标签: 0day

微软修复了 2018 年起就存在的 0day 级别 Windows 文件签名漏洞

作为8月11日补丁周二的一部分,一个0day级别的漏洞被修复,它影响到Windows 7、Windows 8.1、Windows 10和几个Windows Server版本,微软还承认已经留意到利用此漏洞发生的攻击已经出现。这是操作系统中的一个欺骗漏洞,详情记录在CVE-2020-1464中,后果是黑客最终可以通过成功利用它来加载不当签名的文件。 “存在一个欺骗漏洞可以令Windows错误地验证文件签名。成功利用该漏洞的攻击者可以绕过安全功能,加载不正当签名的文件。在攻击场景中,攻击者可以绕过旨在防止加载不当签名文件的安全功能。”微软表示,看起来这个缺陷从2018年起就存在。 KrebsOnSercurity透露,该欺骗漏洞最早是由VirusTotal的经理Bernardo Quintero向微软报告的,公司随后向他证实了这一发现。但是,”微软已经决定不会在当前版本的Windows中修复这个问题,并同意我们能够在博客上公开报道这个案例和我们的发现。”在引用源强调的一篇博客文章中如此描述。 安全研究员、KZen Networks的创始人Tal Be’ery也指出,有证据表明该缺陷在2018年夏天就被发现了,不知为何微软当时就决定不打补丁。 微软则回避了关于为什么要等到现在才打补丁的问题。但更糟糕的是,微软在2018年不发布修复程序,等到2020年8月才解决操作系统缺陷,这意味着本身就暴露在攻击之下的Windows 7设备不再获得补丁,因为其非付费性质的支持早在2020年1月就结束了。     (稿源:cnBeta,封面源自网络。)

ZoneAlarm论坛遭遇黑客攻击,暴露成千上万用户数据

Check Point Technologies拥有的流行安全软件公司ZonaAlar 遭遇了数据泄露,安全漏洞暴露了ZonaAlarm论坛用户的数据。 ZoneAlarm套件包括面向用户和小型组织的防病毒软件和防火墙解决方案,下载量接近1亿。 虽然ZoneAlarm或者其母公司Check Point都还没有公开这次的事件,但该公司本周末悄悄地通过电子邮件警告了所有用户。 尚不清楚攻击者何时破坏了ZoneAlarm论坛。消息表明,攻击者获得了对论坛成员数据的未经授权的访问,包括姓名,电子邮件地址,哈希密码和生日。 好消息是,受影响的用户数量不大,此事件仅影响了“ forums.zonealarm.com”域,该域名下大约有4,500个订阅者。 “该论坛与公司的其他网站不同,只有少数的用户注册使用,”公司在通知邮件中解释道,“目前该网站为了解决问题而处于非活动状态,并将在修复后立即恢复。登录论坛后,系统将要求您重置密码。” 此次事件是由于缺少补丁程序管理所致。公司发言人解释说,攻击者利用了vBulletin论坛软件中的CVE-2019-16759远程执行代码漏洞。 9月,一位匿名黑客披露了技术细节和概念验证漏洞利用代码,以解决该漏洞中一个严重的零日远程代码执行漏洞。黑客可以远程利用此漏洞。黑客发布 的PoC对于5.0.0至5.5.4版本都有效,ZoneAlarm论坛正在运行5.4.4版本。 论坛软件的小部件文件在通过URL参数接受配置的方式中产生了零日漏洞。专家发现该软件包无法验证参数,攻击者可以利用该软件包注入命令,并在易受攻击的安装上远程执行代码。 此事件发生后,ZoneAlarm 关闭了论坛网站并开始对事件进行调查。   消息来源:TheHackerNews, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

Chrome 用户请尽快更新:谷歌发现两个严重的零日漏洞

强烈建议:Chrome用户请尽快升级浏览器!在谷歌今天发布的紧急补丁程序中修复了两个严重的零日漏洞,而其中一个已经被黑客利用。Chrome安全小组表示,这两个漏洞均为use-after-free形式,允许黑客在受感染设备上执行任意代码。其中一个漏洞存在于浏览器的音频组件中,而另一个存在于PDFium库中。Windows、macOS和GNU/Linux三大平台版本均受影响。 互联网安全中心警告说:“在Google Chrome中发现了多个漏洞”,并表示CVE-2019-13720和CVE-2019-13721的严重等级都很高。在后续警告中写道:“这两个漏洞允许攻击者在浏览器中执行任意代码、获取敏感信息,绕过安全限制并执行未经授权的操作或导致拒绝服务情况”。 Google Chrome小组在博客中说,稳定版已经升级至78.0.3904.87,修复了这两个问题: 此更新包括2个安全修复程序。下面,我们重点介绍由外部研究人员提供的修复程序。请参阅Chrome安全性页面以获取更多信息。 [$7500] [1013868]高CVE-2019-13721:PDFium组件中的Use-after-free。由 banananapenguin在2019-10-12报道。 [$TBD] [1019226]高CVE-2019-13720:音频组件中的Use-after-free。卡巴斯基实验室的Anton Ivanov和Alexey Kulaev于2019-10-29报道 谷歌承认已经有黑客利用CVE-2019-13720漏洞向Chrome用户发起攻击。目前尚无法披露有关安全漏洞的详细信息。   (稿源:cnBeta,封面源自网络。)

研究人员披露新的 Steam 客户端零日漏洞,影响超过 9600 万 Windows 用户

Kravets 此次公布的 Steam 客户端零日漏洞是一种特权升级漏洞,将影响超过 9600 万用户。 首个 Steam 客户端零日漏洞就是被 Kravets 发现的,但在 Valve 解决此漏洞之后,研究员  Xiaoyin Liu  发现并披露了绕过 Valve 的补丁的方法。 结果Valve 不仅没有奖励 Kravets,还禁止他参加赏金计划。 Kravets 发现,攻击者可以利用 Steam 客户端服务的 NT AUTHORITY \ SYSTEM 特权,通过运行可执行文件实现特权升级。 据专家解释,此方法使用了 BaitAndSwitch,是一种为了赢得 TOCTOU(检查时间\使用时间)而将链接和 oplock 的创建相结合的技术。 黑客利用Steam游戏、Windows应用程序或操作系统本身的漏洞获得远程代码执行权限,并在权限提升之后使用 SYSTEM 权限运行恶意负载。 “因此,任何代码都可以以最大权限执行,这个漏洞类称为 “特权升级”(EOP)或 “本地特权升级 ”(LPE)。尽管任何应用程序本身都可能是有害的,但实现最大特权可能会导致灾难性的结果。” Kravetz 写道,“例如,禁用火墙和防病毒, rootkit的安装,隐藏 process-miner,窃取任何 PC 用户的私人数据 – 这些还不是全部。”     消息来源:SecurityAffairs,译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

漏洞预警:Oracle WebLogic 曝 0day 漏洞,攻击者可远程执行命令

2019年04月17日,国家信息安全漏洞共享平台(CNVD)官方发布安全公告 http://www.cnvd.org.cn/webinfo/show/4989称Oracle WebLogic wls9-async组件存在反序列化远程命令执行漏洞,攻击者可利用该漏洞在未授权的情况下远程执行命令。 随后知道创宇404实验室启动应急流程,通过分析后复现了该漏洞并确定该漏洞影响启用了wls9_async_response.war及wls-wsat.war组件的所有Weblogic版本(包括最新版本),到本预警发布时,官方仍然没有发布对应修复补丁,属于“0day安全”漏洞。 值得注意的是,知道创宇旗下创宇盾监控发现,该漏洞最早在4月17日存在漏洞扫描痕迹,另外从知道创宇ZoomEye网络空间搜索引擎总共检索到100671条历史数据,其中中国30,600条 主要分布在北京、广东、上海等省市。 由此知道创宇404实验室发出紧急漏洞预警,建议所有使用Oracle WebLogic的用户引起重视,注意防范。目前经过确认,知道创宇旗下云安全防御产品“创宇盾”无需升级即可防御该漏洞。临时解决方案: 方案1:找到并删除wls9_async_response.war、wls-wsat.war 并重启Weblogic服务 方案2:通过访问策略控制禁止 /_async/* 及 /wls-wsat/* (注意) 路径的URL访问。 方案3:启用部署“创宇盾”(https://www.yunaq.com/cyd/) 知道创宇404实验室后续将发布更多漏洞细节和漏洞应急方案,敬请关注。  知道创宇404实验室,是国内黑客文化深厚的网络安全公司知道创宇最神秘和核心的部门,在知道创宇CSO、404实验室负责人周景平(黑哥)的带领下,知道创宇404实验室长期致力于Web、IoT、工控、区块链等领域内安全漏洞挖掘、攻防技术的研究工作,团队曾多次向国内外多家知名厂商如微软、苹果、Adobe、腾讯、阿里、百度等提交漏洞研究成果,并协助修复安全漏洞,多次获得相关致谢,在业内享有极高的声誉。

Google Chrome 被发现零日漏洞 可让黑客获取用户数据

谷歌浏览器Chrome中的零日漏洞允许黑客使用浏览器中加载的恶意PDF文档来获取个人数据。由EdgeSpot发现这项安全漏洞,已经在被黑客利用,谷歌官方修复方案只会在4月底发布。 当在专用的PDF阅读器(如AdobeReader)中打开时,PDF文档似乎不会泄漏任何个人信息。恶意代码似乎专门针对Google Chrome浏览器中的漏洞,在浏览器中打开这些恶意PDF,会触发到两个不同之一的出站流量,分别称为burpcollaborator.net和readnotify.com。 黑客通过此种方式可以获得的数据包括设备的IP地址、操作系统和Google Chrome版本,以及本地驱动器上PDF文件的路径等等。有趣的是,大部分安全产品无法实时检测到恶意的PDF文档,只有一些防病毒解决方案在扫描它们时才会触发警告。 目前避免此漏洞侵害的最简单方法是避免在Google Chrome浏览器中打开任何PDF文档,但是如果必须这样做,您应该远离来自不信任来源的文件。此外,在Google Chrome中打开PDF文档时,您可以暂时断开电脑与互联网的连接。     (稿源:cnBeta,封面源自网络。)

又一 Windows 的 0day 漏洞在 Twitter 上被公开

微软Windows最近麻烦不断,“bug 10”问题让人哭笑不得的同时,一个真正的威胁又出现了。新的0day漏洞已经被披露,会影响所有最近的Windows版本,包括Windows 10。用户名“SandboxEscaper”的研究人员在Twitter和GitHub上分享了概念证明(Proof of Concept),确认此漏洞存在。 根据研究人员的报告,最新的Windows零日漏洞影响了微软数据共享组件(dssvc.dll),这是一种在应用程序之间提供数据代理的本地服务。 该漏洞影响Windows操作系统,包括Windows 10(安装最新的被戏称为“bug 10”的2018年10月更新同样未能幸免),更重要的是,运行角色重要得多的Windows Server 2016,甚至是新的Server 2019也在受影响之列。 ACROS Security的联合创始人兼首席执行官Mitja Kolsek警告用户不要因为好奇而在生产环境中运行这个PoC,因为它会删除Windows文件并需要用户运行系统还原来修复它,最好的方法就是等待微软修补这个漏洞。   稿源:cnBeta,封面源自网络;

视频监控出现新漏洞:黑客可以让监控摄像头失灵

讯 北京时间9月18日早间消息,安全公司Tenable的研究人员近日披露了一项涉及安全摄像头和监控设备的“零日漏洞”,编号为CVE-2018-1149,代号“Peekaboo”。攻击者可以利用这个漏洞,通过远程方式在视频监控系统软件上执行代码。 具体来说,攻击者可以利用这个漏洞浏览、篡改视频监控记录等信息,还可以窃取机密数据,比如凭证、IP地址、端口使用情况、监控设备的型号。攻击者甚至可以让摄像头等监控设备完全失灵。 这些漏洞的主要原因在于一款名为“Nuuo”的视频监控管理软件上。这款软件为客户提供视频监控系统,很多机场、银行、政府机构、居民区都在使用。因此漏洞的影响范围极广。 Tenable已经将漏洞报告给Nuuo软件公司,公司正在制作补丁。Tenable目前推出一个插件,机构可以利用插件检测设备是否会受到Peekaboo的影响。   稿源:,稿件以及封面源自网络;

上传恶意文件时无意泄露两个0-day,被研究人员抓个正着

一个未知的黑客组织在向公开恶意软件扫描引擎上传一个用于攻击的 PDF 文件时,无意间泄露了两个 0-day 漏洞。漏洞被研究人员捕获,并及时上报给厂商修复。 ESET 研究员 Anton Cherepanov 在 3 月底分析海量恶意软件样本时,发现了这两个隐藏的漏洞,在发现之时,该神秘黑客组织仍在调整这两个漏洞。Cherepanov 表示:“样本中不包含最终有效载荷,这意味着漏洞被发现时仍处于早期发展阶段。”这两个 0-day 漏洞分别是影响 Adobe Acrobat/Reader PDF 阅读器的 CVE-2018-4990,和影响 Windows Win32k 组件的 CVE-2018-8120。二者结合可以构成一个所谓的“利用链”。其中,利用 CVE-2018-4990 可以在 Adobe Acrobat/Reader 中运行自定义代码,而利用 CVE-2018-8120 则可以绕过 Adobe 的沙箱保护并在底层操作系统上执行其他代码。   稿源:Freebuf,封面源自网络;

韩国互联网安全局(KISA)预警:朝鲜黑客利用 Flash 零日漏洞针对性攻击韩国网民

外媒 2 月 1 日消息,韩国互联网安全局(KISA)于近期发布警报称朝鲜黑客已利用 Adobe Flash Player 中的 “ 零日” 漏洞在野外开展攻击活动。据相关研究人员介绍,黑客组织通过诱骗用户打开一个分发恶意 Flash 文件的 Microsoft Office 文档、网页或者垃圾电子邮件来对该漏洞加以利用,从而达到操控用户系统的目的。 韩国计算机应急响应小组(KR-CERT)透露,特制的 Flash 文件中存有恶意代码。 目前看来,该恶意代码很可能嵌入在 Word 文档的 Flash SWF 文件中。 韩国安全公司 Hauri Inc.的研究员 Simon Choi 表示,朝鲜黑客自 2017 年 11 月中旬开始利用 “ 零日”,其主要目的可能是为了攻击韩国用户 。针对上述情况,Simon Choi 建议用户在 Adobe 发布补丁之前禁用或卸载 Adobe Flash Player。 Adobe 方面目前已经得到了报告,并计划在 2 月初发布新版本来解决该漏洞。Adobe 表示从 Flash Player  版本 27 开始,管理员可以设置成用户播放 SWF 内容之前收到提示信息。当然,管理员也可以开启 Office 保护视图,以只读模式打开可能不安全的文件。 消息来源:Security Affairs,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。