LibreOffice 发布软件更新,修补 3 个新漏洞

Hackernews 编译,转载请注明出处: LibreOffice背后的团队发布了安全更新,以修复生产力软件中的三个安全漏洞,其中一个漏洞可能被用来在受影响的系统上实现任意代码执行。 追踪为CVE-2022-26305,该问题被描述为在检查宏是否由受信任的作者签名时证书验证不正确的情况,从而导致执行宏中打包的恶意代码。 LibreOffice在通报中表示:“因此,黑客可以创建任意证书,其序列号和颁发者字符串与受信任的证书相同,LibreOffice会将其显示为属于受信任的作者,这可能导致用户执行包含在不受信任的宏中的任意代码。” 除此之外,更新还解决了在加密期间使用静态初始化向量(CVE-2022-26306)的问题,如果黑客可以访问用户的配置信息,这可能会削弱安全性。 最后,这些更新还解决了CVE-2022-26307问题,其中主密钥编码不当,如果黑客拥有用户配置,则存储的密码很容易受到暴力攻击。 这三个漏洞是由 OpenSource Security GmbH 代表德国联邦信息安全办公室报告的,在LibreOffice 版本7.2.7、7.3.2和7.3.3中已得到解决。 五个月前,文档基金会于2022年2月修复了另一个不正确的证书验证错误(CVE-2021-25636)。去年10月,修补了三个欺骗漏洞,这些漏洞可能被滥用来修改文档,使其看起来像是由可信来源进行了数字签名。   消息来源:TheHackerNews,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

美国对与朝鲜有关的黑客的信息奖励增加到 1000万 美元

Hackernews 编译,转载请注明出处: 美国国务院将任何与朝鲜有关的黑客的信息奖励增加到1000万美元。 2020年4月,美国国务院、财政部、国土安全部和联邦调查局发布了一份联合咨询意见,警告世界各地的组织注意朝鲜民族国家黑客对全球银行和金融机构构成的“重大网络威胁”。 当时,美国政府还向任何能够提供“与朝鲜有联系的APT组织所开展活动的信息”的人提供高达500万美元的奖金,当局还将为过去黑客活动的信息付费。 现在,美国国务院将奖励增加到1000万美元。 掌握与朝鲜有联系的APT组织(如Andariel,APT38,Bluenoroff,Guardians of Peace,Kimsuky或Lazarus Group)相关的任何个人信息,并且违反《计算机欺诈和滥用法案》参与针对美国关键基础设施的人,都可以获得奖励。 正义奖励组织建立了一个黑暗网站,允许任何人通过安全渠道,提供有关针对美国的外国恶意网络活动的信息。 消息来源:securityaffairs,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

SmokeLoader 使用 Amadey 信息窃取恶意软件感染目标系统

Hackernews 编译,转载请注明出处: 一个名为Amadey的信息窃取恶意软件正在通过另一个名为SmokeLoader的后门进行分发。 AhnLab安全应急响应中心的研究人员在上周发布的一份报告中表示,这些攻击主要是欺骗用户下载伪装成软件漏洞的SmokeLoader,为部署Amadey铺平道路。 Amadey是一个僵尸网络,于2018年10月左右首次出现在俄罗斯地下论坛上,售价600美元。它能够虹吸凭据、捕获屏幕截图、系统元数据,甚至可以获取有关防病毒引擎和安装在受感染计算机上的其他恶意软件的信息。 虽然沃尔玛全球技术公司去年7月发现了一个更新,其中包含从Mikrotik路由器和Microsoft Outlook收集数据的功能,但该工具集已经升级,可以从FileZilla、Pidgin、Total Commander FTP Client、RealVNC、TightVNC、TigerVNC和WinSCP获取信息。 然而,其主要目标是部署额外的插件和远程访问木马,如Remcos RAT和RedLine Stealer,使黑客能够进行一系列攻击后活动。 建议用户将其设备升级到最新版本的操作系统和Web浏览器,以最大程度地减少潜在的感染途径并避开盗版软件。   消息来源:TheHackerNews,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

“漫游螳螂”金融黑客瞄准法国 Android 和 iPhone 用户

Hackernews 编译,转载请注明出处: 被追踪为“漫游螳螂”的移动威胁运动与针对法国手机用户的新一波妥协有关,数月前,它将目标扩大到欧洲国家。 Sekoia在上周发布的一份报告中表示,作为活动恶意软件操作的一部分,至少有7万台Android设备被感染。 众所周知,涉及漫游螳螂的攻击链是一种出于经济动机的中国黑客组织,它要么部署一个名为MoqHao(又名XLoader)的银行木马,要么将iPhone用户重定向到模仿iCloud登录页面的凭证获取登录页面。 “MoqHao(又名Wroba,Android的XLoader)是一种Android远程访问木马,具有信息窃取和后门功能,可能通过短信传播。”Sekoia研究人员表示。 这一切都始于网络钓鱼短信,这是一种被称为短信诈骗的技术,通过包含流氓链接的包裹交付主题消息吸引用户,单击后,继续下载恶意APK文件,但前提是要确定受害者的位置是否在法国境内。 如果收件人位于法国境外,并且设备操作系统既不是Android也不是iOS(通过检查IP地址和User-Agent字符串可以确定这一因素),则服务器设计为使用“404未找到”状态代码进行响应。 MoqHao通常使用通过动态DNS服务Duck DNS生成的域作为其第一阶段交付基础架构。更重要的是,恶意应用程序伪装成Chrome网络浏览器应用程序,来诱骗用户授予其入侵权限。 间谍软件特洛伊木马使用这些权限,为与受感染设备进行远程交互提供了途径,使攻击者能够秘密获取敏感数据,例如iCloud数据、联系人列表、通话记录、SMS消息等。   消息来源:TheHackerNews,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

FileWave MDM 中的漏洞可能允许黑客攻击 1000 多个组织

Hackernews 编译,转载请注明出处: FileWave移动设备管理(MDM)产品中的多个漏洞使组织面临网络攻击。 Claroty研究人员在FileWave MDM产品中发现了两个漏洞,使1000多个组织面临网络攻击。FIleWave MDM用于组织查看和管理设备配置、位置、安全设置和其他设备数据。组织可以使用MDM平台向设备推送强制软件和更新,更改设备设置、锁定,并在必要时远程擦除设备。 现在修补的漏洞是跟踪为CVE-2022-34907的身份验证绕过漏洞,以及跟踪为CVE-2022-34906的硬编码加密密钥。这两个漏洞都存在于版本14.6.3和14.7.x之前的FileWave MDM中,14.7.x在版本14.7.2之前。FileWave在本月早些时候解决了版本14.7.2中的漏洞。 身份验证绕过漏洞允许远程攻击者实现“super_user”访问并完全控制MDM安装,然后使用它来管理目标组织的任何设备。 Claroty发布的分析报告写道:“在我们的研究过程中,我们能够识别出FileWave MDM产品套件身份验证过程中的一个关键漏洞,允许我们创建一个漏洞利用程序,绕过平台中的身份验证要求,实现super_user访问,通过利用这个身份验证绕过漏洞,我们能够完全控制任何连接互联网的MDM实例。” 为了演示CVE-2022-34907漏洞,专家们创建了一个标准的FileWave设置,并注册了6台设备。他们利用此漏洞泄漏有关MDM服务器实例管理的所有设备的数据。 “最后,通过使用常规MDM功能,允许IT管理员在托管设备上安装软件包和软件,我们在每个受控设备上安装恶意软件包,在每个托管设备上弹出虚假勒索软件病毒。这样,我们就演示了潜在攻击者如何利用Filewave的功能来控制不同的托管设备。”Claroty发布的帖子中写道。 研究人员演示了如何利用该漏洞在由专家泄露的实例管理的设备上安装勒索软件。 Claroty总结道:“如果恶意使用此漏洞,远程攻击者可以轻松攻击并感染所有通过FileWave MDM管理的可访问互联网的实例,允许攻击者控制所有托管设备,访问用户的个人家庭网络、组织的内部网络等。”   消息来源:securityaffairs,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

Drupal 开发人员修复了 CMS 中的代码执行漏洞

Hackernews 编译,转载请注明出处: Drupal开发团队发布了安全更新来修复多个问题,其中包括关键的代码执行漏洞。 Drupal core – 中度严重 – 多个漏洞 – SA-CORE-2022-015 Drupal core – 严重– 任意PHP代码执行 – SA-CORE-2022-014 Drupal core – 中度严重 – 访问绕过 – SA-CORE-2022-013 Drupal core – 中度严重 – 信息泄露 – SA-CORE-2022-012 美国网络安全和基础设施安全局针对上述漏洞发布了一份公告。 最严重的一个是跟踪为CVE-2022-25277的任意PHP代码执行。 “Drupal core在上传时会清理带有危险扩展名的文件名(参考:SA-CORE-2020-012),并从文件名中删除前导点和尾随点,以防止上传服务器配置文件(参考:SA-CORE-2019-010)。公告中写道。“但是,之前对这两个漏洞的保护并没有正常工作。因此,如果将站点配置为允许上传带有htaccess扩展名的文件,这些文件的文件名将无法得到正确清理。这也可能允许绕过Drupal core的默认.htaccess文件提供的保护,以及在Apache Web服务器上远程执行代码。” 为了缓解此问题,域管理员必须将文件字段显式配置为允许 htaccess 作为扩展名(受限权限),或作为覆盖允许的文件上载的模块或自定义代码。这个漏洞影响了9.4和9.3版本,公告指出,该问题只影响具有特定配置的Apache web服务器。 其他三个漏洞被评为“中度严重”,可能导致跨站点脚本攻击、信息泄露或访问绕过。 所有问题都会影响9.4和9.3版本,但信息泄露漏洞也会影响版本7。   消息来源:securityaffairs,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

针对影响其分析和 GMS 产品的关键漏洞,SonicWall 发布补丁

Hackernews 编译,转载请注明出处: 7月22日,网络安全公司SonicWall发布补丁,以缓解影响其Analytics On-Prem和全球管理系统产品的关键SQL注入(SQLi)漏洞。 该漏洞被跟踪为CVE-2022-22280,在CVSS评分系统上的严重性等级为9.4,源于该公司所描述的SQL命令中使用的“特殊元素的不当中和”,这可能导致未经身份验证的SQL注入。 “如果不在用户可控制的输入中充分删除或引用SQL语法,生成的SQL查询可能会导致这些输入被解释为SQL,而不是普通的用户数据。”MITRE在其对SQL注入的描述中指出。 这可以用于更改查询逻辑以绕过安全检查,或插入修改后端数据库的附加语句,其中可能包括执行系统命令。 DBappSecurity HAT Lab的H4lo和Catalpa发现并报告了影响2.5.0.3-2520 及更早版本的Analytics On-Prem 以及9.3.1-SP2-Hotfix1之前和包括它在内的所有GMS版本的漏洞。 建议依赖易受攻击设备的组织升级到Analytics 2.5.0.3-2520-Hotfix1和GMS 9.3.1-SP2-Hotfix-2。 SonicWall表示:“没有解决这个漏洞的方法,但是,通过整合Web应用程序防火墙来阻止SQLi尝试,可以显着降低被利用的可能性。”   消息来源:TheHackerNews,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

Apple 为所有设备发布安全补丁,修复数十个新漏洞

Hackernews 编译,转载请注明出处: 周三,苹果发布了针对iOS、iPadOS、macOS、tvOS和watchOS的软件补丁,以解决影响其平台的一系列安全漏洞。 这包括至少37个漏洞,这些漏洞跨越iOS和macOS中的不同组件,从权限提升到任意代码执行,从信息泄露到拒绝服务。 其中最主要的是CVE-2022-2294,这是Google本月早些时候披露的WebRTC组件中的内存损坏漏洞,该漏洞在针对Chrome浏览器用户的真实攻击中被利用。但是,没有证据表明针对iOS,macOS和Safari的漏洞进行了疯狂的零日利用。 除了 CVE-2022-2294 之外,这些更新还解决了影响 Apple Neural Engine (CVE-2022-32810、CVE-2022-32829 和 CVE-2022-32840)、音频 (CVE-2022-32820)、GPU 驱动程序 (CVE-2022-32821)、ImageIO (CVE-2022-32802)、IOMobileFrameBuffer (CVE-2022-26768)、内核(CVE-2022-32813 和 CVE-2022-32815) 和 WebKit (CVE-2022-32792)的几个任意代码执行漏洞。 此外,还修补了影响内核的指针身份验证绕过 (CVE-2022-32844)、ImageIO 组件中的 DoS 错误 (CVE-2022-32785),以及 AppleMobileFileIntegrity 和文件系统事件中的两个权限提升漏洞(CVE-2022-32819 和 CVE-2022-32826)。 最新版本的 macOS 解决了 SMB 模块中的五个安全漏洞,恶意应用可能会利用这些漏洞来获得提升的权限、泄露敏感信息以及使用内核权限执行任意代码。 建议 Apple 设备的用户更新到 iOS 15.6、iPadOS 15.6、macOS(Monterey 12.5、Big Sur 11.6.8 和 2022-005 Catalina)、tvOS 15.6 和 watchOS 8.7,以获得最新的安全防护。   消息来源:TheHackerNews,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

Google 在 Android 中增加了对 DNS-over-HTTP/3 的支持,以保持 DNS 查询的私密性

Hackernews 编译,转载请注明出处: 谷歌周二正式宣布支持Android设备的HTTP/3 DNS(DoH3),这是谷歌Play系统更新的一部分,旨在保持DNS查询的私密性。 为此,运行Android 11及更高版本的Android智能手机预计将使用DoH3,而不是包含在Android 9.0移动操作系统中的DNS-over-TLS (DoT)。 DoH3也是DNS-over-HTTPS(DoH)的替代方案,这是一种通过加密连接执行远程域名系统解析的机制,可有效防止第三方窥探用户的浏览活动。 HTTP/3是自2015年5月推出HTTP/2以来对超文本传输协议的首次重大升级,旨在使用一种名为QUIC的新传输层协议,该协议已得到Google Chrome,Microsoft Edge,Mozilla Firefox和Apple Safari等主要浏览器的支持。 谷歌于2012年开发的低延迟协议依赖于用户数据报协议,而不是传输控制协议,以使HTTP流量更加安全和高效,更不用说减少在两个端点之间建立连接所需的时间。 DoH3还具有保持稳定连接的优势,即使移动设备经常更换网络(例如,从Wi-Fi到LTE)。“对于DoT来说,这些事件需要对连接进行全面的重新协商。相比之下,基于QUIC传输的HTTP/3可以在单个RTT中恢复挂起的连接。”谷歌指出。 此外,为了提高DNS解析器的安全性,该组件已在Rust中实现,从而实现内存安全保证。值得指出的是,Google 在 2021 年 4 月为 Android 添加了 Rust 支持。 “随着 Rust 的推出,我们能够同时提高安全性和性能,”Maurer 和 Yu 表示。“同样,QUIC也可以让我们同时提高网络性能和隐私。”   消息来源:TheHackerNews,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文

欧盟警告称,乌克兰正在经历的战争有溢出效应风险

Hackernews 编译,转载请注明出处: 欧盟理事会警告称,在俄罗斯和乌克兰持续冲突的背景下,黑客进行了恶意网络活动。 欧盟的声明指出,大量黑客正在不分青红皂白地瞄准全球关键基础设施。 “在乌克兰战争的背景下,恶意网络活动的增加造成了不可接受的溢出效应,误解和可能升级的风险。”声明中写道。“在这方面,我们回顾欧盟及其成员国强烈谴责2022年1月14日针对乌克兰的网络攻击,并于2022年5月10日将针对KA-SAT卫星网络的恶意网络活动归因于俄罗斯联邦。” 在持续不断的战争背景下,网络攻击的数量不断增加,造成了不可接受的溢出效应风险。 欧盟引用了最近一波由亲俄黑客组织对几个欧盟成员国和合作伙伴进行的分布式拒绝服务攻击,这些攻击对欧盟及其成员国构成了严重威胁。 欧盟强烈谴责网络空间这种不可接受的行为,并表示声援受到攻击的国家。 “欧盟重申,所有联合国成员国都需要遵守联合国网络空间负责任国家行为框架,以确保国际和平、安全与稳定。我们呼吁所有国家履行尽职调查义务,敦促它们采取适当行动,打击在其领土开展的恶意网络活动。”宣言总结道。“此外,我们敦促所有相关行动者提高对网络威胁的认识,并采取预防措施保护关键基础设施。”   消息来源:securityaffairs,译者:Shirley; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文