内容转载

= ̄ω ̄= 内容转载

全球超 200 万服务器仍运行过时 IIS 组件

根据市场调查机构 CyberNews 公布的最新研报,全球有超过 200 万台网络服务器依然在运行过时且容易受到攻击的微软互联网信息服务(IIS)旧版本。IIS 占全球市场的 12.4%,是第三大最受欢迎的网络服务器软件套件,用于支持至少 5160 万个网站和网络应用。 不过,早于 7.5 的旧版本 IIS 已经不再受到微软的支持。与其他类型的过时服务器软件一样,微软IIS的所有遗留版本都存在许多关键的安全漏洞,使它们成为威胁者的一个有吸引力的目标。 CyberNews 研究人员使用一个物联网搜索引擎,寻找容易受到已知 CVE 影响的未打补丁的 IIS 网络服务器。在过滤掉蜜罐(安全团队使用的诱饵系统)后,他们发现了 2,033,888 个易受攻击的服务器。由于承载公共网站的服务器必须是可公开访问的,以发挥其功能,它们也在广播其过时的 IIS 版本,供所有人看到。 CyberNews 安全研究员 Mantas Sasnauskas 说:“这意味着在明显有漏洞的软件上运行这些服务器,等于向威胁者发出了渗透到他们网络的邀请”。目前国内有 679,941 个运行传统版本 IIS 的暴露实例,位居易受攻击的服务器地点之首。美国有 581,708 台未受保护的服务器,位居第二。 ThreatX 的首席技术官 Andrew Useckas 表示:“中国之所以有如此多运行旧版 IIS 的服务器,是因为它们比 Linux 服务器更容易安装,而且由于使用盗版绕过了许可证费用。而这些安装盗版的用户也不知道如何进行维护,更别说进行升级了”。   (消息及封面来源:cnBeta)

黑客曝光 50 万 Fortinet VPN 用户的登录凭证

一份包含 50 万名 Fortinet VPN 用户的登录凭证近日被黑客曝光,据称这些凭证是去年夏天从被利用的设备上刮取的。该黑客表示,虽然被利用的 Fortinet 漏洞后来已经被修补,但他们声称许多 VPN 凭证仍然有效。 这次泄漏是一个严重的事件,因为 VPN 凭证可以让威胁者进入网络进行数据渗透,安装恶意软件,并进行勒索软件攻击。Fortinet 凭证清单是由一个被称为“Orange”的黑客免费泄露的,他是新发起的 RAMP 黑客论坛的管理员,也是 Babuk 勒索软件行动的前操作者。 在 Babuk 团伙成员之间发生纠纷后,Orange 分裂出来创办 RAMP,现在被认为是新的 Groove 勒索软件行动的代表。昨天,该黑客在 RAMP 论坛上创建了一个帖子,其中有一个文件的链接,据称该文件包含成千上万的 Fortinet VPN 账户。同时,Groove 勒索软件的数据泄漏网站上出现了一个帖子,也在宣传 Fortinet VPN 的泄漏。 这两个帖子都指向一个文件,该文件托管在Groove团伙用来托管被盗文件的Tor存储服务器上,以迫使勒索软件受害者付款。外媒 BleepingComputer 对这个文件的分析显示,它包含了 12856 台设备上 498,908 名用户的 VPN 凭证。 外媒没有测试任何泄露的凭证是否有效,但可以确认我们检查的所有 IP 地址都是 Fortinet 的 VPN 服务器。Advanced Intel 进行的进一步分析显示,这些 IP 地址是全球范围内的设备,有 2959 个设备位于美国。 目前还不清楚为什么威胁者发布了这些凭证,而不是为自己所用,但据信这样做是为了推广RAMP黑客论坛和Groove勒索软件即服务行动。高级英特尔首席技术官 Vitali Kremez 告诉 BleepingComputer:“我们高度相信,VPN SSL的泄漏很可能是为了推广新的RAMP勒索软件论坛,为想做勒索软件的人免费提供”。   (消息及封面来源:cnBeta)

微软承认 Windows 存在可被恶意 Office 文件攻击的零日漏洞

微软已经承认所有版本的Windows存在一个新的零日漏洞,目前正被攻击者利用。该公司表示,在MSHTML中发现了一个远程代码执行漏洞,恶意的微软Office文档可以借用这个漏洞对计算机发起攻击。攻击者可以制作一个恶意的ActiveX控件,被承载浏览器渲染引擎的微软Office文档所使用。然后,攻击者需要说服用户打开该恶意文件。 该公司解释说:”那些账户被配置为在系统中拥有较少用户权限的用户可能比那些以管理用户权限操作的用户受到的影响要小。” 这个远程代码执行漏洞的标识符为CVE-2021-40444,是由不同网络安全公司的研究人员发现的,其中包括微软自家安全响应中心、EXPMON和Mandiant。该漏洞一旦被利用,就会影响到Internet Explorer的浏览器渲染引擎MSHTML,该引擎也被用来渲染Windows上Microsoft Office文件中基于浏览器的内容。 微软已经在进行修复工作,并计划在本月的补丁星期二或通过带外更新发布安全更新。同时,用户可以通过保持反恶意软件产品(即微软Defender系列)的运行来保护电脑。该公司还建议用户暂时禁用Internet Explorer中的ActiveX控件的安装,以减轻任何潜在的攻击。 如需要了解更多细节,请访问微软的安全咨询页面,了解有关这些变通和缓解的方法: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-40444   (消息及封面来源:cnBeta)

报道称德国警方秘密购买了 NSO 的 Pegasus 间谍软件

在创建适用于 Android 和 iOS 的监控工具失败之后,德国联邦刑事警察局(BKA)在 2019 年购买了来自于 NSO 集团的 Pegasus 间谍软件。援引外媒 Die Zeit 报道,周二在德国议会内政委员会的一次闭门会议上,联邦政府透露了和 NSO 的协议。 目前尚不清楚 BKA 是何时开始使用 PegASUS 间谍软件的,不过该工具于 2019 年购买,目前与国家开发的一个效果较差的木马程序一起使用。 Suddeutsche Zeitung 通过 DW.com 的一份单独报告,引用了 BKA 副主席 Martina Link 的话,确认在 2020 年底购买,然后在今年 3 月部署,打击恐怖主义和有组织犯罪嫌疑人。 尽管官员们对部署可允许近乎不受限制地访问 iPhone 和 Android 手机的软件的合法性表示担忧,但还是决定采用 Pegasus。正如报告中所指出的,NSO 的间谍软件利用零日漏洞获得对智能手机的访问权,包括最新的 iPhone 手机,以记录对话,收集位置数据,访问聊天记录等。 德国的法律规定,当局只有在特殊情况下才能渗透到嫌疑人的手机和电脑中,而监视行动也有类似的严格规定。消息人士告诉 Die Zeit,德国联邦调查局官员规定,只有 Pegasus 的某些功能可以激活,以使这个强大的工具符合该国的隐私法。目前还不清楚这些限制是如何实施的,以及它们是否有效。同样不清楚的是 Pegasus 被部署的频率和对象。 Die Zeit 报道称,德国在 2017 年首次就潜在的许可安排与 NSO 接触,但由于担心软件的功能,该计划被否决。在 BKA 试图创建自己的间谍软件的尝试失败后,双方重新进行了会谈。   (消息及封面来源:cnBeta)

在遭遇勒索软件攻击后 霍华德大学取消了所有本周二的课程

华盛顿特区的霍华德大学在成为遭受勒索软件攻击的最新一家教育机构后取消了课程。该事件于9月3日被发现,就在学生返回校园的几周后,该大学的企业技术服务部门(ETS)检测到该大学的网络有”异常活动”,并有意将其关闭,以便进行调查。 “根据调查和我们迄今掌握的信息,我们知道大学经历了一次勒索软件网络攻击,”该大学在一份声明中说。虽然一些细节仍不清楚–不知道谁是攻击的幕后黑手,也不知道要求多少赎金–霍华德大学说,到目前为止,没有证据表明其9500名本科生和研究生的个人数据被访问或泄露。”然而,我们的调查仍在进行中,我们将继续努力澄清有关发生的事实以及哪些信息被访问。” 为了使其IT团队能够充分评估勒索软件攻击的影响,霍华德大学已经取消了周二的课程,只对基本员工开放校园。在调查过程中,校园Wi-Fi也将关闭,但基于云的软件仍可供学生和教师使用。 霍华德大学:”这是一个快速进行中的情形,我们优先保护所有敏感的个人、研究和临床数据。”我们正在与联邦调查局和华盛顿特区市政府联系,并正在安装额外的安全措施,以进一步保护大学和你的个人数据免受任何犯罪分子的破译。” 但该大学警告说,这种补救措施将是”长期的–而不是一夜之间的解决方案”。 霍华德大学是自这一流行病开始以来受到勒索软件袭击的一长串教育机构中最新的一个,联邦调查局网络部最近警告说,由于普遍转向远程学习,使用这种类型的攻击的网络犯罪分子正大力关注学校和大学。去年,加利福尼亚大学在NetWalker黑客对其医学院服务器内的数据进行加密后,向他们支付了114万美元,犹他大学向黑客支付了45.7万美元,以防止他们对外公布在对其网络的攻击中窃取的数据。 根据EMSIsoft威胁分析师Brett Callow上个月的说法,2021年迄今为止,勒索软件攻击已经破坏了58个美国教育组织和学区,包括830所单独的学校。Emsisoft估计,在2020年,有84起事件破坏了1681所个人学校、学院和大学的学习进程。 “在未来几周,我们可能会看到教育部门的事件大幅增加,”Callow周二在Twitter上说。   (消息及封面来源:cnBeta)

Office 365 将允许管理员阻止受信任文档上的活动内容

Bleeping Computer 报道称:微软正计划允许 Office 365 管理员能够设置一项全局策略,从而让组织内的所有用户都无法忽略“阻止受信任文档上的活动内容”的提示。据悉,这项设置旨在默认阻止受信任文档上无需用户交互的 ActiveX 控件、宏操作、以及动态数据交换(DDE)等功能。 微软中国官方商城 – Office 可信文档(官方解释) 正常情况下,来自潜在不安全位置的文件,默认是以只读方式打开的。 然而即使被添加了可能存在恶意操作的活动内容,发生修改的受信任文档也会在没有任何提示的情况下被自动打开,结果就是绕过了 Office 的“受保护视图”防线。 好消息是,作为正在进行的 Office 安全强化工作的一部分,如果文件自上次受信后发生了移动或变化,用户将继续看到相关安全提示。 (图自:Microsoft Support) 微软在 Office 365 路线图上表示: 我们正在改变 Office 应用程序的行为,以强制执行阻止可信文档上的活动内容,比如 ActiveX 控件、宏操作、以及动态数据交换等策略。 此前就算 IT 管理员设置了阻止策略,软件仍允许活动内容在受信任的文档中运行。按照计划,微软将在 10 月底之前,向世界各地的所有客户推送这项功能更新。 相关新闻中,微软还更新了 Defender for Office 365 服务,以防用户在浏览被隔离的电子邮件时,遭遇到某些嵌入式的威胁。 今年 5 月,该公司更新了企业 Microsoft 365 应用程序(以前被称作 Office 365 专业增强版)的安全基线,以组织未签名的宏和 JScript 代码执行攻击。 今年 3 月,它还为 Microsoft 365 客户引入了 XLM 宏保护,以阻止恶意软件滥用 Office VBA 宏和 PowerShell、JScript、VBScript、MSHTA/Jscript9、WMI 或 .NET 代码(常被用于通过 Office 文档宏来部署的恶意负载)。   (消息及封面来源:cnBeta)

隐私邮件服务 ProtonMail 迫于法律提供用户信息 引发用户信任危机

伴随着公民隐私保护意识的觉醒和增强,主打隐私保护的 ProtonMail 成为不少人的首选电子邮件服务。但这并不代表着你就可以肆无忌惮,在某些国家和地区依然执法部门可以利用法律手段调查你的相关信息。 引发关注的这起事件围绕着“青年为气候”(Youth For Climate)活动成员,他们被指控在 2020-2021 年间建立了“气候营”(climate camp)占领活动。虽然这些事件发生在巴黎,但调查显示一些活动家使用 ProtonMail 来沟通他们的活动。这最终导致瑞士政府命令该电子邮件服务交出上述用户的 IP 地址,最终导致他们被捕。 Etienne 表示:“由于@ProtonMail收到了由瑞士当局发起,来自欧洲刑警组织的法律请求,要求他们提供有关巴黎 Youth For Climate 行动的信息,他们向警方提供了 IP 地址和使用的设备类型的信息”。 这可能会让那些持有传统观点的人感到震惊,他们认为瑞士是隐私的堡垒,是不受外国势力影响的自治国,但现实可能不再符合这一形象。除了对设在该国的实体增加一定程度的监控的新法律外,瑞士还必须与其他主权国家打好关系。虽然瑞士法院试图倾向于拒绝外国政府的数据请求,但这是一个同意欧洲警察组织要求的例子。 虽然是因为法律的压力而被迫交出这些用户数据,但是 ProtonMail 依然遭到了网友的愤怒指责。有用户质疑 ProtonMail 为何会拥有用户的 IP 地址,因为它宣传说它默认不记录 IP 地址。ProtonMail 创始人兼首席执行官 Andy Yen 解释说,它只是在被瑞士当局依法强制要求后才开始记录特定用户的 IP 地址。 Andy Yen 在推文中表示:“关于法国‘气候活动家’事件的一些想法。对于我们的产品被用于严重犯罪,令人遗憾。但根据法律,@ProtonMail 必须遵守瑞士的刑事调查。这显然不是默认的,而是只有在法律强制的情况下才会这样做”。 网民们仍然对ProtonMail的营销方式提出异议,将其记录活动的法律复杂性隐藏在其头版上。一方面,ProtonMail并没有真正豁免于瑞士法律,即使它承诺继续尽可能地对抗数据请求。另一方面,它可能确实需要澄清其隐私条款的细枝末节,特别是对于那些对ProtonMail抱有更大期望的付费用户。   (消息及封面来源:cnBeta)

日企开发人脸识别系统:取款购物瞬间完成认证支付

据共同社网站近日报道,日本理索纳控股和松下等4家公司近日发布消息称,将共同开发使用人脸识别技术提供上述服务的系统。一旦该系统得以应用,只要事先登记脸部照片,就可空手在银行窗口办理存取款手续、在零售商店购物。 据报道,该系统还可用于办理宾馆入住及租车时的身份确认,有望在广泛领域提高便利度。 除了索纳和拥有人脸识别技术的松下之外,这4家公司还包括在运用数字技术确认身份方面具有优势的大日本印刷,以及开展结算服务的JCB。 这一技术本年度内将用于理索纳公司内的房间进出管理,下一年度在理索纳银行的部分店铺尝试是否可不使用存折和现金卡,仅通过人脸识别进行存取款、汇款、购买投资信托等手续。将来还考虑推广到地方银行等难以自行开发技术的企业。 JCB将利用信用卡的店铺网络扩大服务,考虑的系统是事先登记脸部照片的顾客来店时,可以瞬间确认身份、完成支付。 登记脸部照片以顾客同意为前提,但从保护隐私的角度看,如何确保安全性或成为普及相关服务的关键。 关于此次的服务,用户的脸部照片数据将保管在外部无法访问的服务器上,由理索纳管理。松下的负责人表示:“人工智能的发展使人脸识别的精度飞跃性提高,非法访问很困难。”   (消息及封面来源:cnBeta)

美国网络司令部警告各机构立即修补被大规模利用的 Confluence 漏洞

美国网络司令部(USCYBERCOM)今天发布了罕见的警报,敦促来自美国的企业和机构们立即修补一个被大规模利用的Atlassian Confluence关键漏洞。“对Atlassian Confluence CVE-2021-26084的大规模利用正在进行,预计会加速,”网络国家任务部队(CNMF)说。 USCYBERCOM单位还强调了尽快修补脆弱的Confluence服务器的重要性。”如果你还没有打补丁,请立即打补丁–这不能等到周末之后”。 这一警告是在副国家安全顾问安妮·纽伯格在周四的白宫新闻发布会上鼓励各组织”在周末假期前对恶意的网络活动保持警惕”之后发出的。 这是过去12个月中的第二次此类警告,前一次的通知来自今年6月份,CISA意识到威胁者可能试图利用影响所有vCenter Server安装的远程代码执行漏洞。 CISA今天还敦促用户和管理员立即应用Atlassian最近发布的Confluence安全更新。 Atlassian Confluence是一个非常受欢迎的基于网络的企业团队工作空间,旨在帮助员工在各种项目上进行协作。 8月25日,Atlassian发布安全更新,以解决积极利用的Confluence远程代码执行(RCE)漏洞,该漏洞被追踪为CVE-2021-26084,并使未经认证的攻击者能够远程在有漏洞的服务器上执行命令。 正如BleepingComputer本周报道的那样,在Atlassian的补丁发布6天后,一个PoC漏洞被公开发布后,多个威胁者开始扫描并利用这个最近披露的Confluence RCE漏洞来安装挖矿程序。 一些网络安全公司报告说,威胁者和安全研究人员都在积极扫描和利用未打补丁的Confluence服务器。例如,联盟工程总监Tiago Henriques检测到渗透测试人员试图寻找有漏洞的Confluence服务器。网络安全情报公司Bad Packets也发现了来自多个国家的威胁者在被攻击的Confluence服务器上部署和启动PowerShell或Linux shell脚本。 在分析了漏洞样本后,BleepingComputer证实,攻击者正试图在Windows和Linux Confluence服务器上安装加密货币矿工(例如XMRig Monero加密货币矿工)。 尽管这些攻击者目前只部署了加密货币矿工,但如果威胁者开始从被入侵的内部Confluence服务器横向移动企业网络,投放勒索软件的载荷并窃取或破坏数据,攻击的危害性就会迅速升级。   (消息及封面来源:cnBeta)

FTC 宣布禁止间谍软件制造商 SpyFone 命令其删除非法收集的数据

据外媒The Verge报道,当地时间周三,美国联邦贸易委员会(FTC)宣布禁止间谍软件制造商SpyFone及其首席执行官 Scott Zuckerman从事监控业务。该委员会称SpyFone是一家“跟踪软件公司”,据称通过隐藏的设备非法收集和分享人们的行动、电话使用和在线活动数据。 FTC在一份声明中说:“该公司的应用程序出售对其秘密监视的实时访问权限,使跟踪者和家庭虐待者能够隐蔽地跟踪他们暴力的潜在目标。SpyFone缺乏基本的安全性,也使设备所有者面临黑客、身份窃贼和其他网络威胁。” 除了禁令之外,FTC还命令SpyFone删除非法收集的数据,并在设备所有者不知情的情况下安装该应用时通知他们。 FTC主席Lina Khan在一份声明中说:“我们必须对监控企业带来的各种威胁保持清醒的头脑。FTC将在数据安全和隐私执法中保持警惕,并将寻求大力保护公众免受这些危险的影响。”   电子前沿基金会(EFF)表示,被应用商店禁止的SpyFone应用程序可以在用户不知情的情况下被用来追踪用户的行动和在线活动,有时被推销为”追踪出轨配偶”的方法,或者更巧妙地用来监视员工或孩子。据反对跟踪软件联盟(Coalition Against Stalkerware)称,这类应用程序可被用于延续骚扰和虐待。 SpyFone说,这款应用程序有几个功能,包括监控电子邮件和视频聊天。SpyFone表示,该应用程序及其首席执行官被禁止“提供、推广、销售或宣传任何监控应用程序、服务或业务”。 EFF赞扬了FTC的命令。该基金会的领导层在一篇博文中写道:“随着FTC现在将其重点转向这一行业,跟踪软件的受害者可以开始找到安慰,因为监管机构开始认真对待他们的关切。” FTC委员以5比0的投票结果接受了与该公司的同意令。根据同意令协议,现在以Support King名义开展业务的SpyFone公司没有承认或否认FTC的指控。FTC委员Rohit Chopra发表了一份单独的声明,称拟议的命令“绝不是免除 ”该公司或其首席执行官的潜在刑事责任。 “虽然这一行动是值得的,但我担心FTC将无法利用我们的民事执法机构对跟踪应用程序的犯罪事实进行有意义的打击,”Chopra写道。“我希望联邦和州的执法者审查刑事法律的适用性,包括《计算机欺诈和滥用法》、《联邦反窃听法案》和其他刑事法律,以打击非法监控,包括使用跟踪软件。”   (消息及封面来源:cnBeta)