标签: 漏洞事件

在 Web 托管软件 cPanel 中发现 2FA 旁路

来自Digital Defense的安全研究人员发现了托管软件 cPanel中的一个安全问题。黑客可以利用此漏洞绕过帐户身份验证(2FA)并管理关联网站。 “漏洞和威胁管理解决方案的领导者宣布,其 漏洞研究团队(VRT) 发现了一个未披露的漏洞,该漏洞影响了cPanel&WebHost Manager(WHM)网络托管平台。” “ c_Panel&WHM版本11.90.0.5(90.0 Build 5)具有两因素身份验证绕过漏洞,易受到攻击,从而导致了解或访问有效凭据的黑客可以绕过两因素身份验证。” 该漏洞可能会产生巨大影响,因为Web托管提供商当前正在使用该软件套件来管理全球超过7,000万个域。   “双重身份验证cPanel安全策略并未阻止攻击者重复提交双重身份验证代码。这使黑客可以使用技术绕过两因素身份验证检查。” “现在,将两因素身份验证代码验证失败的情况等同于帐户的主密码验证失败以及cPHulk限制的速率。” 研究人员补充说,攻击者可以在几分钟内绕过2FA。通过发布以下内部版本解决了此问题: 11.92.0.2(ZoomEyes搜索结果) 11.90.0.17(ZoomEyes搜索结果) 11.86.0.32(ZoomEyes搜索结果) 网站管理员敦促检查其托管服务提供商是否已更新相关cPanel版本。     消息来源:securityaffairs ;封面来自网络;译者:小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

交友网站 Bumble 暴露用户信息

交友网站Bumble暴露了用户的政治倾向、星座、教育情况、身高和体重以及位置等个人信息。 在仔细查看了Bumble(通常由女性发起对话)的代码后,安全评估人员研究员Sanjana Sarda发现了API漏洞的相关问题。这不仅能绕过Bumble Boost高级服务付款,而且还能够访问近1亿用户个人信息。 该公司回应,Bumble需要更加严肃地对待测试和漏洞披露。托管Bumble漏洞悬赏和报告流程的平台HackerOne表示,此类服务与黑客颇有渊源。 漏洞详情 Sarda通过电子邮件告诉Threatpost:“我花了大约两天的时间找到了最初的漏洞,又花了大约两天的时间才提出了基于相同漏洞的进一步利用的概念证明。” “尽管API漏洞不像SQL注入那样广为人知,但这些问题可能会造成重大破坏。” 她对Bumble漏洞进行了反向工程,并发现了多个端点,这些端点在处理动作而无需服务器进行检查。这意味着使用Bumble应用程序可以绕开高级服务限制。 Bumble Boost的另一项高级服务被称为The Beeline,它使用户可以看到所有在其个人资料上滑动的人。Sarda在这里解释说,她使用开发者控制台来找到一个端点,该端点在潜在的匹配供稿中显示了每个用户。从那里能够找出相关代码。 但是,除了高级服务之外,该API还使Sarda可以访问“ server_get_user”端点并枚举Bumble的全球用户。她甚至能够从Bumble检索用户的Facebook数据和“愿望”数据,从而告诉您他们搜索的匹配类型。还可以访问“个人资料”字段,其中包含政治倾向、星座、教育情况、身高和体重以及位置等个人信息。 黑客还可以判断用户是否安装了移动应用程序,以及他们的定位。 漏洞报告 Sarda说,ISE团队向Bumble报告了该发现,试图在公开进行研究之前缓解漏洞。 “在公司沉默了225天之后,我们着手进行了发表研究的计划,”萨达通过电子邮件告诉Threatpost,“只有当我们开始谈论公布时,我们才会在20/11/11收到HackerOne的电子邮件,内容是’Bumble渴望避免向媒体披露任何细节。’”HackerOne随后着手解决了部分问题。 Sarda解释说,她在11月1日进行了重新测试,所有问题仍然存在。截至11月11日,“某些问题已得到部分缓解。” 她补充说,这表明Bumble对他们的漏洞披露程序(VDP)的反应不够。 根据HackerOne的说法,并非如此。 “漏洞披露是任何组织安全状况的重要组成部分,” HackerOne在一封电子邮件中告诉Threatpost,“确保漏洞可以由人们自己解决,这对于保护关键信息至关重要。Bumble通过其在HackerOne上的漏洞赏金计划与黑客社区进行了合作。Bumble的安全团队已解决了有关HackerOne的问题,但向公众公开的信息所包含的信息远远超出了最初以负责任的方式向他们公开的信息。Bumble的安全团队全天候工作,以确保迅速解决所有与安全相关的问题,并确认没有用户数据受 漏洞管理 Cequence Security常驻黑客Jason Kent认为,API是一种被忽视的攻击媒介,并且越来越多地被开发人员使用。安全团队和API卓越中心有责任找出如何提高其安全性。           消息及封面来源:threatpost,译者:小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。  

英特尔发布 20201110 CPU 微代码更新包 修复一系列 Bug 和安全漏洞

英特尔在周二晚上发布了 20201110 CPU 微代码更新包,这也是自 6 月以来的又一个重大更新。此前,安全社区已经披露了影响英特尔产品的大约 40 个新安全公告,其中包括利用 RAPL 接口来窃取 CPU 敏感数据的“鸭嘴兽”(PLATYPUS)安全漏洞。在等待许久之后,该公司终于为 Linux 用户发布了新版微代码更新包,以修复相关 Bug 和漏洞。 首先是刚才已经详细介绍过的《RPAL 接口安全漏洞》(INTEL-SA-00389),今日更新的 CPU 微码、与新版 Linux 内核补丁一起发布,旨在阻止非 root 权限用户读取 Intel CPU 的能耗信息。 其次 INTEL-SA-00381 修复了围绕“快速存储前向预测器信息泄露”的问题、以及另一个 AVX 漏洞。受此影响,本地攻击者可获取先前 AVX 执行的寄存器状态。 除了 CPU 安全更新,英特尔还修复了影响多代处理器的“功能性问题”。比如 Ice Lake 处理器的 VT-d 虚拟化 Bug,以及可能导致系统挂起的 Type-C 端口问题。 此外至强可扩展(Xeon Scalable)Cascade Lake 处理器在内核退出 C6 状态时中断丢失等问题也得到了解决,并且包括了其它各种随机的处理器 Bug 修复程序。 最后,英特尔 20201110 微码更新包也首次包含了面向了 Cooper Lake、Lakefield、Tiger Lake、以及 Comet Lake 的二进制文件。     消息及封面来源:cnBeta

HPE 修补了两个关键的远程可利用漏洞

Hewlett Packard Enterprise发布了针对两个关键漏洞的补丁程序,一个漏洞在StoreServ管理控制台中被确认,另一个漏洞则影响了BlueData EPIC软件平台和Ezmeral容器平台。 最严重的问题存在于HPE StoreServ管理控制台(SSMC)3.7.0.0中,CVE-2020-7197漏洞可以利用远程绕过身份验证保护,其CVSS评分为10。SSMC是基于节点的Web控制台,它为多个阵列的管理提供支持,通常安装在Linux或Windows服务器上,并与托管列上的数据隔离。该漏洞可能使黑客无需身份验证,直接获得对应用程序的访问权限。 MindPoint Group的Elwood Buck报告了规避远程身份验证的情况。根据HPE的说法,3.7.0.0之前的HP 3PAR StoreServ Management和Core Software Media受到影响。HPE建议受影响的用户将软件升级到HP 3PAR StoreServ3.7.1.1或更高版本。在BlueData EPIC软件平台版本4.0和更早版本以及Ezmeral Container Platform 5.0中确定了第二个漏洞CVE-2020-7196,其CVSS评分为9.9。HPE解释说,问题在于这两个应用程序“都使用不安全方法来处理Kerberos密码,导致密码容易受到未经授权的拦截和/或检索。” HPE建议将相关软件更新至Ezmeral Container Platform 5.1或更高版本。除此之外,HPE还在上周发布了针对Aruba CX交换机、Aruba AirWave Glass和其他Aruba产品中的几个高危漏洞的补丁程序。       消息来源:securityweek;封面来自网络;译者:小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

在线游戏 Street Mobster 存在严重漏洞, 190 万个用户信息造泄露

研究人员发现大型在线游戏Street Mobster存在一个严重漏洞。该漏洞可能导致玩家用户名、电子邮件地址和密码以及存储在数据库中相关数据被破坏。 Street Mobster是一种免费在线游戏,玩家在其中管理虚拟犯罪活动。该游戏储存了190多万玩家用户的数据,黑客通过在游戏网站上利用漏洞攻击该数据库。 Street Mobster中的SQLi漏洞可能破坏玩家用户名、电子邮件地址和密码以及其他相关数据的记录。 幸运的是,在向Big Mage Studios,CERT Bulgaria和保加利亚数据保护机构报告了此漏洞之后,开发人员就及时解决了该问题,因此黑客被禁止访问该数据库。     消息及图片来源:cybernews;译者:小江 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

BuleHero 挖矿蠕虫变种,具有 8 个漏洞利用和 2 个弱口令爆破能力

感谢腾讯御见威胁情报中心来稿! 原文链接:https://mp.weixin.qq.com/s/3dfWy7EGfGRMgES0Z8xlpg   攻击者利用Apache Solr远程代码执行漏洞(CVE-2019-0193)对某客户进行攻击,由于客户部署的腾讯云防火墙已对该类型攻击进行识别并设置为“阻断”,该攻击未对客户资产造成损失。进一步分析后发现,此次攻击属于BuleHero挖矿蠕虫病毒,且该变种版本新增了SMBGhost(CVE-2020-0796)漏洞利用代码。 一、背景 腾讯安全威胁情报中心研究人员在日常巡检中发现,有攻击者利用Apache Solr远程代码执行漏洞(CVE-2019-0193)对某客户进行攻击,由于客户部署的腾讯云防火墙已对该类型攻击进行识别并设置为“阻断”,该攻击未对客户资产造成损失。 进一步分析后发现,此次攻击属于BuleHero挖矿蠕虫病毒,且该变种版本新增了SMBGhost(CVE-2020-0796)漏洞利用代码。 该团伙擅长利用各类Web服务器组件漏洞进行攻击,包括:Tomcat任意文件上传漏洞、Apache Struts2远程代码执行漏洞、Weblogic反序列化漏洞、Drupal远程代码执行漏洞、Apache Solr 远程命令执行漏洞、PHPStudy后门利用均在其武器列表中。此外还会利用永恒之蓝漏洞、$IPC和MSSQL弱口令爆破等等攻击手法,攻击成功后,会在目标机器植入门罗币挖矿木马和远控木马。 腾讯安全系列产品应对BuleHero挖矿蠕虫的响应清单: 应用 场景 安全产品 解决方案 威 胁 情 报 腾讯T-Sec 威胁情报云查服务 (SaaS) 1)BuleHero挖矿蠕虫相关IOCs已入库。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics 腾讯T-Sec 高级威胁追溯系统 1)BuleHero挖矿蠕虫相关信息和情报已支持检索。 网管可通过威胁追溯系统,分析日志,进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息,可参考:https://cloud.tencent.com/product/atts 云原生安全 防护 云防火墙 (Cloud Firewall,CFW) 基于网络流量进行威胁检测与主动拦截,已支持: 1.BuleHero挖矿蠕虫关联的IOCs已支持识别检测; 2.检测以下类型漏洞利用: Struts2漏洞利用 PHPWeb漏洞利用 Weblogic漏洞利用 Drupal漏洞利用 Tomcat漏洞利用 永恒之蓝漏洞MS17-010 SMBGh0st漏洞CVE-2020-0796 有关云防火墙的更多信息,可参考: https://cloud.tencent.com/product/cfw 腾讯T-Sec  主机安全 (Cloud Workload Protection,CWP) 1.支持查杀BuleHero挖矿蠕虫相关木马程序; 2.检测以下漏洞: Apache Struts2漏洞CVE-2017-5638 WebLogic 漏洞CVE-2018-2628 WebLogic 漏洞CVE-2017-10271 Thinkphp5漏洞CNVD-2018-24942 Tomcat漏洞CVE-2017-12615 Drupal漏洞CVE-2018-7600 永恒之蓝漏洞MS17-010 SMBGh0st漏洞CVE-2020-0796 腾讯主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息,可参考:https://cloud.tencent.com/product/cwp 腾讯T-Sec 安全运营中心 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全(云镜)、腾讯御知等产品数据导入,为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 关于腾讯T-Sec安全运营中心的更多信息,可参考:https://s.tencent.com/product/soc/index.html 非云企业安全防护 腾讯T-Sec 高级威胁检测系统 (腾讯御界) 1.已支持通过协议检测BuleHero挖矿蠕虫与服务器的网络通信; 2.检测以下漏洞利用: Apache Struts2漏洞CVE-2017-5638 WebLogic 漏洞CVE-2018-2628 WebLogic 漏洞CVE-2017-10271 Thinkphp5漏洞CNVD-2018-24942 Tomcat漏洞CVE-2017-12615 Drupal漏洞CVE-2018-7600 永恒之蓝漏洞MS17-010 SMBGh0st漏洞CVE-2020-0796 关于T-Sec高级威胁检测系统的更多信息,可参考: https://cloud.tencent.com/product/nta 腾讯T-Sec终端安全管理系统(御点) 1)可查杀BuleHero挖矿蠕虫入侵释放的木马程序; 腾讯御点提供企业终端的防毒杀毒、防入侵、漏洞管理、基线管理等能力,关于T-Sec终端安全管理系统的更多资料,可参考:https://s.tencent.com/product/yd/index.html 更多产品信息,请参考腾讯安全官方网站https://s.tencent.com/ 二、详细分析 腾讯云防火墙捕获到利用Apache Solr远程代码执行漏洞(CVE-2019-0193)攻击流量,该攻击Payload利用certutil.exe命令下载http[:]//UeR.ReiyKiQ.ir/download.exe执行。 2019年08月01日Apache官方发布Apache Solr远程代码执行漏洞(CVE-2019-0193)安全通告,Apache Solr DataImport功能在开启Debug模式时,可以接收来自请求的”dataConfig”参数,在dataConfig参数中可以包含script恶意脚本导致远程代码执行。官方通告如下:https://issues.apache.org/jira/browse/SOLR-13669 腾讯云防火墙对该漏洞利用及时进行阻断,客户服务器资产未遭受损失。 腾讯安全研究人员对Payload进行分析后,确认该攻击事件属于BuleHero挖矿蠕虫病毒,此次变种新增了SMBGhost(CVE-2020-0796)漏洞利用代码。 download.exe下载木马http[:]//UeR.ReiyKiQ.ir/SesnorDateService.exe。 SesnorDateService.exe在Windows目录下创建文件 C:\Windows\<random>\EventisCache\divsfrsHost.exe,并释放SMBGhost漏洞攻击程序divsfrsHost.exe。 漏洞攻击代码采用开源程序 https://github.com/chompie1337/SMBGhost_RCE_PoC/blob/master/exploit.py 生成,并利用Pyinstaller打包生成exe可执行程序。 此外SesnorDateService.exe还利用其他多个Web应用漏洞进行攻击: Apache Struts2漏洞【CVE-2017-5638】 WebLogic 漏洞【CVE-2018-2628】 WebLogic 漏洞【CVE-2017-10271】 Thinkphp5漏洞【CNVD-2018-24942】 Tomcat漏洞【CVE-2017-12615】 Drupal漏洞【CVE-2018-7600】 通过内置的账号密码字典对MSSQL进行远程爆破攻击。 通过内置的账号密码字典对IPC$进行远程爆破攻击。 利用永恒之蓝漏洞攻击。 检测phpStudy后门。 释放XMRig挖矿木马挖矿门罗币。 释放远控木马Hentai.exe拷贝自身至系统system32目录下命名为随机名,并将文件设置为隐藏属性,然后安装为服务“Uvwxya”进行自启动。 木马启动后解密出PE文件并加载到内存执行。 尝试连接C2地址ai.0x1725.site。 释放的远控木马可根据服务端指令完成上传下载文件、执行任意程序、进程管理、窗口管理、服务管理、网络代理、远程shell、清除日志等功能。 IOCs Domain uer.reiykiq.ir gie.ezrutou.ir Ecc.0ieyFeD.ir Sub.0ieyFed.ir Js.0ieyFed.ir fky.6d6973616b61.cyou fky.6d6973616b61.icu fky.6d6973616b61.xyz fky.simimasai.fun fky.simimasai.online fky.simimasai.site fky.simimasai.space fky.simimasai.xyz oio.seeeeeeeeyou.su ai.0x1725.site MD5 download.exe 303d038621c2737f4438dbac5382d320 divsfrshost.exe daf42817f693d73985cd12c3052375e2 hentai.exe 386be8418171626f63adb52d763ca1c0 URL http[:]//uer.reiykiq.ir/AdPopBlocker.exe http[:]//UeR.ReiyKiQ.ir/download.exe http[:]//UeR.ReiyKiQ.ir/SesnorDateService.exe 参考链接: https://cloud.tencent.com/developer/article/1486905 https://issues.apache.org/jira/browse/SOLR-13669 https://www.freebuf.com/column/180544.html https://www.freebuf.com/column/181604.html https://www.freebuf.com/column/197762.html https://www.freebuf.com/column/204343.html https://www.freebuf.com/articles/219973.html

可 3 秒入侵 Windows 服务器:微软敦促客户尽快修复 Zerologon 漏洞

在 Zerologon 漏洞开始疯狂传播之后,美国国土安全局责令政府网络管理员责令政府网络管理员立即给 Windows Server 2008 及以上版本(包括 Windows 10 Server)打补丁。现在,微软也加入这一呼吁,表示:“微软正在积极跟踪 CVE-2020-1472 Netlogon EoP 漏洞(也被称之为 Zerologon)的活动情况,我们已经观测到有黑客利用该漏洞发起了攻击”。 该漏洞编号为 CVE-2020-1472,存在于 Windows Server 中 Active Directory 核心验证元件 Netlogon 远程协议(MS-NRPC)中,可让未经授权的攻击者借由和网域控制器建立 TCP 连线时,送入假造的 Netlogon 验证令符而登入网域控制器,进而完全掌控所有 AD 网域内的身份服务。 在 8 月的补丁星期二活动日中,微软修复了这个漏洞。虽然该漏洞的CVSS 评分为满分10分,但细节从未公开过,也就是说用户和IT 管理员从未意识到该漏洞的严重程度有多高。 CISA已发布紧急指令20-04,指示联邦文职行政部门机构对所有域控制器应用微软Windows服务器2020年8月安全更新(CVE-2020-1472)。CISA 已经指示政府服务器在9月21日(本周一)之前打好补丁,同时也强烈敦促他们在州和地方政府、私营部门以及美国公众中的合作伙伴尽快应用这一安全更新。     (稿源:cnBeta,封面源自网络。)

攻击者利用漏洞可以通过 Wi-Fi 网络劫持 Android 版 Firefox

ESET安全研究人员Lukas Stefanko昨天在推特上发布了一条警报,报告显示最近披露的一个影响Android版Firefox的高危远程命令执行漏洞已被利用。 该漏洞最初由澳大利亚安全研究人员Chris Moberly发现,该漏洞存在于浏览器的SSDP引擎中,攻击者可以利用该漏洞将安装了Firefox的Android手机锁定为与攻击者连接到同一Wi-Fi网络的Android手机上。 SSDP是简单服务发现协议(Simple Service Discovery Protocol)的缩写,它是UPnP的一部分,用于查找网络上的其他设备。在Android中,Firefox会定期向连接到同一网络的其他设备发送SSDP发现消息,寻找第二个屏幕设备。 本地网络上的任何设备都可以响应这些广播并提供一个位置来获取UPnP设备的详细信息,然后Firefox尝试访问该位置,期望找到符合UPnP规范的XML文件。 视频链接:https://thehackernews.com/2020/09/firefox-android-wifi-hacking.html Moberly提交给Firefox团队的漏洞报告显示,受害者的Firefox浏览器的SSDP引擎可以通过简单地用一条指向Android意图URI的特制消息替换响应包中XML文件的位置,从而诱使其触发Android恶意命令。 为此,连接到目标Wi-Fi网络的攻击者可以在其设备上运行恶意SSDP服务器,并通过Firefox在附近的Android设备上触发恶意命令,这些过程无需与受害者进行任何交互。 哪些恶意命令包括自动启动浏览器和打开任何已定义的URL,据研究人员称,这足以诱使受害者提供其凭据、安装恶意应用程序以及基于周围场景的其他恶意活动。 Moberly表示,“目标只需在手机上运行Firefox应用程序。他们不需要访问任何恶意网站或点击任何恶意链接。不需要中间攻击者或安装恶意应用程序。他们只需在咖啡厅中使用Wi-Fi喝咖啡,攻击者就会控制他们的设备启动应用程序URI。” 视频链接:https://thehackernews.com/2020/09/firefox-android-wifi-hacking.html “它类似于网络钓鱼攻击,在这种攻击中,恶意网站会在他们不知情的情况下强行攻击目标,使受害者输入一些敏感信息或同意安装恶意应用程序。” Moberly在几周前向Firefox团队报告了这个漏洞,Firefox浏览器制造商目前已经在Firefox Android 80及更高版本中修补了这个漏洞。 Moberly还向公众发布了一个概念验证漏洞,Stefanko曾在上述视频中针对连接到同一网络的三个设备演示了该漏洞。   稿件与封面来源:The Hacker News,译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理, 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

TikTok 已修复 Android 版应用中可能会导致账号被劫持的安全漏洞

据外媒TechCrunch报道,TikTok已经修复了其Android应用中的四个安全漏洞,这些漏洞可能会导致用户账号被劫持。应用安全启动公司Oversecure发现了这些漏洞,这些漏洞可能会让同一设备上的恶意应用从TikTok应用内部窃取敏感文件如会话令牌。会话令牌是一种可让用户登录而无需再输入密码的小文件,如果被盗,这些令牌可以让攻击者在不需要密码的情况下访问用户的账户。 恶意应用将利用这个漏洞向TikTok应用注入一个恶意文件。一旦用户打开应用,恶意文件就会被触发,从而让恶意应用访问并在后台无声地向攻击者的服务器发送偷来的会话令牌。 Oversecure创始人Sergey Toshin告诉TechCrunch,这款恶意应用还可以劫持TikTok的应用权限、允许它访问Android设备的摄像头、麦克风和设备上的私人数据如照片和视频。该公司在其网站上公布了有关漏洞的技术细节。 TikTok表示,在Oversecure报告了这些漏洞后,他们已于今年早些时候修复了它们。     (稿源:cnBeta,封面源自网络。)

新的 PIN 验证绕过漏洞影响 Visa 非接触式支付

就在Visa对一款名为Baka的新型JavaScript网络掠取器发出警告之际,网络安全研究人员发现了该公司支持EMV的信用卡中的一个新缺陷,该漏洞使攻击者能够非法获取资金并诈骗持卡人和商户。 这项研究是由苏黎世联邦理工学院的一群学者发表的,它是一种PIN绕行攻击,攻击者可以利用受害者的被盗或丢失的信用卡在不知道该卡PIN的情况下进行高价值购买,甚至骗人一点销售(PoS)终端接受非真实的离线卡交易。 所有使用Visa协议的现代非接触式卡,包括Visa Credit,Visa Debit,Visa Electron和V Pay卡,都受到安全漏洞的影响,但研究人员认为它可以应用于Discover和UnionPay实施的EMV协议。然而,这个漏洞并不影响万事达、美国运通和JCB。 研究结果将在明年5月于旧金山举行的第42届IEEE 安全和隐私研讨会上进行展示。 通过MitM攻击修改卡交易资格 EMV(Europay、Mastercard和Visa的缩写)是广泛使用的智能卡支付的国际协议标准,它要求较大的金额只能从带有PIN码的信用卡中借记。 但ETH研究人员设计的设置利用了协议中的一个关键缺陷,通过Android应用程序发起中间人(MitM)攻击,“指示终端不需要PIN验证,因为持卡人验证是在消费者的设备上进行的。” 这个问题源于这样一个事实:持卡人验证方法(CVM)没有加密保护以防止修改,该方法用于验证尝试使用信用卡或借记卡进行交易的个人是否是合法持卡人。 所以,可以修改用于确定交易所需的CVM检查(如果有的话)的卡交易资格证明(CTQ),以通知PoS终端覆盖PIN验证,并且验证是使用持卡人的设备进行的例如智能手表或智能手机(称为消费设备持卡人验证方法或CDCVM)。 利用离线交易而无需付费 此外,研究人员还发现了第二个漏洞,该漏洞涉及Visa卡或旧万事达卡进行的离线非接触式交易,使得攻击者能够在数据被传送到终端之前修改一个名为“应用密码”(AC)的特定数据。 离线卡通常用于直接从持卡人的银行帐户中支付商品和服务,而无需PIN码。但是,由于这些交易未连接到在线系统,因此在银行使用密码确认交易的合法性之前会有24到72个小时的延迟,然后从帐户中扣除购买金额。 攻击者可以利用这种延迟的处理机制来使用他们的卡来完成低价值的离线交易而无需支付费用,此外,在发卡银行由于密码错误而拒绝交易之前,还可以取消购买。 研究人员说:“这构成了“免费午餐”攻击,因为罪犯可以购买低价值的商品或服务而根本不收取任何费用,”他补充说,这些交易的低价值性质不太可能是“有吸引力的业务”。罪犯的榜样。” 缓解PIN绕过和离线攻击 除了向Visa国际组织通报缺陷外,研究人员还提出了三种软件修复方案,以防止PIN绕过和离线攻击,包括使用动态数据认证(DDA)保护高价值的在线交易,以及要求所有PoS终端使用在线密码,这会导致脱机事务被联机处理。 研究人员得出结论:“我们的攻击表明,PIN对Visa非接触式交易毫无用处,而且揭示了Mastercard和Visa的非接触式支付协议的安全性存在惊人的差异,表明万事达卡比Visa更安全。”这些缺陷违反了基本的安全属性,比如身份验证和有关已接受交易的其他保证。”     稿件与封面来源:The Hacker News,译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理, 转载请注明“转自 HackerNews.cc ” 并附上原文链接。