分类: 热点

谷歌发布 Chrome 紧急补丁 修复 CVE-2020-6457 关键漏洞

谷歌已经为Chrome浏览器发布了一个紧急修复补丁,并敦促用户尽快安装。谷歌并没有透露有关于CVE-2020-6457漏洞的更多信息,只是确认为“use after free”类型漏洞。 该漏洞是由Sophos公司的安全研究人员发现的,据说是一个远程代码执行(RCE)漏洞。该漏洞允许攻击者在受害者不知情的情况下运行命令和未受信任的脚本。 安全研究员Paul Ducklin在一篇博文中表示,该漏洞将允许黑客 “改变你的程序内部的控制流,包括转移CPU来运行攻击者刚刚从外部戳入内存的非信任代码,从而绕过任何浏览器通常的安全检查或’你确定吗’对话框。” 此外他还表示该漏洞影响广泛,包括Windows、macOS和GNU/Linux用户多达20亿用户都可能受到影响。因此在大部分用户都已经安装该更新之后谷歌可能会公布更多的细节。 如果你是Google Chrome浏览器用户,那么你应该确保你运行的是v81.0.4044.113或以上版本。你可以通过访问帮助关于Google Chrome浏览器,检查更新和安装的版本。   (稿源:cnBeta,封面源自网络。)

超 50 万个 Zoom 帐号在暗网低价出售 单价不足 0.0020 美分

疫情让视频聊天应用Zoom迅速成为了新宠,但也成为了黑客攻击的新目标。援引外媒报道有超过50万个Zoom账户在暗网和黑客论坛上出售,单价不到一便士,有些甚至还可以免费赠送。 这些帐号都是通过凭证填充(credential stuffing)方式攻击获取的,黑客试图利用旧有数据泄露的账户登录到Zoom。成功登录的账号被汇编成名单,卖给其他黑客。 而部分Zoom帐号在黑客论坛上免费提供,以便黑客可以利用这些账户进行zoom-bombing恶作剧和恶意活动。而另一些则是以单价不到一分钱的价格出售。根据网络安全情报公司Cyble与BleepingComputer分享的信息,黑客们提供这些免费账户是为了在黑客社区中获得更多的声誉。 外媒BleepingComputer已经联系了这些名单中被曝光的随机电子邮件地址,并确认其中一些凭证是正确的。一名被曝光的用户告诉BleepingComputer,所列出的密码是一个旧的密码,这表明其中的一些凭证很可能是来自于旧的凭证填充攻击。 Cyble希望通过大量购买这些帐号,以便用来警告客户可能出现的漏洞。Cyble以每个账户0.0020美分的价格购买了超过53万个Zoom凭证,每个账户的价格不到一分钱。购买的账户包括受害者的电子邮件地址、密码、个人会议网址和他们的HostKey。 Cyble告诉BleepingComputer,这些账户包括大通、花旗银行、教育机构等知名公司的账户。对于这些属于Cyble客户的账户,情报公司能够确认这些账户是有效的账户凭证。   (稿源:cnBeta,封面源自网络。)

旧金山国际机场证实其网站遭黑客入侵 员工密码或遭窃取

旧金山国际机场已确认,其两个网站在3月份被黑客入侵,攻击者似乎已经访问了其员工和承包商的用户名和密码。该机场在4月7日的一份通知中证实,SFOConnect.com和SFOConstruction.com这两个网站是 “网络攻击的目标”,黑客在这两个网站上 “插入了恶意的计算机代码,以窃取一些用户的登录凭证”。如果被窃取,这些登录凭证可能会让攻击者进入机场的网络。目前还不知道是否有任何额外的保护措施,如多因素认证等,以防止网络漏洞。 该通知还补充说:”用户可能会受到这次攻击的影响,包括那些通过基于Windows操作系统的个人设备或非机场维护的设备从机场网络以外的Internet Explorer访问这些网站的用户。” 通知称,机场于3月23日将员工专用网站下线,并发布了强制重置密码的通知。现在两个网站都已恢复运行。 旧金山国际机场的发言人没有立即发表评论。 攻击者利用现有的漏洞在网站上注入代码以获取输入的数据,如用户名和密码甚至信用卡信息等,这种情况并不罕见。 两年前,英国航空的网站上有38万名客户的信用卡记录被黑客在其网站和移动应用上注入恶意代码,导致38万名客户的信用卡记录被盗取。这次攻击导致了欧洲历史上最大的数据泄露罚款–约2.3亿美元–这要归功于当时新出台的GDPR法规。   (稿源:cnBeta,封面源自网络。 )

Zoom 就隐私和安全问题道歉 并将冻结新功能以专注于修复各种问题

由于在冠状病毒大流行期间使用量增加,外界开始关注视频会议软件Zoom众多安全和隐私问题。现在,Zoom公司首席执行官Eric S Yuan向用户发表了冗长的声明,对不可预见的问题表示歉意,并承诺会进行改善。 ric S Yuan表示:“这些新的用例帮助我们发现了平台上无法预料的问题。记者和安全研究人员还帮助识别了先前存在的问题。我们感谢这些详细检查和疑问,其中包括有关服务的工作方式,我们的基础架构和容量,以及我们的隐私和安全政策。这些问题将使Zoom本身变得更加完善,为用户提供更好的服务。我们非常认真地对待这些详细检查和疑问,我们正在仔细研究每一个问题,并尽快解决它们。” Zoom已经采取了措施来回应对此提出的批评。该公司已更新了隐私政策,从其iOS应用中删除了Facebook SDK,试图解决Zoombombing问题,修复了UNC链接的安全性问题,并阐明了其在端到端加密中的地位。 Eric S Yuan解释了Zoom在接下来的几个月中还会做什么。在接下来的90天内,Zoom致力于提供必要的资源,以更好地主动识别,解决和解决问题。Zoom还致力于在整个过程中保持透明,Zoom将尽一切努力保持您的信任,其中包括:立即冻结添加新功能,并立即转移所有工程资源以专注于最大的信任,安全和隐私问题。与第三方专家和代表用户进行全面审查,以了解并确保Zoom所有新消费者使用案例的安全性。准备透明度报告,其中详细说明了与数据,记录或内容请求有关的信息。增强当前的漏洞赏金计划。进行一系列白盒渗透测试,以进一步发现和解决问题。 Eric S Yuan表示,从下周开始,将在太平洋标准时间每周三上午10点举办每周一次的网络研讨会,向社区提供隐私和安全更新。   (稿源:cnBeta,封面源自网络。)

新 COVID-9 恶意程序会删除计算机数据

安全研究人员发现了至少五种 COVID-19 主题的恶意程序,其中四种设计是去破坏被感染的计算机,删除文件或覆写主引导记录,还有一种可能只是测试或恶作剧。第一种能覆写主引导的新冠恶意程序是 MalwareHunterTeam 发现的,名字就叫 COVID-19.exe;第二种则伪装成勒索软件,但其主要功能是窃取密码。 MalwareHunterTeam 还报告了数据删除的新冠主题恶意程序,其中一种使用中文文件名,可能设计针对中文用户,还不清楚这种恶意程序是否广泛传播或只是测试。   (稿源:solidot,封面源自网络。)

Zoom 正在将数千个电子邮件地址和照片泄露给陌生人

自从冠状病毒大流行迫使全球各地的员工在家办公以来,Zoom已成为数十万人选择的视频会议服务。Zoom提供了高质量的视频和许多有用的功能,但是围绕该应用程序的隐私保护问题仍在继续增加。 Motherboard网站在一份新报告中透露,Zoom正在将成千上万个用户的私人信息泄露给陌生人,并使这些陌生人能够呼叫其他他们不认识的用户。上周,Motherboard报告说,即使用户没有登录Facebook或没有Facebook帐户,Zoom的iOS应用也正在向Facebook发送分析数据。不仅没有选择退出这种行为的方式,而且Zoom还没有提及数据将根据其隐私权政策发送给Facebook。 值得庆幸的是,在报告发布后不久,Zoom就从其应用程序中删除了Facebook SDK,但开始看起来Facebook只是Zoom隐私问题的冰山一角,近来涌现了许多问题。在Motherboard关于Zoom的最新报告中,揭示了该视频会议服务正在泄漏成千上万用户的电子邮件地址和照片,并让陌生人试图对其进行呼叫。 正如Motherboard所解释的那样,Zoom有一个“公司目录”设置,如果你注册了一个共享同一域的电子邮件地址,它会自动将其他人添加到你的联系人列表中。尽管对于不需要手动添加彼此的同事来说,这听起来像是一个有用的工具,但一些用户报告说,他们使用电子邮件地址注册Zoom之后,自己已与成千上万的陌生人分组,并且可以看到陌生人的名字,图片和邮件地址,并且可以和他们进行视频通话,同时退出分组需要用户与Zoom客户联系,并且需要等待较长时间。   (稿源:cnBeta,封面源自网络。)

Zoom 客户端爆出安全漏洞 可向攻击者泄露 Windows 登陆凭据

近日,Windows 版 Zoom 客户端爆出了容易受到 NUC 路径注入攻击的安全漏洞。作为一款音视频会议应用,Zoom 还允许用户在聊天界面通过发送文本消息来互相交流。然而外媒 Bleeping Computer 指出,攻击者可利用聊天模块的漏洞,窃取点击了相关链接的用户的 Windows 登陆凭据。 发送聊天消息时,所有发送的 URL 都将经过转换,以便群内其他成员点击,继而在默认的浏览器中打开网页。 然而安全研究人员 @ _g0dmode 发现,Zoom 客户端竟然还将 Windows 网络 UNC 路径,也转换成了聊天消息中可单击的链接。 如图所示,常规 URL 和 NUC 路径(\\evil.server.com\images\cat.jpg),都被转换成了聊天消息中的可点击链接。 若用户单击 UNC 路径链接,则 Windows 将尝试使用 SMB 文件共享协议连接到远程站点,以打开远程路径中的 cat.jpg 文件。 默认情况下,Windows 将发送用户的登录名和 NTLM 密码哈希值,但稍有经验的攻击者均可借助 Hashcat 之类的免费工具来逆向运算。 安全研究人员 Matthew Hickey(@ HackerFantastic)实测发现,其能够在 Zoom 中顺利注入,并且可以借助当前的民用级 GPU 和 CPU 来快速破解。 除了窃取 Windows 登陆凭据,Hickey 还向 Bleeping Computer 透露,通过点击链接的方式,UNC 注入还适用于启动本地计算机上的程序(比如 CMD 命令提示符)。 庆幸的是,Windows 会在程序被执行前发出是否允许其运行的提示。想要堵上这一漏洞,Zoom 必须阻止 Windows 客户端的 UNC 路径转换功能(屏蔽部分可点击的超链接)。 据悉,Hickey 已经在 Twitter 上向 Zoom 官方发去了有关该安全漏洞的通知,但目前尚不清楚该公司已采取怎样的行动。 注重安全的客户,可在官方补丁发布前,通过组策略来限制向远程服务器传出 NTLM 通信(参考如下操作): 计算机配置 -> Windows 设置 -> 安全设置 -> 本地策略 -> 安全选项 -> 网络安全:限制NTLM -> 发送到远程服务器的 NTLM 通信(然后全部配置为拒绝)。 需要注意的是,如果在已经加入相关域的计算机上配置上述组策略时,可能会在尝试访问共享时遇到问题。 如果是无权访问组策略设置 Windows 10 家庭版用户,亦可使用注册表编辑器来完成相关限制操作(dword 配置为 2): [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0]”RestrictSendingNTLMTraffic”=dword:00000002 如需正确创建此键值,Windows 用户记得以管理员身份来启动注册表编辑器。 若日后有必要恢复默认发送 NTLM 凭据的 Windows 行为,也只需删除对应的 RestrictSendingNTLMTraffic 键值。   (稿源:cnBeta,封面源自网络。)  

冠状病毒爆发期间 研究人员在 Zoom 当中发现更多安全问题

在冠状病毒爆发期间,视频会议应用程序和服务使用率增加,导致安全人员在Zoom当中发现更多安全问题。据报道,视频会议服务Zoom可以通过解决苹果常规安全措施而在Mac上安装,并且还宣传其具有端到端加密功能,但显然没有。 之前它已将用户数据发送到Facebook(据称已修复),现在它还被指控存在两个单独的安全问题。Twitter用户@ c1truz_(恶意软件跟踪器VMRay的技术负责人)报告说,Zoom的Mac应用安装程序使用了预安装脚本,并据称显示了伪造的macOS系统消息。 c1truz称,在Mac上安装该应用程序时,无需用户给出最终同意,并且高度误导性的提示用于获得root特权。AppleInsider已就指控指控与Zoom取得联系,但尚未收到评论。苹果也没有公开发表评论。不过,之前苹果为纠正Zoom安全问题而强制对用户进行Mac OS更新。 另外,The Intercept声称Zoom并不是真正的端到端加密,在整个视频聊天中,用户和Zoom服务器之间的连接被加密,但是并不能阻止Zoom本身看到呼叫过程。Intercept说:“实际上,Zoom使用了其自己的术语定义,这使Zoom本身可以访问会议中未加密的视频和音频。”Zoom发言人向The Intercept证实了这一点,并表示当前无法为Zoom视频会议启用E2E加密。   (稿源:cnBeta,封面源自网络。)

近期使用”新冠疫情(COVID-19)”为诱饵的 APT 攻击活动汇总

感谢腾讯御见威胁情报中心来稿! 原文:https://mp.weixin.qq.com/s/UXbsJsCbz6FsQ-ztbk6CaQ   一、概述 目前,由新型冠状病毒引起的肺炎疫情(COVID-19)在全球蔓延,已有190个国家存在确诊病例,全球确诊人数已经超过43万人,死亡病例超过1.9万。中国大陆已基本控制住疫情,但在意大利、西班牙、美国等发达国家疫情仍处于爆发期,世界卫生组织已将疫情的全球风险级别确定为“非常高”。 而随着新冠病毒疫情(COVID-19)在全球蔓延,以此为主题的网络攻击事件骤然增长。其中中国大陆、意大利、韩国等国家成为黑客网络攻击的高风险地区。腾讯安全威胁情报中心自疫情爆发后,已检测到多起以新冠病毒疫情为主题的攻击活动。 攻击者大多以投递邮件的方式,构造诱饵文件欺骗用户点击,恶意文件类型多种多样,覆盖EXE、MS Office宏文档、漏洞文档、lnk文件、VBS脚本等。而攻击的背景也包括具有国家背景的专业APT组织和普通黑产组织。 本文对近期发现的以新冠病毒疫情为诱饵的攻击活动加以汇总,供大家参考。在此提醒广大政企单位和个人用户,在做好疫情防控的同时,也要做好网络安全的防护工作。 二、近期活跃的APT攻击及黑产 01 具有国家背景的APT攻击活动 1)海莲花(APT32)组织 海莲花,又称APT32、OceanLotus,被认为是具有越南国家背景的攻击组织。该组织自发现以来,一直针对中国的政府部门、国企等目标进行攻击活动,为近年来对中国大陆进行网络攻击活动最频繁的APT组织。腾讯安全威胁情报中心在2019年也多次曝光了该组织的攻击活动。 自新冠疫情爆发以来,该组织正变本加厉对中国大陆相关目标进行网络攻击活动。攻击方式依然采用鱼叉邮件攻击,钓鱼邮件同样使用跟新冠病毒疫情相关的诱饵文档。如: 攻击诱饵包括lnk文件、白加黑攻击方式等: 技术细节跟之前曝光的变化不大,本文不再过多描述。 除了投递恶意木马外,海莲花还是用无附件攻击,用来探查用户的一些信息: 也有附件和探针一起的: 2)蔓灵花(BITTER)组织 蔓灵花也是对中国大陆进行攻击的比较频繁的一个攻击组织,其目标包括外交部门,军工、核能等重点企业。 在疫情爆发后,该组织同样采用了跟疫情相关的诱饵来对一些目标进行攻击: 最终释放的特种木马为2019年才开始采用的C#木马: 3)Kimsuky组织 Kimsuky组织被认为是来自东亚某国的攻击组织,该组织一直针对韩国政府部门、大学教授等目标进行攻击活动。Kimsuky组织为韩国安全厂商命名,腾讯安全威胁情报中心在2018、2019均披露过的Hermit(隐士)同属该攻击组织。 在2020年2月底到3月初期,韩国是除中国大陆外受疫情影响最严重的国家。于是Kimsuky十分活跃,开始利用疫情相关的诱饵,对韩国目标进行攻击活动。同时我们发现,该组织还同时具备多平台的攻击能力。 此外,该组织还针对MacOS进行攻击: 最终的恶意文件使用python编写,用来收集用户信息,和C&C进行通信来获取命令等: 4)TransprentTribe组织 TransparentTribe APT组织,又称ProjectM、C-Major,是一个来自巴基斯坦的APT攻击组织,主要目标是针对印度政府、军事目标等。腾讯安全威胁情报在2019年也多次曝光该组织的一些攻击活动。 虽然新冠病毒疫情暂时还未在印度爆发,但是印度也已经在进行一些疫情相关的防控举措,包括关闭国门,加强检疫等等。但是网络攻击不会因此而停止,攻击者同样借助疫情相关资讯进行攻击活动。如: 执行后的宏代码为: 执行后的宏代码为: 02 其他网络黑产活动 包括白象、毒云藤、gamaredon等攻击组织均使用新冠疫情相关诱饵对特定目标进行攻击。由于已经有大量报告针对该些活动的分析,本文就不再罗列。 1)网络诈骗 网络诈骗也是网络攻击活动中的一种,在疫情爆发之后,腾讯安全威胁情报中心检测到多次使用疫情有关的内容进行恶意诈骗的案例。如: 在该案例中,借口让人捐款来研发疫苗,诱使收件人进行比特币转账。所幸,该诈骗活动并未有人上当: 2)投递窃密木马 群发垃圾邮件投递窃密木马也是近期黑产惯用的一些手法,如下: Hancitor木马 假冒保险发票信息 TA505 假冒COVID-19 FAQ的诱饵文档,欺骗目标用户启用宏代码。 商贸信 假冒世卫组织发送诈骗邮件投递商业木马。 商贸信 假冒世卫组织发送诈骗邮件投递商业木马。 最终释放的窃密木马功能包括cookie窃取、键盘记录、上传下载文件等。 4)勒索病毒 近期检测到勒索病毒主要为两种: 一种为使用新冠疫情为诱饵传播勒索病毒,如CORONAVIRUS_COVID-19.vbs ,最终释放Netwalker勒索病毒 另外一种勒索病毒直接将自己命名为新冠病毒: 三、总结和建议 从本文罗列的以新冠疫情(COVID-19)有关的攻击活动可以看到,网络攻击会紧跟社会热点,精心构造跟时事、热点有关的资讯作攻击诱饵,诱使目标用户点击再植入恶意文件或者进行网络诈骗活动。 在全球新冠疫情全球大爆发的时候,利用新冠疫情相关诱饵进行的网络攻击,其中有些攻击对象还包括医疗机构,手段可谓卑劣至极!因此我们提醒政企机关单位和个人,务必提高警惕,勿轻易信任何与疫情有关的资讯邮件,勿轻易启用Office的宏代码查看文档。 我们建议政企机构使用腾讯安全推荐的方案进行防御,个人用户推荐使用腾讯电脑管家,保持实时防护功能为开启状态。 腾讯安全解决方案部署示意图 IOCs MD5 f6fe2b2ce809c317c6b01dfbde4a16c7 0e5f284a3cad8da4e4a0c3ae8c9faa9d aa5c9ab5a35ec7337cab41b202267ab5 d739f10933c11bd6bd9677f91893986c d9ce6de8b282b105145a13fbcea24d87 a9dac36efd7c99dc5ef8e1bf24c2d747 a4388c4d0588cd3d8a607594347663e0 1b6d8837c21093e4b1c92d5d98a40ed4 31f654dfaa11732a10e774085466c2f6 0573214d694922449342c48810dabb5a 501b86caaa8399d508a30cdb07c78453 e96d9367ea326fdf6e6e65a5256e3e54 da44fd9c13eb1e856b54e0c4fdb44cc7 e074c234858d890502c7bb6905f0716e e262407a5502fa5607ad3b709a73a2e0 ce15cae61c8da275dba979e407802dad b7790bf4bcb84ddb08515f3a78136c84 379f25610116f44c8baa7cb9491a510d 7a1288c7be386c99fad964dbd068964f 258ed03a6e4d9012f8102c635a5e3dcd f272b1b21a74f74d5455dd792baa87e1 域名 m.topiccore.com libjs.inquirerjs.com vitlescaux.com vnext.mireene.com crphone.mireene.com new.915yzt.cn primecaviar.com bralibuda.com dysoool.com m0bile.net fuly-lucky.com IP 63.250.38.240 107.175.64.209  

假装成新冠病毒应用的勒索软件正在威胁着人们的钱包

据外媒报道,新冠病毒大流行给相当一部分人带来了困惑。为了更好地应对这种情况,一些人开始使用移动应用来跟踪疾病的传播。然而这些用户惊讶地发现,他们可能不小心安装了一个恶意软件应用。 一款叫做“COVID19 Tracker”的Android应用就向担心病毒爆发的人们宣传自己是病毒地图。用户在搜索一个显示病毒传播的应用时得到了COVID19 Tracker的链接。然而用户无法在Google Play Store上下载这款应用而需要前往该应用网站。当用户下载并打开应用时他们会迎来一个令人不快的意外。跟其他应用一样,COVID19 Tracker也要求获得设备许可,但一旦获得许可它就会启动一个名为“CovidLock”的程序。CovidLock则会发出威胁,要求用户在48小时内以比特币的形式支付100美元,否则的话将删除其手机上的所有数据。 CovidLock是一种被称为勒索软件的恶意软件,它会劫持用户的数据一直到用户支付赎金为止。通常情况系啊,勒索软件都会把企业作为目标,因为它们有更大的财力或能力,但CovidLock针对的是个人用户。 据了解,CovidLock在被用户打开后会给用户的手机上锁,之后用户只有输入解密密钥才能使用。如果用户通过屏幕上的一个链接支付了比特币赎金,该应用就会向用户提供密钥。网络安全公司DomainTools通过对该应用进行反向工程找到了解密代码:4865083501。 实际上,自2016年Android Nougat发布以来,Android手机就内置了针对CovidLock等屏幕锁定攻击的保护。但如果用户没有为他们的手机设置密码那么这些保护措施将无法起到作用。 另外,DomainTools还设法访问了连接到CovidLock的比特币钱包。该团队正在监视发生在上面的任何活动以此查看黑客是否成功勒索到了钱。当地时间3月16日,COVID19 Tracker网站已被关闭。 实际上,COVID19 Tracker并不是唯一一个跟新冠病毒相关的恶意软件。另一款名为“Corona Live 1.1”的Android应用虽然提供了实际的病毒数据,但它会在用户的手机上安装间谍软件。跟COVID19 Tracker一样,用户必须从应用网站或第三方应用商店下载到Corona Live 1.1,而不能通过Google Play store下载。 虽然假冒应用和其他形式的恶意软件可能正在增加,但用户可以采取措施来避开它们。为了获得关于新冠病毒传播的信息,人们应该只求助于可靠的来源,比如官方医疗机构和政府机构,它们对此都有准确的数据。另外,下载的移动应用只能来自于官方应用商城而非第三方。 最近的一项研究发现,名字跟新冠病毒相关的应用和网站传播恶意软件的可能性比其他域名高出50%。 即使是最基本的安全措施也能有效地防止恶意软件和假冒应用的传播。如果用户启用了他们手机中的所有安全功能并限制应用权限,那么他们就避开许多潜在的安全问题。   (稿源:cnBeta,封面源自网络。)