标签: 漏洞事件

卡巴斯基修复四年老漏洞 注入 HTML 源码的唯一标识符会泄露用户隐私

多年来,卡巴斯基反病毒软件一直在各项安全测试中名列前茅。然而近日曝出的数据泄露事件,竟使得第三方能够长期监视用户的网络活动。德国网站 Heise.de 编辑 Ronald Eikenberg 指出,在其办公室电脑上的一个奇怪发现,让他知晓卡巴斯基反病毒软件造成了惊人的数据泄露。 (题图 via Heise.de) 作为 c’t issue 3 / 2019 测试第一部分,小编会定期对反病毒软件进行测试,以观察其是否履行了企业所声称的安全承诺。 在刚开始的几周和几个月,事情似乎波澜不惊 —— 卡巴斯基软件的表现,与 Windows Defender 基本相同或差强人意。 然而忽然有一天,Ronald Eikenberg 在查看了任意网站的 HTML 源码后发现,卡巴斯基竟然为其注入了如下代码: <script type=”text/javascript” src=”https://gc.kis.v2.scr.kaspersky-labs.com/9344FDA7-AFDF-4BA0-A915-4D7EEB9A6615/main.js” charset=”UTF-8″></script> 显然,浏览器正在加载来自 Kaspersky 域、名为 main.js 的外部 JavaScript脚本。尽管 JS 代码并不罕见,但当深入查看浏览器中显示的其它网站的 HTML 源码时,几乎都有同样奇怪的发现。 毫无意外的是,Ronald Eikenberg 竟然在个人网银网站上,也查看到了来自卡巴斯基的脚本。因此其断定 —— 这件事可能与卡巴斯基软件有些关联。 为了验证,Ronald Eikenberg 尝试了 Mozilla Firefox、Microsoft Edge、以及 Opera 浏览器,结果发现相同的代码随处可见。 鉴于没有安装可疑的浏览器扩展程序,他只能简单理解为是卡巴斯基反病毒软件在操纵当前的网络流量 —— 在未获得用户许可的情况下,卡巴斯基僭越了! 在此事曝光前,许多人可能只会在网银木马类恶意软件上观察到这种行为,以图窃取或篡改关键信息(比如悄悄地变更了网银转账的收款方)。现在的问题是 —— 卡巴斯基你到底在干嘛呢?! 经过对 main.js 脚本展开的一番分析,可知卡巴斯基会在判别某个‘干净’网站链接后,在地址栏显示带有谷歌搜索结果的绿色图标。 然而还有一个小细节 —— 加载卡巴斯基脚本的地址,也包含了一段可疑的字符串: https://gc.kis.v2.scr.kaspersky-labs.com/9344FDA7-AFDF-4BA0-A915-4D7EEB9A6615/main.js 链接加粗部分,显然属于某种“通用唯一标识符”(UUID)。但是作为一款计算机安全软件,卡巴斯基要拿这串字符去识别或追踪谁呢? 扩展扩展验证,Ronald Eikenberg 在其它计算机上也安装了卡巴斯基软件,发现它确实会向其它系统同样注入 JavaScript 代码、并且留意到了一个至关重要的区别。 源地址中的 UUID,在每台系统上都是不一样的。这些 ID 属于持久性的标识,即便过了几天也不会发生改变。显然,每台计算机都会拥有自己的永久分配 ID 。 而将这串 UUID 直接注入每个网站的 HTML 源码,绝对是一个糟糕头顶的主意。因为在网站域上下文环境中运行的其它脚本,都可以随时访问整个 HTML 源,甚至读取卡巴斯基这串 UUID 。 这意味着任何网站都可以读取并追踪卡巴斯基软件用户的网络 ID,只要另一个网站检测到了同一字符串,就能认定其访问源来自同一台计算机。 基于这种假设,卡巴斯基显然是打造了一套危险的追踪机制,甚至比传统的 cookie 更加极端 —— 就算你切换了浏览器,也会被追踪并识别到在使用同一台设备、让浏览器的隐身模式形同虚设。 为避免更多用户陷入风险,c’t 决定立即向卡巴斯基通报这一发现、并且迅速得到了对方的答复,称其已着手调查此事。 大约两周后,卡巴斯基莫斯科总部对这一案例进行了分析,并证实了 c’t 的这一发现。 该问题影响所有使用 Windows 版卡巴斯基安全软件的消费者版本,从入门机的免费版、互联网安全套装(KIS)、直至全面防护版(Total Security)。 此外,卡巴斯基小企业安全版(Small Office Security)也受到了该问题的影响,导致数百万用户暴露于风险之中。 Heise.de 调查显示,卡巴斯基从 2015 年秋发布的“2016”系列版本中引入了该漏洞。但既然普通网友都能在无意间发现这个漏洞,包括营销机构在内的第三方,也极有可能早就展开了野外利用。 即便如此,卡巴斯基仍表示这种攻击过于复杂,因此发生的概率极低,对网络犯罪分子来说有些无利可图。 然而 Heise.de 并不赞同该公司的说法,毕竟许多企业都在努力监视每一位网站来访者,这个持续四年的漏洞,很有可能是其展开间谍活动的一个福音。 万幸的是,在认识到事情的严重性之后,卡巴斯基终于听从了爆料者的要求,在上月发布了 CVE-2019-8286 安全公告,且相关补丁也已经打上。 当然,为了安全起见,您也可禁用卡巴斯基软件中提供的相关功能: 点击主窗口左下角的齿轮(设置)图标 -> 点击‘其它 / 网络’-> 然后取消‘流量处理’下的‘将脚本注入 Web 流量以与网页交互’选项。 (稿源:cnBeta,封面源自网络。)

安全漏洞导致 Suprema Biostar 2 百万人指纹数据曝光

近年来发生的多起大规模信息泄露事件,使得网络用户不得不修改那些不再安全的账户密码。但若安全性更高的指纹数据被曝光,那后果就更加严重了。遗憾的是,这正是 Suprema Biostar 2 指纹锁身上所发生的事情。据悉,研究人员在 Suprema 的系统中发现了一个安全漏洞,使之能够访问超过 100 万人的身份验证数据。 (图自:vpnMentor,via BGR) 英国《卫报》指出,这些数据包括了指纹 / 面部识别数据、未加密的用户名和密码、甚至员工的个人信息。 鉴于 Suprema 生物识别认证系统有许多企业和公共机构大客户 —— 其中包括英国大都会警察局、国防承包商和银行 —— 甚至伤害美国、巴基斯坦、芬兰、印尼等地的跨国企业。 以色列研究人员 Noam Rotem、Ran Locar 与 vpnmentor 一起寻找到了 Suprema 的安全漏洞,并且获得了 Biostar 2 数据库的访问权限。 最令人震惊的是,在获得访问权限后,安全研究人员发现该数据库缺乏应有的保护,且大多数据处于未加密的存储状态,很容易访问到总量超过 2780 万条(23GB+)的记录。 除了敏感信息,安全研究人员还能够轻松监控存储的生物识别数据的实际使用情况。比如实时查看哪个用户通过特定的安全门进入任何设施,甚至查看到管理员账户的密码。 此外,研究人员能够编辑某人的帐户,在其中加入自己的指纹。因此从理论上来讲,攻击者可以突破所有需要授权进入的地方。 更令人不安的是,研究人员发现密码数据根本没有受到任何保护,使得黑客能够轻易复制指纹数据、并将之用于恶意目的。其在一篇论文中写到: Suprema 未采用无法进行逆向工程的散列式指纹数据存储,而是偷工减料得让攻击者能够轻易复制实际的指纹数据、并将之用于恶意的目的。 即便如此,Suprema 营销主管 Andy Ahn 还是在接受《卫报》采访时称:此事并没有什么可担心的。 我司已对 vpnmentor 的报告进行了‘深入评估’,若威胁确实存在,Suprema 会立即采取行动并发布适当的公告,以保护我司客户宝贵的业务和资产。 然而目前尚不清楚是否有其他人在安全研究人员之前发现了同样的问题,并对这批数据展开了滥用。   (稿源:cnBeta,封面源自网络。)

Raidforums 攻破 Cracked.to 黑客论坛网站 曝光其 32.1 万名成员数据

外媒报道称,近日 Raidforums 攻破了竞争对手 Cracked.to 的黑客论坛网站,并泄露了后者超过 32.1 万名成员的数据。之所以发起这场行动,或是因为一些受害者正在讨论如何破解《堡垒之夜》账户、销售软件漏洞、自己从事其他可能非法的活动。漏洞披露网站 Have I Been Pwned 报道称:Raidforums 在上周五转储暴露了 74 万 9161 个唯一的电子邮件地址。 除了电子邮件地址,Raidforums 还泄露了 Cracked.to 论坛用户的 IP 地址、私信、bcrypt 转储的哈希密码等数据,由网站论坛应用程序 myBB 所生成。 外媒指出,Cracked.to 自诩为一个提供破解教程、工具、组合、市场和更多恭喜的综合性论坛,而 Raidforums 旗下也存在许多类似主题的论坛。 外媒 ArsTechnica 概览了一遍 Raidforums 公布的 2.11 GB 文件,发现其中包含了近 39.7 万条私信,且大量涉及诸多黑客极力避免的细节内容。 详细内容包括用户名、电子邮件地址、求购记录、销售或支持的软件服务、以及针对人们视频游戏《堡垒之夜》账户的破解等。 除了一些笼统的信息,还有部分论坛用户提到了如何利用 CVE-2019-20250 这个在今年早些时候被发现的严重漏洞。其与 WinRAR 文件压缩程序有关,可在易受攻击的计算机上安装大量讨人厌的恶意软件。 外界猜测,Cracked.to 的大量访客,可能是通过暗网或其它隐匿 IP 地址的方式来访问该网站的。所以公布出来的用户名和邮件地址,也极有可能是匿名或伪造的。 即便如此,执法部门或竞争对手仍可借此来实施一定程度的打压。对于网站管理员来说,这起事件也算是向他们发出了一个警示,毕竟 Raidforums 声称是通过某漏洞利用来实现的“脱裤”。 几个月前,Cracked.to 管理员称其已将默认脆弱的 myBB 哈希密码转储,切换到了更加强大的解决方案。但在此事发生后,该网站已强烈要求用户变更密码。 此外,我们不排除 Raidforums 已经获得 Cracked.to 管理员密码、或向其它网站发起了类似攻击的可能性。   (稿源:cnBeta,封面源自网络。)

尽管谷歌已修复漏洞 网站仍会检测 Chrome 是否处于隐身模式

针对启用了无痕模式的 Chrome 用户仍会被不守规矩的网站强行检测一事,谷歌方面已经修复了一处漏洞。尴尬的是,这场利益攻防战并没有就此结束,因为聪明的网站仍会通过其它方法来检测 Chrome 76 是否启用了隐私浏览模式。其实 Chromium 团队自身也意识到存在这种可能,毕竟浏览器还提供了一些其它必要的应用程序接口(API)。 (题图 via Techdows) 默认情况下,Google 会在 Chrome 浏览器启用无痕模式时禁用文件系统 API,以防止将浏览历史记录保存到磁盘上。 反之,网站可以通过 Filesystem API,对用户浏览器的当前模式进行判断。然后强行要求用户登录或创建免费账户,以继续浏览完整的内容。 在意识到这个漏洞之后,谷歌引入了一个新的标记(flag),以便在无痕模式下启用 了 FileSystem API,Chrome 76 中已经默认打开。 谷歌在一篇博客文章中写到,其已经修复了某些网站不当利用 FileSystem API 的一个漏洞。 遗憾的是,即便急用了这个标记,《纽约时报》网站仍会检测到该模式是否已开启(如上图所示)。 近日有一位安全研究人员透露,Chrome 浏览器未能真的做到应对无痕模式的检测防御,因为网站仍可通过 Quota Management API 来检测。 另一位名叫 Jesse Li 的开发者,更是给出了一个技术概念验证,表明网站仍可通过评估 Filesystem API的 写入速度,来检测无痕模式。 当然,Chromium 开发团队仍可通过其它措施,来修复针对 Chrome 无痕模式的反向检测,比如可从配额和计时方面着手。   (稿源:cnBeta,封面源自网络。)

KDE 存在一个很容易利用的 0day 漏洞,影响广泛

安全研究员 Dominik Penner 披露了 Linux KDE 桌面环境上存在的一个 0day 漏洞。 根据 Dominik 的说法,此漏洞存在于 KDE v4 与 v5 版本中,该漏洞使得嵌入在 .desktop 和 .directory 文件中的命令在打开文件夹或者将压缩文件夹提取到桌面时即可执行,目前几乎所有 Linux 发行版都在使用易受攻击的 KDE 版本。 .desktop 和 .directory 文件是符合 freedesktop.org 标准的桌面环境使用的配置文件,它们用于配置应用和文件夹的显示方式。.desktop 文件用于在 KDE 菜单中注册应用程序,而 .directory 文件用于描述 KDE 应如何显示文件夹。 在 BleepingComputer 的采访中,Dominik 解释:“KDE 4/5 容易受到 KDesktopFile 类中的命令注入漏洞的攻击。当实例化 .desktop 或 .directory 文件时,它通过 KConfigGroup::readEntry() 函数使用 KConfigPrivate::expandString()  不安全地评估环境变量和 shell 扩展。使用特制的 .desktop 文件,当用户在文件管理器中下载和查看文件,或者将链接拖放到文档或桌面上,就会被攻击。” 问题主要出在 KDE 允许 Shell 扩展通过环境变量或执行命令动态生成字段的值,“它们使用与 freedesktop 规范相同的语法,但是因为它们也允许 Shell 扩展(freedesktop 不允许这样做),所以这是可利用的。” 如开头 gif 所示,BleepingComputer 做了个简单的测试,可以很直观地了解该漏洞的执行过程。 该测试特别简单,测试者创建了一个 ZIP 文件,其中包含了一个带有 .directory 文件的子文件夹,在该配置文件的 icon 字段中,嵌入了一个启动并执行 kcalc 计算器的 test.sh 脚本。 因为目前无法关闭 KDE 桌面的 Shell 扩展来缓解该问题,所以 Dominik 建议用户检查每一个 .desktop 或 .directory 文件并禁用任何动态条目。   (稿源:开源中国,封面源自网络。)

网站漏洞导致超过 2000 名参与报道 E3 的记者个人信息泄漏

在参与报道了全球最大的视频游戏大会E3之后,由于组织方系统存在的安全漏洞导致大量记者的个人联系信息被公开曝光。在报告中称目前已经有超过2000人受到影响,除了各大新闻机构和媒体的记者、编辑之外,还有YouTube和Twitch等视频网站上的网红主播,以及高盛、IMDb和其他公司的工作人员。 本周六E3游戏展的组织方Entertainment Software Association(简称ESA)向这些受影响的记者发出了电子邮件警告,而这些记者都通过官方渠道注册参与了今年6月在洛杉矶会议中心举办的游戏大展,并获得了新闻报道证书。 在发送给记者的电子邮件中写道:“我们为ESA会员和参展商在一个密码保护的参展商网站上提供了媒体列表,方便用户联系媒体进行报道,以及更好地传播参展方的展示内容。而在过去20多年来一直没有问题。” 在发现这个问题之后,ESA在本周五已经发布告示称参展商网站存在缺陷,导致记者和媒体名单公布于众,随后ESA立即关闭了这个网站。 YouTuber Sophia Narwitz早些时候报道了这个漏洞并注意到她已经联系了ESA,它说可以通过点击公共E3网站页面上标有“注册媒体列表”的链接来下载一份包含联系人列表的电子表格。 她表示在这份名单中还包括了私人的住址信息,任何以新闻或内容创作者身份出席E3的人都可能受到影响。 ESA表示对此事件感到遗憾,并已采取措施确保不再发生这种情况。   (稿源:cnBeta,封面源自网络。)

Buhtrap 黑客组织使用微软零日漏洞进行间谍行动

Buhtrap黑客组织已将其目标从俄罗斯金融业务和机构转移。自2015年12月进行网络间谍活动以来,其影响最大的活动是在2019年6月期间使用了近期修补的Windows零日漏洞。 Windows本地权限提升零日漏洞(CVE-2019-1132)被Buhtrap滥用于其攻击,它允许犯罪组织在内核模式下运行任意代码。微软在本月的补丁星期二修复了此漏洞。 尽管Buhtrap自2014年以来不断攻击银行客户,但它直到一年之后才被检测到。根据Group-IB和ESET研究人员的说法,它从2015年以后便开始寻找金融机构等更高级的目标。Group-IB报告称,“从2015年8月到2016年2月,Buhtrap成功对俄罗斯银行进行了13次攻击,总金额达18亿卢布(2570万美元)”。   被Buhtrap利用的Windows零日漏洞 ESET研究人员通过多个有针对性的活动观察到黑客组织的工具集“是如何通过用于在东欧和中亚进行间谍活动的恶意软件进行扩展的”。 2019年6月,Buhtrap利用零日漏洞攻击政府机构,主要攻击方式是滥用旧版Windows中的“win32k.sys组件中空指针的逆向引用”。   转为网络间谍 Buhtrap发展过程 “当他们在网上免费提供工具源代码的时候,很难将行为归罪于特定的参与者,”ESET说, “然而,因为他们在源代码泄露之前更改了目标,所以我们确信首批对企业和银行进行Buhtrap恶意软件攻击的人也参与了针对政府机构的攻击。” 此外,“尽管新的工具已经添加到他们的武器库中并且更新可以应用于旧版本,但不同的Buhtrap活动中使用的策略,技术和程序(TTP)在这些年中并没有发生显著变化。” ESET在关于Buhtrap集团网络间谍活动的报告最后提供了一份完整的IOC表单,其中包括C2服务器领域,恶意软件样本哈希,代码签名证书指纹以及MITRE ATT&CK技术的表格。   消息来源:BleepingComputer, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Kubernetes 命令行存在新的漏洞

根据 TECHERATI 网站报道,Atredis Partners 公司的安全研究人员 Charles Holmes 在 Kubernetes 中发现了一个新的漏洞,如果利用该漏洞,攻击者可以将恶意容器放置到用户工作站上。 该漏洞影响 Kubernetes 的 kubectl 命令行工具,而这个工具是让用户在容器和用户机器之间复制文件。 容器调度器 Kubernetes 在确立为多云部署之后,就大受开发人员的喜爱,根据 JetBrains 的报告,29% 的开发人员现在使用 Kubernetes。所以漏洞的出现会引起很多人关注。 Kubernetes ProductSecurity Committee (Kubernetes 产品安全委员会)的代表人 Joel Smith ,将该漏洞与 CVE-2019-1002101 漏洞联系在一起,CVE-2019-1002101 是在今年3月发现的漏洞,也使攻击者能够通过 kubectl 嵌入恶意容器,而最初解决这个问题并不完整。 Joel Smith 说,攻击者可以将恶意代码嵌入容器的 tar 二进制文件中,这可能允让他们在调用 kubectl 时将文件写入用户计算机上的任何路径,不过,最新的漏洞可以通过将 kubectl 升级到 1.12.9、1.13.6 和 1.14.2 或更高版本来修复。   (稿源:开源中国,封面源自网络。)

微软 NTLM 协议曝出重大漏洞 现有缓解措施很难彻底修复

近日,外媒报道了微软 NTLM 协议中存在的新漏洞,或导致在任何 Windows 计算机上执行远程代码、或对任何支持 Windows 集成身份验证(WIA)的 Web 服务器(如 Exchange 和 ADFS)进行身份验证。具体说来是,Perrmpt 研究小组发现了由三个逻辑缺陷组成的两个严重漏洞,且所有 Windows 版本都易受到攻击影响。更糟糕的是,新漏洞可绕过微软此前已部署的缓解措施。 NTLM 中继流程示意(来自:HelpNetSecurity,via MSPU) 据悉,NTLM Relay 是 Active Directory 环境中最常用的攻击技术之一。虽然微软此前已经开发了几种缓解 NTLM 中继攻击的缓解措施,但 Preempt 研究人员发现其仍然存在隐患: ● 消息完整性代码(MIC)字段可确保攻击者不会篡改 NTLM 消息,但研究人员发现的旁路攻击,可以卸下 MIC 的保护,并修改 NTLM 身份验证流程中的各个字段,如签名协商。 ● SMB 会话签名可防止攻击者转发 NTLM 身份验证消息以建立 SMB 和 DCE / RPC 会话,但旁路攻击仍能将 NTLM 身份验证请求中继到域中的任何服务器(包括域控制器),同时建立签名会话以执行远程代码。如果中继身份验证属于特权用户,则会对全域造成损害。 ● 增强型身份验证保护(EPA)可防止攻击者将 NTLM 消息转发到 TLS 会话,但攻击者仍可绕过并修改 NTLM 消息,以生成合法的通道绑定信息。这使得攻击者可利用用户权限连接到各种 Web 服务,并执行读取用户电子邮件(通过中继到 OWA 服务器)、甚至连接到云资源(通过中继到 ADFS 服务器)等各种操作。 Preempt 负责地向微软公司披露了上述漏洞,后者在周二的时候发布了 CVE-2019-1040 和 CVE-2019-1019 补丁来应对这些问题。 然而 Preempt 警告称,这么做还不足以充分应对 NTLM Relay 带来的安全隐患,因为管理员还需要对某些配置加以更改,才能确保有效的防护。 下面是管理员的建议操作: (1)执行修补程序 – 确保为工作站和服务器打上了所需的补丁。 (2)强制 SMB 签名,放置攻击者发起更简单的 NTLM 中继攻击,请务必在网络中的所有计算机上启用 SMB 签名。 (3)屏蔽 NTLMv1 – 该版本相当不安全,建议通过适当的组策略来完全封禁。 (4)强制执行 LDAP / S 签名 – 要防止 LDAP 中的 NTLM 中继,请在域控制器上强制执行 LDAP 签名和 LDAPS 通道绑定。 (5)实施 EPA – 为防止 Web 服务器上的 NTLM 中继,请强化所有 Web 服务器(OWA / ADFS),仅接受使用 EPA 的请求。 (6)减少 NTLM 的使用 – 因为即便采用了完整的安全配置,NTLM 也会比 Kerberos 带来更大的安全隐患,建议在不必要的环境中彻底弃用。   (稿源:cnBeta,封面源自网络。)

macOS 被爆安全漏洞:可轻松绕过门禁功能安装恶意程序

在向苹果反馈三个月之后,一位安全专家详细披露了如何绕过Gatekeeper(门禁),欺骗用户运行潜在的恶意程序。安全顾问Filippo Cavallarin表示,macOS系统中的设计缺陷可以让黑客轻松绕过Gatekeeper。他在2019年2月22日向Apple报告了这一漏洞,现在决定公开披露。 Cavallarin在个人博客上表示:“根据供应商表示这个问题在2019年5月15日已经得到解决。不过在刚开始的时候苹果并没有接受我的电子邮件。在反馈给苹果90天的披露截止日期之后,我公开了这些信息。” Gatekeeper设计目标根本不是为了防止这种漏洞,而是确保只有受信任的软件才能在 Mac 上运行。Apple 会审查 App Store 中的每个应用,审查通过后予以接受并添加签名,确保应用未经篡改或改动。如果某个应用存在问题,Apple 会迅速从商店中下架。 视频:https://player.youku.com/embed/XNDE5Njg2ODU4NA== 但是值得注意的是Gatekeeper 本身根本不负责检查APP的行为。Cavallarin表示:“根据设计规范,Gatekeeper将外部磁盘和网络共享视为安全位置,而且它允许这些磁盘下的所有应用程序运行。”因此当用户下载并做出了启动应用程序的选择,在下次打开的时候Gatekeeper就不会继续检查它。 Cavallarin继续说道:“Zip档案可以包含指向任意位置的符号链接(包括automount enpoints),并且在macOS上负责解压缩zip文件的软件在创建符号链接之前不会对符号链接执行任何检查。”他接着解释说,用户可以“轻易”欺骗安装网络共享驱动器,然后该文件夹中的任何内容都可以通过Gatekeeper。 目前苹果官方并未针对该漏洞做出回应。   (稿源:cnBeta,封面源自网络。)