标签: 漏洞

禁用超线程才能完全缓解 ZombieLoad ,但性能下降高达 40%

上周 Intel 曝出影响 2011 年以来几乎所有芯片的漏洞 ZombieLoad,利用该漏洞,攻击者可以对芯片发起边信道攻击,在同一 CPU 上执行恶意进程,进而获取 CPU 的微架构缓冲器中的存储器内容。 攻击者可以访问存储缓冲区,加载端口并填充缓冲区的陈旧内容,这些缓冲区可能包含属于另一个进程的数据或源自不同安全上下文的数据。因此,在用户空间进程之间、内核与用户空间之间、虚拟机之间或虚拟机与主机环境之间可能都会发生意外的内存泄露。 ZombieLoad 与其它推测性执行边信道攻击不同,因为攻击者无法定位特定数据。攻击者可以定期对缓冲区中的内容进行采样,但是在采集样本时无法控制缓冲区中存在的数据。因此,需要额外的工作来将数据收集并重建为有意义的数据集。这也是 ZombieLoad 比较复杂的地方。 虽然 ZombieLoad 得到有价值数据的成本比较高,但是各大公司都十分重视这个漏洞,毕竟它影响了 2011 年以来几乎所有芯片,打击范围十分广泛。 Intel 自己已经发布了微代码,从架构上缓解该问题,其它科技公司如苹果、微软与谷歌也都相继发布了补丁。 但同时也有一些公司认为光有补丁并没有什么作用,比如 Red Hat 认为在云场景上 ZombieLoad 危险很大,因为你完全无法控制相邻虚拟机中的用户正在运行的内容,云安全公司 Twistlock 的首席技术官 John Morello 也指出:“这个漏洞可能对密集的、多租户的公有云提供商产生最大的影响。” 另一边,Ubuntu 目前也已经给出了补丁,但是其在安全公告中表示,如果用户系统中有不受信任或潜在的恶意代码,则建议其禁用超线程功能。 如果您的处理器不支持超线程(也称为对称多线程(SMT)),则内核和相应的 Intel 微代码软件包更新将完全解决 MDS(ZombieLoad)漏洞。如果您的处理器支持超线程并且启用了超线程,则 MDS 不会完全缓解。 所以,如果想要完全缓解漏洞,你需要暂时放弃 CPU 的超线程能力。事实上,苹果和谷歌都已经警告 macOS 和 Chrome OS 用户禁用超线程可获得全面保护,并且谷歌现在默认从 Chrome OS 74 开始禁用超线程。 但是禁用超线程的性能代价实在有点高,结合对比一下 ZombieLoad 微代码与补丁对系统性能影响的数据: Intel 发言人表示,大部分打过补丁的设备在最坏的情况下可能会受到 3% 的性能影响,而在数据中心环境中可能会是 9%。 另一边,PostgreSQL 基准测试发现,禁用超线程后,性能下降了近 40%;Ngnix 基准测试的性能下降了约 34%;Zombieload 的研究人员表示禁用超线程会使某些工作负载的性能下降 30% 至 40%。 安全还是性能,如何选择呢?   (稿源:开源中国,封面源自网络。)

25000 台 Linksys 路由器可能泄露与之相连的任何设备的大量信息

可能泄露大量数据的自2014年一来就有的严重漏洞被暴露,未更改默认密码的Linksys路由器甚至可以帮助黑客在现实世界中物理定位设备和用户。研究人员Troy Mursch声称,目前使用的Linksys智能Wi-Fi路由器至少发现有25000个存在缺陷,这意味着黑客可以访问重要数据。在“网络威胁情报”公司的Bad Packets Report中写道,敏感信息正在泄露,尽管制造商正在否认这一点。 Linksys于2013年被Belkin收购 – 而后该公司于2018年又被富士康收购 – 富士康随后表示其员工未能重现Mursch的调查结果。 “我们使用最新的公开固件(默认设置)快速测试了Bad Packets标记的路由器型号,但无法重现[它],” Linksys在一份在线安全公告中表示,“这意味着它不可能让远程攻击者通过这种技术检索敏感信息。” Linksys进一步表示,该漏洞在2014年就得到修复。但是,Mursch并不同意,坚持认为这个安全风险依然存在。 “虽然[这个缺陷]据说是针对这个问题修补的,但我们的调查结果已经表明了其他情况,”Bad Packets说。 “在联系Linksys安全团队后,我们被告知要报告漏洞……在提交我们的调查结果后,审核人员确定问题是“不适用/不会修复”并随后关闭了这一报告。 如果您的路由器是以这种方式泄漏信息的,那么黑客可能获得的详细信息包括现在连接的每个设备的MAC地址。 它还可以包括设备名称,如“William’s iPhone”以及该设备是Mac、PC、iOS以及Android设备。 Mursch声称,MAC地址和Linksys智能Wi-Fi路由器的公共IP地址的组合可能意味着黑客可以对被攻击者的进行地理定位或跟踪。 但是,更容易和立即发现的是路由器的默认管理员密码是否已被更改。这个漏洞和Linksys / Belkin的响应首先由Ars Technica报告,其中指出受影响的路由器的数量似乎正在减少。在25617个初步报告之后,几天后重复测试显示有21401个易受攻击的设备还未与互联网上。 已报告受影响的Linksys路由器型号的完整列表位于Bad Packets站点上。   (稿源:cnBeta,封面源自网络。)

OpenSSH 8.0 发布,修复 SCP 存在 35 年的漏洞

OpenSSH 8.0 发布了,此版本缓解了 scp(1) 工具和协议漏洞 CVE-2019-6111,该漏洞此前我们之前报导过:知名文件传输协议 SCP 被曝存在 35 年历史的安全漏洞。 将文件从远程系统复制到本地目录时,SCP 客户端无法验证 SCP 服务器返回的对象是否与请求的东西一致,这使得攻击者可以使用恶意服务器控制的内容创建或破坏本地文件。 OpenSSH 8.0 的缓解措施添加了客户端检查,查看从服务器发送的文件名与命令行请求是否匹配。 SCP 协议已经过时,不灵活且不易修复,OpenSSH 官方建议使用更现代的协议进行文件传输,如 sftp 和 rsync。 此版本新特性包括: ssh(1)、ssh-agent(1)、ssh-add(1):PKCS#11 token 中添加对 ECDSA 密钥的支持。 ssh(1)、sshd(8):基于 Streamlined NTRU Prime 4591^761 和 X25519 的组合,添加实验性量子计算抗性密钥交换方法。 ssh-keygen(1):将默认 RSA 密钥大小增加到 3072 位。 ssh(1):允许“PKCS11Provider = none”覆盖 ssh_config 中 PKCS11Provider 指令的后续实例。 ssh(1):提示是否录制新主机密钥时,输入密钥指纹作为“yes”。 ssh-keygen(1):在单个命令行调用上签名多个证书时,允许自动递增证书序列号。 scp(1)、sftp(1):接受 -J 选项作为 scp 和 sftp 命令行上 ProxyJump 的别名。 ssh-agent(1)、ssh-pkcs11-helper(8)、ssh-add(1):接受“-v”命令行标志以增加输出的详细程度;将详细标志传递给子进程,例如从 ssh-agent 启动的 ssh-pkcs11-helper。 ssh-add(1):添加“-T”选项以允许通过执行签名和验证来测试代理中的密钥是否可用。 sshd(8):在 PAM 环境中暴露 $SSH_CONNECTION。 完整更新内容查看更新日志: http://www.openssh.com/txt/release-8.0   (稿源:开源中国,封面源自网络。)

EA修复Origin客户端漏洞:黑客可远程运行恶意代码

据美国科技媒体TechCrunch报道,EA已经修复了在线游戏平台Origin上的一个漏洞。在此之前,研究人员发现该漏洞可能导致玩家在电脑上远程运行恶意代码。 安装了Origin应用的Windows用户都会受此影响。有数千万用户使用Origin应用来购买、获取或下载游戏。为了方便用户通过网页访问具体的游戏商店,该客户端拥有自己的URL机制,可以让玩家通过点击origin://这样的链接来打开应用和加载游戏。 但Underdog Security的两位安全专家却发现,这款应用可以被用于在被害者的电脑上运行恶意程序。研究人员提供了概念验证代码进行演示。这段代码获得跟登录用户相同的权限,从而运行任何应用。这段概念验证代码演示了如何启动系统自带的计算器。 但更糟糕的是,黑客还可以发送恶意的PowerShell指令,黑客经常利用这种手段来下载恶意组件和安装勒索软件。 研究人员表示,恶意链接可以通过电子邮件方式发送,也可以在网页上列出。如果恶意代码与浏览器中自动运行的跨站脚本配合,还可以自动触发。 黑客只需要一行代码即可在无需密码的情况下访问用户帐号。 Origin的macOS客户端不会受此影响。 EA发言人证实已经修复这项漏洞。   (稿源:新浪科技,封面源自网络。)

卡巴斯基报告:70% 的黑客攻击事件瞄准 Office 漏洞

新浪科技讯 北京时间4月16日早间消息,据美国科技媒体ZDNet援引卡巴斯基实验室报告称,黑客最喜欢攻击微软Office产品。 在安全分析师峰会(Security Analyst Summit)上,卡巴斯基表示,分析卡巴斯基产品侦测的攻击后发现,2018年四季度有70%利用了Office漏洞。而在2016年四季度,这一比例只有16%。 黑客瞄准的不同平台比例 卡巴斯基还说,利用最多的漏洞没有一个来自Office本身,大多存在于相关组件。例如,CVE-2017-11882和CVE-2018-0802是两个经常被黑客利用的漏洞,它影响了微软数学公式编辑器(Equation Editor)组件。卡巴斯基称:“分析2018年利用最多的漏洞,我们可以确认一点:恶意软件作者偏爱简单、符合逻辑的Bug。” 正因如此,数学公式编辑器中存在的漏洞CVE-2017-11882、CVE-2018-0802才会成为Office利用最多的漏洞,因为它们很可靠,在过去17年发布的所有Word版本中都能用。还有,用这两个漏洞完成开发不需要什么先进技术。 即使漏洞不会影响Office及其组件,也可以通过Office文档完成。例如,CVE-2018-8174是一个存在于Windows VBScript引擎的漏洞,当我们处理Office文档时,Office App会用到Windows VBScript引擎。 还有CVE-2016-0189和CVE-2018-8373漏洞,它们存在于IE脚本引擎,可以通过Office文档调用漏洞,我们要用IE脚本引擎处理Web内容。   (稿源:新浪科技,封面源自网络。)

专家发现漏洞后是否公示?新报告称已沦为黑客挥向用户的屠刀

是否公开发布安全漏洞(尤其是零日漏洞)的概念验证(PoC)代码历来是备受争议的话题。在代码公开之后往往会被威胁攻击者所利用,在数天乃至数小时内发起攻击,导致终端用户没有充足的时间来修复受影响的系统。而公开这些PoC代码的并非坏人或者其他独立来源,而是理论上更应该保护用户的白帽安全研究人员。 围绕着这个争议做法的话题已经持续多年时间,而信息安全领域的专家分成两派。其中一方认为安全研究人员不应该发布PoC代码,因为攻击者可以采用该代码并自动化攻击;而另一方认为PoC代码同时是测试大型网络和识别存在漏洞系统所必须的,允许IT部门成员模拟未来可能遭受到的攻击。 在上个月发布的“网络安全威胁观2018年第四季度”报告中,Positive Technologies的安全专家再次触及了这场长期争论。 在这份报告中,Positive Technologies的安全专家并没有给这个争论下判断,而是客观陈述了当前用户面临的安全问题。在漏洞发现的新闻曝光或者零日漏洞的PoC代码公开之后,在两种情况下黑客并没有为用户提供充足的时间来修复系统。 在这份季度威胁报告中,Positive Technologies表示这种情况发生的频率越来越多。在报告中通过罗列了一系列安全事件,表明在PoC代码公开之后会立即被黑客所利用。例如在推特上有安全专家公开了Windows系统零日漏洞的PoC代码,随后ESET安全专家就观测到了此类恶意软件活动。例如在网络上关于中文PHP框架的漏洞公开之后,数百万网站立即遭到了攻击。 在接受外媒ZDNet采访时候,Positive Technologies的安全弹性负责人Leigh-Anne Galloway表示:“作为安全行业的一员,我们有责任倡导漏洞公示守则。但是并非所有人都遵循这个原则。同样并非所有安全供应商都知道或者了解。” 他表示: 通常公开披露的驱动因素是因为供应商没有认识到问题的严重性,也没有解决漏洞。或者安全研究人员可能已经尝试了所有其他途径来传达他们的发现。当然,危险的是犯罪分子可能使用此信息来攻击受害者。供应商要求提供证据证明该漏洞实际存在于他们的产品中,并且当研究人员向他们报告漏洞时可以利用这些漏洞。研究人员需要证明它是如何被利用的,为此创建了PoC代码。” 通过CVSS系统来标记该漏洞的危险程度。如果供应商向研究人员支付漏洞奖励框架内发现的漏洞,研究人员会从这项工作中赚钱,但供应商通常不会安排他们的bug-bounty计划,研究人员可以从中得到的所有内容都是专家社区的公开认可。通过在互联网上演示漏洞,展示操作和PoC代码的一个例子,研究人员得到了认可和尊重。 通常情况下,研究人员只有在他们通知供应商有关漏洞的足够长时间后才会发布漏洞利用代码,从而使产品开发人员有机会关闭漏洞并通知用户需要安装升级。但是,很多时候,供应商会推迟发布补丁和更新,有时会延迟六个月以上,因此,在发布补丁之后,[PoC]漏洞的公示就会发生。     (稿源:cnBeta,封面源自网络。)

IE 11浏览器被爆安全漏洞:可远程窃取本地PC文件

近日安全专家在IE 11浏览器上发现了全新漏洞,在处理.MHT已保存页面的时候能够让黑客窃取PC上的文件。更为重要的是.MHT文件格式的默认处理应用程序是IE 11浏览器,因此即使将Chrome作为默认网页浏览器这个尚未修复的漏洞依然有效。 该漏洞是由John Page率先发现的,只需要用户双击.MHT文件IE浏览器中存在的XXE (XML eXternal Entity)漏洞可以绕过IE浏览器的保护来激活ActiveX模块。 研究人员表示:“通常情况下,在IE浏览器中实例化‘Microsoft.XMLHTTP’这样的ActiveX对象的时候会跳出安全警示栏,以提示启用了被阻止的内容。但是使用恶意的<xml>标记来打开特制的.MHT文件时候,用户将不会收到此类活动内容或安全栏警告。” 该漏洞是钓鱼网络攻击的理想选择,通过电子邮件或者社交网络传播后可以让恶意攻击者窃取文件或者信息。Page表示:“这允许远程攻击者窃取本地文件,并且对已经感染的设备进行远程侦查。”不幸的是,目前微软还没有计划解决这个问题,微软反馈称:“我们确定在此产品或服务的未来版本中将考虑修复此问题。目前,我们不会持续更新此问题的修复程序状态,我们已关闭此案例。” 据悉该漏洞适用于Windows 7/8.1/10系统。在微软正式修复IE 11浏览器上的漏洞之前,推荐用户尤其是企业用户尽量减少通过IE 11浏览器下载和点击不明文件。   (稿源:cnBeta,封面源自网络。)

安全人员在 Wi-Fi WPA3 标准中发现了 Dragonblood 漏洞组

两位安全研究人员今天披露了一组漏洞,这些漏洞统称为Dragonblood,影响了WiFi联盟最近发布的WPA3 Wi-Fi安全和认证标准。如果被利用,漏洞将允许在受害者网络范围内的攻击者获得Wi-Fi密码并渗透目标网络。 Dragonblood漏洞组总共有五个漏洞,包括一个拒绝服务攻击漏洞、两个降级攻击漏洞和两个侧通道信息泄漏漏洞。尽管拒绝服务攻击漏洞并不重要,因为它只会导致与WPA3兼容的访问点崩溃,但其他四个攻击可以用于获得用户密码。 两个降级攻击和两个侧通道泄漏漏洞都利用了WPA3标准Dragonfly密钥交换中的设计缺陷,即客户端在WPA3路由器或接入点上进行身份验证的机制。 在降级攻击中,支持WiFi WPA3的网络可以诱导设备使用更旧、更不安全的密码交换系统,从而允许攻击者使用旧的漏洞检索网络密码。 在侧通道信息泄漏攻击中,支持WiFi WPA3的网络可以欺骗设备使用较弱的算法,这些算法会泄漏少量有关网络密码的信息。通过反复的攻击,最终可以恢复完整的密码。     (稿源:cnBeta,封面源自网络。)

PostgreSQL 辟谣存在任意代码执行漏洞:消息不实

近期在互联网媒体上流传 PostgreSQL 存在任意代码执行的漏洞: 拥有‘pg_read_server_files’权限的攻击者可利用此漏洞获取超级用户权限,执行任意系统命令。 针对此言论,PostgreSQL 官方在2019年4月4日发表声明如下: 互联网媒体上报导的有关 PostgreSQL 方面的安全漏洞 CVE-2019-9193,PostgreSQL 安全团队强调这不是一个安全漏洞, 我们认为创建这个 CVE-2019-9193 就是个错误,而且已经和 CVE-2019-9193 的报告者联系,调查为什么会创建这个条目。 COPY .. PROGRAM 功能明确规定,只能被授予超级用户权限、或是默认 pg_execute_server_program 角色的数据库用户来执行。根据设计,此功能允许被授予超级用户或 pg_execute_server_program 的用户作为 PostgreSQL 服务器运行的操作系统用户(通常是“postgres”)执行操作。CVE 中提到的默认角色 pg_read_server_files 和 pg_write_server_files 不会授予数据库用户使用 COPY .. PROGRAM 的权限。 根据设计,数据库超级用户与运行数据库服务所在的操作系统的用户之间不存在不同的安全边界,另外 PostgreSQL 服务器不允许作为操作系统超级用户(例如“root”)运行。PostgreSQL 9.3 中添加的 COPY .. PROGRAM 的功能并未改变上述设计原则,只是在现有的安全边界内添加了一个功能。 我们鼓励 PostgreSQL 的所有用户遵循最佳实践方案,即永远不要向远程用户或其他不受信任的用户授予超级用户的访问权限。这是系统管理中应遵循的安全操作标准,对于数据库管理也需要遵循。 如果您对此有更多疑问,我们诚邀您通过社区官网与工作人员取得联系。 社区公告链接:https://www.postgresql.org/about/news/1935/     (稿源:开源中国,封面源自网络。)

WordPress 插件漏洞被利用 近 20 万站点还没打补丁

攻击者正在利用两个广泛使用的 WordPress 插件中的严重漏洞,以入侵托管站点,影响站点数量众多。 前几天我们才报导过流量排名前一千万网站,三分之一使用 WordPress,这么广泛的采用,一旦其中有安全漏洞被利用,影响会相当广。 被利用的两个插件,其中之一是 Easy WP SMTP,最早由安全公司 NinTechNet 在上周日报导了其被利用进行攻击,数据显示有 300 000 次下载安装;另一个插件是 Social Warfare,已经被安装了 70 000 次,它的利用是由另一家安全公司 Defiant 披露的。 两个插件漏洞都允许攻击者在受攻击的网站上创建恶意管理员帐户。据 Defiant 报导,有两个竞争组织正在实施攻击,其中一个在创建管理员帐户后暂时停止操作,而另一个组织则会进行后续步骤,其会使用虚假帐户更改站点,将访问者重定向到恶意站点。 有趣的是,这两个攻击组织使用了相同的代码用于创建管理员账户,而且这些代码源于最初 NinTechNet 在披露插件漏洞时使用的概念验证代码。不打补丁中招的成本也太低了。 据 arstechnica 的报导,虽然开发人员已经针对这两个被利用的漏洞发布了安全补丁,但是下载数据表明许多易受攻击的网站尚未安装更新,Easy WP SMTP 在过去 7 天内的下载量仅为 135 000次,而 Social Warfare 补丁自周五发布以来,也仅被下载了少于 20 000 次。 安全事大,如果你的网站托管在 WorPress 上,并且使用了这两个插件中的任一一个,那么需要确保已将其更新为:Easy WP SMTP 1.3.9.1 或 Social Warfare 3.5.3。     (稿源:开源中国社区,封面源自网络。)