内容转载

= ̄ω ̄= 内容转载

因未能披露挖矿对业务的影响,英伟达被罚 550 万美元

美国证券交易委员会 (SEC) 5月6日发布声明,称对芯片制造商英伟达的指控,双方已达成一致,英伟达承认未能充分披露挖矿对其游戏业务的影响,同意支付550万美元的罚款。 此前,SEC认为,从 2017 年开始,已有越来越多的用户使用英伟达生产的游戏显卡(GPU) 来挖掘加密货币,但在2018财年的连续几个季度中,该公司未能披露大量的挖矿是其促成游戏GPU销售增长的重要因素。 相反,英伟达公布了加密货币需求对其它业务增长的推动,对游戏相关业务的影响则被一笔带过,仿佛游戏业务未受到加密货币的影响,但根据SEC的数据,英伟达的游戏业务收入在 2018 年第二财季同比增长了 52%,在 2018 年第三财季同比增长了 25%。尽管分析师和投资者有兴趣了解该公司的游戏收入受加密货币挖矿的影响有多大,但英伟达并未在 2018 年第二和第三财季提交的季度报告中披露其巨大影响。 SEC 加密资产和网络部门负责人 Kristina Littman表示: “英伟达这一做法使投资者无法获得关键信息,无法评估公司在关键市场的业务 。” 由于英伟达此举违反了美国《证券法》和《交易法》中的若干条款,这家科技巨头将不得不向SEC支付 550万美元的民事罚款。 转自 FreeBuf ,原文链接:https://www.freebuf.com/news/332333.html 封面来源于网络,如有侵权请联系删除

宜家加拿大分公司通报数据泄露事件 影响约 95000 名客户

当地时间5月6日,宜家(IKEA)加拿大公司表示已经将该公司大约9.5万名客户的个人信息数据泄露事件通报给加拿大的隐私监管机构。宜家(IKEA)加拿大公司在致受影响客户的一封信中表示,可能已被泄露的数据包括客户姓名、电子邮件地址、电话号码和邮政编码。 宜家加拿大公司已通知加拿大隐私专员,因为有95000名加拿大顾客的个人信息出现在数据泄露事件中。这家来自瑞典的家具零售商说,它被告知一些顾客的个人信息泄露风险出现在”2022年3月1日至3月3日期间,宜家加拿大公司的一名同事进行的普通搜索”的结果中。 “该同事利用宜家加拿大公司的客户数据库获取了这些个人信息。我们可以确认,没有财务或银行信息被获取,”宜家加拿大公司在一份电子邮件声明中说,并补充说,”我们已经采取行动补救这种情况,包括采取措施防止数据被使用、储存或与任何第三方共享。” 该公司表示,它已经向加拿大隐私专员办公室通报了这一漏洞,并已采取措施通知受影响的客户。 宜家加拿大公司还表示,它已经审查了内部程序,试图防止今后发生类似事件。顾客不必采取行动,但对个人信息保持警惕并注意可疑活动始终是有必要的。 该公司说:”重要的是要知道,宜家永远不会主动向你索要信用卡信息,我们建议向当地政府报告任何可疑的活动。顾客如有疑问或属于该漏洞的一部分,可致电1-800-661-9807或privacy@ikeaservice.ca,联系宜家加拿大公司。” 转自cnBeta,原文链接:https://www.cnbeta.com/articles/tech/1266321.htm 封面来源于网络,如有侵权请联系删除

迎接 2022 世界密码日:保持良好使用习惯、善用多因素认证与密码管理器

为了迎接今年 5 月首个周四的“世界密码日”的到来,USA Today 觉得很有必要继续提醒大家提升安全意识。首先是尽量为工作、娱乐、网银、网购等各种在线活动配备强密码,且需避免使用同一个密码,以免所有账号被攻击者一锅端。 资料图(来自:Bitwarden) 业内知名开源密码器(US News & World Report 赋予 A 级评价)开发商 Bitwarden 首席执行官 Michael CranDELL 表示: 最重要的一点,是用户个人必须要有安全方面的意识。与此同时,他们可通过触手可得且免费的密码管理器等工具来更好地保护自己,以减轻跨多个站点的账号服务的强密码记忆负担。 该公司的第二次年度调查发现: ● 超八成(85%)美国人会在多个网站上使用重复的密码、且超半数受访者都纯靠记忆力来管理密码。 ● 此外约六成(60%)美国人使用了长度 9~15 个字符的密码,不过出于安全方面的考量,Bitwarden 还是建议 14 位起步。 ● 还有近 1/3(31%)受访者在过去 18 个月中经历过数据泄露,相比之下,全球平均仅为 1/4 左右(23%)。 作为参考,一些简单的预防措施,就在密码保护工作上起到很好的作用,尤其是避免使用名字、或生日等特征信息,来为多个账户重复设置相同的密码。 微软指出,15% 用户的密码灵感来自于他们的宠物。而且俗话说得好 —— 密码就像内衣,不该轻易与他人(其它服务)分享。 此外我们建议大家定期(比如每隔 60 天)修改一次密码,以降低数据泄露的风险。如果觉得这方面的工作太过劳心劳力,一款功能强大且值得信赖的密码管理器,就是一个不错的选择。 以 Bitwarden 为例,这项服务就使用了银行级的 AES-256 加密,来妥善保管用户的所有账密,且其受到单个长主密码的保护。 错误示例“宾果卡”(图自:Microsoft) 有趣的是,一些网络安全专家认为“密钥”(passphrase)比“密码”(password)更实在且易于记住。 前者可以是一串词汇,也能够包含数字与符号 —— 比如“Barking up the wrong tree”就可演变为“Bark1ngupthewr0ngtree!”。 不过在微软看来,最安全的密码,不如直接弃用密码 —— 而该公司的免密登录方案,就允许用户爽快地删除 Microsoft 账户的密码。 作为替代,该微软提供了 Microsoft Authenticator 验证器 App、Windows Hello 生物验证、安全密钥、或验证码等‘无密码’登录方式。 基于此,用户可安全、便捷地访问 Outlook 和 OneDrive 等内容,且有一段视频来简洁明了地介绍。 视频链接:https://tv.sohu.com/v/dXMvODIyMjQwNTMvMzQ2MzczMzc5LnNodG1s.html 对于注重网购、网银、云存储安全的人们来说,还可借助“多因素认证”,来为账户添加一层额外的防御措施。 在常用的密码之外,多因素方案还会要求通过一次性的短信验证码、或指纹 / 面容等生物识别解决方案来作为额外的验证。 Bitwarden 指出,这一策略已经变得相当流行。79% 的美国受访者表示已在工作账户上启用,另有 77% 的个人账户在使用。 即使持卡人无需对未经其手的盗刷交易买单,支付商还是希望唤醒广大客户的主动风险规避意识 —— 尤其注意甄别短信验证码的使用场景、以及浏览器网址前是否带有 https 的安全超文本传输协议前缀。 Visa 副总裁兼全球反欺诈服务负责人 Michael Jabbara 补充道,一些简单技巧有助于您加强抵御网络犯罪分子的‘第一道防线’,例如多因素身份验证和订阅消费提醒(避免盗刷)。 另外在日常生活中,用户也得养成良好的网上冲浪习惯,包括不要点击可疑链接 / 邮件附件、或低价到离谱的促销广告,以免泄露密码或 PIN 码。 最后、但并非最不重要的一点,就是在设备上安装信誉良好的反病毒软件、并在安全性欠佳的公共网络环境中合理使用虚拟专用网软件。 前者能够将避免间谍、勒索、蠕虫、rootkit、木马等恶意软件尽力挡在门外,而后者有助于抵御复杂的中间人攻击等事件。 而且在企业、家庭网络环境中,也需注意及时更新无线路由器、打印机等物联网设备的操作系统和打上安全补丁。 转自 cnBeta,原文链接:https://www.cnbeta.com/articles/tech/1266129.htm 封面来源于网络,如有侵权请联系删除

谷歌修复了积极利用的 Android 内核漏洞

近期谷歌发布了Android的5月安全补丁的第二部分,其中包括对积极利用的Linux内核漏洞的修复。该漏洞编号为CVE-2021-22600,是Linux内核中的一个权限提升漏洞,威胁者可以通过本地访问来利用该漏洞。由于Android使用修改后的Linux内核,因此该漏洞也会影响操作系统。 谷歌的研究人员曾在1月份就披露了该Linux漏洞 ,并引入了一个修复程序,该修复程序也及时同步给Linux供应商,然而在谷歌自己的安卓操作系统中修复这个漏洞则需要几个月的时间。 4月,CISA披露该漏洞正在被积极利用,并将其添加到其“已知被利用漏洞目录”中。在5月的Android安全公告中,谷歌确认该编号为CVE-2021-22600的漏洞可能被有针对性的利用。目前尚不清楚该漏洞是如何被用于攻击的,但它很可能被用于执行特权命令并通过企业网络中的Linux系统横向传播。 最近的Android版本(10、11、12)包含了越来越严格的权限,使得恶意软件很难获得高级功能所需的权限。因此,在感染后利用漏洞来获得更高的特权并非不可能。此漏洞的第二个潜在用途是用户安装并激活后,可以在设备上获得root权限的设备root工具。 以下是本月修复的内容摘要: Android框架中的四个提权 (EoP) 和一个信息泄露 (ID) 漏洞 Android系统中的三个EoP、两个ID 和两个拒绝服务(DoS) 漏洞 内核组件中的三个EoP 和一个 ID 缺陷 联发科组件中的三个高危漏洞 高通组件中的15个高严重性和1个严重严重性缺陷 需要注意的是,针对CVE-2021-22600和所有来自第三方供应商的修复程序都在2022-05-05 安全补丁程序级别上可用,而不是在2022年5月1日发布的第一个安全补丁程序级别上可用。无论如何,所有这些修复仍然包含在下个月的第一个安全补丁级别中,该补丁将于 2022 年6月1日发布。 同时,该安全补丁并不适用于Android 9或更早版本,建议用户出于安全原因,应该升级到更新的Android操作系统版本。使用Google Pixel设备的用户本月收到了额外的修复,其中一个仅影响使用Titan-M芯片的最新Pixel 6 Pro系列。最有趣的两个是漏洞是CVE-2022-20120和CVE-2022-20117,一个是影响引导加载程序的严重远程执行漏洞,一个是Titan-M上的严重信息泄露漏洞。 转自 FreeBuf ,原文链接:https://www.freebuf.com/articles/332228.html 封面来源于网络,如有侵权请联系删除

数百万用户受影响,杀毒软件 Avast 中潜藏近 10 年的漏洞被披露

5月5日,SentinelLabs 发布报告,显示他们曾在知名防病毒产品Avast 和 AVG (2016 年被 Avast 收购)中发现了两个存在时间长达近10年之久的严重漏洞。 这两个漏洞被跟踪为 CVE-2022-26522 和 CVE-2022-26523,存在于名为 aswArPot.sys 的反 rootkit 内核驱动程序中,该驱动程序于 2012 年 6 月的 Avast 12.1 版本中引入,其问题的根源来自内核驱动程序中的套接字连接处理程序,可允许攻击者提升权限并禁用防病毒软件,甚至还会造成系统蓝屏、死机。 由于这些漏洞的性质,它们可以从沙箱中触发,并且可能在除本地权限提升之外的上下文中被利用。例如,这些漏洞可能被用作第二阶段浏览器攻击的一部分,或执行沙盒逃逸。 SentinelOne 于 2021 年 12 月 20 日报告了这些漏洞,Avast 在 2022 年 2 月 8 日发布的防病毒版本 22.1 中已对其进行了修复,目前为止还没有迹象表明这些漏洞已被广泛利用。但不可否认,由于这两个漏洞已“潜伏”了近10年之久,受影响的用户数量可能已达数百万。 转自 FreeBuf ,原文链接:https://www.freebuf.com/news/332215.html 封面来源于网络,如有侵权请联系删除

欧洲刑警组织:Deepfakes 对网络安全和社会的威胁越来越大

近日,欧洲刑警组织发布了其首份深度伪造研究报告–《面对现实?执法和深度伪造的挑战》(Facing reality? Law enforcement and the challenge of deepfakes),这是欧洲刑警组织创新实验室就新兴技术的风险、威胁和机遇等方面技术发展研究形成的报告。该报告详细概述了deepfake技术的犯罪用途,包括其在CEO欺诈、证据篡改和制作未经同意的色情制品等严重犯罪中的潜在用途。它还详细阐述了执法部门在检测和防止恶意使用deepfakes方面面临的挑战。它表明执法部门、在线服务提供商和其他组织需要制定政策并投资于错误信息的检测和预防解决方案,政策制定者也需要适应不断变化的技术现实。特别是,研究者确定了与数字化转型、新技术的采用和部署、犯罪分子滥用新兴技术、适应新的工作方式和在虚假信息增加的情况下保持信任相关的风险。报告的调查结果基于广泛的案头研究和通过战略前瞻性活动与执法专家进行的深入探讨磋商。这些战略远见和情景方法是欧洲刑警组织创新实验室研究和准备新技术对执法的潜在影响的一种手段。Deepfake已经是一个问题,但在未来几年内可能会成为一个更大的问题。 Deepfake技术使用人工智能技术来改变现有的或创建新的音频或视听内容。它有一些非恶意目的——例如讽刺和游戏——但越来越多地被不良行为者用于不良目的。然而,在2019年, iProove的研究表明,72% 的人仍然没有意识到 deepfakes。 Deepfake被用来创建一个明显来自可信来源的虚假叙述。两个主要威胁是针对公民社会(传播虚假信息以操纵舆论以达到预期效果,例如特定的选举结果);并针对个人或公司获得财务回报。对公民社会的威胁是,如果不加以制止,整个人群的观点和意见可能会受到深度伪造传播的虚假信息活动的影响,这些活动歪曲了事件的真相。人们将不再能够辨别真假。 对公司的网络安全威胁是,深度伪造可能会提高网络钓鱼和 BEC 攻击的有效性,使身份欺诈更容易,并操纵公司声誉导致股票价值不合理地崩盘。 Deepfake技术 Deepfake是通过使用神经网络来检查和发现生成令人信服的图片所必需的模式,并以此开发机器学习算法来开发的。与所有机器学习一样,可用于训练的数据量至关重要——数据集越大,算法越准确。大型训练数据集已经在互联网上免费提供。 目前的两项发展改善并增加了深度伪造的质量和威胁。首先是生成式对抗网络(GAN)的适应和使用。GAN使用两种模型进行操作:生成模型和判别模型。判别模型针对原始数据集反复测试生成模型。欧洲刑警组织的报告写道,“根据这些测试的结果,模型不断改进,直到生成的内容与训练数据一样可能来自生成模型。” 结果是人眼无法检测到但处于攻击者控制之下的虚假图像。第二个威胁来自5G带宽和云计算能力,允许实时操纵视频流。因此,Deepfake技术可以应用于视频会议环境、实时流媒体视频服务和电视。 网络安全威胁 很少有犯罪分子具备必要的专业知识来开发和使用引人注目的深度伪造——但这不太可能延迟他们的使用。欧洲刑警组织表示,犯罪即服务 (CaaS)的持续发展和演进“预计将与当前技术同步发展,从而实现黑客攻击、对抗性机器学习和深度伪造等犯罪的自动化。” Deepfake威胁分为四大类:社会(引发社会动荡和政治两极分化);合法(伪造电子证据);个人(骚扰和欺凌、非自愿色情和在线儿童剥削);和传统的网络安全(敲诈勒索和欺诈以及操纵金融市场)。 带有深度伪造照片的伪造护照将很难被发现。然后,这些可用于助长其他多种犯罪,从身份盗窃和贩运到非法移民和恐怖分子旅行。 令人尴尬或非法活动的深度伪造可用于敲诈勒索。如果诱饵包括可信赖朋友的视频或语音,则网络钓鱼可能会上升到一个新的水平。BEC攻击可以通过与真正 CEO相同的视频消息和语音来支持。但真正严重的威胁可能来自市场操纵。 VMware的Tom Kellermann最近告诉SecurityWeek,市场操纵已经超过了勒索软件对犯罪分子的价值。目前,这是通过使用被盗信息来实现的,这些信息使犯罪分子能够从本质上是内幕交易中获利。但是,使用deepfake可以为犯罪分子提供更直接的方法。虚假信息、令人尴尬的披露、非法出口指控等可能导致公司股价急剧下跌。财大气粗的犯罪团伙,甚至是寻求抵消制裁的流氓国家,可以在股价下跌时购买股票,并在股价不可避免地再次上涨时进行大规模“杀戮”。 安全基于信任。Deepfakes在不应该存在的地方提供信任。 检测深度伪造 Deepfake的质量已经超过了人眼检测伪造品的能力。有限的解决方案使用原始源材料的出处原则——但这将有利于执法部门将深度伪造排除在刑事证据程序之外,而不是防止深度伪造网络犯罪。 技术是另一种潜在的方法。示例包括基于血流引起的肤色自然变化缺陷的生物信号;音素-视位不匹配(即口语对应之间的不完美相关性);面部动作(面部和头部动作没有正确关联);以及寻找组成视频的各个帧之间的不一致性的循环卷积模型。 但也有困难。就像恶意软件的轻微变化可能足以欺骗恶意软件签名检测引擎一样,对用于生成深度伪造的方法的轻微改变也可能欺骗现有的检测。这可能只是简单地更新GAN 中用于生成deepfake的判别模型。 压缩deepfake视频可能会导致另一个问题,这将减少检测算法可用的像素数量。 欧洲刑警组织建议避免深度伪造可能比试图检测它们更有效。第一个建议是依靠视听授权而不仅仅是音频。这可能是一个短期的解决方案,直到deepfake技术、云计算能力和5G带宽使其失效。这些发展也将否定第二个建议:要求实时视频连接。 最后的推荐是一种验证码;也就是说,欧洲刑警组织说,“要求在镜头前现场进行随机复杂的动作,例如在脸上移动手。” 未来之路 简单的现实是,deepfake生产技术目前的改进速度比deepfake检测技术要快。威胁是对社会和企业的。 对于社会,欧洲刑警组织警告说,“专家担心这可能会导致公民不再拥有共同的现实,或者可能造成社会对哪些信息来源可靠的混乱;这种情况有时被称为‘信息启示录’或‘现实冷漠’。” 公司处于稍强的地位,因为它们可以在决定是否接受或拒绝音频/视频方法的任何决定中包含上下文关联。他们还可以坚持机器对机器的通信而不是人与人之间的通信,使用零信任原则来验证机器所有者而不是通信。 然而,当深度造假被用来对抗社会(或至少是社会的持股部分)来操纵公司股价暴跌时,变得特别困难。“这个过程,”欧洲刑警组织警告说,“由于人类倾向于相信视听内容并从默认真相的角度进行工作,因此情况会变得更加复杂。” 公众不太可能立即相信该公司坚持认为这只是假新闻——至少不能及时防止股价崩盘。 Deepfake已经是一个问题,但在未来几年内可能会成为一个更大的问题。 转自 安全内参,原文链接:https://www.secrss.com/articles/42015 封面来源于网络,如有侵权请联系删除

FBI 警告外界小心 BEC 诈骗 五年来已盗取 430 亿美元资金

美国联邦调查局(FBI)警告个人和公司当心商业电子邮件泄露(BEC)攻击。据估计,2016年6月至2021年12月期间,国内和国际因此的损失已达430亿美元,2019年7月至2021年12月期间此类攻击增加了65%。 BEC攻击通常针对执行合法资金转移请求的企业或个人。它们涉及通过社会工程、网络钓鱼或网络入侵破坏高级管理人员或供应商的官方电子邮件账户。一旦犯罪分子获得访问权,他们就会给公司的账户部门发信息,要求进行大笔资金转移。由于这些电子邮件来自官方来源,这些请求往往不会引起怀疑。 黑客们的目标不仅仅是资金转移。员工有时会被要求交出他们的个人身份信息、银行账户号码、工资/税单或加密货币钱包,然后被用于从盗窃到身份欺诈的各种用途。联邦调查局警告说,BEC诈骗正在增长和演变,目标是小型地方企业到大型企业和个人交易。过去几年事件的上升被归因于新冠疫情大流行和更多人在家工作,导致更多公司远程开展业务。这些攻击在2016年至2021年期间产生了430亿美元损失,而去年与加密货币相关的BEC损失达到了创纪录的4000万美元。 美国所有50个州和全球170个国家都有关于BEC骗局的报道。大多数被盗资金被转移到泰国和香港的银行,中国、墨西哥和新加坡是第二大热门地点。联邦调查局建议人们为他们的电子邮件账户开启双因素认证,以防止BEC攻击。它还说,要警惕电子邮件可能是网络钓鱼骗局的迹象(网站地址拼写错误等),不要通过电子邮件提供登录凭证,并定期监测金融账户的任何违规行为。 转自cnBeta,原文链接:https://www.cnbeta.com/articles/tech/1265861.htm 封面来源于网络,如有侵权请联系删除

攻击者部署后门,窃取 Exchange 电子邮件

网络安全研究人员将该 APT 组织追踪为 UNC3524,并强调在某些情况下,该组织可以对受害者环境进行超过 18 个月的访问,展示了其 “先进 “的隐匿能力。 在每一个 UNC3524 受害者环境中,攻击者都会针对一个子集的邮箱,集中其注意力在执行团队和从事企业发展、兼并和收购的员工或 IT 安全人员身上。 获取权限后,立刻窃取数据 Mandiant 表示,一旦 UNC3524 成功获得受害者邮件环境特权凭证后,就立刻开始向企业内部的 Microsoft Exchange 或 Microsoft 365 Exchange Online 环境提出 Exchange 网络服务(EWS)API 请求。 另外,UNC3524 在不支持安全监控和恶意软件检测工具的网络设备上,部署一个被称为 QUIETEXIT 的后门(以开源的 Dropbear SSH 软件为灵感开发),以保持长期攻击。 在一些攻击中,UNC3524 也会在 DMZ 网络服务器上部署 reGeorg 网络外壳(注:该版本与俄罗斯赞助的 APT28/Fancy Bear 组织有关联),以创建一个SOCKS 隧道作为进入受害者网络的替代接入点。 UNC3524 隧道 UNC3524 通过这些设备(如无线接入点控制器、SAN 阵列和负载平衡器)上部署的恶意软件,大大延长了初始访问与受害者检测到其恶意活动,并切断访问之间的时间间隔。 值得一提的是,Mandiant 表示,即使延长了时间,UNC3524 组织也没有浪费时间,一直使用各种机制重新破坏环境,立即重新启动其数据盗窃活动。 QUIETEXIT 后门命令和控制服务器是僵尸网络的一部分,该僵尸网络通过默认凭证,破坏暴露在互联网上的 LifeSize和D-Link IP视频会议摄像机系统。 在获得访问权并部署其后门后,UNC3524 获得了受害者邮件环境的特权凭证,并开始通过 Exchange 网络服务(EWS)API请求,瞄准企业内部的Microsoft Exchange或Microsoft 365 Exchange Online邮箱。 值得注意的是,UNC3524 组织通常窃取执行团队和从事企业发展、并购或 IT员工的所有电子邮件,而不是挑选感兴趣的电子邮件。   转自 FreeBuf ,原文链接:https://www.freebuf.com/news/332061.html 封面来源于网络,如有侵权请联系删除

攻击者劫持英国 NHS 电子邮件帐户以窃取 Microsoft 登录信息

据调查,在近半年的时间里,英国国家卫生系统(NHS)的100多名员工的工作电子邮件帐户被多次用于网络钓鱼活动,其中一些活动旨在窃取Microsoft登录信息。在劫持合法的NHS电子邮件帐户后,这些攻击者于去年10月开始使用它们,并至少在今年4月之前将其继续用于网络钓鱼活动。据电子邮件安全INKY的研究人员称,已经从英格兰和苏格兰员工的NHS电子邮件帐户发送出1000多条网络钓鱼邮件。 研究人员跟踪了来自NHS的两个IP地址的欺诈性消息,这些IP地址来自139名NHS员工的电子邮件帐户。INKY在其客户中检测到来自这两个地址的1,157封欺诈性电子邮件。随后NHS也确认这两个地址是用于管理大量账户的邮件系统。 在大多数情况下,网络钓鱼邮件带有虚假链接,根据邮件提示需要点击链接才能执行下一步操作,而虚假链接则会跳转到要求填写Microsoft凭据的钓鱼网站上面。为了使电子邮件更加可信,攻击者在邮件底部添加了NHS保密免责声明。 在INKY研究人员收集的其他样本中,网络钓鱼邮件通过添加公司徽标来冒充Adobe和Microsoft等品牌。并且钓鱼活动的范围很广泛,除了试图窃取凭证之外,还有一些预付费用的情况,比如攻击者告知接受者有200万美元的巨额捐款。当然,接收资金需要潜在受害者以个人详细信息(例如全名和地址、手机号码)的形式支付费用。 甚至还有人使用了Shyann Huels 的名字并假装自己是“杰夫·贝索斯先生的国际事务特别秘书”。 上图中的相同名称和消息已在4月初的诈骗中出现,该操作背后的个人拥有一个加密货币钱包地址,该地址收到了大约4.5个比特币,目前价值约 171,000 美元。 自从发现网络钓鱼活动以来,INKY一直与NHS保持联系。这家英国机构在4月中旬之后通过从本地 Microsoft Exchange 部署切换到云服务来解决风险。这一举措确实起到了不错的效果,虽然INKY客户继续收到欺诈信息,但数量要少得多。这是由于NHS为该国数以万计依赖各种技术解决方案的组织(例如医院、诊所、供应商、医生办公室)提供了基础设施。INKY的安全战略副总裁Roger Kay强调说,这些活动不是入侵 NHS电子邮件服务器的结果,而是单独劫持了帐户。   转自 FreeBuf ,原文链接:https://www.freebuf.com/articles/332063.html 封面来源于网络,如有侵权请联系删除

DNS 曝高危漏洞,影响数百万物联网设备

近日,Nozomi Networks发出警告,uClibc库的域名系统 (DNS) 组件中存在一个高危漏洞,编号为CVE-2022-05-02,该漏洞将影响所有版本uClibc-ng库的域名系统(DNS),因此,数百万台使用uClibc库的物联网设备都也将受到影响。 资料显示,uClibc库专门为OpenWRT设计的一个分支,OpenWRT 是用于各种关键基础设施部门的路由器的通用操作系统。 通过该漏洞,攻击者可以进行DNS中毒或DNS欺骗攻击,并将受害者重定向到恶意网站而不是合法网站。Nozomi Networks在报告中写到,该漏洞是由库生成的DNS请求中包含的事务ID的可预测性引起,可能允许攻击者对目标设备执行DNS中毒攻击。 目前,uClibc库被广泛应用于各大厂商,包括Linksys、Netgear和Axis,或嵌入式Gentoo等Linux发行版。安全专家尚未透露该漏洞的细节,因为供应商暂时没有解决该问题。 Nozomi的研究人员通过查看物联网设备在其测试环境中执行的DNS请求跟踪发现了这个问题。他们从Wireshark 的输出中确定执行DNS请求的模式,事务ID首先是递增的,然后重置为0x2值,然后再次递增。请求的事务ID是可预测的,这种情况可能允许攻击者在某些情况下发起DNS中毒攻击。 研究人员分析了可执行文件,发现创建DNS请求的问题出现在C标准库uClibc 的0.9.33.2版本。 Nozomi报告中写到,研究人员通过源代码审查发现,uClibc库通过调用位于源文件“/libc/inet/resolv.c”中的内部“__dns_lookup”函数来实现DNS请求。鉴于交易ID的可预测性,攻击者想要利用该漏洞,就需要制作包含正确源端口的DNS响应,并赢得来自DNS服务器的合法DNS响应的竞争。由于该函数不应用任何显式源端口随机化,如果操作系统配置为使用固定或可预测的源端口,则很可能以可靠的方式轻松利用该问题。 如果操作系统使用源端口的随机化,则利用该问题的唯一方法是通过发送多个DNS响应,暴力破解16位源端口值,同时赢得与合法响应的竞争。 最后,Nozomi报告总结道,截止该报告发布时,该漏洞仍未修复。开发者似乎无法修复该漏洞,自2022年1月以来,CERT/CC 向200多家受邀参与VINCE案例的供应商披露了该漏洞,并在公开发布前30天通知他们。   转自 FreeBuf ,原文链接:https://www.freebuf.com/news/332069.html 封面来源于网络,如有侵权请联系删除