标签: 漏洞

收到这样的邮件请立即删除:勒索软件伪装成 Windows 更新诱骗用户点击

如果您收到一封声称来自微软的电子邮件,并要求安装所谓的关键更新,那么请立即删除这封邮件。安全公司Trustwave近日发现了新的恶意程序活动踪迹,它们利用电子邮件方式进行传播,伪装成为Windows更新让设备感染Cyborg勒索软件。 这是一种非常典型的攻击方式,首先给潜在目标发送电子邮件,邮件中会包含虚假的Windows更新。该更新似乎使用的是JPG文件扩展名,实际上是一个可执行文件,一旦启动,便从GitHub下载其他有效负载。 rustwave解释称:“根据我们的调查,受感染的设备会从一个名为misterbtc2020的GitHub账号中下载名为bitcoingenerator.exe的文件,该账号在几天前还处于活跃状态,目前已经被删除。该文件包含了btcgenerator存储库。就像附件一样,这是.NET编译的恶意软件,也就是Cyborg勒索软件。” 勒索软件感染设备后,用户文件将被加密并重命名为使用“777”扩展名。此时,用户文件被锁定,勒索软件将文本文档放置在桌面上,以向受害者提供有关如何获取解密密钥的指令。 在勒索消息中写道:“不用担心,你可以赎回所有文件!您可以发送一个加密文件[sic],我们将免费对其进行解密。您必须按照以下步骤来解密文件:将500美元的比特币发送到钱包[钱包号码],然后向我们的邮箱发送通知。” Trustwave警告说:“任何拥有该Builder的人都可以创建和分发Cyborg勒索软件。攻击者可以使用其他不同的主题来诱骗用户点击,并以不同的形式来逃避电子邮件网关的审查。攻击者可以使用已知的勒索软件扩展名,来误导受感染的用户识别出这种勒索软件。” 不用说,最简单的安全保护方法是避免打开电子邮件并下载附件。更新安全软件还可以帮助检测受感染的文件,并阻止勒索软件感染您的设备。   (稿源:cnBeta,封面源自网络。)

天府杯 2019 网络安全大赛落幕 浏览器接受新一轮零日漏洞挑战

近日,顶尖白帽黑客集聚成都,对当前业内主流软件展开一系列的凌日测试。在周末(11 月 16-17 日)的天府杯 2019 国际网络安全大赛中,安全研究人员们争相对目标软件展开攻击,以斩获丰厚的积分、奖励和声誉。据悉,天府杯的规则,与全球顶级黑客大赛 Pwn2Own 类似。不过随着国内安全研究团队名声鹊起,天府杯也应运而生。 赛程安排(题图 via ZDNet) 在 2018 年秋季举办的大赛期间,研究人员成功破解了 Edge、Chrome、Safari、iOS、VirtualBox 等应用程序,以及来自多个移动设备制造商的产品。 本届大赛的第一天,参赛团队攻破了 Chrome、Edge、Safari、Office 365 等应用程序,其中包括 —— 针对经典版 Microsoft Edge 浏览器的三个成功利用、Chrome(两项)、Safari(一项)、Office 365(一项)、Adobe PDF Reader(两项)、D-Link DIR-878路由器(三项)、qemu-kvm + Ubuntu(一项)。 第一天结束的时候,曾拿下 Pwn2Own 冠军的 360Vulcan 团队处于领先地位。 在零日漏洞曝光后,软件供应商通常会在几分钟至数小时内发布对应的修补程序。 大赛第二天,安全研究人员们迎来了 16 场比赛。尽管只有一半能顺利进行下去,但还是得出了 7 个有效的攻击漏洞。其中包括针对 D-Link DIR-878 路由器的攻击(四项)、Adobe PDF Reader(两项)、以及 VMWare Workstation(一项)。 最终,360Vulcan 以绝对优势赢得了比赛 —— 成功地攻破了 Microsoft Edge、Office 365、qemu + Ubuntu、Adobe PDF Reader 和 VMWare Workstation 等应用程序,并拿到了 38.25 万美元的奖金。 VMWare和qemu + Ubuntu漏洞在赢得比赛中发挥了重要作用,分别带来了200,000美元和80,000美元的收入。   (稿源:cnBeta,封面源自网络。)

《Magic:The Gathering》开发商证实 安全漏洞使超 45 万玩家数据遭泄露

据外媒TechCrunch报道,游戏《Magic:The Gathering》的开发商 Wizards of the Coast已经确认,安全漏洞使数十万游戏玩家的数据遭泄露。该游戏开发商将数据库备份文件留在了公共的Amazon Web Services存储桶中。但是存储桶上没有密码,任何人都可以访问其中的文件。 据悉。自9月初以来,该存储桶就已经遭泄露。但是英国网络安全公司Fidus Information Security最近找到数据库并报告了此事。   对数据库文件的检查显示,其中包括有452634名玩家的信息,含与Wizards of the Coast员工相关的约470个电子邮件地址。该数据库包括玩家名称和用户名,电子邮件地址,以及创建帐户的日期和时间。该数据库还具有用户密码,这些密码经过哈希处理,因此很难但并非不可能被解密。没有数据被加密。根据外媒TechCrunch对数据的审查,这些帐户的日期至少可以追溯到2012年,但是一些最近的条目可以追溯到2018年年中。 Fidus联系Wizards of the Coast,但没有听到任何回应。直到TechCrunch与该公司取得之后,这家游戏制造商才将存储桶脱机。 该公司发言人Bruce Dugan在一份声明中对TechCrunch表示:“我们了解到,已被停止使用的网站上的数据库文件被无意间从公司外部访问了。”他表示:“我们从服务器上删除了数据库文件,并开始了调查以确定事件的范围。我们认为这是一起孤立事件,我们没有理由相信对数据进行了任何恶意使用,”但是发言人没有提供任何证据证明这一说法。 他表示:“但是,出于谨慎考虑,我们会通知玩家其信息已包含在数据库中,并要求他们在我们当前的系统上重置密码。” Fidus研发总监Harriet Lester表示:“在当今时代,错误的配置和缺乏基本的安全卫生措施仍然令人感到惊讶,尤其是当涉及到拥有超过45万个帐户用户的大型公司时。 ”“我们的研究团队不断工作,寻找诸如此类的错误配置,以尽快提醒公司,避免数据落入不法分子之手。这是我们帮助互联网更安全的小方法,”她告诉TechCrunch。 这家游戏机制造商表示,已根据欧洲GDPR法规的违规通知规则将有关泄露情况告知了英国数据保护部门。英国信息专员办公室没有立即回应此事。 对于违反GDPR的公司,可能会最高被处以相当于其全球年收入4%的罚款。   (稿源:cnBeta,封面源自网络。)

WhatsApp 存在新漏洞, 黑客可能秘密在你的设备上安装间谍软件

WhatsApp上个月悄悄修补了其应用程序中的一个关键漏洞,该漏洞可能使攻击者远程破坏目标设备并可能窃取存储在其中的安全聊天消息和文件。 旧的WhatsApp版本在解析MP4文件的基本流元数据的过程中会导致堆栈的缓冲区溢出。该漏洞(CVE-2019-11931)容易引发DoS攻击或远程执行代码的攻击。 如果想要远程利用此漏洞,攻击者需要的只是目标用户的电话号码,并通过WhatsApp向他们发送恶意制作的MP4文件,该文件最终可以在受感染的设备上静默安装恶意后门或间谍软件。 该漏洞影响所有主要平台(包括Google Android,Apple iOS和Microsoft Windows)的WhatsApp的消费者以及企业应用程序。 根据Facebook发布的报告,受影响的应用程序版本列表如下: 低于2.19.274的Android版本 低于2.19.100的iOS版本 低于2.25.3的企业客户端版本 包括2.18.368在内的Windows Phone版本 适用于Android 2.19.104之前版本的业务 适用于iOS 2.19.100之前版本的业务 目前,所有用户需要将WhatsApp更新至最新版本,并禁止从应用程序设置中自动下载图像,音频和视频文件。 WhatsApp告诉THN:“ WhatsApp一直在努力提高服务的安全性。我们针对已解决的潜在问题进行公开报告,并根据行业最佳实践进行了修复。在这种情况下,没有理由相信用户受到了影响。”   消息来源:TheHackerNews, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

5G 新漏洞可被用于位置追踪和散布虚假警报

尽管 5G 比 4G 更快、更安全,但新研究表明它仍存在一些漏洞,导致手机用户面临一定的风险。普渡大学和爱荷华大学的安全研究人员们发现了将近十二个漏洞,称其可被用于实时追踪受害者的位置、散步欺骗性的应急警报、引发恐慌或悄无声息地断开手机与 5G 网路之间的连接。实际上,5G 的安全性只是相对于已知的攻击而言,比如抵御脆弱的 2G / 3G 蜂窝网络协议攻击。 研究截图(原文 PDF 链接) 然而最新的研究发现,5G 网络依然存在着一定的风险,或对用户的隐私安全造成威胁。更糟糕的是,其中一些新手段,还可照搬到 4G 网络上去利用。 据悉,研究人员扩展了他们先前的发现,打造了一款名叫 5GReasoner 的新工具,并发现了 11 个新漏洞。通过设立恶意的无线电基站,攻击者能够对目标展开监视、破坏、甚至多次攻击。 在某次攻击实验中,研究人员顺利获得了受害者手机的新旧临时网络标识符,然后借此对其位置展开追踪。甚至劫持寻呼信道,向受害者广播虚假的应急警报。 若该漏洞被别有用心的人所利用,或导致人为制造的混乱局面。此前,科罗拉多博尔德分校的研究人员们,已经在 4G 协议中发现了类似的漏洞。 第二种漏洞攻击,是对来自蜂窝网络的目标电话创建“长时间”的拒绝服务条件。 在某些情况下,这一缺陷会被用来让蜂窝连接降级到不太安全的旧标准。执法人员和有能力的黑客,均可在专业设备的帮助下,向目标设备发起监视攻击。 新论文合著者之一的 Syed Rafiul Hussain 表示,所有具有 4G 和 5G 网络实践知识、并具有低成本软件无线电技能的人,都可对上述新型攻击加以利用。 鉴于漏洞的性质太过敏感,研究人员没有公开发布其概念验证的漏洞利用代码,而是选择直接向 GSMA 协会通报了此事。 尴尬的是,尽管新研究得到了 GSMA 移动安全名人堂的认可,但发言人 Claire Cranton 仍坚称这些漏洞在实践中被利用的可能性小到几乎为零。至于何时展开修复,GSMA 尚未公布确切的时间表。   (稿源:cnBeta,封面源自网络。)

谷歌安全研究员发现 Libarchive 漏洞 影响Linux、FreeBSD和BSD

Debian,Ubuntu,Gentoo,Arch Linux,FreeBSD和NetBSD 使用的压缩库有一个漏洞,该漏洞可能使黑客能够在用户计算机上执行代码。 macOS和Windows操作系统不受该漏洞影响。 CVE-2019-18408 该漏洞影响了Libarchive(一个用于读取和创建压缩文件的库)。它是一个功能强大的多合一工具包,用于处理存档文件,该工具包还捆绑了其他Linux / BSD实用程序(例如tar,cpio和cat),使其成为各种操作的理想选择,也是其在操作中被广泛采用的原因系统。 上周,Linux和FreeBSD在发布更新(其中包含Libarchive补丁)之后公开了该漏洞的具体信息。 该漏洞的代号为CVE-2019-18408,攻击者可以通过文件在用户系统上执行代码。谷歌安全研究人员使用两个名为ClusterFuzz和OSS-Fuzz的自动代码测试工具识别了该漏洞,并且漏洞在Libarchive 3.4.0版本中得到了修复。   可能会更糟 使用Libarchive的操作系统和程序非常之多,这也给黑客提供了很多机会。 受影响的包括台式机和服务器操作系统,程序包管理器,安全实用程序,文件浏览器和多媒体处理工具。比如 pkgutils,Pacman,CMake,Nautilus,KDE的方舟和Samba。 尽管受影响的操作系统已推出更新,但其他应用程序中Libarchive的补丁程序状态目前未知。 值得庆幸的是,Windows和macOS这两种当今最受欢迎的操作系统均未受到影响。   消息来源:ZDNet, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Firefox 被曝安全漏洞:显示虚假通知锁定浏览器使用

Mac和Windows平台的Firefox浏览器近日成为了部分恶意网站攻击的目标,这些网站会显示虚假的警告通知并完全锁定浏览器。黑客利用Firefox中的一个BUG来篡改该浏览器,从而在无需用户交互的情况下达到目的。目前Mozilla并未公布解决方案,不过该问题已经造成严重破坏并给用户带来困扰。 这个BUG是由Malwarebytes的Jérôme Segura向Mozilla报告的,他警告称通过特制的JavaScript能够利用这个漏洞。黑客可以伪装成技术支持网站,警告用户当前正在使用盗版的Windows系统。 如Ars Technica所报告,警告消息为: 请停止并且不要关闭PC。您的计算机的注册表项已锁定。为什么我们阻止您的计算机? Windows注册表项是非法的。 Windows桌面正在使用盗版软件。 Window桌面通过Internet发送病毒。该Windows桌面已被黑客入侵。为了您的安全,我们封锁了这台计算机。 该网站说明: 关闭窗口的唯一方法是使用Windows任务管理器或macOS中的“强制关闭”功能强制关闭整个浏览器。即使那样,Firefox也会重新打开以前打开的选项卡,导致无休止的循环。要解决此问题,用户必须强制关闭Firefox,然后在重新启动Firefox后在加载之前立即关闭虚假网站的选项卡。 Mozilla表示目前正在调查和制作修复补丁,不过目前没有准确的发布时间。   (稿源:cnBeta,封面源自网络。)

从 Stack Overflow 复制代码导致 GitHub 项目漏洞多

现在从网上找代码直接复制到项目中的做法成为程序员的一种常规操作,Stack Overflow 更是其中主要的代码来源。但是最近有研究显示,从 Stack Overflow 上复制代码凑到项目中会使出现漏洞的概率大大增加。 研究人员分析了 1325 个 Stack Overflow 帖子,并获取了其中 72 000 多段 C++ 代码,发现了其中包含有 29 种类型的 69 个漏洞。 这些漏洞出现在 2589 个 GitHub 仓库中,研究人员通知了受影响的 GitHub 项目作者,但只有少数人选择修复已知这些危险情况。 研究人员展示了含有漏洞的代码主要是以什么方式从 Stack Overflow 进入到 GitHub 中的,包括最经常发现的输入验证不正确、异常或异常情况的不正确检查与错误编码,比如复制代码不完整。     (稿源:开源中国,封面源自网络。)

SRLabs 发现智能扬声器新漏洞 或变身监听用户的间谍设备

SRLabs 的安全分析师,找到了一种利用 Google 和 Amazon 智能扬声器进行网络钓鱼和窃听用户的新漏洞。之后其上传了看似无害的 Alexa Skills 和 Google Actions 自定义操作技能,以测试该漏洞是否会轻易得逞。由视频演示可知,一位 SRLabs 研究人员向 Google Home 索要了一个随机数,由其产生并发出声音。 (图自:SRLabs,via TechSpot) 可即便 Actions 已执行完成,程序仍保持后台监听的状态。之后,第三方计算机收到了用户所述内容的抄录。 至于 Alexa,安全分析师也创建了一个简单的“星座技巧”,要求 Alexa 对其进行“幸运解读”。 Alexa 会询问用户的十二星座,之后开始监听相关的星座运势读数、同时麦克风一直在后台保持监听。 即便被告知停止操作,Alexa 仍会继续监听房间内发出的声音,并将其发送至接收端的软件。 此外,研究人员还能够让讲述人发出虚假的错误信息。比如在一分钟后发出另一个伪造的错误,诱骗用户自曝账号密码。 事实上,SRLabs 至始至终都在利用同一个漏洞。该缺陷使得他们能够持续地向智能扬声器提供无法言语的一系列字符(U+D801、点、空格)。 如此一来,即便设备保持着‘静音’的状态,‘算法’也能够维持对用户展开监听的信道的畅通。 鉴于谷歌和亚马逊不会对安装在其智能扬声器上的软件技能展开仔细的检查,恶意团体或轻易将间谍软件添加到应用程序的补丁中,而无需另行通知。 周一的时候,SRLabs 安全分析师决定将漏洞公之于众。但在此之前,其已经向两家公司提出过警告。此外,SRLabs 向 YouTube 上传了一段视频,以展示该漏洞对智能扬声器用户造成的安全隐患。 目前尚没有任何证据表明除 SRLabs 研究团队意外的任何人在使用相关漏洞,不过亚马逊已经实施了相应的对策来检测和防止对 Alexa 技能的滥用。 至于谷歌,该公司也表示更新了审查程序,以揪出这类行为,并移除任何有违操作准则的 Actions 。     (稿源:cnBeta,封面源自网络。)

存在至少 4 年的 Linux 漏洞被发现:可通过 WiFi 攻击目标计算机

一位安全研究人员表示,由于Linux中存在的严重安全漏洞能导致使用WiFi信号的附近设备崩溃,或者完全被黑客掌控。名叫 Nico Waisman 的安全研究人员发推文称,该漏洞位于RTLWIFI驱动程序中,而该驱动程序用于在Linux设备上支持Realtek WiFi芯片。 据悉当具有Realtek Wi-Fi芯片的计算机在恶意设备的无线电范围内时,该漏洞将会在Linux内核中触发缓冲区溢出问题。该漏洞不仅可以引起操作系统崩溃,而且还允许黑客完全掌控计算机。该缺陷可追溯到2013年发布的Linux内核的3.10.1版本。 Github的首席安全工程师Nico Waisman表示:“这个漏洞非常严重,只要您使用Realtek(RTLWIFI)驱动程序,此漏洞就可以通过Linux内核上的Wi-Fi远程触发溢出。”漏洞跟踪为CVE-2019-17666。 Linux开发人员在星期三提出了一个修复程序,很可能在未来几天或几周内将其合并到OS内核中。只有在此之后,该修补程序才能进入各种Linux发行版。 Waisman表示目前还没有设计出一种概念验证攻击,利用该漏洞在受影响的设备上执行恶意代码。不过他表示:“我仍在试图探索,这肯定会……花一些时间(当然,这或许是不可能的)。在表面上,[this]是应该被利用的溢出。最坏的情况是,[this]是拒绝服务;最好的情况是,您得到了shell。” 在该漏洞公开之后,该研究专家没有继续在推特上研究这个漏洞。   (稿源:cnBeta,封面源自网络。)