分类: 漏洞事件

三月微软累积更新已修复 RDP 协议严重漏洞 影响 Windows Vista 以后系统

在本月的补丁星期二活动上线的累积更新,微软推送安全补丁修复一项利用微软 RDP 远程桌面协议的严重漏洞 CVE-2018-0886,影响所有 Windows Vista 以后的 PC 系统。如果攻击者利用 RDP 协议的远程代码执行漏洞,将通过远程桌面控制端向远程桌面端发起中间人攻击注入可执行恶意密码,这一漏洞率先由信息安全公司 Preempt 发现并向微软报告,微软成功在公布期内修复了此漏洞,目前尚未被黑客利用,但公司敦促各组织企业的 IT 管理员尽快安装最新累计更新。 该漏洞利用了一项在客户端计算机上启用凭据安全服务提供程序 (CredSSP) 身份验证的逻辑缺陷,会在用户使用Windows远程管理应用和 RDP 远程桌面协议发生,由于是逻辑性错误,这将影响所有部署 RDP 协议的 Windows 系统版本,包括 Windows Vista/7/8.x/10 等,请用户尤其是企业级用户尽快升级累积更新。2017 年 8 月 20 日首次向微软 MSRC 披露此漏洞,2017 年 8 月 30 日微软回应已经执勤。 稿源:cnBeta,封面源自网络;

以色列安全公司披露 AMD 处理器存在 13 个严重漏洞, Ryzen 和 EPYC 系列均受到影响

外媒 3 月 13 日消息,以色列安全公司 CTS Labs 发布报告称 AMD Zen 架构处理器和芯片组中存在 13 个类似 Spectre / Meltdown 的严重漏洞,影响了AMD Ryzen 和 EPYC 系列的处理器 。这些漏洞可能会允许攻击者访问敏感数据、在芯片内部安装恶意软件来获得对受感染系统的完全访问权限。目前根据 AMD Ryzen 桌面处理器、Ryzen Pro 企业处理器、Ryzen 移动处理器、EPYC 数据中心处理器的受影响情况,这些漏洞已被分为 RYZENFALL、FALLOUT、CHIMERA、MASTERKEY 四类。 RYZENFALL(v1,v2,v3,v4) 这些缺陷存在于 AMD 的安全操作系统中,影响 Ryzen 安全处理器(工作站/专业版/移动版)。 根据 CTS Labs 研究人员的说法,RYZENFALL 漏洞允许在 Ryzen 安全处理器上执行未经授权的代码,从而使得攻击者能够访问受保护的内存区域。此后,攻击者将恶意软件注入处理器中,并禁止 SMM 保护,以防止未经授权的 BIOS 刷新。 攻击者还可以使用 RYZENFALL 绕过 Windows Credential Guard 来窃取网络证书,然后将被盗数据传播到该网络内的其他计算机(甚至可能是高度安全的 Windows 企业网络)。 FALLOUT(v1,v2,v3) 这些漏洞位于 EPYC 安全处理器的引导加载程序组件中,能够允许攻击者读取和写入受保护的内存区域,如 SMRAM 和 Windows Credential Guard 隔离内存。除此之外,FALLOUT 还可能被利用来将持久的恶意软件注入到 VTL1 中(VTL1:安全内核和隔离用户模式( IUM )执行代码的区域) 。不过 FALLOUT 攻击似乎仅影响使用 AMD EPYC 安全处理器的服务器。 和 RYZENFALL 一样,FALLOUT 也会让攻击者绕过 BIOS 刷新保护,并窃取受 Windows Credential Guard 保护的网络凭据。 CHIMERA(v1,v2) 这两个漏洞实际上是 AMD 的 Promontory 芯片组内的隐藏制造商后门。据悉,该芯片组是所有 Ryzen 和 Ryzen Pro工作站的组成部分。 目前其中一个后门程序已经在芯片上运行的固件中实现,而另一个后门则在芯片的硬件(ASIC)上。实现这些后门程序后,攻击者能够在 AMD Ryzen 芯片组内运行任意代码,或者使用持久恶意软件重新刷新芯片。此外,由于WiFi、网络和蓝牙流量需要流经芯片组,攻击者也可利用芯片组的中间人位置对设备发起复杂的攻击。 研究人员透露,通过侦听流经芯片组的 USB 流量,允许攻击者看到受感染设备上的所有受害者类型,从而实现隐身键盘记录程序。 MASTERKEY(v1,v2,v3) EPYC 和 Ryzen(工作站/专业版/移动版)处理器中的这三个漏洞可能允许攻击者绕过硬件验证指导,以便使用恶意更新重新刷新 BIOS,并渗透到安全处理器以实现任意代码执行。 与 RYZENFALL 和 FALLOUT 一样,MASTERKEY 也允许攻击者做出一些恶意行为,比如:在 AMD 安全处理器中安装隐秘和持久的恶意软件、以最高的权限运行在内核模式下、绕过 Windows Credential Guard 窃取网络证书 。 除此之外,MASTERKEY 漏洞还允许攻击者禁用安全功能,如固件可信平台模块(fTPM)和安全加密虚拟化(SEV)。 CTS Labs  披露的这些漏洞可能会给 AMD 及其客户带来一些麻烦,并且也有可能需要几个月的时间才能解决所有的缺陷。 CTS Labs 披露漏洞细节: 《 Severe Security Advisory on AMD Processors 》 AMD 回应 Zen 安全漏洞(相关报道): Security Researchers Publish Ryzen Flaws, Gave AMD 24 hours Prior Notice   消息来源:thehackernews,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

Sap 发布本月安全补丁,解决十年漏洞问题

外媒 3 月 14 日消息,Sap 本周发布了其 3 月份的一组安全补丁,以解决产品中不同层级的漏洞问题,其中包括一些已经存在了十多年的安全缺陷。 SAP 发布的 27 个安全说明中,有 6 个具有高优先级,19 个被评为中等优先级,并且其中有 4 个是以前发布过的安全说明的更新。 本月处理的最常见的漏洞类型是缺少授权检查(占 6 个),其次是信息披露(5 个),跨站点脚本(4 个)。除此之外,SAP 还解决了 3 个 SQL 注入错误、2 个目录遍历问题、2 个实施漏洞以及拒绝服务、硬编码证书、XML 外部实体、代码注入和点击劫持错误等缺陷。 SAP 本月最厉害的安全说明解决了 SAP 网络图形服务器(IGS)中具有高优先级评级的三个漏洞(CVSS 基础评分:8.8),其中包括:CVE-2004-1308(内存损坏)、CVE-2005-2974(拒绝服务)和 CVE-2005-3350(远程代码执行)。这些漏洞已经存在十多年,影响 libtiff、giflib 、libpng 等处理图像(分别为 TIFF、GIF 和 PNG )的第三方开源库。 不仅如此,SAP 还处理了两个高风险的信息披露漏洞,分别是影响 SAP HANA 捕获和重放跟踪文件(CVE-2018-2402 – CVSS 基本评分:7.6)、SAP 业务流程自动化( BPA ) (CVE – 20182400 – CVSS 基础评分:7.5 )的漏洞问题。 消息来源:securityweek,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

远程桌面协议 CredSSP 出现漏洞,影响所有版本的 Windows

RDP 和 WInRM 中使用的 CredSSP 协议(安全加密 Windows 用户远程登录过程)中出现严重漏洞,影响所有版本的 Windows。 远程攻击者额可以利用这个漏洞,使用 RDP 和 WinRM 窃取数据并运行恶意代码。这个漏洞由网络安全公司 Preempt Security 发现,编号为 CVE-2018-0886,是一个逻辑加密漏洞,可被中间人攻击者利用,通过 WiFi 或物理接触网络来窃取 session 认证数据,发起远程进程调用攻击。 如果用户和服务器通过 RDP 和 WinRM 连接协议进行认证,中间人攻击就能执行远程命令,入侵企业网络。而由于 RDP 是远程登录中最常用的应用,几乎所有企业用户都在使用,因此,这个漏洞可造成大范围影响。 目前,微软已经发布相关更新补丁,用户应尽快下载更新,同时可以禁用 RDP 等相关应用端口,尽可能少使用特权账户,多使用非特权账户。 稿源:freebuf,封面源自网络;

新型攻击技术 “MOSQUITO” 可通过扬声器或耳机窃取数据

外媒 3 月 12 日消息,以色列 Ben-Gurion 大学的研究团队近期详细介绍了一种使用扬声器、耳机可从气隙系统中的计算机中提取数据的新型数据过滤技术 — MOSQUITO,目前来说它是一种 “Jack Retasking” 技术:主要利用特定的音频芯片功能,将输出音频插孔转换成输入插孔,从而将连接的扬声器有效地转换为(非传统)麦克风。 通过实验,研究人员发现,设法感染 air-gapped 计算机的恶意软件可以将本地存储的文件转换成音频信号,并通过连接的扬声器、耳机或耳塞将它们传送到附近的另一台计算机设备。该设备也受到了恶意软件的感染,它使用插孔将连接的扬声器、头戴式耳机、挂式耳机或耳塞转换成临时麦克风,接收调制后音频并转换回数据文件。 除此之外,研究人员还介绍了传输速度会在一定程度上影响 MOSQUITO 攻击。尽管 MOSQUITO 支持非常快的数据传输速度,但当扬声器之间距离增加或音频频率发生变化时,传输速度可能会降低。其他影响数据传输速度的因素还包括音乐和语音等噪声环境,不过研究人员表示通过将数据泄漏频率提高到 18kHz 以上可以缓解这种情况。 MOSQUITO 攻击在实验中已被证实可行,但目前尚未在野外发现实际攻击案例。 相关阅读: 论文《MOSQUITO: Covert Ultrasonic Transmissions between Two Air-Gapped Computers using Speaker-to-SpeakerCommunication》 内含缓解措施和对策。 消息来源:bleepingcomputer,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

“CIGslip”的隐形攻击技术可绕过微软 CIG 安全策略加载恶意程序

外媒 3 月 9 日消息,以色列安全公司 Morphisec 的安全研究人员发现了一种被称为“CIGslip”的隐形攻击技术,攻击者可以利用它来绕过微软代码完整性保护( Code Integrity Guard,CIG),并将未签名的恶意程序库加载到受保护的进程中。 CIG 是微软在 2015 年推出的安全机制,微软将其作为 Edge 浏览器安全缓解措施的一部分。 研究人员开发了一个利用非 CIG 支持进程的攻击 POC,旨在潜入一个支持 CIG 的目标进程中,达到在任何类型的 DLL 上加载恶意代码的目的。 例如,攻击者能够使用 CIGslip 将恶意软件插入到 Edge 浏览器,并且由于使用了 CIG ,第三方安全厂商很难对 Edge 浏览器进行保护,因为每一个 DLL 想要作用于受 CIG 保护的进程要先取得微软的签名。 Morphisec 声称已向微软报告了这一问题,但据微软公司回应,该技术超出了缓解措施的范围,也超出了漏洞防御和奖励计划范围但表示会对这个漏洞进行修复。 相关链接: “CIGslip”隐形攻击技术相关 POC 消息来源:Security Affairs,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。  

卡巴斯基发现软件漏洞,可在线访问全球1000多个加油站控制器

据外媒 Cnet 报道,卡巴斯基实验室的研究人员上个月发布了关于加油站漏洞的研究报告,指出从美国到印度的 1000 多个加油站可能面临网络攻击。这些问题来自能连接到互联网的加油站控制器,所有者无法更改默认密码,攻击者完全可以访问机器。 上周五,卡巴斯基实验室高级安全研究员 Ido Naor 和以色列安全研究员 Amihai Neiderman 在卡巴斯基在墨西哥坎昆举行的安全分析师峰会期间,就加油站的安全问题展开了全面分析。他们的研究表明,攻击者可以改变汽油价格,窃取记录在控制器上的信用卡信息,获取车牌号码,造成油料泄露,调整温度监控器等等。 Neiderman 解释称:“当我们获取 root 权限时,我们可以做任何我们想做的事情。”Naor 则表示,攻击者甚至不需要到当地加油站附近的任何地方。这些加油站的控制器都能连接到互联网,而且密码安全性较低,因此可以远程完成。 该在线软件来自 Orpak Systems,这家燃料管理公司于去年 5 月被北卡罗来纳州的Gilbarco Veeder-Root 公司收购 。据 Orpak 称,其软件已安装在全球超过 35000个加油站。Orpak 将其指南放在网上,展示了加油站技术的细节,包括如何访问其界面的密码和屏幕截图。这些公司没有回应置评请求。 这些漏洞突出了物联网设备背后的问题,因缺乏安全性而受到广泛批评。由于在线连接了不安全的网络摄像头和 DVR,黑客已经能够发起大规模的网络攻击。Naor 表示,但是在加油站,危险攻击的风险要高得多。在极端情况下,黑客可能会调整油箱内的压力和温度,可能导致爆炸。 Naor 和 Neiderman 表示,他们在 2017 年与供应商联系,但大多被忽视。Neiderman 称,这些漏洞很可能仍然存在。这些机器已经过时,有时甚至超过十年,软件也是如此,他补充道。 稿源:cnBeta.com,封面源自网络

思科产品中存在硬编码密码和 Java 反序列化高危漏洞

外媒 3 月 8 日消息,思科最近发布的一组安全更新中包括两个重要漏洞的修复方案 — 硬编码密码漏洞(CVE-2018-0141)和 Java 反序列化漏洞(CVE-2018-0147)。 硬编码密码漏洞(CVE-2018-0141)是由于系统上的硬编码帐户密码造成的,可被本地攻击者利用来获得对易受攻击设备的完全控制权。目前该漏洞仅影响思科 Prime Collaboration Provisioning(PCP)软件的 11.6 版本。虽然目前没有解决 PCP 软件漏洞的确切方法,但思科已经发布了补丁程序,并建议用户尽快升级到 PCP 12.1 版本,以避免出现安全问题。 影响思科安全访问控制系统(ACS)的 Java 反序列化漏洞,是由于受影响软件对用户提供的内容进行不安全的反序列化造成,可能允许未经身份验证的远程攻击者在受影响设备上执行任意命令。据悉,该漏洞已获得 9.8 的 CSS 评分 ,被归为高危漏洞一类。目前思科已经发布了软件更新来修复这个缺陷。 消息来源:Security Affairs,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

微软正在调查严重影响 Windows 安全的 CFG 绕过漏洞

上个月的时候,谷歌 Project Zero 团队曝光了与微软 Edge 浏览器和 Windows 10 操作系统相关的最新漏洞,引发了业内许多安全研究人员的注意。祸不单行的是,意大利帕多瓦大学的研究人员们,刚又曝光了严重影响 Windows 8.1 和 Windows 10 安全的“控制流防护”(CFG)设计漏洞。据悉,微软在 Windows 8.1 Update 3 中率先引入了内核级的 CFG 功能,并且一路延续至 Windows 10 操作系统。 微软将 CFG 描述为“一个高度优化的、可应对内存泄露漏洞的安全特性平台”。其旨在代码中增加间接的调用和跳转,从而阻止攻击者在任意地址执行代码。 遗憾的是,帕多瓦大学的安全研究人员,已经在其中发现了一个“使 CFG 向后兼容以提升性能”的设计缺陷。研究员之一的 Andrea Biondo 表示: 只有当被允许的目标与 16 字节对齐时,控制流的限制才是精准的。若不是,就会有一个围绕目标的 16 字节非精准地址。 通过将未对齐的目标组合在公共库中、结合编译器生成的函数布局的可预测性,我们就可以绕过控制流防护(CFG)。 研究人员将在本月召开的黑帽亚洲大会上披露漏洞的详情,期间他们还会演示绕过 64 位 Windows 10 中的 Microsoft Edge 浏览器的 CFG bypss 概念验证代码,以证明该漏洞在真实场景中的运用。 报告称,这一漏洞让超过 5 亿台计算机面临安全威胁。更糟糕的是,由于 BATE 没有特别指定,这进一步放大了它的危害性。如果受害进程加载了某些公共库,漏洞就可轻易地被利用。 安全研究人员表示,他们已经向微软通报了此事,当前该公司正在着手修复,预计会随即将发布的 Windows 10 Redstone 4 更新一同到来。 稿源:cnBeta,封面源自网络;

邮件传输代理 Exim 中的 RCE 漏洞影响一半以上在线电子邮件服务器

外媒 3 月 7 日消息, 安全公司 Devcore 于近期发布公告称邮件传输代理 (MTA) Exim 中存在一个严重的远程执行代码漏洞( CVE-2018-6789),影响了一半以上的在线电子邮件服务器。 资料显示:Exim 是一个MTA(Mail Transfer Agent,邮件传输代理)服务器软件,该软件基于 GPL 协议开发,是一款开源软件,主要运行于类 UNIX 系统,通常该软件会与 Dovecot 或 Courier 等软件搭配使用。 截至 2017 年 3 月,运行 Exim 的互联网电子邮件服务器总数估计已超过 56 万,相当于所有在线邮件(MX)服务器的 56% 。 Devcore 介绍,该漏洞是一个 base64 解码功能中的溢出漏洞,在第一版 Exim 中就已经存在,并且其他所有版本也受到它的影响。根据研究,该漏洞可以被用来获得远程代码执行的预授权,因此目前至少会有 40 万台电子邮件服务器处于风险之中。 此外,据搜索引擎 Shodan 称,在线曝光的 Exim 服务器数量已超过 400 万,其中大部分是在美国。 为了解决这个漏洞。Exim 团队于 2 月 10 日发布了 Exim 4.90.1 版本,并敦促其用户尽快安装更新。 相关内容: CVE-2018-6789 漏洞细节 消息来源:Security Affairs,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。