Hackernews 编译，转载请注明出处： 1999年推出的Microsoft Active Directory是Windows网络中的默认身份和访问管理服务，负责为所有网络端点分配和执行安全策略。有了它，用户可以跨网络访问各种资源。随着时间的推移，事情往往会发生变化。几年前，微软推出了Azure Active Directory，这是基于云的AD版本，用以扩展AD范例，为组织提供跨云和本地应用程序的身份即服务(IDaaS)解决方案。(请注意，截至2023年7月11日，该服务已更名为Microsoft Entra ID，但为了简单起见，我们将在本文中将其称为Azure AD)。 Active Directory和Azure AD对于本地、基于云和混合生态系统的功能至关重要，也在正常运行时间和业务连续性方面发挥着关键作用。随着90%的组织使用该服务进行员工身份验证、访问控制和ID管理，它已成为打开网络城堡的钥匙。 Active Directory，不太妙 作为系统的中心，Active Directory的安全态势却十分可悲。 让我们快速浏览一下Active Directory的用户分配方式，这将揭示为什么这个工具存在我们所说的问题。 Active Directory所做的核心工作是建立具有与之关联的角色和授权的组。用户被分配一个用户名和密码，然后链接到他们的Active Directory帐户对象。使用轻量级目录访问协议，验证密码是否正确，并验证用户组。一般情况下，用户被分配到Domain User组，并被授予对域用户具有访问权限的对象的访问权限。然后是管理员——这些用户被分配到域管理员组。这个组具有很高的特权，因此被授权在网络中执行任何操作。 有了这些潜在的强大功能，确保以最佳方式管理和配置Active Directory是非常关键的。遗漏的补丁、糟糕的访问管理和错误的配置等问题可能会让攻击者访问最敏感的系统，这可能会带来可怕的后果。 在2022年，我们的内部研究发现，73%用于破坏关键资产的顶级攻击技术涉及管理不善或窃取凭证，而组织中超过一半的攻击包括一些Active Directory破坏元素。一旦他们在Active Directory中站稳脚跟，攻击者就可以执行大量不同的恶意操作，例如: 在网络中隐藏活动 执行恶意代码 提升权限 进入云环境危及关键资产 关键是，如果您不知道Active Directory中发生了什么，如果您缺乏适当的流程和安全控制，您可能会向攻击者敞开大门。 Active Directory攻击路径 从攻击者的角度来看，Active Directory是进行横向移动的绝佳机会，因为获得初始访问权限使他们可以利用错误配置或过度的权限，从低特权用户转移到更有价值的目标，甚至完全接管。 现在让我们来分析一下3种实际的Active Directory攻击路径，看看攻击者是如何通过这种环境的。 以下是我们在一个客户环境中遇到的攻击路径: 该组织致力于加强其安全态势，但Active Directory是一个盲点。在这种情况下，域中所有经过身份验证的用户(实际上是任何用户)都意外地获得了重置密码的权限。因此，如果攻击者通过网络钓鱼或其他社会工程技术接管了一个Active Directory用户，他们就可以为其他用户重置任何密码，并接管域内的任何帐户。一旦他们看到了这一点，他们终于明白他们的Active Directory安全方法需要升级，所以他们锁定并加强了他们的安全实践。 以下来自我们另一个客户的Active Directory： 我们通过身份验证用户组发现了攻击路径。该用户组可以将GPO策略的gPCFileSysPath更改为具有恶意策略的路径。 受影响的对象之一是AD用户容器，其子对象是属于Domain Admin组的用户。域内的任何用户都可以获得域管理权限——他们所需要的只是一个非特权用户成为网络钓鱼电子邮件的牺牲品，从而危及整个域。这可能会导致他们的系统完全妥协。 下面是更多案例： 首先，攻击者通过网络钓鱼邮件渗透企业环境，当打开这些邮件时，攻击者会使用未打补丁的机器漏洞执行代码。下一步是通过凭据转储技术利用受感染的Active Directory用户本地和域凭据。然后攻击者有权限将自己添加到一个组中，这样他们就可以将受感染的Active Directory用户添加到Active Directory帮助台组中。 帮助台组具有重置其他用户密码的Active Directory权限，在这个阶段，攻击者可以将密码重置为另一个用户的密码，最好是一个旧的、不再使用的admin用户。由于他们是管理员，他们就可以在网络中执行许多有害的活动，例如通过向Active Directory中的其他用户添加脚本登录来运行恶意代码。 这些只是攻击者在活动Active Directory中使用的一些相对简单的方法。通过了解这些实际的攻击路径，组织可以开始从攻击者的角度来看他们的Active Directory和AD Azure环境是什么样子。 结论 查看攻击路径可以帮助加固这些潜在的棘手环境。通过全面了解跨本地和云环境的Active Directory中存在的攻击路径，组织可以了解攻击者如何基于上下文理解其环境进行横向移动的；了解黑客是如何攻击和冒充用户、提升特权和获得对云环境的访问权的。 了解了这一点，组织就可以优先考虑真正需要修复的内容，并加强环境，以防止攻击者利用Active Directory的弱点。     消息来源：thehackernews，译者：Linn；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 网络罪犯通常会利用40多种常见漏洞，攻击全球范围内“没坏就不修”的系统。一份新的报告显示，他们使用旧软件漏洞的频率比新发现的漏洞要高。他们的主要目标是未打补丁并面向互联网的系统。 据CISA在内的国际网络安全机构联合编写的网络安全咨询报告，许多软件漏洞或漏洞链的概念验证代码是公开的，并受到了恶意网络行为者更广泛的利用。 关键、广泛、公开的漏洞为网络犯罪分子提供了低成本、高影响的工具。他们可以连续几年使用这些漏洞，因为组织在修补他们的系统方面进展缓慢。 常规利用的漏洞列表包括40多个条目。 大多数利用已知漏洞的成功可以在公开披露后的两年内实现，因为随着软件的更新或升级，这些漏洞的价值会逐渐降低。 报告写道:“黑客可能会优先开发严重的、全球普遍存在的常见漏洞和暴露的漏洞。” 及时打补丁会降低此类攻击的有效性，并促使黑客更加努力地工作，采用更昂贵、更耗时的方法。 零日漏洞攻击或供应链操作通常由老练的黑客执行。 网络安全机构建议供应商、开发人员和最终用户组织识别最容易被利用的漏洞，实施适当的缓解措施，遵循安全软件设计和开发实践，并相应地改善其网络安全状况。 建议以“及时更新IT网络资产上的软件、操作系统、应用程序和固件”开头。完整建议列表包括网络安全卫生的所有基本实践: 例行执行自动资产发现 实现健壮的补丁管理流程 记录所有IT/OT组件的安全基线配置 定期执行安全系统备份 维护更新的网络安全事件响应计划 对所有用户实施防网络钓鱼的多因素身份验证(MFA) 对所有VPN连接强制MFA 定期审查、验证或删除特权帐户 根据最小权限原则配置访问控制 正确配置和保护面向internet的网络设备 实现零信任网络架构(ZTNA) 持续监控攻击面 减少第三方应用程序和独特的系统/应用程序构建 与软件供应商讨论他们的设计安全程序 12个最容易被利用的漏洞: CVE-2018-13379.对该漏洞的持续利用，影响了Fortinet SSL vpn，表明许多组织未能及时修补软件，仍然容易受到黑客的攻击。 CVE-2021-34473, CVE-2021-31207, CVE-2021-34523. ProxyShell漏洞影响Microsoft Exchange电子邮件服务器。利用允许远程参与者执行任意代码。这些漏洞存在于微软客户端访问服务中，该服务通常暴露在互联网上，允许用户通过移动设备和web浏览器访问他们的电子邮件，该服务在微软互联网信息服务(IIS)(例如，微软的web服务器)的443端口上运行。 CVE-2021-40539.此漏洞允许Zoho ManageEngine ADSelfService Plus中未经身份验证的远程代码执行(RCE)，并且与使用过时的第三方依赖项有关。 CVE-2021-26084.此漏洞影响Atlassian Confluence服务器和数据中心(政府和私营公司使用的基于网络的协作工具)。它可以使未经身份验证的网络参与者在易受攻击的系统上执行任意代码。这一漏洞在披露后一周内发布了概念验证后，迅速成为最常被利用的漏洞之一。 CVE-2021-44228. 这个被称为Log4Shell的漏洞影响了Apache的Log4j库，这是一个被整合到全球数千种产品中的开源日志框架。参与者可以通过向易受攻击的系统提交特制的请求来利用此漏洞，从而导致执行任意代码。该请求允许网络行为者完全控制系统。 CVE-2022-22954, CVE-2022-22960. 这些漏洞允许在VMware Workspace ONE Access、Identity Manager和其他VMware产品中使用RCE、特权升级和身份验证绕过。具有网络访问权限的恶意网络行为者可能触发服务器端模板注入，从而导致远程代码执行。 CVE-2022-1388.此漏洞允许未经身份验证的攻击者绕过F5 BIG-IP应用交付和安全软件上的iControl REST身份验证。 CVE-2022-30190. 此漏洞影响Windows中的Microsoft Support诊断工具(MSDT)。未经身份验证的远程网络攻击者可以利用此漏洞控制受影响的系统。 CVE-2022-26134.此严重的RCE漏洞影响Atlassian Confluence和数据中心。该漏洞最初可能是在2022年6月公开披露之前作为零日漏洞被利用的。     消息来源：cybernews，译者：Linn；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 方便的广告拦截器、价格跟踪器或拼写检查扩展可能正显著危及你的在线安全。网络安全公司Veriti的联合创始人奥伦•科伦(Oren Koren)建议用户删除所有Chrome扩展。他并不是唯一一个这样做的人，另外四位网络安全研究人员也有类似的看法。 据cybernews消息，他们最近使用了在线工具crxcavator.io用于分析Chrome扩展，并注意到几乎所有流行的扩展都使用了一个被认为是“关键”风险的“chrome.webRequest”API。这意味着什么，用户应该担心吗? Koren的答案是:“你给了他们访问权限，所以他们可以看到一切。” 扩展程序比你设备上的许多常规应用程序拥有更多的功能。这意味着电脑上的文件可能无法躲过间谍的眼睛。 供应链很脆弱 Koren介绍，即使是被认为是安全的扩展，也可能因为整个供应链的薄弱环节而存在风险。数以百万计的用户可能会使用这个扩展，若其供应链中的任何环节出现问题，用户也将受到影响。 “现在每个人都在使用广告拦截扩展，它大量使用了webRequest功能。这个功能允许它拦截五种类型的数据，”Koren说。 http:// – 浏览数据被截获的风险; https:// – 加密浏览数据被拦截的风险; ftp:// – 暴露登录凭据和未授权文件访问的风险(FTP服务器的目录列表，在登录阶段传递的用户名和密码，跟踪和下载文件的能力); file:// – 泄露敏感本地文件或内部资源(只有所有者拥有的特定内部或外部文件路径)的风险; ws:// – 可能危及组织内容的web服务的风险 基本上，你的广告拦截器可以检查你通过网络发送的所有内容，例如收集FTP密码、获得完整的文件列表，并跟踪下载。 Breachsense的创始人兼首席执行官乔希·阿米沙夫(Josh Amishav)补充说，允许扩展访问“chrome.webRequest”API有很高的风险，因为它允许扩展在发送或接收web请求之前拦截、阻止、修改或重定向web请求。 扩展可以利用这一点来修改web请求和响应，允许他们向网站注入恶意内容，并收集敏感的用户数据，如登录凭据、浏览习惯和其他个人信息。 开发商可能没有恶意，但它们的扩展可以被黑客攻击，正如应用程序一样。一个流行的应用程序，CCleaner曾经遭受攻击，使其用户暴露在危险中。漏洞也可能在开发人员的软件框架中被发现，例如Electron。 “如果你通过供应链获得访问权限，你可能会获得不应该从外部访问的用户敏感文件。你实际上收集了所有的内部url，还能访问HTTP、FTP、客户数据或内部文件”Koren解释道。 许多恶意的扩展已经被创建，其中最危险的是侧负载扩展。 网络安全公司SlashNext的首席执行官帕特里克•哈尔警告称，官方扩展商店里潜伏着成千上万的恶意浏览器扩展，这让用户产生了一种虚假的安全感，他们以为所有这些可用的扩展都经过了仔细审查，被认为是安全的。 “这就像从Google Play下载应用程序一样。想想看，Google Play中有多少恶意应用程序?很多。因为这需要时间来分析。” 包括谷歌在内的许多企业都有收集用户数据的动机。 网络罪犯的终极目标——部署勒索软件 根据Harr的说法，最广泛的零时攻击发生在浏览器中。恶意url和漏洞利用通常会逃避安全解决方案，从而导致业务中断、财务损失和客户信任破坏。 “在当前的威胁形势下，恶意浏览器扩展非常普遍，尤其是作为部署勒索软件的工具。我们通常认为勒索软件是从网络钓鱼电子邮件开始的，这当然是一个主要的起源点，但攻击者也擅长利用恶意浏览器扩展来窃取用户凭证，这是他们完成最终目标的第一步，”Harr说。 Moonlock恶意软件实验室的工程经理Oleksii Yasynskyi表示，chrome.webRequest的API可以注入病毒或引导用户进入网络钓鱼页面。一些扩展还可以跟踪用户活动，并用于间谍活动，收集个人数据。 Yasynskyi警告说:“潜在的后果包括个人信息被盗、经济损失、系统损坏和安全隐患。” 删除扩展，保护隐私 “第一步是不允许扩展从我们这里获得任何内容。我知道这是一件非常困难的事情。”Koren建议使用安全的浏览工具，确保即使是偶尔浏览，也要启用防病毒软件和防火墙。 如果你真的想要使用你的广告拦截器、翻译、一些奇怪的GPT附加组件或价格跟踪器，确保它来自信誉良好的开发商，并验证它收集的数据。 如果浏览器突然显示大量广告，这可能是恶意浏览器扩展的第一个迹象。“如果一个扩展请求过多或不必要的权限，并与它的预期功能无关，最好避免它。最后，定期更新所有已安装的扩展，以确保您拥有最新的安全补丁和错误修复，”Amishav总结道。     消息来源：cybernews，译者：Linn；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 根据Guardz的最新报告，网络犯罪分子正持续从专门针对微软Windows用户的攻击转向对macOS用户的攻击。该公司上个月首次注意到这一趋势。 这家网络安全公司表示，他们在7月20日观察到一个名为Rodrigo4的新黑客在暗网的“macOS需求案例研究”横幅下开店。 Guardz说:“该黑客称自己在过去的六个月里，一直在开发macOS信息窃取恶意软件，并愿意将其提供给私人会员。” 今年7月，该公司发现了一种名为ShadowVault的新型恶意软件，目标是macOS系统。长期以来，macOS系统一直被视为比微软更安全的替代品。看来苹果用户再也不能自满了。 Guardz发现的另一种针对macOS系统的恶意软件类型是隐藏虚拟网络计算(HVNC)，这是一种未经合法用户同意或不知情的非法计算机劫持形式。 “这是一个已知的恶意软件模块，目标是Windows操作系统设备，但现在也转向了macOS机器。入侵者默默地加入了他们的计算机，然而用户则完全没有意识到有入侵者创建了一个新的桌面会话。” Guardz警告macOS用户，未来可能会有更多的威胁：“还有多少其他攻击者在黑暗中徘徊，致力于为macOS设备开发恶意软件，还有待观察。”     消息来源：cybernews，译者：Linn；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 比特币处于危险之中吗?量子计算的最新成就表明，加密货币的鼻祖可能无法在近十年中存活下来。 IBM、谷歌和其他公司正在竞相制造最快的量子计算机，这种设备可能会彻底改变当今的密码学。安全通信、银行和加密货币的安全性依赖于强大的加密技术。 测量量子系统能力的一种粗略方法是计算量子比特的数量，即纠缠在叠加态中的量子力学元素的数量。每增加一个量子位，量子系统的潜在处理能力就会呈指数级增长。 谷歌最近发布了拥有70个可操作量子比特的量子计算机。在几分钟内，这个系统就能完成传统超级计算机几十年才能完成的任务。 IBM计划在不久的将来提供433个量子比特的量子系统，并在今年推出世界上第一台拥有超过1000个量子比特的通用量子计算机。此外，该公司预计到2025年将生产出超过4000个量子比特的量子计算机。 量子计算机无疑会造福社会的方方面面。但这些快速发展应该会让“加密货币兄弟们”感到担忧。 目前已经有两种算法可以用来对抗比特币。问题是，量子计算机需要多长时间才能达到这样的计算能力? 答案千差万别，从几百到数十亿量子位不等。量子位无法平等产生，因为计算所必需的量子态是脆弱的，容易受到干扰。这使得扩展量子计算机成为了一项重大的技术挑战。 然而，许多人认为，即使是几千量子位也足以对比特币持有者构成威胁，而这将在十年内实现。 区块链正面临风险? 对比特币而言，最严重的威胁将是加密哈希的破坏。这会影响区块链的完整性和挖矿。 假设一台超级量子计算机突然作为矿工同伴出现，并在1分钟内产生了2016个空区块，然后同样突然消失。 这将使比特币挖矿难度增加20160倍。世界上所有的传统矿工都必须工作140天，而不是10分钟才能找到单个块的哈希值。在此期间，没有一笔比特币交易可以通过区块链进行。 此后，第二个区块需要挖140天，第三个区块也要挖140天，以此类推。如果保持这种状态，7.73百年后才能解决所有2016个区块并将采矿难度调整到正常水平。 比特币挖矿的终极目标是找到一个包含足够数量零的哈希值。矿工就是这样做的。他们将哈希函数重复数十亿次，得到不同的256位数字，然后检查这个数字是否足够低。如果是的话，他们会因为创建了一个新区块而获得新生成的比特币作为奖励。如果没有，他们就重复这个过程。 网络通过每10分钟生成一个区块来调整难度，如果网络的计算能力增加，矿工需要找到的哈希值就会变小。比特币的挖矿难度每2016个区块更新一次。 量子计算机可能会利用Grover的算法进行这样的攻击，但它们仍然需要执行大量的操作。与经典算法相比，这种量子算法的速度提高了2倍。然而，如果需要精确的哈希值，量子计算机仍然需要在最坏的情况下运行2^128次操作；传统计算机则需要运行2^256甚至更多次操作。 Grover的算法对加密散列构成了风险，Shor的算法则可以破解用于保护个人钱包的加密。它被用来有效地分解大数，这是一项对传统计算机来说十分复杂的任务。 究竟需要多少个量子位？ 根据理查德·普雷斯顿的论文，要使用Grover算法攻击256位状态的SHA-2函数，需要2593个量子比特。 但这并不能说明全部情况。这些量子比特达到频率的速度应该和计算机上的量子比特一样快。即使到那时，也需要更多的量子计算机并行工作，以与数以百万计的传统ASIC竞争。 此外，量子比特会受到环境噪声的影响，随着时间的推移，环境噪声会降低或破坏它们的状态。任何由噪声引入的错误都必须使用量子纠错来修复，这要求更多的量子比特。例如，为了将错误率降低到可接受的水平，八个物理量子位可以只组成一个“逻辑”量子位。 此外，比特币还需要更多的内存和更多的量子比特，因为挖矿在SHA函数中包含更多的数据。 根据计算，在不考虑量子噪声的情况下，一个诚实的量子比特币矿工需要大约1万个量子比特的量子计算机。这应该足以将事务数据放入块中并计算散列值。 Shor的替代方案更有希望吗? 虽然醒来发现钱包空无一物的场景很可怕，但试图猜测私人地址也是一项艰巨的任务，即使对量子计算机来说也是如此。 Shor算法可以分解大质数并解决保护密钥的问题。 伦敦帝国理工学院加密货币研究与工程中心的研究人员写道，如果公钥是已知的，“一个拥有大约1500个量子比特的量子计算机的攻击者就可以破解它”。 这样一来，攻击者由于签署了交易，便无法与原始所有者区分开来。 如果量子计算机足够快，攻击者就可以用它来执行实时事务劫持。一旦在未决交易中公开了公钥，黑客就可以在交易完成之前窃取比特币。甚至可以省略此步骤，因为许多公共演讲都是公开的。 为了让比特币能更好的抵御量子攻击，分叉尤为重要。也就是说，要破解2048位的RSA加密（目前通常用于保护信用卡数据），最坏的情况下需要2000万个量子比特。     消息来源：cybernews，译者：Linn；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 在软件提供商Ortivus遭受网络攻击后，至少两家英国救护车服务机构无法访问电子病历。 Ortivus是一家瑞典软件公司，专门为医疗保健和医疗行业提供解决方案。他们专注于开发电子病历系统和相关医疗数据管理的应用。 该公司解释说，这次攻击发生在2023年7月18日晚上，事件影响了其托管数据中心的英国客户系统。 该公司报告称“电子病历目前无法使用，在另行通知之前，将使用手动系统处理。没有患者受到直接影响，也没有其他系统受到攻击。托管数据中心以外的客户并未受到影响。Ortivus目前正在与受影响的客户密切合作，恢复系统和数据。受影响的客户为在托管环境中使用MobiMed电子病历系统的客户。”该公司没有透露攻击的细节，但它也通知了当局客户。 Ortivus没有说明受影响的救护车服务机构的名称，但据El Register的消息，它们是西南救护车服务信托基金和中南救护车服务信托基金。根据2020年签署的协议，两家公司都转移到Ortivus的MobiMed软件托管环境中。这两项服务为大约1200万常住人口提供服务。 2023年7月20日，Ortivus宣布准备启动MobiMed ePR，为在最近的网络攻击中受到影响的英国客户提供电子病历。     消息来源：securityaffairs，译者：Linn；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 据网络安全公司Sophos报道，苹果公司已将为新设备发布的紧急补丁通知扩展到其所有平台。 该公司的Naked Security研究团队表示，这家科技巨头现在已推出了全面升级，“为公司支持的每个支持的操作系统版本提供了全新的版本号。” 提供所有苹果用户和运营商安装的紧急零日漏洞补丁扩展至如下设备:iOS 16.6和iPadOS 16.6;iOS 15.7.8和iPadOS 15.7.8;macOS Ventura 13.5, Monterey 12.6.8, Big Sur 11.7.9;tvo 16.6;Safari 16.6;和watchOS 9.6。 更新的紧急补丁通知还包括对7月11日Sophos警告的CVE-2023-37450间谍软件漏洞的永久修复。 Sophos表示:“我们再次敦促苹果用户确保设备已经下载(并真正安装)这些更新，越快越好。这些升级中的修复并不仅仅是为了弥补理论上的漏洞，而且关闭了攻击者已知如何利用的网络安全漏洞。” 该公司敦促苹果用户提前采取预防措施，并补充说:“即使黑客到目前为止只有有限的几次成功入侵……但当你可领先时为什么要落后？     消息来源：cybernews，译者：Linn；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 政府机构和关键基础设施部门广泛使用的地面集群无线电(TETRA)无线电通信标准中披露了五个安全漏洞，其中包括可能暴露敏感信息的故意后门。 该问题是由Midnight Blue在2021年发现的，它们被统称为TETRA:BURST。目前为止，还没有确凿的证据表明这些漏洞已经被利用。 这家总部位于荷兰的网络安全公司表示:“根据基础设施和设备配置的不同，这些漏洞允许实时解密、先获取后解密的攻击、消息注入、用户去匿名化或会话密钥锁定。” 1995年，TETRA由欧洲电信标准协会(ETSI)进行标准化，后在100多个国家得到应用，还作为美国以外的警察无线电通信系统。此外，它还用于控制电网、天然气管道和铁路等重要系统。 根据WIRED的说法，基于TETRA的无线电至少在24个美国关键基础设施中使用。其中包括电力设施、州边境管制机构、炼油厂、化工厂、主要的公共交通系统、国际机场和美国陆军训练基地。 该系统的基础是一系列秘密的专有加密算法——用于身份验证和密钥分发目的的TETRA认证算法(TAA1)套件，以及用于空中接口加密(AIE)的TETRA加密算法(TEA)套件——这些算法在严格的保密协议(NDAs)下作为商业机密加以保护。 在逆向工程TAA1和TEA中，Midnight Blue表示，它发现了严重程度不等的五个漏洞，这些漏洞允许“被动和主动攻击者的实际拦截和操纵攻击”。 此次披露的漏洞如下： CVE-2022-24400 : 认证算法中的一个漏洞,允许攻击者将派生密码密钥(DCK)设置为0。 CVE-2022-24401 : 空中接口加密(AIE)密钥流生成器依赖于网络时间，该时间以未经身份验证的方式公开广播。这允许解密oracle攻击。 CVE-2022-24402 : TEA1算法有一个后门，可以将原始的80位密钥减少到密钥大小，这使得消费者硬件在几分钟内就可以被暴力破解。 CVE-2022-24403 ：用于混淆无线电身份的加密方案设计薄弱，允许攻击者去匿名化和跟踪用户。 CVE-2022-24404 ： AIE上缺乏密文认证允许可延展性攻击。     消息来源：thehackernews，译者：Linn；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 随着使用macOS的人数不断增加，黑客利用苹果操作系统漏洞的想法也在增加。 macOS面临哪些威胁? macOS的粉丝们有一个普遍的误解，认为苹果设备不受黑客攻击和恶意软件感染。然而，用户最近面临着越来越多的危险。善于创新的攻击者专门将Mac系统作为目标，使用如“Geacon”Cobalt Strike的工具进行攻击。该工具使他们能够执行恶意操作，例如数据盗窃、特权提升和远程设备控制等，将Mac用户的安全和隐私置于严重风险之中。 今年早些时候，研究人员还发现了MacStealer恶意软件。该软件也窃取了苹果用户的敏感数据：文件、iCloud钥匙链数据、浏览器cookie、信用卡凭证等，没有什么是安全的。 但这还不是全部。CloudMensis 是专门针对 macOS 系统的恶意软件，通过电子邮件附件传播并危及设备安全性。它可以窃取敏感信息并授予对用户系统的未经授权的访问。另一方面，JockerSpy则可以通过欺骗性网站或捆绑看似无害的软件渗透到系统中。安装后，它可以监控用户的活动、捕获击键和访问个人数据。 就连朝鲜的Lazarus Group等政府支持的黑客组织也开始瞄准苹果的mac系统。你认为这是否给那些认为自己的设备不会受到攻击的苹果用户敲响了警钟? Mac安全调查2023:用户意识和行为 为了了解Mac电脑的网络安全状况，Moonlock团队进行了一项调查。Moonlock团队由MacPaw的研究人员和工程师组成，专注于Mac用户的网络安全需求。从他们对Mac用户行为和误解的担忧出发，以下是Mac用户如何应对日益复杂的安全环境: 网络安全“传说”依然存在 尽管风险越来越大，但许多Mac用户仍然对网络安全掉以轻心。Moonlock的《Mac安全调查2023》显示，三分之一的Mac用户认为他们的数据不会引起网络罪犯的兴趣。57%的Mac用户要么同意要么不完全同意“恶意软件不存在于macOS上”这一说法。 意识很高，但危险行为比比皆是 事实上，许多Mac用户已经成为了攻击的受害者。超过50%的受访者亲身或在其最近的环境中遭受过恶意软件、黑客攻击或欺诈。69%的受访者至少亲身面临过以下一种威胁: 恶意软件、病毒 账户侵入、窃取密码 骗局 从浏览器和社交网络收集个人数据 破坏个人资料 网络钓鱼 违反网络支付安全 身份盗窃(包括SSN盗窃) 访问通信和私人文件。 这表明macOS是多么脆弱，并强调需要更强的安全性。 尽管受到威胁，22%的Mac用户仍对多个账户使用相同的密码，31%的用户跳过软件更新。与此同时，45%的人认为他们在保护自己免受网络威胁方面做得不够。 安全工具缺乏明确性 当涉及到数字安全时，安全工具的使用似乎缺乏明确性。你知道吗，在使用密码管理器的受访者中，有11%的人实际上是把密码存储在浏览器里的?有趣的是，35%自称安全的浏览器用户认为Safari和Google Chrome是安全的选择。 缺乏可靠的信息 根据Moonlock的研究，52%的Mac用户实际上希望与专家讨论如何确保网络安全。然而，30%的用户很难找到有关该主题的可靠信息来源。 Mac用户应该保持警惕，优先考虑网络安全，并随时了解不断变化的威胁形势，这至关重要。通过提高网络安全意识和推广积极的安全措施，我们可以加强对Mac系统的保护，从而保护我们的数字生活。     消息来源：thehackernews，译者：Linn；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 一种名为HotRat的新型AsyncRAT恶意软件正在通过流行软件和实用程序的免费盗版版本传播，如视频游戏、图像、声音编辑软件以及微软Office。 Avast安全研究员Martin a Milánek表示:“HotRat恶意软件为攻击者提供了广泛的权限，例如窃取登录凭据、加密货币钱包、屏幕捕获、键盘记录、安装更多恶意软件以及获取或修改剪贴板数据等。” 这家捷克网络安全公司表示，至少从2022年10月开始，该木马就一直在全球流行，大多数感染集中在泰国、圭亚那、利比亚、苏里南、马里、巴基斯坦、柬埔寨、南非和印度。 黑客将torrent网站提供的破解软件与恶意的AutoHotkey (AHK)脚本捆绑在一起来实现攻击。该脚本会启动一个感染链，让受感染主机上的反病毒解决方案失效，并使用Visual Basic Script加载器启动HotRat有效载荷。 HotRat是一种全面的RAT恶意软件，带有近20个命令。每个命令都执行从远程服务器检索的.NET模块，这使得攻击者在需要时能够扩展其功能。 也就是说，攻击者需要管理员权限才能成功实现其目标。 “尽管存在巨大的风险，但免费获取高质量软件的诱惑仍然存在，导致许多人下载非法软件，”Milánek说，“因此，分发此类软件仍然是广泛传播恶意软件的有效方法。”     消息来源：thehackernews，译者：Linn；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc ” 并附上原文