77.5MB,主要还是安全方面的改进,不过引入的新功能之一就是Apple Pay支持中国香港地区的八达通了。 此外watchOS 6.2.6更新容量为54.4MB,同样是重要的安全性更新,推荐用户尽快安装升级。从iOS 13.5.1、iPadOS 13.5.1和watchOS 6.3.6更新的补丁说明中可以看出,内容主要由安全更新组成。从版本号的增量也可以看出,它们的更新范围不大,功能和特性变化的可能性不大。     (稿源:cnBeta,封面源自网络。)

苹果为 ID 验证漏洞 支付十万美元赏金

近日,苹果最近向印度漏洞研究人员Bhavuk Jain支付了100,000美元赏金,奖励其发现影响“ 使用Apple登录 ”系统的严重漏洞。该漏洞是Bhavuk上个月向苹果安全团队报告,目前苹果现在已修复此漏洞。这个已修补的漏洞,可以使远程攻击者绕过身份验证,接管使用“使用Apple登录”选项注册的第三方服务和应用程序上的帐户。 去年,苹果公司在WWDC会议启动了“苹果ID ”登录第三方的保护隐私机制,该机制允许用户使用苹果ID注册第三方应用程序帐户,并且无需透露实际电子邮件地址。 Bhavuk Jain 在向媒体表示,他发现的漏洞存在于Apple在启动过程中,与苹果服务器认证过程中。 对于那些不了解实际情况的用户,在服务器上通过“使用Apple登录”进行用户身份验证时,可以生成JSON Web令牌(JWT),其中就包含第三方应用程序发来确认登录用户身份的机密信息。 Bhavuk发现,尽管Apple会要求用户在发起请求之前,登录Apple帐户,但是并没有验证是否是同一个人在身份验证服务器请求JSON Web令牌(JWT)。 所以,该机制中缺少的验证问题,可能允许攻击者获取属于受害者的单独Apple ID,从而诱骗Apple服务器生成有效的JWT,最终导致受害者的身份信息被其他人从第三方获取。 Bhavuk表示:“我发现可以向JWT请求来自Apple的任何电子邮件ID,并且使用Apple公钥验证获取的令牌签名后,就可以登录。这意味攻击者可以通过链接获取任何Email ID 并通过访问权限伪造JWT,进而访问受害者帐户。” 即使在第三方服务中隐藏电子邮件ID,该漏洞仍然有效,并且黑客可以利用该漏洞利用受害者的Apple ID来注册新帐户。 Bhavuk还补充说:“此漏洞的影响非常严重,因为它可能导致整个帐户被黑客接管。” 现在许多开发人员已将Sign In与Apple集成在一起,因为这种方式可以帮助其他社交工具减少获客成本。开发人员表示,尽管该漏洞存在于Apple代码端,但是用户“使用Apple登录”的服务和应用程序中并不受到影响,而且苹果公司现在已修复此漏洞。在发放奖金之后,苹果公司正在公司的服务器进行调查,从而确定过去因为该漏洞被影响和破坏的帐户。 需要注意的是,除了这次漏洞,本月早些时候德国达姆施塔特大学的研究人员检查了 MagicPairing 协议中,还发现了iOS、macOS 和它们之间的十个公开漏洞,这些漏洞至今尚未得到解决。     (稿源:雷锋网,封面源自网络。)

Sign in with Apple 被爆高危漏洞:可远程劫持任意用户帐号

近日苹果向印度漏洞安全研究专家Bhavuk Jain支付了高达10万美元的巨额赏金,原因就是他报告了存在于Sign in with Apple中的严重高危漏洞。Sign in with Apple(通过Apple登录),能让你利用现有的Apple ID快速、轻松地登录 App 和网站,目前按该漏洞已经修复。 该漏洞允许远程攻击者绕过身份验证,接管目标用户在第三方服务和应用中使用Sign in with Apple创建的帐号。在接受外媒The Hacker News采访的时候,Bhavuk Jain表示在向苹果的身份验证服务器发出请求之前,苹果客户端验证用户方式上存在漏洞。 通过“Sign in with Apple”验证用户的时候,服务器会包含秘密信息的JSON Web Token(JWT),第三方应用会使用JWT来确认登录用户的身份。Bhavuk发现,虽然苹果公司在发起请求之前要求用户先登录到自己的苹果账户,但在下一步的验证服务器上,它并没有验证是否是同一个人在请求JSON Web Token(JWT)。 因此,该部分机制中缺失的验证可能允许攻击者提供一个属于受害者的单独的苹果ID,欺骗苹果服务器生成JWT有效的有效载荷,以受害者的身份登录到第三方服务中。Bhavuk表示:“我发现我可以向苹果公司的任何Email ID请求JWT,当这些令牌的签名用苹果公司的公钥进行验证时,显示为有效。这意味着,攻击者可以通过链接任何Email ID来伪造JWT,并获得对受害者账户的访问权限。” Bhavuk表示即使你选择隐藏你的电子邮件ID,这个漏洞同样能够生效。即使你选择向第三方服务隐藏你的电子邮件ID,也可以利用该漏洞用受害者的Apple ID注册一个新账户。 Bhavuk补充道:“这个漏洞的影响是相当关键的,因为它可以让人完全接管账户。许多开发者已经将Sign in with Apple整合到应用程序中,目前Dropbox、Spotify、Airbnb、Giphy(现在被Facebook收购)都支持这种登录方式。” Bhavuk在上个月负责任地向苹果安全团队报告了这个问题,目前该公司已经对该漏洞进行了补丁。除了向研究人员支付了bug赏金外,该公司在回应中还确认,它对他们的服务器日志进行了调查,发现该漏洞没有被利用来危害任何账户。     (稿源:cnBeta,封面源自网络。)

为防受邮件漏洞影响 德国 BSI 敦促 iPhone 用户尽快安装安全更新

据外媒报道,德国联邦安全局(BSI)敦促iPhone用户尽快安装苹果发布的最新安全更新以解决邮件应用中存在的一个关键漏洞。据悉,这一安全漏洞由网络安全组织ZecOps发现,据信从3.1.3开始的所有版本的iOS操作系统都在受影响范围内。这意味着最新一代的iPhone也很容易受到攻击。 攻击者可以通过该漏洞访问用户邮件应用中的内容。 苹果已经在上周发布的iOS 13.5解决了这一漏洞,现在BSI希望每个人都尽快安装这个新版本。 BSI日前在更新的信息中写道:“苹果已经发布了iOS 12.4.7、iOS 13.5和iPadOS 13.5的安全更新,它们解决了所有受影响iOS版本的漏洞。由于漏洞的严重性,BSI建议立即将相应的安全更新应用于所有受影响的设备。iOS邮件应用在更新后可以再次使用。” 然而重要的是,尽管苹果承认存在这些问题,但这家公司表示,仅凭这些还不足具备访问邮件应用数据的能力。 据悉,想要安装iOS 13.5更新的用户可以前往设置>通用>软件更新,然后在安装完成后重启设备即可。     (稿源:cnBeta,封面源自网络。)

科学家发现 26 个 USB 漏洞:Linux 18个 Windows 4 个

近日多名学术界人士表示,在Linux、macOS、Windows和FreeBSD等操作系统所使用的USB驱动堆栈中发现了26个新的漏洞。这支科研团队由普渡大学的Hui Peng、瑞士联邦理工学院洛桑分校的Mathias Payer带领,所有漏洞都是通过他们创建的新工具USBFuzz发现的。 这类工具被团队成员称之为“模糊器”(fuzzer)。模糊器是多款应用程序的集合,能够帮助安全研究人员将大量无效、意外或者随机数据输入其他应用程序。然后,安全研究人员分析被测试软件的行为方式,以发现新的bug,其中一些可能被恶意利用。 为了测试USB驱动,Peng和Payer共同开发了USBFuzz,这是一种专门用于测试现代操作系统的USB驱动堆栈的新型模糊器。研究人员表示:“其核心部分,USBFuzz使用软件仿真的USB设备来向驱动程序提供随机的设备数据(当他们执行IO操作时)。” 团队表示:“由于仿真的USB设备是在设备层面工作的,因此将其移植到其他平台上是很直接的。”这使得研究团队不仅可以在Linux上测试USBFuzz,还可以在其他操作系统上进行测试。 研究人员表示,他们在以下平台上测试了USBFuzz。 ● Linux内核的9个最新版本:v4.14.81、v4.15、v4.16、v4.17、v4.18.19、v4.19、v4.19、v4.19.1、v4.19.2和v4.20-rc2(评估时的最新版本)。 ● FreeBSD 12 (最新版本) ● MacOS 10.15 Catalina(最新版本) ● Windows(8和10版本,并安装了最新的安全更新) 在测试之后,研究团队表示,在USBFuzz的帮助下,他们一共发现了26个新的bug。 研究人员在FreeBSD中发现了一个bug,在MacOS中发现了三个(两个导致计划外重启,一个导致系统冻结),在Windows 8和Windows 10中发现了四个(导致死亡蓝屏)。 最严重的是针对Linux的,总共有18个。其中16个是针对Linux各个子系统(USB core, USB sound和net-work)的高危内存漏洞,此外还有1个是针对Linux的USB host主控驱动,还有一个是USB摄像头驱动。 Peng和Payer表示,他们向Linux内核团队报告了这些bug,并提出了补丁建议,以减轻 “内核开发人员在修复报告的漏洞时的负担”。 研究团队表示,在这18个Linux漏洞中,有11个自去年首次报告以来,他们收到了补丁。在这11个bug中,有10个还收到了CVE,这是一个被分配给重大安全漏洞的唯一代码。 相关论文《USBFuzz: A Framework for Fuzzing USB Drivers by Device Emulation》,可以访问这里 和 这里。     (稿源:cnBeta,封面源自网络。)

研究人员在 Android 9.0 等低版本系统中检出 StrandHogg 2.0 漏洞

Promon 研究人员刚刚曝光了一个影响 Android 9.0 等低版本系统的 StrandHogg 2.0 特权提升漏洞,若被黑客利用,用户的所有应用程序都将被其所染指。Promon 向 Google 通报了 CVE-2020-0096 安全漏洞,这家搜索巨头已降至标记为“严重”。庆幸的是,该漏洞尚未在野外被广泛利用。不过在今日披露之后,数以千万计的 Android 设备用户将变得更易受到攻击。 Promon 公告指出,该漏洞允许恶意应用在完全隐藏自身的情况下,获得假设合法的身份。 一旦将恶意应用安装在设备上,便可染指用户个人数据,比如短信、照片、登陆凭证、追踪 GPS 运动轨迹、通话记录、以及通过摄像头和麦克风监听用户。 Promon 表示,谷歌已于 2019 年 12 月 4 日收到漏洞披露通告,意味着搜索巨头在漏洞向公众曝光前有五个月的时间对其进行修补。 在面向 Android 生态合作伙伴的 2020 年 4 月安全补丁中,已经包含了 CVE-2020-0096 的漏洞修复(涵盖 Android 8.0 / 8.1 / 9.0)。 视频连接:https://www.cnbeta.com/articles/tech/983745.htm 需要注意的是,StrandHogg 2.0 较初代漏洞更加复杂,使之难以被反病毒和安全扫描程序检测到。 终端用户需注意不要从来历不明的非可信任来源安装 Android 应用,以免受到此类恶意攻击的影响。     (稿源:cnBeta,封面源自网络。)