美国和印度尼西亚上周举行了首次以港口为重点的网络安全桌面演习，以更好地应对针对海上关键基础设施的攻击。 美国国土安全部周二表示，此次演习于 6 月 10 日至 13 日在印度尼西亚泗水举行，主要模拟针对港口运营、船岸起重机和其他海事活动方面的重大网络事件和勒索软件攻击。 国土安全部表示，印尼的私营企业做出了贡献，与会者讨论了减轻攻击影响和进一步增强海上网络弹性的方法。 国土安全部与美国国务院和其他机构共同领导了这次演习，但对于是什么具体威胁促使举行桌面演习，国土安全部没有回应置评请求。 印尼国防部、国家警察局、国家情报局和其他数十个政府部门以及参与印尼港口运营和航运的公司的代表出席了仪式。 近年来，美国与印度尼西亚在安全问题上合作更加密切，并于 2023 年签署了“国防合作协议”。 国土安全部副部长罗布·西尔弗斯 (Rob Silvers) 表示，此次演习让参与者能够“与印尼同行一起对网络事件应对计划进行压力测试，并确定我们可以更密切合作的领域，以确保海上领域免受网络威胁。” 印度尼西亚海上和海岸警卫局局长乔恩·肯尼迪表示：“海上环境中的网络威胁越来越复杂，危害越来越大。应对这些威胁需要采取综合措施，将运营协调、能力建设和政府与行业利益相关者之间的风险信息共享结合起来。” 桌面演习结束后，美国海岸警卫队与印度尼西亚政府官员和公司举行了研讨会，分享了有关海上网络事件预防和应对的政策和最佳实践。 研讨会讨论了拜登总统二月份发布的行政命令，该命令对加强网络防御提出了新的要求，并扩大了海岸警卫队应对网络安全事件的权限。 国土安全部部长亚历杭德罗·马约卡斯 (Alejandro Mayorkas)在 2022 年告诉国会，网络攻击是美国港口面临的最紧迫的威胁之一。 “我们担心的问题之一是港口面临的网络安全威胁。我们正在提高港口运营技术水平，这就是为什么不仅海关和边境保护局关注网络安全，美国海岸警卫队也是如此。”马约卡斯当时表示。 “就我们的港口而言，我认为网络安全是一条重大威胁，我们当然非常注重防御网络安全并加强我们的网络安全。” 过去三年，针对港口的网络攻击和勒索软件事件已达数十起。比利时、荷兰、德国、葡萄牙、日本、澳大利亚以及休斯顿等美国城市的港口均遭遇过攻击。几家航运科技巨头也遭遇过网络安全事件，导致运营陷入数日的停顿。 总领事乔纳森·艾伦表示，上周举行的类似演习“不仅有助于加强技术能力，而且有助于建立宝贵的未来伙伴关系，美国期待在这些重要交流的基础上继续发展。”   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/IlFFs-sxU4ubj1-MA1mCow 封面来源于网络，如有侵权请联系删除

网络安全公司 Sygnia 报告称，APT组织被发现使用传统 F5 BIG-IP 设备持续访问受害者网络长达三年。 这个被称为“Velvet Ant （天鹅绒蚂蚁）”的APT组织使用了多种机制来确保在受害者网络中立足，并迅速从已解决的机制转向新的机制，并表现出逃避检测的适应性。 该网络安全公司指出：“攻击者在调查前至少两年就已渗透到该组织的网络，并成功站稳脚跟，掌握了对该网络的深入了解。” 研究人员发现，Velvet Ant 使用各种工具和技术来破坏关键系统并访问敏感数据，并在未受监控的系统中部署休眠持久机制，包括 PlugX 远程访问木马 (RAT)。 攻击链 在部署 PlugX 恶意软件之前，攻击者被发现使用了 DLL 搜索顺序劫持、DLL 侧加载和幻影 DLL 加载，以及篡改已安装的安全软件。 该黑客组织表现出了高度的操作安全（OPSEC）意识，并没有在未能禁用安全软件的工作站上安装恶意软件。 Velvet Ant 还使用开源工具 Impacket 在受感染的机器上进行横向工具传输和远程代码执行，并创建防火墙规则以允许连接到命令和控制 (C＆C) 服务器。 从受害者网络中消除后，Sygnia 观察到它使用 PlugX 样本感染新机器，这些样本重新配置为使用内部服务器作为 C＆C，并通过该服务器与恶意软件建立外部通信。 攻击者使用配置了外部 C＆C 服务器的 PlugX 版本感染了可以访问互联网的系统，以窃取敏感信息，并使用没有 C＆C 的恶意软件迭代感染了旧服务器。 Velvet Ant 通过两台运行过时、易受攻击的软件的 F5 BIG-IP 设备，使用反向 SSH 隧道连接来访问旧文件服务器。 Sygnia 指出：“受感染文件服务器上的 PlugX 实例被攻击者用作内部 C&C 服务器。黑客从该服务器开展侦察活动，利用 Impacket 的 WmiExec 将 PlugX 的其他实例部署到旧服务器上。” 受害者使用受感染的 F5 BIG-IP 设备提供防火墙、WAF、负载平衡和本地流量管理服务。这两款设备都直接暴露在互联网上，可能已通过利用已知漏洞遭到黑客攻击。 在其中一台被攻陷的 F5 设备上，攻击者部署了 VelvetSting（用于接收来自 C&C 的命令）、VelvetTap（用于捕获网络数据包）、Samrid（开源 Socks 代理隧道程序 EarthWorm）和 Esrde（具有与 VelvetSting 相同的功能）等工具。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/rvV74uqIKcar3y6Zd2dRMQ 封面来源于网络，如有侵权请联系删除

据BleepingComputer消息，Proofpoint的安全研究人员近期注意到有多个黑客组织正利用虚假的谷歌 Chrome浏览器、Word 和 OneDrive 等程序的运行错误来诱导用户安装运行带有恶意 PowerShell的修复程序。 据观察，这些黑客组织包括 ClearFake和TA571， ClearFake曾利用网站覆盖层，提示访问者安装带有恶意软件的虚假浏览器更新，而TA571以发送大量电子邮件的垃圾邮件分发商而闻名。 Proofpoint观察到三个攻击链，这些攻击链主要在初始阶段存在差异。第一种情况与 ClearFake 相关，当 Chrome 用户访问一个受感染的网站时，会通过币安的智能链合约加载托管在区块链上的恶意脚本。 此脚本会显示虚假的 Google警告，指出显示网页时出现问题，并提示访问者安装“根证书”，将恶意 PowerShell 脚本复制到 Windows 剪贴板并在 Windows PowerShell（管理）控制台中运行。 虚假的谷歌浏览器错误 PowerShell 脚本将执行各种步骤来确认设备是有效目标，然后下载其他有效负载，包括刷新 DNS 缓存、删除剪贴板内容、显示诱饵消息、下载另一个远程 PowerShell 脚本并在下载信息窃取程序之前执行反 VM 检查。 第二个攻击链是在被攻击的网站上使用注入程序，创建一个 iframe 来覆盖另一个虚假的 Chrome 浏览器错误。用户被指示打开 “Windows PowerShell（管理员）”并粘贴所提供的代码，从而导致上述相同的感染。 第三个攻击链使用类似 Word 文档的 HTML 附件，提示用户安装 “Word Online “扩展来正确查看文档，所弹出的提示提供了 “如何修复 “和 “自动修复 “选项，其中 “如何修复 “会将一个 base64 编码的 PowerShell 命令复制到剪贴板，指示用户将其粘贴到 PowerShell 中。 虚假的 Word 提示 “自动修复 “使用 search-ms 协议在远程攻击者控制的文件共享上显示 WebDAV 托管的 “fix.msi “或 “fix.vbs “文件。 在这种情况下，PowerShell 命令下载并执行 MSI 文件或 VBS 脚本，分别导致 Matanbuchus 或 DarkGate 感染。 以上三种攻击连都是攻击者利用了目标用户对其系统上执行 PowerShell 命令风险认知的匮乏，他们还利用  Windows 无法检测和阻止粘贴代码发起的恶意操作。 Proofpoint 指出，他们观察到的有效载荷已包括 DarkGate、Matanbuchus、NetSupport、Amadey Loader、XMRig、剪贴板劫持者和 Lumma Stealer。这些攻击虽然需要大量交互，但每一步操作看起来都足够以假乱真。   转自Freebuf，原文链接：https://www.freebuf.com/news/403837.html 封面来源于网络，如有侵权请联系删除

美国多个城市的政府机构遭受勒索软件攻击，导致服务中断，被迫关闭设施。 日前，密歇根州的特拉弗斯市和纽约州的纽堡市同时遭受了大规模勒索软件攻击事件，当地政府机构向市民通知暂时无法处理税款、水费和许可证等方面的工作。 特拉弗斯市被迫关闭城市网络系统 特拉弗斯市是密歇根州北部人口最多的城市，目前约有 3 万居民，大特拉弗斯县约有 10 万居民。特拉弗斯市相关机构负责人表示，大特拉弗斯县的官员在本周三上午发现了内部网络系统出现异常状况，随后经过内部讨论，最终决定关闭所有县市的网络。 据悉，大特拉弗斯县负责管理该县和特拉弗斯市的 IT 网络，该市某负责人 Liz Vogel 指出，他们的首要任务是保护民众的数据信息，以及确保城市的基本服务能够正常、稳定、连续的运营。联邦调查局 FBI 和密歇根州警方目前正在参与网络恢复工作，但在可预见的未来，县和市的网络将一直处于离线状态。 值得一提的是，特拉弗斯市的 911、警察和消防等紧急服务没有受到勒索软件的影响，由于在线支付系统托管在第三方平台上，也未受到攻击的影响。因此，政府负责人呼吁居民尽量使用在线门户网站支付账单或税款等费用。 大特拉弗斯县行政长官内特-阿尔杰（Nate Alger）表示，在发现勒索软件攻击的迹象后，IT 部门迅速采取了行动，隔离了这一事件并关闭了县市的网络，后续将继续与合作伙伴合作，以了解更多有关影响的信息，并尽可能减少对公众造成的干扰。 勒索软件攻击致使纽堡市政厅关闭 纽堡位于纽约市以北约一小时车程的地方，有 3 万人口，在本周宣布遭受到网络攻击事件，市政府被迫关闭。据悉，网络攻击时间发生在当地时间周一，导致纽堡市政府完全无法处理或接受财产税、水费、下水道费、卫生费、许可证费或停车罚单等付款。 市政府表示，发生勒索软件攻击事件后，经过调查研究发现，本市的紧急服务功能齐全，未受到此次勒索软件袭击的影响。同时，市政府也已经聘请了外部 IT 专家和其他专业人员一起夜以继日地工作，以期全面恢复运作。 值得一提的是，纽堡和特拉弗斯市遭受攻击的同一周，美国中西部最大的城市之一克利夫兰也同样遭遇了勒索软件攻击。克利夫兰政府发言人在一封电子邮件中告诉 Recorded Future News，市政厅将在关闭数天。2023 年，奥克兰和达拉斯等大城市也遭受了重大勒索软件攻击。2024 年，威奇托、伯明翰、彭萨科拉、杰克逊维尔海滩等城市也遭受了勒索软件攻击事件。 Emsisoft 威胁分析师布雷特-卡洛（Brett Callow）追踪、分析了针对美国政府机构的勒索软件攻击事件。到目前为止，2024 年已经发生了 50 起勒索软件攻击事件（不包括对纽堡的攻击）。在整个 2023 年，美国地方政府共遭到 95 起经证实的勒索软件攻击事件。   转自Freebuf，原文链接：https://www.freebuf.com/news/403795.html 封面来源于网络，如有侵权请联系删除

IT资产管理平台Lansweeper近日向企业管理员发出警告：大量微软SQL Server即将过期。 Lansweeper扫描了超过一百万个SQL Server实例，发现其中有19.8%已经不再受微软支持。另有12%的实例运行的是即将于7月9日停止扩展支持的SQL Server 2014。这意味着到下个月初，32%的微软SQL Server实例将失去微软的技术支持（以及安全更新）。 Lansweeper首席战略官Roel Decneut指出，虽然企业客户可以付费继续接收SQL Server 2014的安全更新，但这一调查结果突显了微软旗舰数据库用户面临的潜在重大风险：大量企业业务仍然依赖早已淘汰的软件版本。 众所周知，微软在推动用户从Windows 10升级到Windows 11时面临巨大阻力，企业系统管理员们的在升级数据库软件时也面临类似的困境。尽管IT专业人士非常清楚在过时软件上运行关键业务流程的风险，但说服董事会为设备更新拨款却并不容易。 Decneut在加入Lansweeper之前，曾在微软工作18年，并参与了SQL Server 2008和2012的发布工作。他表示：“多年来这个问题一直存在，很难让人们从旧版本中迁移出来。主要原因是企业已经在（旧版本）关系型数据库上开发了大量应用，这些应用具有很强的粘性。” 此外，过去几十年间，微软产品向后兼容性的处理方式不一致，导致一些企业对升级数据库软件存在抵触情绪。Lansweeper的扫描程序甚至还检测到SQL Server 7的“古董”实例。升级运行在SQL Server 7上的数据库到最新版本可谓难如登天。 微软SQLServer版本统计 当前最新的SQL Server版本是2022。根据Decneut的说法，Lansweeper发现44%的实例运行的是SQL Server2019，SQL Server 2017占13.5%，而SQL Server 2016不到10%。SQL Server 2014占12%，SQL Server 2012占9%，SQL Server 2008则略低于8%。（上图） 不仅仅是微软，其他IT厂商的也面临类似的难题，很多客户在产品技术支持结束多年甚至几十年后，仍在使用过时代码/产品。 Percona的技术布道官Dave Stokes指出：“企业使用过时版本软件的情况很普遍，因为业界流行一句格言‘如果没坏，就不要修’。但这也经常被用作回避（升级）问题的借口。” Stokes还指出：“开源数据库也面临生命周期结束的挑战，MySQL 5.7版本去年十月达到了EOL（生命周期结束）状态，但该版本在Percona监控和管理报告的系统中仍占很大比例。Percona的EOL后支持非常广泛。” 最后，Decneut认为，企业级软件的另一个升级挑战是新版本没有足够的吸引力。他说：“许多非常基础的业务应用程序……最初被设计得非常稳健而没有多余的功能。新版本增加的（可有可无的）功能对用户的吸引力不大。” Decneut总结道：“IT人士正忙于向云端迁移，支持AI，不太关心过期软件的安全风险。只有出现重大漏洞时，才会有人真正关心这个问题，这种心态导致了很多安全事故。”   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/IV01Bc8WitqrrZVmajCkcg 封面来源于网络，如有侵权请联系删除

据观察，与哈马斯有关的高级持续性威胁 (APT) 组织 Arid Viper 早在 2022 年就使用 Android 间谍软件 AridSpy。现在，研究人员首次对该恶意软件之前神秘的后期阶段进行了全面分析。 ESET 的研究人员最近发布了一份关于 AridSpy 活动的新报告，结果表明 AridSpy 是通过木马消息应用程序进行传播的。 报告称：“在这些攻击活动中，AridSpy 被改造成一个多阶段木马，最初的木马应用程序会从命令和控制服务器下载额外的有效载荷。” 报告称，研究人员分析了五起针对埃及和巴勒斯坦 Android 用户的 AridSpy 攻击活动。AridSpy 经常潜伏在具有合法功能的应用程序中，使其更难被发现。 ESET 表示，在本例中，巴勒斯坦的受害者被一款冒充巴勒斯坦民事登记处的恶意应用程序的广告所针对。在埃及，第一阶段的间谍软件隐藏在一款名为 LapizaChat 的应用程序中以及诈骗性质的工作机会发布中。这些应用程序可从威胁行为者控制的第三方网站（而非 Google Play）下载。 被木马感染的消息应用程序 分析表明，一旦第二阶段数据泄露开始，该威胁组织将能够收集大量数据，包括设备位置、联系人列表、通话记录、短信、照片缩略图、剪贴板数据、通知、视频录制缩略图，以及让网络犯罪分子能够录制音频、拍照等。 报告称，此前的分析显示，AridSpy 曾在 2022 年针对卡塔尔举行的 FIFA 世界杯以及中东地区的其他活动展开攻击。 ESET 警告称，专用网站仍在运行至少三个 AridSpy 间谍活动。 报告称：“截至本文发布时，发现的五个攻击活动中有三个仍然活跃；这些攻击活动使用专门的网站来分发冒充 NortirChat、LapizaChat 和 ReblyChat 的恶意应用程序、招聘信息……以及巴勒斯坦民事登记应用程序。” 随着时间的推移，Arid Viper 也可能会维护和改进 AridSpy 代码。 研究人员指出：“当然，第二阶段的有效载荷携带了最新的更新和恶意代码更改，这些更改可以推送到其他正在进行的活动。”“这些信息表明 AridSpy 得到了维护，可能会收到更新或功能更改。”   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/ah-zsfC8vkkcdVb7IBu_GQ 封面来源于网络，如有侵权请联系删除

CISA 将该 CVE 添加到其已知被利用的漏洞目录中，但到目前为止，大多数受感染主机都在中国被发现。 据 Censys 的一篇博客文章称，研究人员周五警告称，PHP 编程语言中的一个严重漏洞正受到越来越多的利用，因为 TellYouThePass 勒索软件组织正在瞄准易受攻击的网站。 该漏洞被列为CVE-2024-4577，自 6 月 7 日起就一直受到该威胁组织的攻击，截至周四，已观察到约 1,000 台受感染主机 — 它们主要位于中国。截至 6 月 10 日，观察到的感染数量已从约 1,800 台下降。 美国网络安全和基础设施安全局于周三将 CVE-2024-4577 添加到已知利用的漏洞目录中。 Devcore 最初发现了参数注入漏洞，其 CVSS 评分为 9.8，可允许攻击者实现远程代码执行。未经身份验证的攻击者可以绕过之前针对CVE-2012-1823的保护。 Imperva 的研究人员首先检测到了为利用该漏洞而部署的 TellYouThePass 勒索软件。这种特定的勒索软件至少从 2019 年就已经存在，之前曾利用过 Apache Log4j 中的漏洞CVE-2021-44228和 Apache ActiveMQ 中的漏洞CVE-2023-46604。 据 Censys 称，勒索软件目前正在针对其发现的任何存在漏洞的 PHP 服务器进行攻击。 “这可能会影响到广泛的用户，从个人网站维护者到企业网站。”Censys 安全研究员 Himaja Motheram 说。“攻击者似乎正在大规模扫描互联网，而不是针对任何特定组织。” 目前对美国的直接影响有限，因为美国被入侵的主机数量在周二达到峰值 39 台，而截至周一中国被入侵的主机数量最高为 962 台。 Palo Alto Networks的研究人员证实，截至 6 月 11 日，他们也发现了活跃的攻击活动。 PHP 于 6 月 6 日发布了修补版本，包括8.3.8、8.2.20 和 8.1.29。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/k7XCRxrxBRcIN6_e0M9OSw 封面来源于网络，如有侵权请联系删除

有消息称，英国国家医疗服务体系（NHS）近日透露，本月初Synnovis医疗组织遭到勒索软件攻击，导致伦敦多家医院受到影响，被迫取消了数百项手术计划和门诊预约。 Synnovis的前身是2009年成立的GSTS Pathology，后更名为Viapath，并于2022年10月再度更名为Synnovis。该组织是由医疗诊断巨头SYNLAB UK & Ireland、盖伊和圣托马斯NHS信托基金会以及国王学院医院NHS信托基金会共同成立的合资企业。 6月3日，俄罗斯勒索软件组织“麒麟”（Qilin）发起攻击，导致Synnovis系统被锁定，盖伊和圣托马斯NHS信托基金会、国王学院医院NHS信托基金会以及整个伦敦东南部的初级保健提供商遭遇持续服务中断。 各家医院发布的官方备忘录显示，这一“持续的重大事件”对医疗程序和手术（包括输血和血液检测）造成了“重大影响”。不过，NHS在事件发生两天后（5日）表示，除了部分依赖病理服务的手术和医疗程序不得不推迟，紧急救护（A&E）等急诊服务、急救中心和产科部门仍照常开放。 然而，上周五（14日），NHS伦敦部门透露，勒索软件攻击对相关医院的手术工作造成了巨大影响，并补充说，Synnovis可能需要数月时间才能完全恢复系统。 NHS表示：“攻击后第一周（6月3日至9日）的数据显示，受影响最大的两家信托基金会——国王学院医院NHS信托基金会和盖伊和圣托马斯NHS信托基金会，需要重新安排800多台手术计划和700多次门诊预约。” “Synnovis正在专注于系统的技术恢复，并计划在未来几周内开始恢复其IT系统的部分功能。然而，彻底完成技术恢复需要一些时间。由于检测和门诊预约需要重新安排，这起网络事件带来的干扰将在未来几个月内继续体现。” NHS警告血液储备短缺 上周一（10日），英格兰NHS血液和移植协会（NHSBT）发出警告称，受Synnovis勒索攻击事件影响，相关医院无法快速匹配患者血液，伦敦面临血液短缺，特别需要O型阳性和O型阴性血液（安全输血血型）。协会呼吁捐献者预约献血，以帮助补充O型血液储备。 由于替代配血程序耗时可能长达数小时，对于那些亟需手术和医疗程序的患者而言，上述血液储备至关重要。 盖伊和圣托马斯NHS信托基金会首席执行官Ian Abbs教授和国王学院医院NHS信托基金会首席执行官Clive Kay教授发表联合声明，表示“我们完全理解任何医疗延误给患者及其家属带来的痛苦，并对此深感抱歉。与此同时，我们敦促患者，除非医院通知他们预约已取消，一定要按计划完成预约就诊。” 攻击后几天内，“麒麟”的暗网泄漏网站下线，但现在已经重新上线。该黑客组织尚未宣布对Synnovis的攻击负责。 “麒麟”勒索软件活动始于两年前，即2022年8月。当时，他们以“Agenda”的名义出现，但迅速更名为“麒麟”（Qilin）。 自那时起，该组织被认为或主动宣称对多起攻击事件负责。其泄漏网站上已经添加了超过130家公司。到了2023年底，“麒麟”组织变得非常活跃，攻击显著增加。 他们以实施双重勒索攻击而闻名。在加密被攻破的系统之前，先拿窃取的数据向目标公司施压，以满足他们的要求。到目前为止，“麒麟”索要的赎金最低为25000美元，如果受害者知名度较高，则会提升到数百万美元。   转自安全内参，原文链接：https://www.secrss.com/articles/67160 封面来源于网络，如有侵权请联系删除

近日，来自三星、首尔国立大学和佐治亚理工学院的韩国研究团队的研究人员发现一种以 ARM 的内存标记扩展（MTE）为目标的，名为 “TIKTAG “的新型攻击，黑客可利用这种方式绕过安全防护功能，这种攻击专门针对谷歌浏览器和 Linux 内核的攻击，导致数据泄露几率超过 95%。 MTE是ARM v8.5-A架构（及更高版本）新增的一项功能，旨在检测和防止内存损坏。系统采用低开销标签技术，为 16 字节内存块分配 4 位标签，确保指针中的标签与访问的内存区域相匹配，从而防止内存损坏攻击。 MTE 有三种运行模式：同步、异步和非对称，兼顾了安全性和性能。 研究人员发现，通过使用两个小工具（代码），即 TIKTAG-v1 和 TIKTAG-v2，他们可以利用投机执行在短时间内泄露 MTE 内存标记，成功率很高。 标签泄露图 泄露这些标签不会直接暴露敏感数据，如密码、加密密钥或个人信息。但理论上，它可以让攻击者破坏 MTE 提供的保护，使安全系统无法抵御隐蔽的内存破坏攻击。 TIKTAG 攻击 TIKTAG-v1 利用 CPU 分支预测和数据预取行为中的推测收缩来泄漏 MTE 标记。 TIKTAG-v1 代码 研究人员发现，这个小工具在攻击 Linux 内核时，对投机性内存访问的功能格外有效，不过需要对内核指针进行一些操作。 攻击者使用系统调用调用投机执行路径，并测量缓存状态以推断内存标签。 TIKTAG-v2 利用了投机执行中的存储到加载转发行为，这是一个将值存储到内存地址并立即从同一地址加载的序列。 TIKTAG-v2 代码 如果标签匹配，值将被转发，加载成功，并影响缓存状态；如果标签不匹配，转发将被阻止，缓存状态保持不变。 因此，通过探测投机执行后的缓存状态，可以推断出标签检查结果。 研究人员展示了 TIKTAG-v2 小工具对谷歌 Chrome 浏览器，尤其是 V8 JavaScript 引擎的有效性，为利用渲染器进程中的内存破坏漏洞开辟了道路。 通过 MTE 旁路实现的攻击场景 行业响应和缓解措施 研究人员在 2023 年 11 月至 12 月期间向受影响的企业报告了他们的发现，并得到了普遍积极的回应。 发表在 arxiv.org 上的技术论文提出了以下针对 TIKTAG 攻击的缓解措施： 修改硬件设计，防止投机执行根据标签检查结果修改高速缓存状态。 插入投机障碍（如 sb 或 isb 指令），防止关键内存操作的投机执行。 添加填充指令，以扩展分支指令和内存访问之间的执行窗口。 增强沙箱机制，将投机性内存访问路径严格限制在安全内存区域内。 虽然 ARM 认识到了情况的严重性，并在几个月前发布了公告，但它并不认为这是对功能的妥协。 ARM 在公告中写道：由于 Allocation Tags 对地址空间中的软件来说并不是秘密，因此揭示正确标签值的投机机制并不被视为对架构原则的破坏。 Chrome 浏览器的安全团队承认存在这些漏洞，但目前并未打算修复。因为他们认为 V8 沙盒的目的不是保证内存数据和 MTE 标记的机密性。 此外，Chrome 浏览器目前默认不启用基于 MTE 的防御功能，因此修复的优先级较低。 Pixel 8 设备中的 MTE 标记已于今年 4 月报告给了安卓安全团队，并被确认为符合悬赏条件的硬件漏洞。   转自Freebuf，原文链接：https://www.freebuf.com/news/403690.html 封面来源于网络，如有侵权请联系删除

在最近的一次数据泄露事件中，领先的蓝牙定位跟踪设备供应商之一 Tile 的数百万用户的个人信息可能被暴露，并引发了赎金要求。 据 404 Media 报道，黑客利用窃取的一名前 Tile 公司员工的凭证进入了公司内部工具，并访问了多个 Tile 系统，以窃取敏感数据。 这些数据包括用于转移 Tile 追踪器所有权、创建管理员账户和发送用户通知的工具，如黑客提供的截图所示。 黑客在数据泄露事件中可以访问的内容 2024 年 6 月 11 日，Tile 的母公司、专注于定位数据的 Life360 表示，检测到有人未经授权访问其客户支持平台。根据该公司的新闻稿，Tile 成为了 “犯罪勒索企图 “的目标，一名身份不明的行为者告知他们拥有 Tile 的客户信息。 公司立即展开调查，发现有人未经授权访问了 Tile 客户支持平台，但没有访问 Tile 服务平台。该公司向用户保证，没有财务数据、密码或位置信息被泄露，因为该平台从未存储过这些数据。但用户的敏感数据可能会被暴露，包括姓名、实际地址、电子邮件地址、电话号码和 Tile 设备识别码。 Life360 首席执行官 Chris Hulls 表示：”我们认为，此次事件仅限于上述特定的 Tile 客户支持数据，并不具有更大的普遍性。”他重申了该公司保护客户信息的承诺，并采取措施保护其系统免受恶意行为者的侵害。 值得注意的是，该新闻稿不适用于美国以外的用户，截图如下： 该公司已经向执法部门报告了这一事件和勒索企图。然而，此次事件凸显了用户位置追踪公司的脆弱性，以及它们是如何成为黑客攻击目标的。 由于电子邮件地址被曝光，Tile 用户应谨防网络钓鱼，对要求提供个人信息或登录凭据的电子邮件保持警惕，并监控与 Tile 帐户相关的电子邮件和银行帐户上的可疑活动。 专家评论 总部位于新泽西州弗莱明顿的身份和访问安全提供商 Pathlock 首席执行官 Piyush Pandey 就数据泄露事件发表了评论，指出其中涉及多种因素，包括前员工或心怀不满的员工实施的潜在威胁以及缺乏安全认证。 “在这种情况下，访问权限似乎是使用 Tile 前员工的管理凭证授予的，这表明身份安全的一个关键要素——在身份生命周期的加入、移动和离开整个过程中，能够主动了解用户的访问和权限。” 此外，多因素身份验证也可能导致仅凭用户名和密码就能访问的情况不复存在。Piyush 补充说：这一漏洞还表明，除了保护主要业务线应用程序外，确保服务账户访问的安全性也至关重要。 Critical Start 网络威胁研究高级经理 Callie Guenther 强调了数据泄露事件后的重大威胁情报影响，包括有针对性的勒索、供应链漏洞、数据敏感性、事件响应等。Callie 建议采取以下措施保护管理员账户： 多因素身份验证（MFA）： 要求所有管理员账户使用多因素身份验证（MFA），以增加额外的安全层。 强密码策略： 强制使用强大、唯一的密码，并定期更改密码。 最小特权原则： 只向需要的用户授予管理权限，尽量减少拥有高级访问权限的用户数量。 定期审计和监控： 持续监控和审计管理员账户活动，及时发现和应对可疑行为。 安全意识培训： 教育员工识别网络钓鱼企图，以及保护凭证的重要性。   转自Freebuf，原文链接：https://www.freebuf.com/news/403699.html 封面来源于网络，如有侵权请联系删除