安全快讯Top News

安全人员公布 Microsoft Edge 的最新远程漏洞

可让Microsoft Edge Web浏览器实现远程代码执行的概念证明代码已在线发布,该漏洞来源于Edge的访问内存出错,代码今天由一位研究人员发布,该错误会影响Chakra,它是支持Edge的JavaScript引擎。漏洞将允许攻击者使用与登录用户相同的权限在计算机上运行任意代码。 概念验证代码有71行,导致越界(OOB)内存读取泄漏,但代码可仅需要简单的重新设计就可以获得更有害的结果。 微软在12月的补丁中解决了这个问题,强烈建议用户安装最新的累积更新,以确保浏览器和系统免受攻击。 了解更多: https://github.com/phoenhex/files/blob/master/pocs/cve-2018-8629-chakra.js   稿源:cnBeta,封面源自网络;

苹果商城发现恶意 Alexa 应用:下架前工具类 App 排行第六

近期国外安全专家在App Store上发现了一款名为“Setup for Amazon Alexa”的恶意APP,在下架之前它在工具类榜单中排行第6,在所有免费APP中排行第60。目前尚不清楚这款APP的真实意图,但显然这并非是由亚马逊官方制作的。 虽然这款恶意APP已经从App Store下架,但在背后依然存在很多的疑问。首先包含如此明显关键词的APP是如何通过审核上架的?目前外媒编辑在查询后发现App Store上还有两款不太和谐的应用程序,一个为Any Font for Instagram,而另一个为Marketplace  –  Buy / Sell,整体设计非常类似于Facebook。 这款名为“Setup for Amazon Alexa”的APP是由One World Software的,会向用户提交IP地址、序列号和名称。如果你的序列号和IP地址被泄露,那么最终可能会导致第三方恶意干扰。   稿源:cnBeta,封面源自网络;

卡巴斯基:明年将会出现盗用生物识别数据的攻击行动

新浪科技讯 12月27日下午消息,据台湾地区科技媒体iThome报道,俄罗斯安全企业卡巴斯基实验室(Kaspersky Lab)上个月公布了针对金融机构的2019年安全预测,指出明年将会出现首起盗用生物识别数据的攻击行动。 卡巴斯基指出,愈来愈多的金融机构开始支持生物识别系统,用来识别和认证用户。而到目前为止,已经发生了多起生物识别数据泄露的意外。这两个因素加在一起,让明年极有可能出现首例利用外泄的生物识别数据进行攻击的事件。 由于电子支付在印度、巴基斯坦、东南亚以及中欧等发展中国家日益普及,但这些国家金融组织的保护机制相对不成熟,因此在这些国家和地区可能会出现新的黑客集团。 而针对金融机构供应链的攻击也将延续到2019年,通常这些供应链上的软件供应链规模较小、安全措施也比较不足,黑客可能会借此渗透到供应链攻击汇款系统、银行及交易中心。 鉴于许多金融机构都缺乏实体的安全性以及对联网装置的控制,黑客只要利用联网装置就能入侵银行的内部网路。 研究人员建议金融卡的用户最好使用芯片金融卡,并设定双重认证,才不会成为黑客的头号目标;企业用的移动金融程序也有很大的机会成为黑客觊觎的对象;金融机构及企业的员工也将持续成为黑客的网络钓鱼目标以便进行诈骗行为。   稿源:新浪科技,封面源自网络;

当心!勒索病毒 WannaCry 仍然潜藏在世界各地的电脑上

新浪科技讯 12月27日下午消息,据台湾地区科技媒体iThome报道,安全公司Kryptos Logic中负责安全与威胁情报研究的Jamie Hankins上周在Twitter上表示,造成全球重大经济损失的勒索病毒WannaCry,至今仍然潜藏在世界各地的电脑上。 WannaCry利用EternalBlue攻击工具对微软Windows操作系统的服务器信息区块(SMB)漏洞展开攻击,而EternalBlue为美国国家安全局(NSA)所开发。 2017年5月12日,WannaCry在欧洲市场率先发难,加密被黑电脑上的文件并勒索赎金,并能主动侦测及入侵网络上其他有漏洞的设备,因此在短短的两天内,便在全球超过150个国家迅速感染了数十万台电脑。此外,今年造成台积电大规模停产的元凶也是WannaCry的变种。 减缓WannaCry肆虐的主要功臣是安全公司Kryptos Logic的研究人员Marcus Hutchins,他发现了WannaCry的勒索元件有一个“销毁”机制,即WannaCry会连至一个网络域名。如果WannaCry未发现该域名则加密电脑文件。换而言之,如果WannaCry连接到了该网络域名,则不会加密受感染电脑上的文件。 幸运的是,该域名竟然没人注册,随后Hutchins便注册了该域名,维持该域名的运作,成功阻止了WannaCry的勒索能力。 目前此一用来支撑“销毁”机制的域名由Cloudflare负责维护,有鉴于那些已感染WannaCry的电脑还是会定期连接到“销毁”域名,这让Kryptos Logic得以持续观察感染情况。 根据Jamie Hankins12月21日在Twitter上张贴的数据,他们当天的前24小时侦测到184个国家的22万个独立IP超过270万次连结到该“销毁”域名,前一周则有来自194个国家的63万个独立IP超过1700万次连结到该“销毁”域名。 不过,Hankins也说明这些独立IP无法代表实际的感染数量,只是这样的流量仍然很惊人。前五大流量来自中国、印尼、越南、印度及俄罗斯。 依然潜伏在电脑中的WannaCry还是有爆发的风险,例如一旦网络断线,或是无法连接“销毁”域名,WannaCry的勒索元件就会再度执行。 企业或者用户可通过Kryptos Logic免费提供的Telltale服务来侦测电脑上包括WannaCry在内的安全威胁。   稿源:新浪科技,封面源自网络;

新的 Google Chrome 攻击可能会让 Windows 10 设备发生假死

Google Chrome 中发现了一种可能完全冻结 Windows 10 设备的新漏洞。新的错误被用于技术支持骗局,让 Windows 10 出现假死,然后告诉用户他们的设备被病毒感染。新发现的错误使用 Javascript 代码创建循环,这使得无法关闭选项卡或浏览器。该弹出窗口还声称来自官方微软支持网站并声称该电脑感染了病毒,这可能会危及用户的密码,浏览器历史记录,信用卡信息和其他数据。 由于它是一个循环,每次用户尝试关闭它时,它几乎会立即再次打开,并将你的资源使用率推到 100%,这将最终让电脑死机。虽然这看起来像是一个操作系统问题,但它只是一个骗局,用户可以通过以下步骤轻松修复电脑。 从任务栏打开任务管理器,转到“进程”选项卡,点击 Google Chrome(或GoogleChrome.exe) 单击右下角的“结束任务”按钮。此外,请确保您尚未将 Google Chrome 设置为还原旧标签,因为这会再次打开欺诈网站。避免技术支持骗局的一种好方法是在支付任何钱修复您的设备之前对对方信息进行仔细核实。 这不是第一次确定针对谷歌浏览器的技术支持骗局。今年早些时候,我们报道了一个下载炸弹漏洞利用主要针对主要的网络浏览器,只有微软边缘可以应对这次攻击。防止被骗的一个很好的规则是要记住,公司通常不会要求用户付钱,除非他们彻底检查了设备并发现了问题。     稿源:cnBeta.COM,封面源自网络;

印度将允许执法与情报机构监控境内电脑上的任何信息

新浪科技讯 12月25日下午消息,据台湾地区科技媒体iThome报道,印度内政部下属的网络及信息安全部门在上周发布了一项命令,将允许印度的10个执法与情报机构可拦截、监控及解密境内任何电脑上所储存或接收的信息。 据报道,被赋予监控权限的单位包括情报局、麻醉品管制局、执法局、中央税务局、税收情报署、中央调查局、国家调查局、内阁秘书处、信号情报处及警务处处长。而服务供应商或电脑所有人则必须遵循这一命令,提供上述单位所要求的信息,否则必须支付罚款,或者面临最高7年的有期徒刑。 根据印度内政部的说明,这一命令是源自于该国的《信息科技法案》(Information Technology Act),该法案中的第69节阐明了当印度的主权、国防、国家安全、外交、公共秩序受到危害,或者为了避免受到危害时,可以要求任何机构监控运算装置。 印度通讯与信息科技部部长Ravi Shankar Prasad表示,上述单位肩负着国家安全的责任,但它们也必须得到内政部的批准,才能进行监控。 反对者则批评印度政府是在未经议会讨论下就偷偷地引入了这一侵犯民众隐私的权力,将把印度变成一个监控国家。   稿源:新浪科技,封面源自网络;

ACLU 起诉美国 11 家联邦机构 要求政府披露黑客工具使用状况

在联邦调查局(FBI)、移民海关执法(ICE)、禁毒署(DEA)等 11 个联邦机构未能回应《信息自由法案》的信息披露要求之后,美公民自由联盟(ACLU)决定采取进一步的行动 —— 向上述机构发起诉讼。当网络犯罪分子被逮捕时,无人不拍手叫好。但 ACLU 的诉求是,希望上述机构能够披露其使用黑客技术的手段的数量,以及它们是否缺乏应有的监督。 如果只是借助黑客技术来缉拿无情的恐怖分子或毒枭,没人会对这种“道德黑客”行为产生抱怨。然而信息匮乏的公众要怎么做,才能保证联邦机构在此期间不会犯错误呢? 普通民众只在零星的报道中,得知与其相关的信息泄露或法庭文件。比如上月,外媒 Motherboard 拿到了一份文件,其中详细说明了 —— FBI 是如何冒充联邦快递(FedEx)来部署恶意软件,以抓捕诈骗者;以及他们如何假冒新闻机构,欺骗青少年下载恶意软件,以确定其关于炸弹威胁的笑话是否属实。 此外,FBI 也在使用所谓的“水洞”(waterhole)攻击 —— 它们捕获服务器,并使用网络调查技术(NIT),在连接到这些服务器的任何设备上部署恶意软件。如果他们是在一个儿童色情上部署 NIT,相信普通民众是不会反对的;但若超出了适当的界限,或者实施中未受制约,那就令人唏嘘了。 需要明确的是,这些行动都不一定都是坏事,但它们确实凸显了联邦政府在间谍活动中,是怎样“为所欲为”的。ACLU 指出:“鉴于上述严重的问题,公众有权了解政府黑客活动的性质和程度、有哪些规则可以对这些强大的监控工具加以监管。遗憾的是,但到目前为止,我们所知道的大部分内容,都是基于零散的新闻报道”。 在借助 NIT 缉拿诈骗者这件事上,FBI 认为他们的行动并不需要先行获得逮捕令。众所周知,FBI 在加密和密钥系统中,留下了许多后门漏洞。假设他们在 100% 的时间内,正确且道德地加以使用,那么即便用户设备没有打上安全补丁,也应该是没有多大问题的(尽管这些后门总有被意外泄露的可能)。 该诉讼要求上述机构披露其使用的黑客工具、方式、频率、法律依据、以及内部管控的细则。如果法院作出有利于 ACLU 的判决,那对 NIT 应用的监管会进一步完善(其目前仍然隐藏在公众的视线中)。不过截止发稿时,FBI 方面并没有回应外媒的置评请求。   稿源:cnBeta,封面源自网络;

微软对外披露 Google 工程师发现的 IE 漏洞 攻击者可以控制受影响系统

Google 工程师发现 IE 中存在一个漏洞,攻击者可以通过漏洞完全控制受害操作系统。 据分析,这是一个脚本引擎内存损坏漏洞,影响所有受支持 Windows 上的 IE,包括 Windows 10 1809。该漏洞由 Google 威胁分析组的 Clement Lecigne 发现并报告给微软。微软表示,在被公开披露之前,该漏洞已经被利用。目前漏洞已经被收录为 CVE-2018-8653。 “脚本引擎处理 IE 内存对象的方式中存在一个远程执行代码漏洞,该漏洞让攻击者可以在当前用户的上下文中执行任意代码破坏内存。成功利用此漏洞的攻击者可以获得与当前用户相同的用户权限”,微软解释:“如果当前用户使用管理用户权限登录,则成功利用此漏洞的攻击者可以控制受影响的系统。然后攻击者可以安装程序,查看、更改或删除数据,或创建具有完全用户权限的新帐户。” 微软已经使用最新的 Windows 10 累积更新修复了该漏洞,并且还针对 Windows 7 和 Windows 8.1 发布了安全补丁 KB4483187。   稿源:开源中国,封面源自网络;

FBI 扫除了一批付费发起 DDoS 攻击的网站

据外媒报道,在执法部门和多家科技企业的协助下,美国联邦调查局(FBI)已经扫除了 15 个臭名昭著的付费式 DDoS 攻击网站。加州联邦法官批准的多份扣押凭证,已于本周四生效。在扣押非法提供 DDoS 租用的网站后,其域名也将被有关部门收走。根据在美国三处联邦法院提交的证词,检察官指控了三名男子,分别是来自几周的 Matthew Gatrel 和 Juan Martinez、以及来自阿拉斯加的 David Bukoski 。 美国司法部长布莱恩施罗德在一份声明中称:“像这样的租赁式 DDoS 攻击服务,对美国构成了重大的安全威胁。而这些协同调查和起诉,证明了与公共部门展开跨区域合作的重要性。” 本次行动扫除了包括 downthem.org、netstress.org、quantumstress.net、vbooter.org、defcon.pro 等在内的十余个非法。在协助调查的企业中,Cloudflare、Flashpoint、谷歌等科技巨头榜上有名。 长期以来,DDoS 一直困扰着互联网。许多攻击,都是利用互联网底层协议漏洞的副产品。近年来,租赁式的 DDoS 攻击服务变得愈加普遍,但它显然不可一直游走在灰色地带。 虽然许多人借助 booter 和 stresser 网站开展合法的业务 —— 比如测试企业网络对于 DDoS 攻击的弹性抵御能力 —— 但也有更多不法之徒借此来发起大规模攻击。 起诉书中提到的一些网站,攻击速度超过了每秒 40Gbps,足以让不少网站在一段时间内宕机离线。美司法部指出,Downthem 的 2000 多名客户,发动了超过 20 万次的攻击。   稿源:cnBeta,封面源自网络;

McAfee 报告:加密货币恶意软件数量过去 1 年增长 4000%

随着加密货币的价值断崖式下跌,黑客会更加猖獗地攻击最后狠狠捞一笔还是偃旗息鼓等待加密货币反弹后再割?只有时间能给出答案。根据McAfee实验室近期公布的最新研究报告,针对加密货币的恶意软件数量在过去一年中增长了4000%。 McAfee实验室发布的2018年12月威胁报告[PDF]中,这家安全公司强调称2018年第一季度针对加密货币矿工的恶意软件数量大幅增长。这一趋势在第二季度似乎略有减少,但在第三季度,环比增长近40%。McAfee注意到在过去几个季度中,这种新型勒索软件系列的数量有所下降。这表明这些攻击者正转向更有利可图的加密劫持模式(cryptojacking)。 由于普遍缺乏适当的安全控制,类似于IP摄像头等物联网设备和路由器等设备非常容易受到攻击。这些设备虽然没有强大的CPU,但庞大的数量依然可以为黑客带来有价值的回报。在过去两年中,恶意软件总体上已经出现了稳定和可预测的增长,这一趋势没有显示出放缓的迹象。   稿源:cnBeta,封面源自网络;