分类: 漏洞事件

CISA 勒令联邦机构 24 小时内安装补丁 修复 Windows 严重漏洞

美国国土安全部(DHS)下属的网络安全部门本周四发布行政令,要求联邦民用机构立即对新发现的 Windows 漏洞 SIGRed 进行安全修复,理由是该漏洞对这些的机构的安全构成了“不可接受的重大风险”。 这是 DHS 下属的网络安全和基础设施安全局(Cybersecurity and Infrastructure Security Agency,简称CISA)有史以来发布的第三道命令,要求各大机构在 24 小时内对用于域名系统的 Windows 服务器打补丁,或者部署其他的缓解方案。机构内并非用于 DNS,但受影响的服务器要在7月24日前打上补丁。 在指令是非常紧迫性的,CISA 强调:“基于该漏洞被利用的可能性,受影响软件在整个联邦企业中的广泛使用,机构信息系统被破坏的可能性很高,以及成功破坏的严重影响”。 Check Point的研究人员发现了Windows DNS的安全漏洞,并在5月份向微软报告。如果不打补丁,就会使Windows服务器容易受到攻击,不过微软指出,目前还没有发现这个缺陷被利用的证据。 “DNS服务器漏洞是一件非常严重的事情,”Check Point的漏洞研究团队负责人Omri Herscovici警告说。”这些漏洞类型只有少数几个发布过。每一个使用微软基础设施的组织,无论大小,如果不打补丁,都会面临重大安全风险,最坏的后果将是整个企业网络的彻底破坏。这个漏洞在微软的代码中已经存在了17年以上;既然我们能够发现这个漏洞,那么别人也已经发现了这个漏洞也不是不可能。”     (稿源:cnBeta,封面源自网络。)

微软警告 Windows DNS 服务器存在重大漏洞 如不重视可能形成蠕虫攻击

微软警告称,该公司将一个17年前的Windows DNS服务器关键漏洞列为 “可蠕虫”。这样的漏洞可能允许攻击者创建特殊的恶意软件,在Windows服务器上远程执行代码,并创建恶意的DNS查询,甚至最终可能导致企业和关键部门的基础设施被入侵。 访问MSRC报告: https://msrc-blog.microsoft.com/2020/07/14/july-2020-security-update-cve-2020-1350-vulnerability-in-windows-domain-name-system-dns-server/ “蠕虫漏洞有可能在没有用户交互的情况下,通过恶意软件在易受攻击的计算机之间传播,”微软首席安全项目经理Mechele Gruhn解释说。”Windows DNS服务器是一个核心网络组件。虽然目前还不知道这个漏洞是否被用于主动攻击,但客户必须尽快应用Windows更新来解决这个漏洞。” Check Point的研究人员发现了Windows DNS的安全漏洞,并在5月份向微软报告。如果不打补丁,就会使Windows服务器容易受到攻击,不过微软指出,目前还没有发现这个缺陷被利用的证据。 今天,在所有被支持的Windows Server版本中都提供了修复该漏洞的补丁,但系统管理员必须在恶意行为者根据该漏洞制造恶意软件之前,尽快给服务器打上补丁。 “DNS服务器漏洞是一件非常严重的事情,”Check Point的漏洞研究团队负责人Omri Herscovici警告说。”这些漏洞类型只有少数几个发布过。每一个使用微软基础设施的组织,无论大小,如果不打补丁,都会面临重大安全风险,最坏的后果将是整个企业网络的彻底破坏。这个漏洞在微软的代码中已经存在了17年以上;既然我们能够发现这个漏洞,那么别人也已经发现了这个漏洞也不是不可能。” Windows 10和其他客户端版本的Windows不受该漏洞的影响,因为它只影响微软的Windows DNS Server实现。微软还发布了一个基于注册表的工作方法,以防止管理员无法快速修补服务器时紧急处理缺陷。 微软在通用漏洞评分系统(CVSS)上给出了10分的最高风险分,强调了问题的严重性。作为对比,WannaCry攻击所使用的漏洞在CVSS上的评分为8.5分。     (稿源:cnBeta,封面源自网络。)

Zoom 爆出一个只影响 Windows 7 及以下版本的远程代码执行漏洞

安全研究人员在Windows的Zoom客户端中发现了一个远程代码执行漏洞,从目前来看,只有安装了Windows 7的系统才会真正暴露在风险之下。在Zoom实际解决该漏洞之前,安全公司0patch先行发布了针对该漏洞的微补丁,该公司解释说,这一漏洞的危险性较高,远程攻击者只需说服用户执行一个简单的动作,比如打开一个文件,就可以利用该漏洞。 一旦恶意文件被加载,攻击者就可以发起RCE攻击,而受害者的电脑上不会显示任何警告。虽然该漏洞存在于所有Windows版本的Zoom客户端中,但只有Windows 7电脑会受到威胁。 “这个漏洞只在Windows 7和更早的Windows版本上可以利用。它很可能在Windows Server 2008 R2和更早的版本上也可以利用,尽管我们没有测试;但是无论是哪个系统,我们的微补丁都会保护你,无论你在哪里使用Zoom Client,”0patch指出。 随后,Zoom在其Windows客户端的5.1.3版本中修补了这个错误。之前安装了0patch发布的微补丁的用户在应用Zoom官方修复版时不需要做任何事情,因为微补丁本身会自动失效。 这个漏洞表明,始终运行受到支持的Windows版本是多么重要。Windows 7的官方支持在今年1月结束,这意味着这款来自2009年的操作系统不再能够从微软获得任何新的更新和安全补丁。额外的修复程序是通过定制的安全更新(收费提供)或使用0patch等第三方产品来运送的。     (稿源:cnBeta,封面源自网络。)

Facebook 再曝漏洞:与开发者超时分享用户数据

新浪科技讯 北京时间7月2日早间消息,在“剑桥分析丑闻”遭到曝光后,Facebook曾经承诺在与外部开发者分享用户数据时施加时间限制,但实际期限却超出他们当初的承诺。 该公司之前表示,如果用户超过90天未与开发者互动,就将阻止该应用获取用户数据。届时,开发者需要重新获得许可才能再次获得电子邮箱、生日和所在城市等数据的访问权, 但Facebook在周三的博文中表示,这项规定在某些情况下未能顺利实施。如果用户也通过该应用与Facebook好友联系,开发者就可以同时获取这两个用户的数据。但该公司发言人称,这项漏洞却会导致开发者在获得一个活跃用户的数据时,也可以看到该用户好友的数据,即使后者已经超过90天没有打开这款应用。 Facebook透露,这一问题涉及约5000个开发者。但他们并未披露可能受此影响的用户数。 “我们在发现问题后就予以解决。”Facebook在博文中写道,“我们将会继续调查,并将继续围绕任何重大更新保持透明度。” 该漏洞是由一名Facebook工程师两周前发现的,但该公司称,他们没有理由认为相关数据遭到滥用。 Facebook在与第三方分享数据方面有过许多不良记录。这项90天的时间限制就是源自两年多以前的“剑桥分析丑闻”,那家政治数据分析公司当时购买了数百万Facebook用户的数据,但这些数据却是在用户并不知情的情况下收集的。 Facebook当时对许多数据共享产品进行限制,还实施新规,要求用户更加明确地授权外部应用使用其信息。该公司还因为这项丑闻的相关调查在2019年中与美国联邦贸易委员会签订50亿美元的隐私和解协议。(书聿)   (稿源:新浪科技,封面源自网络。)

微软发布紧急安全更新 修复 Windows 10/Server 中的安全漏洞

距离本月的补丁星期二活动日还有大约两周时间,但由于在 Windows 10 以及 Windows Server 中发现了安全漏洞,今天微软发布了两个紧急安全更新。微软表示,这两个漏洞虽然没有公开披露,被黑客利用的可能性较小,但公司等不到7月14日的补丁星期二活动日发布这个更新了。 微软在安全公告中写道:“微软Windows Codecs Library处理内存中对象的方式存在远程代码执行漏洞。成功利用该漏洞的攻击者可以获取信息,进一步危害用户的系统。” 据悉,受影响的 Windows 版本包括 Windows 10 version 1709 Windows 10 version 1803 Windows 10 version 1809 Windows 10 version 1903 Windows 10 version 1909 Windows 10 version 2004 Windows Server 2019 Windows Server version 1803 Windows Server version 1903 Windows Server version 1909 Windows Server version 2004   (稿源:cnBeta,封面源自网络。)

ThanatosMiner 来了,捕获利用BlueKeep高危漏洞攻击传播的挖矿木马

感谢腾讯御见威胁情报中心来稿! 原文链接:https://mp.weixin.qq.com/s/oFnOODmShuuE5OUfbZKiEQ   一、背景 腾讯安全威胁情报中心检测到ThanatosMiner(死神矿工)挖矿木马利用BlueKeep漏洞CVE-2019-0708攻击传播。攻击者将公开的Python版本BlueKeep漏洞利用代码打包生成scan.exe,大范围扫描随机生成的IP地址进行探测和攻击。 漏洞利用成功后执行shellcode下载C#编写的木马svchost.exe,然后利用该木马下载门罗币挖矿木马以及攻击模块进行下一轮攻击。因Payload程序Assembly Name为ThanatosCrypt,将该挖矿木马命名为ThanatosMiner(死神矿工)。 2019年5月15日,微软发布了针对远程桌面服务(Remote Desktop Services )的关键远程执行代码漏洞CVE-2019-0708的安全更新,该漏洞影响某些旧版本的Windows。攻击者一旦成功触发该漏洞,便可以在目标系统上执行任意代码,该漏洞的触发无需任何用户交互操作——意味着,存在漏洞的电脑只需要连网,勿须任何操作即可能遭遇远程黑客攻击而沦陷。BlueKeep漏洞(CVE-2019-0708)是所有安全厂商高度重视的高危漏洞。 该漏洞影响旧版本的Windows系统,包括: Windows 7、WindowsServer 2008 R2、Windows Server 2008、Windows 2003、Windows XP。Windows 8和Windows10及之后版本不受此漏洞影响。 腾讯安全系列产品已全面支持对ThanatosMiner(死神矿工)挖矿木马的查杀拦截,腾讯安全专家强烈建议用户及时修补BlueKeep漏洞,避免电脑被挖矿木马自动扫描攻击后完全控制。 二、样本分析 攻击模块scan.exe通过pyinstaller打包Python代码生成exe,使用pyinstxtractor.py可解压出Python编译后的无后缀文件scan。pyinstaller在打包pyc的时候会去掉pyc的magic和时间戳,而打包的系统库文件中这两项内容会被保留,所以可以查看解压出的系统库中的magic和时间戳并添加到scan的文件头,然后将其命名为scan.pyc,并通过uncompyle6进行反编译,可以还原的Python代码scan.py。 分析发现,Python3版本编译后的二进制文件开头为e3 00 00 00 00 00 00 00,Python2版本通常为63 00 00 00 00 00 00 00。 scan.py获取本机同网段IP地址,以及随机生成的外网IP地址扫描3389端口。 利用公开的BlueKeep漏洞CVE-2019-0708攻击代码进行攻击。 漏洞攻击成功执行shellcode命令,在%Temp%目录下创建DO.vbs,下载执行http[:]//download.loginserv.net/svchost.exe。 Payload木马svchost.exe采样C#编写,代码经过Dotfuscator混淆处理,可使用开源工具De4dot去除部分混淆,程序的Assembly Name为ThanatosCrypt。 运行后会检测以下注册表项和磁盘文件判断是否在虚拟机中运行。 SYSTEM\CurrentControlSet\Enum\SCSI\Disk&Ven_VMware_&Prod_VMware_Virtual_S SYSTEM\CurrentControlSet\Control\CriticalDeviceDatabase\root#vmwvmcihostdev SYSTEM\CurrentControlSet\Control\VirtualDeviceDrivers SOFTWARE\VMWare, Inc.\VMWare Tools SOFTWARE\Oracle\VirtualBox Guest Additions C:\windows\Sysnative\Drivers\Vmmouse.sys C:\windows\Sysnative\Drivers\vmci.sys C:\windows\Sysnative\Drivers\vmusbmouse.sys C:\windows\Sysnative\VBoxControl.exe 通过IsDebuggerPresent() 、IsDebuggerAttached()、CheckRemoteDebuggerPresent()判断进程是否被调试。 若无虚拟机环境、未处于被调试状态则继续执行。 然后svchost.exe继续下载http[:]//download.loginserv.net/scan.exe进行扫描攻击,以及下载http[:]//download.loginserv.net/xmrig.exe挖矿门罗币。 IOCs Domain download.loginserv.net MD5 URL http[:]//download.loginserv.net/svchost.exe http[:]//download.loginserv.net/xmrig.exe http[:]//download.loginserv.net/scan.exe http[:]//download.loginserv.net/mine.exe   参考链接 1.Windows远程桌面服务漏洞预警(CVE-2019-0708) https://mp.weixin.qq.com/s/aTSC0YR1dxSUHVJ3pnZezA 2.漏洞预警更新:Windows RDS漏洞(CVE-2019-0708) https://mp.weixin.qq.com/s/OEjI776O3cTjtMrsPdtnpQ 3.Windows远程桌面漏洞风险逼近,腾讯安全提供全面扫描修复方案 https://mp.weixin.qq.com/s/ckVHic2oChjZmVvH_zmsHA 4.Windows远程桌面服务漏洞(CVE-2019-0708)攻击代码现身 https://mp.weixin.qq.com/s/bcANAbzONFyrxqNMssTiLg 5.RDP漏洞(BlueKeep)野外利用预警,腾讯御知免费检测 https://mp.weixin.qq.com/s/G2ZS7rKkYYvEtbxUm0odGA 6.永恒之蓝下载器木马再升级,集成BlueKeep漏洞攻击能力 https://mp.weixin.qq.com/s/_teIut43g6In9YZ7VQ2f7w

Dubbo 反序列化漏洞,可导致远程代码执行

近日 Dubbo 官方报告了一个 Dubbo 远程代码执行问题(CVE-2020-1948),该问题由 Provider 反序列化漏洞引起。根据介绍,攻击者可以使用无法识别的服务名称或方法名称,并带上一些恶意参数有效载荷发送 RPC 请求。当恶意参数反序列化后,将执行一些恶意代码。 受影响的版本: 2.7.0 <= Dubbo Version <= 2.7.6 2.6.0 <= Dubbo Version <= 2.6.7 所有 2.5.x 版本(官方团队不再支持) 所有 Dubbo 版本都可以升级到 2.7.7 或更高版本,避免该漏洞:https://github.com/apache/dubbo/releases/tag/dubbo-2.7.7 详情查看邮件列表。     (稿源:开源中国,封面源自网络。)

Apache Tomcat HTTP/2 DoS 漏洞 影响多个版本

Apache Tomcat 安全团队报告了一个 Tomcat HTTP/2 DoS 漏洞。 HTTP/2 请求的特制序列可能会在数秒内引发较高的 CPU 使用率,如果有足够数量的此类请求在并发 HTTP/2 连接上进行连接时,服务器可能无响应,即造成拒绝服务。 该漏洞严重等级定为“重大”(Important),编号 CVE-2020-11996。 受影响的软件版本包括: Apache Tomcat 10.0.0-M1 到 10.0.0-M5 Apache Tomcat 9.0.0.M1 到 9.0.35 Apache Tomcat 8.5.0 到 8.5.55 官方给出的缓解方法: 升级到 Apache Tomcat 10.0.0-M6 或更高版本 升级到 Apache Tomcat 9.0.36 或更高版本 升级到 Apache Tomcat 8.5.56 或更高版本 具体细节可以查看: http://tomcat.apache.org/security-10.html http://tomcat.apache.org/security-9.html http://tomcat.apache.org/security-8.html     (稿源:开源中国,封面源自网络。)

Windows 10 Version 2004 新 BUG:重复报告安全警报

上月发布的 Windows 10 May 2020(20H1/Version 2004)功能更新在安全方面引入了诸多改进,其中就包括阻止潜在不必要程序(PUP/PUA)的能力。微软表示 PUP 包括各种类型的系统软件捆绑、驱动程序和注册表优化器等。 不过近日 Version 2004 用户反馈,即使在 PUP 应用程序被清理之后,Windows Security 应用程序依然会触发警报。在 PUP 应用程序被移除或者允许在 Windows 10 上运行之后,Windows Security 在随后的扫描中依然会检测到旧项目,造成错误的检测循环。 一位用户指出:“我在进行常规扫描时,发现这些威胁被高亮显示为低级,而且 Defender 无法删除它们,导致一直显示。我同样使用了 Malwarebytes 进行扫描,但这边并没有显示出来。” 看来,Windows Defender 已经被默认为在Windows 10 Version 2004 中识别 PUP 为威胁。在 PUP 被删除后,Windows Defender 在随后的历史记录扫描中又将同一文件识别为威胁。 想要修复这个问题,你需要通过以下步骤删除PUPs历史信息: 1.打开 “文件资源管理器”。 2.导航到C:/程序数据/Microsoft/Windows Defender/Scans/History/Service。 3.在服务文件夹中,删除PUP相关文件。 4.重启Windows并在Windows安全应用中进行快速扫描。     (稿源:cnBeta,封面源自网络。)  

Red Hat 报告了一个安全问题,可导致 DoS

Red Hat 近日报告了一个内核中的安全问题,根据描述,Red Hat 内核在“关联数据的身份验证加密”(AEAD,Authenticated Encryption with Associated Data)中存在缺陷,这是一种加密技术。具体是在 IPsec 加密算法模块 authenc 的 crypto/authenc.c 中的 crypto_authenc_extractkeys 中发现了缓冲区超读漏洞。当有效载荷大于 4 字节且未遵循 4 字节对齐边界准则时,它将导致缓冲区超读威胁,从而导致系统崩溃。此漏洞使具有用户特权的本地攻击者可以执行拒绝服务。 目前该漏洞已录入 CVE-2020-10769。 不过该问题在 17 个月前也就是 19 年 1 月的 Linux LTS 内核上游中已经修复过了,详情见 https://lkml.org/lkml/2019/1/21/675。 并且在 14 个月前,该问题的回归测试也已经提交到了 LTP(Linux Test Project,Linux 测试项目),此次发现这一特定下游问题,应当是 LTP 测试未通过导致的。因此报告安全的邮件中提醒:“大多数 Linux 内核已经修复了这一错误,而没有在 LTP 中添加回归测试,这意味着挑选特定内核补丁来修复 LTP 问题不如合并所有 LTS 内核修复程序来得稳妥。”   (稿源:开源中国,封面源自网络。)