分类: 漏洞事件

Microsoft Word 曝高危零日漏洞推送恶意软件 Dridex 操控百万用户

据外媒报道,黑客正在利用 Microsoft Word 中尚未披露的零日漏洞发动攻击。安全人员表示,黑客可以利用该漏洞静默安装恶意软件 Dridex 操控百万用户设备。 相关报道称,该漏洞不同于多数与文档相关的漏洞。它尚未被修复,而且不依赖于宏命令。Office 通常会在用户启用宏命令文档时提醒用户存在风险。相反,该漏洞的触发方式为引诱用户打开一个伪装的 RTF 文档,该文档将从服务器下载恶意 HTML 应用程序,之后该程序将下载并执行恶意脚本,最终为用户计算机植入恶意软件 Dridex 。 恶意软件 Dridex 侵略性攻击,人们本该对附在电子邮件上的任何 Word 文档保持警惕,即使它由熟知的收件人发送。安全研究人员 McAfee 率先于上周五发现该漏洞并发表声明,由于 HTML 应用程序可以执行,允许黑客在目标计算机上绕过系统保护机制运行代码。另一家安全公司 FireEye 也在上周六公布了相似报告,并表示已经向微软报告了该漏洞。 FireEye 安全人员称,该问题与 Windows Object Linking and Embedding (OLE)  功能有关,OLED 功能则主要用于 Office 和 Windows 内建文档查看器 WordPad ,在过去几年该功能已经引发多个漏洞。值得一提的是,该漏洞影响所有的 Office 版本,包括最新版本 Office 2016 ,而攻击从今年 1 月就已经开始。 本文据 HackerNews、天极网 报道翻译、整理,封面来源于网络。

零售商 GameStop 潜在安全漏洞,客户信息陷入危险

如果您的信用卡信息存储在 GameStop 的网站上,可能需要谨慎,还需要注意您的卡上的未经授权的费用,并将其报告给您的银行。来自黑客的恢复信息可能包括信用卡号码! 对于 GameStop 或其客户来说,这不是一个美好的一天。 根据 Krebs on Security,视频游戏连锁店正在调查其网站上的潜在安全漏洞。GameStop 与传统的实体店一起在其网站上销售游戏,硬件和配件。客户的个人信息(包括信用卡信息)可能面临风险。据称这次黑客发生在 2016 年 9 月至 2017 年 2 月之间。 “ GameStop 最近收到了第三方的通知,认为它在 GameStop.com 网站上使用的卡的支付卡数据正在网站上发售,” GameStop 告诉 Krebs Security。 “ 那天,一家领先的安全公司正在调查这些索赔。 GameStop 已经并将继续不懈地处理本报告,并采取适当措施,消除可能发现的任何问题。“ 如果您的信用卡信息存储在 GameStop 的网站上,您可能需要谨慎。您还需要注意您的卡上的未经授权的费用,并将其报告给您的银行。来自黑客的恢复信息可能包括信用卡号码,姓名,到期日期和 CVV2 号码。 企业数字版权管理( EDRM )公司 Seclore 的首席执行官(“ 数字版权管理 ”)( EDRM )公司 Seclore 的首席执行官在电子邮件中告诉 GamesBeat。 “有一个原因是公司不允许将这个 CVV2 数据存储在自己的数据库中,所以黑客能够拦截这些安全代码的事实显着提高了事件的严重性。我对 GameStop 客户的建议是仔细检查您的购买历史,以进行欺诈活动,如果您怀疑它可能已被盗用,请取消您的卡。与大多数事情一样,特别是网络安全,一盎司的预防胜过一磅治疗。 对于 GameStop 来说,这是一个很大的 2017 年,该公司上个月宣布计划在全国关闭 100 多家门店,而随着越来越多的消费者以数字方式购买游戏,收入继续下滑。 稿源:爱玩网,封面源自网络

Apache Struts 2 漏洞可用于传播勒索软件 Cerber、攻击 Windows 系统

研究人员表示,网络犯罪分子可通过 Apache Struts 2 漏洞传播勒索软件 Cerber、攻击 Windows 系统。 3 月上旬,Apache Struts 2 被曝存在编号为 CVE-2017-5638 的远程代码执行漏洞。然而,就在安全专家发布该漏洞补丁与概念验证( PoC )没多久,攻击者便开始利用该漏洞传播恶意软件。多数情况下,攻击者通过后门和分布式拒绝服务( DDoS )机器人对 Unix 系统进行攻击,但近期专家们还发现一起针对 Windows 系统的攻击行动。 3 月 20 日至 26 日,F5 Networks 研究人员发现网络犯罪分子利用该漏洞执行 shell 命令,运行 Windows 附带的 BITSAdmin 与其他命令行工具传播勒索软件 Cerber、针对 Windows 服务器展开攻击。SANS 技术研究所的专家也在此期间对该起攻击事件进行了报道。 据悉,该勒索软件针对系统中的重要文件进行加密处理,迫使受害者必须通过缴纳赎金才能获得用于恢复文件的“特制解密软件”。经 F5 Networks 报道,在多次攻击行动中,受害者均被要求发送赎金至同一个比特币地址,该地址中的交易额高达 84 比特币(当前价值近 10 万美元)。 研究人员表示,Apache Struts 2 漏洞为攻击者提供了一个丰富的目标环境,可在扩展业务的同时感染数千台新服务器。将勒索目标设为服务器而非个人的做法更加有利可图,由于这些服务器通常属于资金相对充足、基础设施较为完善的组织机构,相应存储数据对业务发展而言可能至关重要。目前,Apache Struts 2 漏洞已感染大量产品,其中包括思科与 VMware 等品牌。 独立安全研究员 Corben Douglas 于本周三发布报告称,他在漏洞发布 4、5 天后对 AT&T 系统进行测试,结果表明系统易受攻击。此外,他还尝试在 AT&T 服务器上执行命令,此举可使整个公司受其掌控。 原作者:Eduard Kovacs , 译者:青楚 ,译审:游弋 本文由 HackerNews.cc 翻译整理,封面来源于网络。转载请注明“转自 HackerNews.cc ” 并附上原文链接。

Splunk 修复安全漏洞:诱导用户访问恶意网站,泄露个人信息

据外媒 3 日报道,Splunk 已修复 JavaScript 代码中存在的安全漏洞,该漏洞被编号为 CVE-2017-5607 ,允许攻击者诱导已完成身份验证的用户访问恶意网页、泄露个人信息。 Splunk 是机器数据的引擎。使用 Splunk 可收集、索引和利用所有应用程序、服务器和设备(物理、虚拟和云中)生成的快速移动型计算机数据 。(百度百科) 无论用户是否启用远程访问功能,该漏洞都会泄漏用户的登录名称,并允许攻击者使用网络钓鱼攻击方式定位用户位置、窃取用户凭据。 调查表明,该漏洞源自 Splunk 于 Object 原型在 Java 中的使用方式。专家发布 Poc 概念验证: <script> Object.defineProperty(Object.prototype,“$ C”,{set:function(val){ // prompt(“Splunk Timed out:\ nPlease Login to Splunk \ nUsername: ”+ val.USERNAME,“Password” ) for(var i in val){ alert(“”+ i +“”+ val [i]); } } }); </ script> 受影响的 Splunk Enterprise 版本为: 6.5.x 当中 6.5.3 之前的各类版本; 6.4.x 当中 6.4.6 之前的各类版本; 6.3.x 当中 6.3.10 之前的各类版本; 6.2.x 当中 6.2.13.1 之前各类版本; 6.1.x 当中 6.1.13 之前的各类版本; 6.0.x 当中 6.0.14 之前的各类版本; 5.0.x 当中 5.0.18 之前的各类版本; 以及 Splunk Light  6.5.2 之前的各类版本。 目前,该公司已针对出现漏洞的全部版本发布修复补丁。 原作者:Pierluigi Paganini, 译者:青楚      本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

苹果 iOS10.3 正式版隐藏特性:修复黑客控制 Safari 索要赎金的漏洞

苹果今天早些时候发布了 iOS10.3 正式版,其中包含了许多新功能。照常,还有一些没有写在更新日志中的改变。外媒 Arstechnica 指出,iOS 10.3 正式版修复了 Safari 中允许诈骗者欺骗用户支付费用的漏洞。 Arstechnica 的报告显示,上述 Safari 的这一漏洞允许诈骗软件的黑客用无限弹窗的方式阻止用户使用浏览器,攻击者宣称自己是执法部门,称用户查看了非法网站,解决问题的唯一办法是通过短信发送 iTunes 礼品卡的方式支付罚款。黑客针对的主要是观看色情内容或试图非法下载音乐或其他内容的用户。 Lookout 的研究人员描述了黑客如何捕获用户并欺骗他们支付赎金费用: 诈骗者滥用移动 Safari 中的弹出式对话框的功能,以阻止受害者使用浏览器。攻击将阻止在 iOS 上使用 Safari 浏览器,直到受害者以 iTunes 礼品卡的形式支付攻击者赎金。在封锁期间,袭击者显示出威胁性的信息,企图吓倒恐吓受害者,并令其付钱。 事实上,解决这个问题的方法很简单,用户可以通过清除其浏览历史和缓存来解决问题,但不了解的用户往往不知所措。使用 iOS10.3 正式版,这一漏洞已经完全被修复,因此用户不会再被困在 JavaScript 弹出窗口的无尽循环中。 稿源:IT之家;封面源自网络

医疗也疯狂 :德国美诺( Miele )清洁消毒设备被曝目录遍历漏洞

近日,德国高端家电厂商美诺( Miele )生产的 Professional PG 8528 设备被曝存在 Web 服务器目录遍历漏洞,允许攻击者未经身份验证即可访问 Web 服务器任何目录,漏洞编号为 CVE-2017-7240 。 美诺 Professional PG 8528 是一款用于消毒实验室与手术器械的医疗设备。这款设备所采用的嵌入式 Web 服务器PST10 WebServer 主要监听 80 端口,容易遭受目录遍历攻击。非法入侵者可利用该漏洞在 Web 服务器上添加并执行恶意代码以访问敏感信息。 据悉,该漏洞由在德国咨询公司 Schneider & Wulf 任职的 Jens Regel 发现并曾于 2016 年 12 月向美诺提交报告。遗憾的是,对于他的此番举动,厂商并未给予任何回应。四个月后,他决定公开披露该漏洞的概念证明( PoC ),希望引起厂商的足够重视。 Proof of Concept: ================= ~$ telnet 192.168.0.1 80 Trying 192.168.0.1… Connected to 192.168.0.1. Escape character ist ‘^]’. GET /../../../../../../../../../../../../etc/shadow HTTP/1.1 to whatever IP the dishwasher has on the LAN. 原作者:Pierluigi Paganini, 译者:青楚     校对:Liuf 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

一加 3/3T 被曝可通过恶意适配器入侵,现已修复

一加 3T 凭借着超高的性价比等优势获得了外媒 PhoneArea 的青睐,并评为 2017 年春季最佳手机,然而在众多荣耀和光环的背后却隐藏着一个安全隐患。近日,来自 Aleph Security 的安全研究专家发现一加 3/3T 存在安全问题,能够让攻击者在用户完全不知情的情况下使用恶意适配器来入侵手机。 攻击本质上依赖于两项已经曝光的漏洞,编号分别为能够绕过设备的防御机制并注入恶意代码,而且更为糟糕的是攻击者在破解过程中完全掩盖他们的足迹。 专家通过两段视频证明已经成功破解一加 3 和一加 3T 手机,可以从视频中观察到:只有在设备完全关闭的情况下恶意适配器才能执行入侵设备。即使下次重启过程中并没有连接恶意适配器,攻击者依然能够临时获得设备的 root 权限,从而让用户进入包含有恶意程序的系统。 在攻击者更改完成之后,受害者在不知情的情况下进入包含有恶意程序的系统,从而让攻击者掌握各种隐私数据和相关信息。好消息是这个漏洞仅限于一加 3 和 3T ,使用相同 Oxygen OS 的一加 2 并不存在该问题。Aleph Security 已经将这两个漏洞的详细信息提交给一加公司,在最新发布的 4.0.3 Oxygen OS 系统已经修复了这个 BUG。 稿源:cnBeta;封面源自网络

谷歌曝赛门铁克伪造证书:多个步骤减少信任

Google Chrome 工程师在开发者邮件列表上宣布将逐步减少对赛门铁克( Symantec )证书的信任。Google 发现赛门铁克旗下的 Root CA 在过去几年内未经同意签发了众多域名的数千个证书,其中包括 2015 年在 Google 不知情下为 Google 域名颁发了有效期一天的预签证书。 赛门铁克( Symantec )是世界顶级的安全机构之一,也是世界知名的 ROOT CA 机构,非常多的知名站点均使用赛门铁克颁发的证书。 据外媒报道,12 月 15 日 Google 在其官方博客上宣布将不再信任由赛门铁克旗下 Thawte CA 颁发的 Class 3 Public Primary CA 根证书。Google 称,包括旗下 Google Chrome 浏览器、Android 系统以及其他的 Google 产品都将不再信任 Class 3 Public Primary CA 根证书。Google 还透露赛门铁克似乎并不愿意更换该证书,而 该证书已不能保证用户的安全。 Google Chrome 团队称,他们从 1 月 19 日开始调查赛门铁克的证书有效性,在调查期间发现有问题的证书数量从最初报告的 127 个暴涨到至少 3 万个。开发者称,他们对赛门铁克公司的证书签发政策和实践不再抱有信心,为了用户安全起见,他们决定采取多个步骤减少对赛门铁克所签发证书的信任:对赛门铁克新签发证书接受的有效期减少到 9 个月或更少;通过多个版本的 Chrome 逐步减少对目前信任的赛门铁克证书的信任,鼓励替换现有的证书;移除对赛门铁克所签发证书的 Extended Validatio 状态的认可。Google 工程师称,他们发现赛门铁克公司允许至少四个第三方访问它的基础设施,甚至允许它们签发证书。 稿源:solido、gfan,封面源自网络

LastPass 存在漏洞允许攻击者窃取密码

近期,Google 安全专家 Tavis Ormandy 在 Chrome 和 Firefox 浏览器中发现 LastPass 密码管理扩展程序存在多个漏洞。目前,LastPass 安全专家已成功修复所有漏洞。 Lastpass 是一个优秀的在线密码管理器和页面过滤器,它采用强大的加密算法,允许自动登录多款浏览器。(百度百科) 2017 年 3 月 16 日,Ormandy 在 Firefox 版本的 LastPass 扩展(版本 3.3.2 )中发现了一个漏洞,但他并没有及时公开披露细节。随后,Ormandy 于3月21日紧接着披露了另一个影响 LastPass 的 Chrome 和 Firefox 版本漏洞并表示该漏洞不仅允许攻击者窃取用户密码,还可以在受害者启用二进制组件时远程调用( RPC )命令执行任意代码。据悉,该漏洞的传播是由于 websiteConnector.js 脚本内容未经代理服务器邮件认证,攻击者可以利用该漏洞访问内部 LastPass RPC 命令。此外,Ormandy 还发现另一个漏洞允许任何域的窃取密码,具体报告将于未来一段时间内公布。 目前,LastPass的安全专家已成功修复所有漏洞并提醒用户及时更新系统,防止数据信息的再次泄露。 原作者:Pierluigi Paganini, 译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

新型恶意 Word 文档现身网络,可攻击 Windows 和 macOS 系统

安全公司 FortiGuard Labs 发出警告,近日网络上出现了利用宏功能漏洞携带有恶意程序的 Word 文档,当 Windows 或者 macOS 设备打开这些文档之后就有可能下载各种恶意程序。微软 Office 生产力办公套件宏功能经常被网络黑客用于注入和感染系统,而新一波攻击采用了相似的手段,基于 VBA( Visual basic for Applications )代码来部署恶意程序。 而更为重要的是,本次 Word 文档中包含的恶意程序能够同时对 Windows 和 macOS 系统发起攻击,而且脚本还会尝试不同的路径来最终确保成功入侵系统。 FortiGuard 表示一旦宏命令执行 python 脚本,那么就会在受害者不知情的情况下下载文件,并在本地机器上执行。该脚本会尝试连接目标主机的 443 端口,不过在 FortiGuard 的测试中服务器并未做出响应。 稿源:cnBeta, 封面源自网络