分类: 安全快讯

不亚于 WannaCry :微软面向 Windows XP 发布紧急修复补丁

如果你依然在使用联网的Windows XP或者Windows Server 2003系统,同时也包括Windows 7、Windows Server 2008以及2008 R2系统,那么应该立即安装微软刚刚推出的紧急修复补丁。为了修复不亚于Wannacry的RDP服务漏洞,微软于今天面向包括XP在内的上述系统发布了紧急修复补丁,要求用户尽快完成安装。 根据编号为CVE-2019-0708的安全公告,黑客可以通过Remote Desktop Service(远程桌面服务)向目标设备发送特制的请求,可以在不需要用户干预的情况下远程执行任意代码,最终可能会像野火一样蔓延至整个系统,从而让整个系统瘫痪。 微软表示这个问题并非出在RDP协议上,而是服务本身。在Microsoft Security Response Center (MSRC)博客中写道:“The Remote Desktop Protocol (RDP) 协议本身并不存在漏洞。这个漏洞是预身份认证且不需要用户交互。换言之这个漏洞是‘可疑的’,意味着未来任何利用这个漏洞的恶意程序都可以像2017年WannaCry这样在全球范围内传播,大面积感染设备。” 所幸的是,Windows 8.1和Windows 10系统并没有受到这个漏洞影响。下载地址: Links to downloads for Windows 7, Windows 2008 R2, and Windows 2008 Links to downloads for Windows 2003 and Windows XP    (稿源:cnBeta,封面源自网络。)

研究人员拟公开来自政府、可能会被遗忘的网络攻击历史记录

据外媒报道,1989年,就在网络成为现实的几个月后,一种计算机蠕虫感染了全世界全球成千上万台计算机,其中包括了NASA的计算机。蠕虫病毒在受感染电脑的屏幕上显示一条信息:“你的系统已被正式WANKed。” 上个月下旬,也就是说这个”WANK蠕虫”攻击NASA 30年后,该机构公布了一份当时撰写的内部报告。这一切则要感谢一位记者和一名安全研究员,他们启动了一个利用《信息自由法案》获取历史网络攻击事件文件的项目。 这个项目被称作Hacking History,其背后的人则是自由记者Emma Best和安全研究员(前NSA黑客)Emily Crose。这两个人正在通过文件请求平台MuckRock众筹资金,以此来支付《信息自由法》申请所需要的资金。 在过去几年时间里,黑客和网络安全行业已经成为主流媒体内容、各大报纸的头条新闻、好莱坞电影的主要情节甚至成为热门电视节目。但情况并不总是这样。几十年来,信息安全和黑客行为是一个利基行业,鲜少有新闻报道和公众关注。 为此,这两名女性打算填补黑客历史上的这块空白。 据悉,Best和Crose迄今为止已经提交了50份左右《信息自由法案》申请,这些申请与创造黑客历史的知名组织有关,比如Legion of Doom、Cult of the Dead Cow、匿名者分支LulzSec、GoatSec等。 Best称:“这些文件将记录黑客的历史和FBI对他们的调查兴趣。” 截止到现在,两人已经筹集到了2300多美元,用于支付提交《FOIA》申请的相关费用,并计划与Property of The People合作。Property of The People是一家通过《FOIA》申请和诉讼推动政府透明化的非营利组织。Best和Crose表示她们也还没有想好将如何处理这些资料,但Crose提到,她们可能会在一本实体版杂志上发表文件和相关报道。 无论哪种方式,Best的目标都是收集、发布并保存历史文档。   (稿源:cnBeta,封面源自网络。)

自 Android Q 开始 谷歌将要求所有安卓设备启用磁盘加密

在过去很长一段时间里,Android系统通过存储加密方式来加密用户的数据。尽管这是保护数据的常规方式,但主要依赖于硬件实现,因此在过去谷歌并没有在Android设备中严苛执行存储加密。不过谷歌在Android Q中引入了全新的安全技术,能够让任意Android设备无需硬件辅助实现加密。 在加密手机磁盘的时候Android支持Advanced Encryption Standard标准,但这需要依靠专用的硬件来提供快速和高效的解决方案。对于装备ARMv8处理器的中高端手机来说这自然没有问题,但是对于入门手机、智能手表甚至是智能电视来说就没有那么幸运了。 去年2月份的时候,谷歌推出了全新的Adiantum加密模式。简单来说就是使用HTTPS加密的概念和算法提供快速和安全的加密,而不需要依赖SoC上的专用加密硬件。谷歌承认这项技术依然是新技术,但是对它的安全性充满信心,并有望彻底改变Android的安全规范。 自Android Q开始,所有Android设备都需要加密用户数据,这包括Wear OS、Android TV和Android Automotive。拥有专用硬件的Android设备会依然继续使用AES加密,而不会回退使用Adiantum。   (稿源:cnBeta,封面源自网络。)

调查显示美国人对网络安全过于自信

一项来自webroot的新研究调查了1万名美国人(每个州200人)的网络安全习惯,发现88%的人认为他们采取了正确的措施来保护自己免受网络攻击。然而,只有10%的受访者在网络安全测试中得分达到90%或更高,平均只有60%。 深入调查发现,79%的美国人说他们听说过恶意软件,但只有28%的人能解释它是什么。同样,70%的人听说过网络钓鱼,但只有33%的人能解释它是什么,49%的人听说过勒索软件,但只有21%的人能解释它是什么。 调查也发现美国人缺乏最佳安全实践。64%的被调查者不将他们的社交媒体帐户加密,63%的被调查者在多个帐户中使用相同的密码,62%的参与者依赖免费的防病毒软件。 从不同的州来看,新罕布什尔州拥有最好网络安全习惯的用户数量最多,其次是北达科他州和俄亥俄州。 网络上行为最危险的用户分布在密西西比州,路易斯安那州和加利福尼亚州。   (稿源:cnBeta,封面源自网络。)

2019 年 5 月 Android 安全补丁发布:共计修复 30 处漏洞

谷歌于今天发布了2019年5月的Android安全补丁,修复了最新发现的诸多重要安全漏洞以及各种Android组件中发现的其他问题。本月的Android安全补丁包含2019-05-01和2019-05-05两个安全级别,共计修复了30处漏洞,涉及Android Framework、Media framework、Android System、Kernel以及Nvidia、Broadcom和高通在内的诸多组件。 在本次安全补丁中修复的最重要漏洞会影响Media framework,允许远程攻击者执行任意代码。在安全公告中写道:“修复的这些问题中最严重的就是Media framework中的关键级安全漏洞,能够让远程攻击者使用特制的文件进行提权,并执行任意代码。这个漏洞的危险等级评估是基于该漏洞对受影响设备的影响而决定的。” 2019年5月的Android安全补丁目前已经面向所有处于支持状态的设备提供,包括Google Pixel,Google Pixel XL,Google Pixel 2,Google Pixel 2 XL,Google Pixel 3和Google Pixel 3 XL。Essential Phone用户应该是第一批获得2019年5月Android安全补丁的用户,通过OTA(无线)方式更新安装。 如果用户想要体验更安全,更安全的Android移动操作系统,我们建议所有Android用户尽快将他们的设备更新2019年5月的Android安全补丁。 访问:https://source.android.com/security/bulletin/2019-05-01   (稿源:cnBeta,封面源自网络。)

“盗梦空间栏”,Chrome 移动版上的新型网络钓鱼

一种名为“盗梦空间栏”(Inception Bar)的新型网络钓鱼技术出现了,并被证实适用于 Chrome 移动版。 该方法允许黑客屏蔽 Chrome 移动版上的真实网址并显示虚假网址,并附带挂锁图标,以欺骗用户相信他们正在滚动的网页是合法且安全的。更糟糕的是,假 URL 也可以显示为带有交互式内容的动态栏。 开发人员 Jim Fisher 无意中发现这一方法,并在其个人博客进行实验,展示了它的工作方式。 在 Chrome 移动版中,当用户向下滑动页面时,浏览器会隐藏 URL 栏,为网页腾出更多空间。正因如此,网络钓鱼站点得以显示自己的虚假 URL 栏。 通常,当用户向上滚动时,Chrome 会重新显示网址栏。但黑客可以欺骗 Chrome,使真正的网址栏永远不会重新显示。 一旦 Chrome 隐藏了 URL 栏,整个页面内容都可以被移动到带有新元素overflow:scroll 的“滚动监狱”中。接下来,用户会以为他们在向上滑动页面,但事实上他们只是在“滚动监狱”中向上滚动,就像《盗梦空间》中的套环梦境一样。 虽然黑客可以使用 URL 栏的静态图像来掩盖真实的 URL,但他们甚至可以创建一个交互式 URL 栏,使其看起来更加可信。 目前为止,还没有关于恶意利用该方法造成破坏的报道。我们可以采取一些措施来保护自己免受“盗梦空间栏”的攻击: 在 Chrome 浏览器中访问网页时,可以锁定屏幕然后重新解锁。这时,被隐藏起来的真实 URL 会自动显示,如果网络钓鱼站点在起作用,用户将同时看到两个 URL 栏; 钓鱼栏右上角的选项卡数量通常显示不准确,留心检查已在不同选项卡中打开的网页数量,则可以发现异常; Chrome 的黑暗模式会将所有 UI 元素设置为黑色,而虚假的 URL 栏通常显示为白色,这也可在一定程度上帮助识别伪 URL 栏。 参考:Jim Fisher、gadgets360   (稿源:开源中国,封面源自网络。)

英国国家网络安全中心发布最常被黑客入侵的密码列表,你的是否也在其中?

英国国家网络安全中心(NCSC)发布了一份列表,列出了数据泄露中出现的 100,000 个最常见的密码,以鼓励用户选择强密码。 到目前为止,数据泄露中显示的最常用密码是 “123456”,有 2320 万个帐户使用此密码。另外,全世界有 770 万用户选择使用 “123456789” 作为密码。 紧接着排名靠前的三个密码均被超过 300 万用户使用:“qwerty” 出现 3.8 万次,“password” 出现 3.6 万次,“111111” 出现 310 万次。 许多常用的密码都是由一系列简单的数字构成,或将相同数字重复六到七次。 “iloveyou”、“monkey” 和 “dragon” 也排在最常用密码的前 20 位。 此外,成千上万的用户只使用一个名称作为密码。每年有超过 400,000 名用户使用 “ashley”、“michael” 和 “daniel”;“jessica” 和 “charlie” 各被使用超过 300,000 次。 这些可能是用户自己的名字,这意味着如果黑客获取了一个电子邮件地址而没有密码,那么使用受害者的名字来破解它可能会令人大开眼界。 当用户选择简单密码时,乐队也是一个常见的主题。密码列表详细说明 285,706 用户选择 “blink182” 作为他们的密码——这使得 pop-punk 乐队成为最常用的音乐相关密码。“50cent”、“enimem”、“metallica” 和 “slipknot” 都被使用了超过 140,000 次。 球队也是一大密码主题。“Liverpool” 在密码中赢得了最常用的英超足球队冠军头衔。其余最常遭泄露的此类密码分别为 “chelsea”、“arsenal”、“manutd” 和 “everton”。 使用自己喜欢的球队作为密码的人很容易发现自己是黑客攻击的受害者——许多体育迷会在社交媒体上谈论他们最喜欢的球队,因此对于网络犯罪分子来说,在社交媒体上寻找这些信息以破解帐户可能相对简单。 对此,NCSC 技术总监 Ian Levy 博士给出建议: 密码重用是一个可以避免的主要风险,没有人应该用可以猜到的东西保护敏感数据,比如他们的名字、当地足球队或最喜欢的乐队。 使用难以猜测的密码是一个强有力的第一步。我们建议结合三个随机但令人难忘的单词,这样人们就无法猜出你的密码。   (稿源:开源中国,封面源自网络。)

Facebook 再爆用户不知情下收集了 150 万电子邮件联系人

援引外媒Business Insider报道,在未经用户知情或者同意的情况下当用户开设Facebook账号的时候,Facebook已经收集了150万用户的电子邮件联系方式。报道称自2016年5月以来,该社交网络巨头已经收集了超过150万新加入社交网络用户的联系人列表。对此Facebook官方表示这些联系人是“无意中上传至Facebook”的,而且现在已经着手进行删除。 一位安全研究专家注意到当用户注册新账号来验证身份的时候,Facebook会要求部分用户输入电子邮件密码。而这种行为遭到了安全专家的广泛抨击。外媒Business Insider随后发现,如果用户在注册过程中输入电子邮件密码,会在没有获得允许的情况下导入用户的电子邮件联系人。 Facebook发言人随后承认通过这种方式已经收集了150万电子邮件联系人,并以此用来创建Facebook的社交网络并向这些联系人发送添加请求。目前尚不清楚这些联系人是否也被用于有针对性的广告投放。 Facebook发言人表示在2016年5月之前,公司提供了一个选项在验证用户账号的同时自愿上传其电子邮件账号的联系人。不过在此之后Facebook对这项功能进行了调整,并且文字提醒用户那些上传的电子邮件联系人将会被删除,然而底层功能并没有彻底删除。随后发言人表示,Facebook没有访问用户电子邮件的内容。   (稿源:cnBeta,封面源自网络。)

卡巴斯基报告:70% 的黑客攻击事件瞄准 Office 漏洞

新浪科技讯 北京时间4月16日早间消息,据美国科技媒体ZDNet援引卡巴斯基实验室报告称,黑客最喜欢攻击微软Office产品。 在安全分析师峰会(Security Analyst Summit)上,卡巴斯基表示,分析卡巴斯基产品侦测的攻击后发现,2018年四季度有70%利用了Office漏洞。而在2016年四季度,这一比例只有16%。 黑客瞄准的不同平台比例 卡巴斯基还说,利用最多的漏洞没有一个来自Office本身,大多存在于相关组件。例如,CVE-2017-11882和CVE-2018-0802是两个经常被黑客利用的漏洞,它影响了微软数学公式编辑器(Equation Editor)组件。卡巴斯基称:“分析2018年利用最多的漏洞,我们可以确认一点:恶意软件作者偏爱简单、符合逻辑的Bug。” 正因如此,数学公式编辑器中存在的漏洞CVE-2017-11882、CVE-2018-0802才会成为Office利用最多的漏洞,因为它们很可靠,在过去17年发布的所有Word版本中都能用。还有,用这两个漏洞完成开发不需要什么先进技术。 即使漏洞不会影响Office及其组件,也可以通过Office文档完成。例如,CVE-2018-8174是一个存在于Windows VBScript引擎的漏洞,当我们处理Office文档时,Office App会用到Windows VBScript引擎。 还有CVE-2016-0189和CVE-2018-8373漏洞,它们存在于IE脚本引擎,可以通过Office文档调用漏洞,我们要用IE脚本引擎处理Web内容。   (稿源:新浪科技,封面源自网络。)

专家发现漏洞后是否公示?新报告称已沦为黑客挥向用户的屠刀

是否公开发布安全漏洞(尤其是零日漏洞)的概念验证(PoC)代码历来是备受争议的话题。在代码公开之后往往会被威胁攻击者所利用,在数天乃至数小时内发起攻击,导致终端用户没有充足的时间来修复受影响的系统。而公开这些PoC代码的并非坏人或者其他独立来源,而是理论上更应该保护用户的白帽安全研究人员。 围绕着这个争议做法的话题已经持续多年时间,而信息安全领域的专家分成两派。其中一方认为安全研究人员不应该发布PoC代码,因为攻击者可以采用该代码并自动化攻击;而另一方认为PoC代码同时是测试大型网络和识别存在漏洞系统所必须的,允许IT部门成员模拟未来可能遭受到的攻击。 在上个月发布的“网络安全威胁观2018年第四季度”报告中,Positive Technologies的安全专家再次触及了这场长期争论。 在这份报告中,Positive Technologies的安全专家并没有给这个争论下判断,而是客观陈述了当前用户面临的安全问题。在漏洞发现的新闻曝光或者零日漏洞的PoC代码公开之后,在两种情况下黑客并没有为用户提供充足的时间来修复系统。 在这份季度威胁报告中,Positive Technologies表示这种情况发生的频率越来越多。在报告中通过罗列了一系列安全事件,表明在PoC代码公开之后会立即被黑客所利用。例如在推特上有安全专家公开了Windows系统零日漏洞的PoC代码,随后ESET安全专家就观测到了此类恶意软件活动。例如在网络上关于中文PHP框架的漏洞公开之后,数百万网站立即遭到了攻击。 在接受外媒ZDNet采访时候,Positive Technologies的安全弹性负责人Leigh-Anne Galloway表示:“作为安全行业的一员,我们有责任倡导漏洞公示守则。但是并非所有人都遵循这个原则。同样并非所有安全供应商都知道或者了解。” 他表示: 通常公开披露的驱动因素是因为供应商没有认识到问题的严重性,也没有解决漏洞。或者安全研究人员可能已经尝试了所有其他途径来传达他们的发现。当然,危险的是犯罪分子可能使用此信息来攻击受害者。供应商要求提供证据证明该漏洞实际存在于他们的产品中,并且当研究人员向他们报告漏洞时可以利用这些漏洞。研究人员需要证明它是如何被利用的,为此创建了PoC代码。” 通过CVSS系统来标记该漏洞的危险程度。如果供应商向研究人员支付漏洞奖励框架内发现的漏洞,研究人员会从这项工作中赚钱,但供应商通常不会安排他们的bug-bounty计划,研究人员可以从中得到的所有内容都是专家社区的公开认可。通过在互联网上演示漏洞,展示操作和PoC代码的一个例子,研究人员得到了认可和尊重。 通常情况下,研究人员只有在他们通知供应商有关漏洞的足够长时间后才会发布漏洞利用代码,从而使产品开发人员有机会关闭漏洞并通知用户需要安装升级。但是,很多时候,供应商会推迟发布补丁和更新,有时会延迟六个月以上,因此,在发布补丁之后,[PoC]漏洞的公示就会发生。     (稿源:cnBeta,封面源自网络。)