安全快讯Top News

NTP 漏洞可致 Windows 系统触发 DoS(含POC)

研究人员发布了针对 CVE-2016-9311 漏洞的 PoC,这个漏洞能够导致 NTP 守护进程崩溃,并且触发 Windows 系统拒绝服务。 NTP 协议能被黑客利用。NTP 是一种广泛用于时钟同步的协议,这种协议能够在多个系统同步时间. 本周,网络时间基金会修复了一个漏洞,编号为 CVE-2016-9311 影响了 NTP.org发布的众多 nptd ,版本号为 4.2.8p9 之前,4.3.94 除外。 NTP.org,ntpd 没有默认开启 trap 服务,如果trap被开启,该漏洞能够让未授权的用户通过特别构造的数据包导致空指针引、ntpd 崩溃,进而导致服务器拒绝服务。这个漏洞只影响 Windows 服务器。 由于 PoC 代码已经流出,请管理员们立即给NTP打上补丁。 稿源:Freebuf,封面来源:百度搜索

欧盟委员会遭受 DDoS 攻击 服务器离线数小时

据外媒报道,当地时间周四欧盟委员会( European Commission)官网遭受分布式拒绝服务 (DDoS)攻击,致使服务器离线数小时。欧盟委员会在一份声明中确认其成为了 DDoS 攻击目标,不过表示安全团队已迅速地作出反应,因而此次攻击并未造成任何影响。 然而,几位消息人士援引欧盟委员会工作人员的话称,在遭受 DDoS 攻击后一些服务器出现离线的情况,并持续数小时。目前尚不清楚是 DDoS 攻击造成服务器离线还是安全工程师为应对攻击而选择主动关闭服务器。 外媒 Politico 报道称,欧盟委员会一位发言人表示:“并没有发生数据泄露的情况。目前为止我们已经成功防御了DDoS 攻击,服务器也并未失去响应,不过网络连接速度在一段时间内一度受到了影响。 ” 不过另据报道, 欧盟委员会在发给内部员工的邮件中解释称, DDoS 攻击导致“我们互联网连接的中断”。另有员工表示“今天下午所有人都无法工作,因为网络已经断开两次,持续了好几个小时”。 目前欧盟委员会已经联手欧盟网络应急响应小组(CERT-EU)就此事展开调查。 稿源:cnbeta.com,封面来源:百度搜索

Uber 门户网站存 IDOR 漏洞可泄露用户敏感信息

Uber 门户网站 UberCENTRAL 模块存在一系列漏漏,可能泄露用户姓名、电话号码、电子邮件地址、以及所有 Uber 用户的唯一ID。 漏洞赏金“猎人” Kevin Roh 发现这些漏洞都是由于一个不安全的直接对象引用 (IDOR)导致的。在 9 月初发现了第一个 bug,允许他以管理员身份通过 POST 请求用电子邮件枚举用户 UUID 。 在 10 月他发现可以使用类似的方法,通过 GET 请求枚举 UUID。在 10 月下旬,他发现可以让系统输出姓名、电话号码和电子邮件地址。 目前,还不清楚 Kevin Roh 通过这个三个不安全的直接对象引用漏洞获得多少赏金,但从历史上看每个漏洞的赏金应该在 500 至 1000 美元之间。 本周三 Uber 发言称,漏洞已经被修复,没有用户受到影响。 稿源:本站翻译整理,封面来源:百度搜索

特斯拉专属 App 爆漏洞,或被黑客利用盗走爱车

挪威互联网安全公司 Promon 日前指出,特斯拉为其电动汽车定制的专属应用(App)实为一把“双刃剑”。在为车主提供方便的同时,它也可能被盗车贼利用。 Promon 首先在特斯拉超级充电站附近建立一个免费的 WiFi 热点,然后发起一个虚假的免费提供汉堡的促销活动,以吸引周围的人在其网络上注册。接下来,Promon 将恶意软件安装到热点用户的移动设备上,不知不觉中就窃取了特斯拉车主的用户名和密码。通过这种方法,黑客还能窃取车主手机上的银行账户和电邮账户的登录信息,以及其他敏感信息。 Promon 创始人兼首席技术官汤姆·莱斯莫斯·汉森(Tom Lysemose Hansen)称:“取消实体钥匙与银行和支付行业的做法是一样的,实体货币正在被移动货币所取代。但我们认为,特斯拉和汽车行业需要提高其应用的安全等级。” Promon 还表示,目前正与特斯拉进行密切对话。特斯拉一位发言人称,特斯拉已经意识到该问题。到目前为止,还没有车主报告称有黑客试图通过专属应用来盗取汽车。 稿源:新浪科技,封面来源:百度搜索

黑客利用 “InPage” 办公软件 0-day 针对亚洲金融和政府机构

据外媒报道,卡巴斯基实验室研究人员发现有组织利用 InPage 办公软件的 0-day 漏洞对亚洲金融和政府机构进行间谍活动。 InPage 是被亚洲地区广泛使用的一种文本处理和页面布局工具。它支持乌尔都语、波斯语、普什图语和阿拉伯语。用户群体包括学院、图书馆、政府组织、媒体公司。 InPage 基于 Microsoft 复合文件格式形成了自己专有的文件格式。攻击者使用具有 InPage(.inp)扩展名结尾的特殊文件,该文件中被嵌入恶意 shellcode 代码并可在多个 InPage 版本内触发。恶意代码可以自解密并执行 EXE文件。软件主模块“ inpage.exe ”在解析某些字段时存在漏洞,攻击者可设置特殊内容触发漏洞、控制指令流程并执行代码。 研究人员已经发现黑客利用 InPage 0-day 漏洞,针对亚洲和非洲的金融和政府机构安装后门和键盘记录器等间谍软件,具体国家有缅甸、斯里兰卡和乌干达。 稿源:本站翻译整理,封面来源:百度搜索

微软 EMET 安全机制或胜过 Win 10 现行安全防护能力

据外媒报道,美国卡内基梅隆大学 CERT 协调中心研究员 Will Dormann 称,微软不应该计划“砍掉”增强型减灾工具(EMET),而是应该继续保留这一功能。因为运行着 EMET 的 Windows 7 电脑甚至胜过 Windows 10 运行的本机安全防御。 微软此前称 EMET 的防御功能已经集成到 Windows 10 操作系统,并将于 2018 年中期停止对 EMET 的支持。 Dormann 将 Windows 7 与 Windows 10 安全性进行了比较 Dormann称微软忽略了 EMET 功能的一个重要特性:强制应用程序运行额外的防御机制。对于某些还在使用已经停止补丁更新的软件使用者来说,这会提供额外的安全防御措施。 稿源:本站翻译整理,封面来源:百度搜索

美国海军数据泄露,涉 13.4 万士兵个人信息

据外媒透露,美国海军遭遇数据泄露,超过 134000 名现役和退役士兵的个人敏感信息包括社会安全号码被非法访问。官方已通过邮件、电话和信件通知受影响的士兵。 10 月 27 日惠普向美国海军报告,公司发现员工用来存储企业服务协议的笔记本电脑遭黑客入侵,而其中存储有美国海军士兵的合同信息。海军人事部长副海军上将罗伯特·伯克表示:美国海军非常严肃地对待这起事故,这关系服役士兵对组织的信任。目前,没有任何证据表明泄露的数据被恶意利用。美国海军称调查还处于初期阶段、还将持续进行以确保此类事件不再发生。 稿源:本站翻译整理,封面来源:百度搜索

为查儿童色情网站,FBI 以恶意软件黑遍全球 120 国

据外媒报道,FBI 今年 1 月被曝开展了一次“空前的”黑客行动,该机构使用一项授权令,向逾 1000 位涉嫌访问儿童色情网站的用户植入了恶意软件。如今的一份文件显示,该行动的规模实际上完全在另一个量级。根据法院文件,FBI在该案件中共获得了逾 8000 个 IP 地址,黑进了全球 120 个国家的电脑。 这是迄今所知最大规模的执法机构黑客活动,赤裸裸地展示了未来的网络治安犯罪案件可能的样子。这则消息正值美国准备改变法规,允许地方法官授权开展大规模网络黑客活动之际——不管这些电脑在世界哪个地方。 “据我目前所知,在我们国家的历史上还没有一项授权令波及范围如此之广,”联邦公共辩护律师科林·费曼在 10 月底的一场听证会上说。据文件显示,费曼是代表受影响案件中的数位被告发表这些讲话的。 这些案件均与 FBI 调查儿童色情网站 Playpen 有关。2015 年 2 月份,FBI 查获了该网站,但是该机构并没有立刻关闭它,而是将其在一个政府服务器上运营了 13 天。然而,虽然FBI获得了该网站的行政控制权,但却无法查看 Playpen 用户的真正 IP 地址,因为用户通常使用洋葱浏览器(Tor Browser)访问该网站。 为了绕开这些匿名伎俩,FBI 部署了其所称的 NIT 技术,或者说是一个恶意软件。它包含一个洋葱浏览器漏洞,任何用户访问Playpen 的特定儿童色情内容,它都能黑进这些电脑。 根据法院文件,FBI 获得了逾 1000 个美国用户 IP 地址。此外,FBI还黑进了澳大利亚、奥地利、智利、哥伦比亚、希腊、土耳其、英国和挪威等至少 120 个国家的电脑。 稿源:cnbeta.com,封面来源:百度搜索

黑客组织 “Shad0wS3C” 入侵墨西哥政府 IFREM 网站、泄露主数据库文件

黑客组织 “Shad0wS3C” 领导者 Gh0s7 称,已成功入侵墨西哥政府机构 IFREM 网站、获取了主数据库文件,包含用户数据、护照信息以及其他个人信息。黑客将部分信息公布到了网上。 IFREM (Instituto de la Función Registral del Estado México)是墨西哥注册功能研究所,旨在为公众提供相关法律和注册管理办法的办理流程。 黑客解释说,这次入侵网站并不是为了进行黑客行动主义,而是向世界展示他的团队 Shad0w Security (Shad0wS3C) ,Shad0wS3C 将再次回归人们的视野、更多的入侵事件将在未来几天公布。 黑客 Gh0s7 表示第一次入侵网站是在九月份,墨西哥政府并无“漏洞赏金计划” 因此没有将问题报告给该网站的管理员,此后 IFREM 也没有增加网站安全性防止进一步非法访问,最终导致黑客成功入侵。 稿源:本站翻译整理,封面来源:百度搜索

商业邮件诈骗将目标转向医疗机构 ,英美及加拿大 35 家机构沦陷

在过去两周里,以冒充 CEO 为形式的一系列商业电子邮件欺诈(BEC)开始将目标转向医疗机构,其中美国有 17 家机构、英国 10 家、加拿大 8 家。这些机构包括一般医院和用于专科保健、诊所性质的教学医院。即使制药公司也不能免于 BEC 诈骗,一家位于英国的公司和两家加拿大制药公司也成为诈骗目标。 CEO 欺诈是一种 BEC 骗局,骗子通过欺骗、假冒 CEO 或另一个商业主管的电子邮件帐户,向管理公司财务的首席财务官(CFO)发送欺诈性质的汇款请求,不知情的员工会将资金转移到骗子的银行账户 (平均每起诈骗造成 13 万美元的损失)。 与其他网络犯罪形式不同,这种 CEO 欺诈并不是利用安全漏洞因而很难被防御,攻击者通常伪造“发件人”和“回复”字段并将主题行限制为几个字,以避免引起怀疑并体现紧迫性。换句话说,电子邮件本身不会在其正文中包含典型的恶意附件或网址,这意味着传统的安全解决方案会将邮件默认为“安全”。 企业首席财务官(CFO)应注意每封邮件的邮件地址并验证发件人真伪并严格按照流程进行转账。 稿源:本站翻译整理,封面来源:百度搜索