内容转载

= ̄ω ̄= 内容转载

微软紧急发布带外更新 修复 PrintNightmare 高危打印漏洞

微软今天推出了一个紧急 Windows 修复补丁,以修复存在于 Windows Print Spooler 服务中的一个关键缺陷。该漏洞被称之为“PrintNightmare”,在安全研究人员无意中公布了概念验证(PoC)的利用代码后,于上周被曝光。 微软已经发布了带外安全更新以解决该漏洞,并将其评为关键漏洞,因为攻击者可以在受影响机器上以系统级权限远程执行代码。由于 Windows Print Spooler 服务在Windows上默认运行,微软不得不为 Windows Server 2019、Windows Server 2012 R2、Windows Server 2008、Windows 8.1、Windows RT 8.1 以及 Windows 10 的各种支持版本发布补丁。 微软甚至采取了不寻常的措施,为去年正式停止支持的 Windows 7 发布了补丁。不过,微软还没有为 Windows Server 2012、Windows Server 2016 和 Windows 10 Version 1607 发布补丁。微软表示,”这些版本的Windows的安全更新将很快发布”。 PrintNightmare,在漏洞代号CVE-2021-34527下被追踪,现在已被授予通用漏洞评分系统(CVSS)基本评级为8.8。值得注意的是,CVSS v3.0规范文件将其定义为 “高严重性”漏洞,但它非常接近从9.0开始的”危急”评级。目前的时间紧迫性得分是8.2,时间分是根据一些因素来衡量一个漏洞的当前可利用性。 基础分被定为8.8分是因为微软已经确定该攻击载体是在网络层面,需要较低的攻击复杂性和权限,不涉及用户互动,并可能导致组织资源的保密性、完整性和可用性 “完全丧失”。同时,时间分是8.2分是因为功能上的漏洞代码在互联网上很容易获得,并且适用于所有版本的Windows,存在关于它的详细报告,并且有一些官方的补救方法被建议。   (消息及封面来源:cnBeta)

曝俄罗斯黑客组织 Cozy Bear 攻击了美共和党计算机系统

据外媒报道,隶属于Cozy Bear组织的俄罗斯国家黑客是上周针对Synnex的网络攻击的幕后策划者。Synnex是一家为美共和党全国委员会(RNC)提供IT服务的承包商。这次攻击可能泄露了该组织的信息。RNC一位发言人在接受彭博社采访时虽然否认了该组织的系统遭到黑客攻击,但证实其IT供应商之一Synnex已遭到曝光。 RNC就这次攻击发表了以下声明:“上周末,我们被告知第三方供应商Synnex遭到了网络攻击。为此我们立即屏蔽了Synnex帐号对我们云环境的所有访问。我们的团队跟微软合作以对我们的系统进行审查,经过彻底的调查没有RNC数据被访问。我们将继续跟微软及联邦执法官员就此事进行合作。” Synnex则在7月6日发布的一份声明中进一步证实它知道一些外部参与者试图通过Synnex访问微软云环境中的客户应用程序的实例。该公司声称正在跟微软和一家第三方安全公司一起评估这次攻击。据了解,这种操纵跟微软云交互的企业软件而不是直接追踪Azure或Office产品跟SolarWinds在2020年遭遇的黑客攻击有一些相似之处。 这种联系是有道理的:跟俄罗斯对外情报局SVR合作的Cozy Bear成员很大程度上被怀疑为非法目的操纵SolarWinds软件的幕后主使。SolarWinds的入侵可能会暴露100多家公司和政府机构的信息,甚至危及网络安全公司的工具,而这些工具旨在防止此类攻击。 美RNC遭黑客攻击跟民主党全国委员会(DNC)和希拉里·克林顿在2016年总统竞选期间遭遇的黑客攻击之间也存在着相似之处。那次入侵以及维基解密上数千封电子邮件的泄露最终导致俄罗斯军事情报机构GRU的12名成员被起诉。GRU跟另一个受熊类启发的俄罗斯黑客组织Fancy Bear存有关联。 彭博社表示,Cozy Bear的攻击可能是利用了这些勒索软件黑客作为一种掩护,即使他们没有这样做,攻击政治目标仍是一个持续存在的问题并且还不总是以戏剧性的泄露告终。   (消息及封面来源:cnBeta)

Kaseya 遭遇严重勒索软件攻击 REvil 团伙索要高达 7000 万美元赎金

上周五,美国软件开发商 Kaseya Ltd. 遭遇勒索软件攻击,攻击主要集中在 Kaseya VSA 软件上。据悉很多大型企业和技术服务供应商使用 Kaseya VSA 来管理软件更新,并向电脑网络上的系统发布软件更新。援引外媒 The Record 报道,REvil 勒索软件团伙索要7000 万美元的赎金,以发布一个通用的的解码器。 REvil 是一个臭名昭着的勒索软件团伙。勒索软件会锁住受害者的电脑,直到受害者支付数字赎金,通常以比特币形式支付。此次网络攻击似乎是 REvil 有史以来发起的规模最大的一次。据网络安全专家称,此次攻击事件可能已导致全球多达 4 万台电脑被感染。 在暗网博客上发布的一条信息中,REvil 勒索软件团伙声称锁定了超过 100 万个系统: 上周五(02.07.2021)我们对 MSP 供应商发起了一次攻击。超过 100 万的系统被感染。如果有人想就通用解密器进行谈判–我们的价格是 70000000 美元(BTC),我们将公开发布解密器,解密所有受害者的文件,所以每个人都将能够在不到一个小时内从攻击中恢复。如果你对这样的交易感兴趣,请按照受害者的 “readme”文件说明与我们联系。 如果兑现,该要求将成为有史以来最高的勒索软件赎金。Kaseya 发言人没有在现场评论该公司是否会考虑支付 REvil 团伙的赎金要求。在撰写本报告时,Kaseya 勒索软件事件据信已影响到全球数以千计的公司。   (消息及封面来源:cnBeta)

PrintNightmare 漏洞已引起 CISA 关注 微软表示正积极开展调查

虽然每月的补丁星期二活动微软都会发布一系列安全更新,但依然存在“漏网之鱼”。日前,国内安全公司深信服(Sangfor)发现了名为 PrintNightmare 的零日漏洞,允许黑客在补丁完善的 Windows Print Spooler 设备上获得完整的远程代码执行能力。该漏洞已引起美国网络安全和基础设施安全局(CISA)的关注,微软正在积极开展调查。 CISA 将 PrintNightmare 漏洞描述为“关键漏洞”(Critical),因为它可以远程执行代码。CERT 协调中心在 VU#383432 下对其进行跟踪,并解释说,问题的发生是因为 Windows Print Spooler 服务没有限制对 RpcAddPrinterDriverEx() 函数的访问,这意味着经过远程验证的攻击者可以利用它来运行任意代码。这种任意代码的执行是在SYSTEM的幌子下进行的。 作为参考,这个有问题的函数通常用于安装打印机驱动程序。然而,由于远程访问是不受限制的,这意味着有动机的攻击者可以使它指向远程服务器上的驱动程序,使受感染的机器以SYSTEM权限执行任意代码。 值得注意的是,微软在6月的 “补丁星期二 “更新中修复了CVE-2021-1675的相关问题,但最新的进展并不在修复范围内。该公司表示,它正在积极调查这个问题,并为域名管理员提出了两个解决方法。第一个是禁用 Windows Print Spooler 服务,但这意味着本地和远程的打印都将被禁用。第二种是通过组策略禁用入站远程打印。这将限制远程打印,但本地打印仍将正常工作。 微软正在以CVE-2021-34527追踪该漏洞。该公司明确表示,有问题的代码存在于所有版本的Windows中,但它仍在调查它是否也可以在所有版本中被利用。也就是说,由于该问题正在积极调查中,微软还没有给它一个漏洞评分,但也将其标记为 “关键”。   (消息及封面来源:cnBeta)

安全报告:黑客利用木马程序感染300多万台电脑 攫取1.2TB以上数据

Nord Locker 安全分析师发现,在 2018-2020 年间黑客利用一个木马化恶意程序,感染了超过 300 多万台电脑,并从中攫取了 1.2T 以上的敏感信息。这款尚未命名的恶意软件从超过 325 万台 Windows PC 中收集信息,收集的数据包括 20 亿个 cookies 和 110 万个电子邮件相关的约 2600 万个凭证。 这种病毒是由不良分子通过破解的应用程序分发的,包括破解的游戏、破解 Windows 操作系统许可证的工具,甚至还有 Adobe Photoshop 2018。另一种分发病毒的方法是将其嵌入电子邮件,然后通过垃圾邮件活动分发。 该病毒非常有效,因为它很低调,可以不被发现,同时从用户的电脑中窃取数据,而消费者并不知道发生了什么。也许这个病毒最令人不安的地方是,它在感染电脑后通过电脑的摄像头拍下照片。 在这个被盗数据集合中有超过 65 万份 PDF 和 Word 文档,22.4 万张 JPG 图片,以及超过 69.6 万个 PNG 文件。虽然超过一半的被盗文件是文本文件和软件日志,但危险来自于一些用户有在文本文件中存储个人信息、密码和其他类型的私人信息的坏习惯。正如你可能暗示的那样,这些文件也落入了黑客的手中。 该木马程序成功地从超过一百万个网站中窃取了大约 2600 万个登录凭证。被盗的凭证属于各类网站的用户,包括在线游戏、在线市场、求职网站、社交媒体、生产力工具、流媒体服务和电子邮件服务。 在被盗的 20 亿个 cookie 中,约有 22% 在发现时仍然有效。Cookies 可以让黑客进入用户的在线账户,并可以协助他们了解目标的兴趣和习惯。按被盗 cookie 数量比例排名前五的网站是:eBay,超过190万;沃尔玛,26.2万;Gearbest,211万;AliExpress,48.1万;以及亚马逊,350万。   (消息及封面来源:cnBeta)

零日漏洞 PrintNightmare 曝光:可在 Windows 后台执行远程代码

中国安全公司深信服(Sangfor)近日发现了名为 PrintNightmare 的零日漏洞,允许黑客在补丁完善的 Windows Print Spooler 设备上获得完整的远程代码执行能力,该公司还发布了概念证明代码。 在 6 月补丁星期二活动日中,微软发布的安全累积更新中修复了一个类似的 Print Spooler 漏洞。但是对于已经打过补丁的 Windows Server 2019 设备,PrintNightmare 漏洞依然有效,并允许攻击者远程执行代码。 根据概念证明代码显示,黑客只需要一些(甚至是低权限)的网络凭证就可以利用该漏洞进行远程执行,而且这些凭证在暗网上只需要 3 美元就能买到。这意味着企业网络又极易受到(尤其是勒索软件)的攻击,安全研究人员建议企业禁用其 Windows Print Spoolers。 影响版本 Windows Server 2019 (Server Core installation) Windows Server 2019 Windows Server 2016 (Server Core installation) Windows Server 2016 Windows Server 2012 R2 (Server Core installation) Windows Server 2012 R2 Windows Server 2012 (Server Core installation) Windows Server 2012 Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation) Windows Server 2008 R2 for x64-based Systems Service Pack 1 Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation) Windows Server 2008 for x64-based Systems Service Pack 2 Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation) Windows Server 2008 for 32-bit Systems Service Pack 2 Windows Server, version 2004 (Server Core installation) Windows RT 8.1 Windows 8.1 for x64-based systems Windows 8.1 for 32-bit systems Windows 7 for x64-based Systems Service Pack 1 Windows 7 for 32-bit Systems Service Pack 1 Windows 10 Version 1607 for x64-based Systems Windows 10 Version 1607 for 32-bit Systems Windows 10 for x64-based Systems Windows 10 for 32-bit Systems Windows Server, version 20H2 (Server Core Installation) Windows 10 Version 20H2 for ARM64-based Systems Windows 10 Version 20H2 for 32-bit Systems Windows 10 Version 20H2 for x64-based Systems Windows 10 Version 2004 for x64-based Systems Windows 10 Version 2004 for ARM64-based Systems Windows 10 Version 2004 for 32-bit Systems Windows 10 Version 21H1 for 32-bit Systems Windows 10 Version 21H1 for ARM64-based Systems Windows 10 Version 21H1 for x64-based Systems Windows 10 Version 1909 for ARM64-based Systems Windows 10 Version 1909 for x64-based Systems Windows 10 Version 1909 for 32-bit Systems Windows 10 Version 1809 for ARM64-based Systems Windows 10 Version 1809 for x64-based Systems Windows 10 Version 1809 for 32-bit Systems     (消息及封面来源:cnBeta)

戴尔发布 BIOSConnect 安全漏洞修补程序 影响 3000 多万台设备

上周,MSPU 报道了戴尔远程 BIOS 更新软件正存在的一个漏洞,或导致多达 129 款不同型号的电脑遭遇中间人攻击。Eclypsium 研究人员解释称,该漏洞使得远程攻击者能够执行多款戴尔笔记本电脑的 BIOS 代码,进而控制设备的启动过程、并打破操作系统和更高层级的安全机制。 此外 Eclypsium 指出,受影响的设备数量超过了 3000 万台,并且涵盖了戴尔的消费级 / 商务本、台式机、以及平板电脑产品线。 至于问题的根源,其实出在戴尔 BIOS 更新软件 —— BIOSConnect 的身上。作为戴尔支持帮助(SupportAssistant)服务的一部分,该公司在大多数 Windows 设备上都预装了它。 然而在客户机到服务器端的连接过程中,BIOSConnect 使用了不安全的 TLS 连接。结合三个溢出漏洞,使得攻击者能够将特定的软件传送到用户设备上。 其中两个溢出型的安全漏洞会对操作系统的恢复过程产生影响,而另一个则影响固件的更新过程。但这三个漏洞都是相互独立存在的,最终都可能导致 BIOS 中的任意代码执行。 研究人员建议所有受影响的设备用户手动执行 BIOS 更新,且戴尔官方也应该主动砍掉 BIOSConnect 软件中用不到的功能。 庆幸的是,目前戴尔已经承认了相关问题,并于今日发布了修补程序。该公司在支持页面上写道: DSA-2021-106:这是一项针对戴尔客户端平台的安全更新,旨在修复 BIOSConnect 和 HTTPS 引导功能中的多个漏洞。 下载地址: https://www.DELL.com/support/kbdoc/en-hk/000188682/dsa-2021-106-dell-client-platform-security-update-for-multiple-vulnerabilities-in-the-supportassist-biosconnect-feature-and-https-boot-feature   (消息及封面来源:cnBeta)

西数:黑客利用远程漏洞抹除 My Book 用户数据 正研究潜在恢复方案

在遭到一系列远程攻击之后,西部数据(WD)敦促 My Book 用户立即断开互联网连接。在 6 月 24 日发布的官方公告中,WD 表示 My Book Live 和 My Book Live Duo 网络附加存储(NAS)设备可能通过出厂重置被远程擦除,使用户面临失去所有存储数据的风险。 在公告中写道:“西部数据已经确定,一些 My Book Live 和 My Book Live Duo 设备正受到一个远程命令执行漏洞的影响。在某些情况下,攻击者已经触发了出厂重置,似乎是要删除设备上的所有数据”。被利用的漏洞目前编号为 CVE-2018-18472,这是一个根远程命令执行(RCE)漏洞,在 CVSS 严重性评级为 9.8。 攻击者能够以 root 身份进行远程操作,他们可以触发重置并擦除这些便携式存储设备上的所有内容,这些设备在 2010 年首次亮相,在 2015 年获得了最后的固件更新。当产品进入报废期时,它们通常无权获得新的安全更新。 正如Bleeping Computer首次报道的那样,论坛用户于6月24日开始通过WD论坛和Reddit查询他们的数据突然丢失的情况。一位论坛用户认为,由于他们的信息被删除,自己 “完全完蛋了”。 另一位用户评论道:“我愿意拿出我的毕生积蓄来获取我的博士论文数据、我孩子和死去的亲戚的新生照片、我写的但从未发表的旅行博客以及我过去7个月的所有合同工作。我甚至不敢想这对我的职业生涯会有什么影响,因为我失去了所有的项目数据和文件…”。 在撰写本文时,论坛用户正在交易潜在的恢复方法和想法,并有不同程度的成功。西部数据说:“我们正在审查我们从受影响的客户那里收到的日志文件,以进一步确定攻击和访问机制的特征”。 到目前为止,这些日志文件显示,My Book Live设备是通过直接在线连接或端口转发在全球范围内被攻击的。WizCase之前已经公布了该漏洞的概念验证(PoC)代码。在某些情况下,攻击者还安装了一个木马程序,其样本已被上传到VirusTotal。 My Book Live设备被认为是参与这次广泛攻击的唯一产品。西部数据的云服务、固件更新系统和客户信息被认为没有被泄露。西部数据正在敦促客户尽快将他们的设备从互联网上撤出。 西部数据说:”我们知道我们客户的数据非常重要。”我们还不明白为什么攻击者触发了出厂重置;但是,我们已经获得了一个受影响设备的样本,正在进一步调查”。该公司还在调查受影响客户的潜在恢复方案。   (消息及封面来源:cnBeta)

安全研究人员为 ATM NFC 读卡器中存在的漏洞敲响警钟

据《连线》报道,IOActive安全研究员Josep Rodriquez警告说,许多现代ATM和POS系统中使用的NFC读卡器使它们容易受到攻击。这些缺陷使它们容易受到一系列问题的影响,包括被附近的NFC设备对撞攻击、作为勒索软件攻击的一部分而被锁定、甚至被黑客提取某些信用卡数据。 Rodriquez警告说,这些漏洞可能被用作所谓的”中奖”攻击的一部分,欺骗机器吐出现金。然而,这样的攻击只有在与其他漏洞的利用配对时才有可能,《连线》说,由于IOActive与受影响的ATM机供应商有保密协议,他们无法公布这种攻击的视频。 依靠机器的NFC读卡器的漏洞,黑客攻击相对容易执行。虽然以前的一些攻击依赖于使用医疗内窥镜等设备来探测机器,但Rodriquez只需在机器的NFC读卡器前挥动运行其软件的Android手机,就可以利用机器可能存在的任何漏洞。 在与《连线》分享的一段视频中,Rodriquez仅仅通过在NFC读卡器上挥动他的智能手机,就使马德里的一台ATM机显示出错误信息,然后,该机器对举到读卡器上的真实信用卡反而变得没有反应。 这项研究强调了这些系统的几个大问题。首先是许多NFC读卡器容易受到相对简单的攻击,例如,在某些情况下,读卡器没有验证它们接收到多少数据,这意味着攻击者能够用过多的数据淹没系统并破坏其内存,作为 “缓冲区溢出”攻击的一部分。 第二个问题是,即使发现了问题,ATM的厂家对世界各地使用的数十万台机器应用补丁的速度也会很慢。通常情况下,需要对机器进行物理上的实际访问才能应用更新,而且许多机器并没有定期收到安全补丁。例如,一家公司表示,虽然已经在2018年给指定型号的机器打了补丁,但研究人员依然能够验证该攻击在2020年的一家餐厅中起到作用,这证明安全更新推送实际上并没有很有效执行。 Rodriquez计划在未来几周的网络研讨会上介绍他的发现,以强调他所说的嵌入式设备的安全措施到底有多欠缺。   (消息及封面来源:cnBeta)

以色列 20 多万名学生的个人信息遭到泄露

据外媒报道,上周,约28万名以色列学生的个人信息在针对AcadeME公司的网络攻击中被泄露。据Jerusalem Post报道,Think Safe Cyber Facebook组织的May Brooks-Kempler估计,约有28万名在校或在校学生的个人信息被盗。 AcadeME是以色列一个全国性的服务提供商,为在11000个不同的行业中寻找工作的学生提供支持。6月20日,它成为了亲巴勒斯坦的马来西亚黑客组织DragonForce的受害者。 虽然AcadeME否认了这一指控,但所附的代码截图、服务器地址和包含电子邮件地址和姓名的表格却表示并非如此。基本上,证据表明学生的电话号码、地址、全名、电子邮件和密码都遭到了泄露。 这些黑客在Telegram上写道:“这是对全世界所有黑客、人权组织和活动人士的紧急呼吁,让他们再次团结起来并发起针对以色列的运动、分享那里的真实情况、向世界揭露他们的恐怖活动……我们永远不会对以色列的战争活动保持沉默。” 去年,针对以色列企业和组织的网络攻击频率有所增加,Amital软件、Ami Insurance和Israel Aerospace Industries等公司受到了影响。事实上,周五早些时候,该组织对以色列的机构进行了DDoS攻击,包括以色列银行(Bank of Israel)、Leumi银行和Mizrahi Tefahot。这些网络罪犯还声称在同一天释放了大量以色列护照。 今年年初,以色列国家网络局(INCD)局长Yigal Unna表示担心,如果不采取适当措施,黑客有能力破坏以色列的学术机构。委员会主任表示担心,学术机构和其他机构和组织之间的广泛联系可能会对其他机构和组织构成威胁进而导致它们承担法律责任。   (消息及封面来源:cnBeta)