2018年，英特尔、AMD、ARM曝出CPU安全事件，引起广泛关注，舆论一片哗然。虽然英特尔公司表示此次事件不仅仅是英特尔，还涉及AMD/ARM等厂商，且CPU 漏洞补丁基本不会给普通用户造成任何影响，但这次bug依旧被定为成行业大事件。 时隔几年，CPU又再次曝出一个大bug，有意思的是，英特尔、AMD、ARM一个也没拉下，全部都受到影响。 据外媒报道，安全人员发现了一种新方法，可以绕过现有的基于硬件的防御措施，在英特尔、AMD和ARM的计算机处理器中进行推测执行，可允许攻击者泄露敏感信息。 随后，英特尔、AMD和ARM发布公告了相关事件公告，并附上了缓解措施和更新建议，以此解决出现的CPU问题。 所谓“推测执行”，是指通过预测程序流来调整指令的执行，并分析程序的数据流来选择指令执行的最佳顺序。2018年，安全研究人员发现了一种从主动计算中获取信息的方法，并将漏洞命名为Meltdown 和 Spectre。 而后，CPU厂商纷纷发布了基于软件的缓解措施，将间接分支与推测执行隔离开来，并通过硬件修复进一步解决此类问题，例如英特尔的eIBRS和Arm的CSV2等。如今，CPU安全事件再次爆发，值得厂商们提高警惕。 绕过现有的缓解措施 近日，VUSec安全研究人员发布了技术报告，披露了一个新的Spectre类投机执行漏洞，详细介绍了一种新的攻击方法，即利用分支历史注入 (BHI) 来绕过所有现有的缓解措施。 报告强调，虽然现有的硬件缓解措施可以防止非特权攻击者向内核注入预测器条目，但是通过攻击分支全局历史将会是一种全新的攻击方法。对目标系统具有低权限的恶意攻击者可以毒化此历史记录，以迫使操作系统内核错误预测可能泄漏敏感数据。 为了进一步证明漏洞可用性，安全研究人员还发布了概念证明（PoC）测试，展示了任意内核内存泄漏，成功披露了易受攻击的系统的哈希密码。 该漏洞影响到自Haswell以来推出的任何英特尔CPU，包括Ice Lake-SP和Alder Lake。受影响的ARM CPU包括Cortex A15/A57/A65/A72/A73/A75/A76/A77/A78/X1/X2/A710、Neoverse N2/N1/V1和博通Brahma B15。ARM的漏洞编号是CVE-2022-23960，Intel的漏洞编号CVE-2022-0001和CVE-2022-0002。 接下来，VUsec 准备了一篇关于新 BHI 攻击的论文，该论文将在2022年第31届USENIX安全研讨会上发表。 直线投机攻击 在与披露相吻合的消息中，grsecurity发布了漏洞详细信息和 PoC，该 PoC 可以通过新的直线推测 (SLS) 攻击方法从AMD处理器泄漏机密数据。 这种新的 SLS 变体影响了许多基于 Zen1 和 Zen2 微架构的 AMD 芯片，包括 EPYC、Ryzen Threadripper 和集成 Radeon Graphics 的 Ryzen。 AMD 已经发布了一份受影响产品的列表和一份白皮书，为编号是CVE-2021-26341的中等严重性缺陷提供了安全建议。 到目前为止，AMD 还没有看到任何在野外积极利用此安全漏洞的例子，但应用推荐的缓解措施仍然很重要。 参考来源：https://www.bleepingcomputer.com/news/security/intel-amd-arm-warn-of-new-speculative-execution-cpu-bugs/     转自FreeBuf.COM ，原文链接：https://www.freebuf.com/articles/324385.html 封面来源于网络，如有侵权请联系删除

近期，网络安全公司Binarly研究人员发现16个影响惠普企业设备的统一可扩展固件接口高危漏洞。攻击者可以利用这些漏洞植入固件，使其能够在操作系统更新后继续存在并绕过 UEFI安全启动、Intel Boot Guard和基于虚拟化的安全性。受影响的设备包括多个惠普企业设备，如笔记本电脑、台式机、销售点系统和边缘计算节点。 根据Binarly的分析，通过这些泄露的漏洞，攻击者可以在运行的系统中利用它们在固件中执行特权代码，这些代码不但在操作系统重新安装后仍然存在，且允许绕过端点安全解决方案 (EDR/AV) 、安全启动和基于虚拟化的安全隔离。” 以下是研究人员发现的漏洞列表： Binarly研究人员认为，本根原因在于缺乏利用固件的常识才是导致此次影响行业的漏洞事件的根本原因，Binarly创始人兼首席执行官Alex Matrosov说：“研究人员也表示正在努力通过提供全面的技术细节来填补这一缺陷。毕竟这对开发有效的设备安全缓解措施和防御技术至关重要。” 研究人员发现的最严重的漏洞是通过损害内存达到影响固件的系统管理模式，攻击者可以触发他们以获取最高权限执行任意代码。日前惠普已经通过2月份发布的HP UEFI固件2022年2月安全更新解决了这些缺陷。 参考来源：https://securityaffairs.co/wordpress/128838/hacking/hp-uefi-firmware-flaws.html     （封面及消息来源：FreeBuf.COM）

 BHI是一种影响大多数英特尔和Arm CPU的新型投机执行漏洞，它攻击分支全局历史而不是分支目标预测。不幸的是，这些公司以前对Spectre V2的缓解措施也无法保护BHI的威胁，尽管AMD处理器大多是免疫的。消息传出后，供应商应该很快就会发布安全补丁，而最新得Linux内核已经打了补丁。 VUSec安全研究小组和英特尔周二联合披露了一个新的Spectre类投机执行漏洞，称为分支历史注入（BHI）或Spectre-HBB。 BHI是对Spectre V2（或Spectre-BTI）类型攻击的概念重新实现的证明。它影响到任何同样易受Spectre V2攻击的CPU，即使Spectre V2的缓解措施已经实施；它可以绕过英特尔的eIBRS和Arm的CSV2缓解措施。这些缓解措施可以保护分支目标注入，而新的漏洞允许攻击者在全局分支历史中注入预测器条目。BHI可以用来泄露任意的内核内存，这意味着像密码这样的敏感信息可以被泄露。 VUSec对此的解释如下：”BHI本质上是Spectre v2的扩展，我们利用全局历史来重新引入跨权限BTI的利用。因此，攻击者的基本原理仍然是Spectre v2，但通过跨权限边界注入历史（BHI），我们可以利用部署新的硬件内缓解措施的系统（即英特尔eIBRS和Arm CSV2）。” 该漏洞影响到自Haswell以来推出的任何英特尔CPU，包括Ice Lake-SP和Alder Lake。受影响的Arm CPU包括Cortex A15/A57/A65/A72/A73/A75/A76/A77/A78/X1/X2/A710、Neoverse N2/N1/V1和博通Brahma B15。 Arm的CVE ID是CVE-2022-23960，Intel使用的是CVE-2022-0001和CVE-2022-0002的ID。两家公司都发布了有关其受影响CPU的更多细节： https://www.intel.com/content/www/us/en/developer/topic-technology/software-security-guidance/processors-affected-consolidated-product-cpu-model.html https://developer.arm.com/support/arm-security-updates/speculative-processor-vulnerability/spectre-bhb 英特尔发布了关于BHI漏洞的以下声明。”正如研究人员所证明的那样，这种攻击以前在大多数Linux发行版中都被默认缓解了。Linux社区已经从Linux内核5.16版本开始实施英特尔的建议，并正在将缓解措施回传到Linux内核的早期版本。英特尔发布了技术文件，描述了那些使用非默认配置的人的进一步缓解方案，以及为什么LFENCE; JMP缓解措施在所有情况下都是不够的”。 AMD CPU似乎对BHI有免疫力。据Phoronix称，默认使用Retpolines进行Spectre V2缓解的AMD处理器应该是安全的。 供应商的安全补丁应该很快就会发布。除了安装它们之外，研究人员建议禁用无特权的eBPF支持作为额外的预防措施。Linux已经将安全更新合并到其主线内核中。这些安全缓解措施是否会影响性能尚不清楚。 VUSec的漏洞的源代码可以在这里找到： https://github.com/vusec/bhi-spectre-bhb   （消息及封面来源：cnBeta）

一家欧洲隐私监督机构已经制裁了有争议的面部识别公司Clearview AI，该公司从互联网上搜刮自拍，积累了约100亿张脸的数据库，为其出售给执法部门的身份匹配服务。意大利的数据保护机构今天宣布对Clearview AI违反欧盟法律的行为处以2000万欧元罚款。 同时命令这家有争议的公司删除其持有的任何意大利人数据，并禁止其进一步处理公民的面部生物识别数据。这项调查是在 “投诉和报告”之后启动的，它说，除了违反隐私法之外，它还发现该公司一直在跟踪意大利公民和位于意大利的人。 调查结果显示，该公司持有的个人数据，包括生物识别和地理定位数据，是非法处理的，没有充分的法律依据。它发现的其他违反《通用数据保护条例》（GDPR）的行为包括透明度义务，因为Clearview没有充分告知用户它对用户自拍所做的事情。 因此，Clearview AI的活动违反了数据主体的自由，包括保护机密性和不被歧视的权利。 针对GDPR制裁，在Clearview CEO Hoan Ton-That发表的声明中，Clearview表示Clearview AI在意大利或欧盟没有营业场所，它在意大利或欧盟没有任何客户，也没有从事任何受GDPR约束的活动。它只从开放的互联网上收集公共数据，并遵守所有的隐私和法律标准。 这是欧洲隐私监督机构最强有力的执法行动，英国ICO早在去年11月就警告说可能会针对Clearview进行罚款，当时它还命令Clearview停止处理数据。去年12月，法国的CNIL也命令Clearview停止处理公民的数据，并给它两个月的时间来删除它所持有的任何数据，但没有提到经济制裁。然而，意大利是否能够从总部设在美国的实体Clearview收取2000万欧元的罚款还是一个问题。   （消息及封面来源：cnBeta）

Hackernews 编译，转载请注明出处：   研究员发现，黑客滥用高影响反射/放大方法，实施长达14小时的持续分布式拒绝服务攻击，放大率达到了破纪录的4294967296倍。 这种攻击载体被称为 TP240PhoneHome (CVE-2022-26143) ，已经被武器化，可以针对宽带接入服务提供商、金融机构、物流公司、游戏公司和其他组织发起严重的 DDoS 攻击。 Akamai 研究员 Chad Seaman 在一份联合报告中说: “大约有2600个 Mitel MiCollab 和 MiVoice Business Express 协作系统作为 PBX联网的网关被错误地部署，一个频繁使用的系统测试设施暴露在一个公共互联网上。” “攻击者主动利用这些系统发起每秒5300多万个数据包的反射/放大 DDoS 攻击(PPS)。” DDoS 反射攻击通常包括假冒受害者的 IP 地址，以重定向来自目标服务器（比如 DNS、 NTP 或 CLDAP 服务器）的响应，这种方式使得发送给假冒的发送者的答复远大于请求，导致服务完全无法访问。 攻击的第一个迹象据说是在2022年2月18日被发现的，黑客使用 Mitel 的 MiCollab 和 MiVoice 商业快递协作系统作为 DDoS 反射器，多亏一个未经认证的测试设施无意中暴露在公共互联网上，这才有了线索。 “这个特定的攻击载体不同于大多数 UDP 反射/放大攻击方法，因为暴露的系统测试设施可以被滥用，通过一个单独的仿冒攻击发起包，发动持续时间长达14小时的 DDoS 攻击，导致数据包放大比为惊人的4,294,967,296比1。” 具体来说，这些攻击将一个名为 tp240dvr (“ TP-240驱动程序”)的驱动程序武器化，这个驱动程序被设计用来监听 UDP 端口10074上的命令，“它并不打算暴露在互联网上,”Akamai 解释说，并补充道，“但正是其在互联网的暴露最终导致了它被滥用。” “对 tp240dvr 二进制文件的检查表明，由于其设计，攻击者理论上可以使该服务对单个恶意命令发出2,147,483,647个响应。每个响应在线路上产生两个数据包，导致大约4,294,967,294个放大的攻击数据包指向受害者。” 作为对这一发现的回应，Mitel在周二发布了软件更新，禁止公开访问测试功能，同时将这一问题描述为访问控制漏洞，黑客可以利用该漏洞获取敏感信息。 该公司表示: “ 对于那些使用被滥用为 DDoS 反射器/放大器的 Mitel MiCollab 和 MiVoice Business Express 协作系统的组织来说，tp-240反射/放大攻击的附带影响要引起重视。” “影响可能包括部分或全部这些系统中的语音通信中断，以及由于传输能力消耗、网络地址转换的状态表耗尽、状态防火墙等原因造成的额外服务中断。”     消息来源：TheHackerNews，译者：Zoeppo； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

由于自称为 Lapsus$ 的组织泄露了与英伟达黑客攻击相关的数据，被盗的代码签名证书被用于远程访问未受保护的 PC，其他情况下则被用来部署恶意软件。 根据 Techpowerup 的报道，这些证书被用于“开发一种新型恶意软件”，BleepingComputer 将 Cobalt Strike 信标、Mimikatz、后门和远程访问木马 (RAT) 列为通过这种方式部署的一些恶意软件。 代码签名证书是开发人员在将可执行文件和驱动程序发布给公众之前用来签署它们的东西。对于 Windows 和其他系统用户来说，这是一种更安全的方式来验证原始文件的所有权。微软要求对内核模式驱动程序进行代码签名，否则操作系统将拒绝打开文件。 如果某些流氓使用来自英伟达的正版代码签署恶意软件，用户的 PC 可能无法在恶意软件解包，对系统造成严重破坏之前拦截它。 现在，这些代码与 Quasar RAT 一起被用于签署 Windows 驱动程序的证书。VirusTotal 目前显示“46 家安全供应商和 1 个沙箱将此文件标记为恶意文件。” 由于安全研究人员 Kevin Beaumont 和 Will Dormann 的热心报道，BleepingComputer 注意到以下序列号需要注意： · 43BB437D609866286DD839E1D00309F5 · 14781bc862e8dc503a559346f5dcc518 这两个代码实际上都是过期的英伟达签名，但您的操作系统仍会让它们以同样的方式通过。   （消息及封面来源：cnBeta）

现在，不少新报告指出了跟俄罗斯对乌克兰采取的军事行动直接或间接有关的黑客行动。许多专家预测，俄罗斯将在乌克兰发动重大网络攻击，如关闭该国的电网。虽然大规模的行动还没有实现，但关于小规模攻击的报告已经开始出现。 当地时间周一，Google表示，它发现了针对乌克兰官员和波兰军队的广泛的网络钓鱼攻击。安全公司Resecurity Inc也分享了针对美国天然气供应公司的协调黑客攻击活动的证据。在这两种情况下，攻击可能跟与俄罗斯及其盟友有关的团体有关。 Google的威胁分析小组(TAG)指出，钓鱼活动的目标是乌克兰媒体公司UkrNet的用户以及“波兰和乌克兰政府和军事组织”。攻击是由包括白俄罗斯团体Ghostwriter和俄罗斯威胁行为者Fancy Bear在内的团体展开。后者跟俄罗斯军事情报机构GRU有关，另外还对2016年的美民主党电子邮件黑客攻击负责。 Google的Shane Huntley在一篇博文中写道：“在过去的两周里，TAG观察到来自一系列我们定期监测并为执法部门所熟知的威胁者的活动，其中包括FancyBear和Ghostwriter。这种活动的范围从间谍活动到网络钓鱼活动。我们正在分享这些信息以帮助提高安全社区和高风险用户的意识。” 而针对美国天然气公司的活动则成功渗透了100多台属于这些公司雇员和前雇员的电脑。至于该行动的动机目前还不清楚，但Resecurity将这项工作描述为“预先部署”–入侵机器进而为某种更大的行动做准备。 这些攻击则是在俄罗斯对乌克兰采取军事行动前两周开始的，而确保在美国天然气供应商中占有一席之地无疑将为地缘政治杠杆提供大量机会。作为一系列经济制裁的一部分，欧洲国家正在试图摆脱俄罗斯的天然气，对此，美国的能源公司已经加强了供应，进而使美国成为世界上最大的液化天然气或液化天然气供应商。 Resecurity CEO Gene Yoo告诉媒体，他认为这次攻击是由国家支持的黑客展开，不过他没有去猜测背后的可能黑手。彭博社指出，其中一名涉案的黑客跟Fancy Bear进行的攻击有联系。   （消息及封面来源：cnBeta）

Hackernews 编译，转载请注明出处： 研究人员披露了 TerraMaster NAS设备的关键安全漏洞的细节，这些设备可以链接到未经身份验证的远程代码执行，且具有最高权限。 埃塞俄比亚网络安全研究公司 Octagon Networks 的 Paulos yibello 在分享给 The Hacker News 的一份声明中表示，这些问题存在于 TerraMaster 操作系统（TOS）中，“只要知道受害者的 IP 地址，就能让未经认证的攻击者进入受害者的保险箱。” TOS 是为 TNAS 设备设计的操作系统，使用户能够管理存储、安装应用程序和备份数据。经过严谨的披露，上周3月1日发布的 TOS 版本4.2.30中，这些漏洞被修补。 其中一个漏洞被追踪为 CVE-2022-24990，与一个名为“ webNasIPS”的组件中的信息泄露案例有关，导致 TOS 固件版本、默认网关接口的 IP 和 MAC 地址以及管理员密码的散列暴露。 另一方面，第二个漏洞涉与一个名为“ createRaid”(CVE-2022-24989)的 PHP 模块中的命令注入漏洞有关，导致出现这样一种情况，即这两个漏洞可以同时出现，以提交一个特别制作的命令来实现远程代码执行。 “总而言之，这是一个非常有趣的任务,”Yibelo说。“我们使用了信息泄漏的多个组件，另一个是机器时间的信息泄漏，并将其与经过身份验证的操作系统命令注入链接起来，以根用户身份实现未经身份验证的远程代码执行。 TerraMaster NAS 设备也受到 Deadbolt 勒索软件的攻击， 与 QNAP 和  ASUSTOR 一样也是受害者，该公司称，它解决了 TOS 版本4.2.30 中可能被黑客利用来部署 勒索软件的漏洞。 目前尚不清楚 Octagon Networks 发现的一系列漏洞和被武器化用于 Deadbolt感染的漏洞是同一种。我们已经联系 TerraMaster 进行进一步的查验，如果有进展，我们将更新相关报道。 “修正了与 Deadbolt 勒索软件攻击有关的安全漏洞,”该公司声明，并建议用户“重新安装最新版本的 TOS 系统(4.2.30或更高版本) ，以防止未加密文件被加密。     消息来源：TheHackerNews，译者：Zoeppo； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： Mozilla 在其 Firefox 浏览器中加入了带外数据软件升级，包含了两个高影响力的安全漏洞。 Mozilla 称，这两个漏洞正在被大肆利用。 标记为 cve-2022-26485和 cve-2022-26486的零日漏洞被描述为影响 XSLT 参数处理和 WebGPU 行程间通讯(IPC)框架的use-after-free 漏洞。 XSLT 是一种基于 XML 的语言，用于将 XML 文档转换为网页或 PDF 文档，而 WebGPU 是一种新兴的 web 标准，被宣传为当前 WebGL JavaScript 图形库的继承者。 这两个漏洞的描述如下- CVE-2022-26485-在处理过程中删除 XSLT 参数可能导致 use-after-free 漏洞 CVE-2022-26486-WebGPU IPC 框架中的一条意外消息可能导致use-after-free漏洞和沙箱逃离 Use-after-free 漏洞(可以用来破坏有效数据并在受损系统上执行任意代码)主要源于“程序负责释放内存的部分的混乱” Mozilla 承认，“我们收到了这两个漏洞成为攻击武器的报告”，但没有透露任何与入侵或利用这些漏洞的恶意黑客的身份有关的技术细节。 考虑到这些漏洞，建议用户尽快升级到 Firefox 97.0.2，Firefox ESR 91.6.1，Firefox for Android 97.3.0，Focus 97.3.0和 Thunderbird 91.6.2。   消息来源：TheHackerNews，译者：Zoeppo； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： Adafruit 披露了一个数据泄露事件，这个事件是由于一个可公开查看的 GitHub 存储库引起的。 该公司怀疑这可能允许攻击者对2019年或之前对某些用户的信息进行“未经授权的访问”。 Adafruit 总部位于纽约市，自2005年以来一直是开源硬件组件的供应商。该公司设计，制造和销售电子产品，工具和配件。 前雇员的 GitHub 储存库拥有真实的客户数据 On Friday, March 4th, Adafruit announced that a publicly-accessible GitHub repository contained a data set comprising information on some user accounts. This information included: 3月4日，星期五，Adafruit 宣布一个可公开访问的 GitHub 存储库包含了一个包含一些用户账户信息的数据集。这些信息包括: 名字 邮件地址 运输/帐单地址 订单详情 支付程序或PayPal上的订单状态 根据 Adafruit 的说法，这些数据集不包含任何用户密码或信用卡等财务信息。然而，包括订单细节在内的真实用户数据可能会被垃圾邮件黑客和网络钓鱼者用来攻击 Adafruit 的客户。 有趣的是，数据泄漏并不是来自 Adafruit 的 GitHub 存储库，而是来自一位前雇员。一名前雇员在他们的 GitHub 储存库 中使用真实的客户信息进行培训和数据分析操作。 该公司解释说: “ Adafruit 在得到关于意外泄露信息的通知后15分钟内，就与这名前雇员取得联系，删除了相关的 GitHub 存储库，Adafruit 团队开始了检测程序，以确定是否有任何访问权限，以及哪类数据被影响了。” 用户需要正确的通知 目前，Adafruit 并不知道这些暴露的信息被对手滥用，并声称其披露这一事件是为了“透明度和责任感”。 然而，该公司决定不向每一位用户发送这一事件有关的电子邮件。 Adafruit 解释说，尽管所有的安全信息都公布在公司的博客和安全页面上，但用户并没有采取任何行动，因为数据集中没有显示任何密码或支付卡信息。 “我们评估了风险，咨询了我们的隐私律师和法律专家，并采取了我们认为合适的解决问题的方法，同时保持公开和透明，我们并不认为直接发送电子邮件在这种情况下有帮助,”Adafruit 的常务董事Phillip Torrone和创始人 Limor“ Ladyada” Fried说。 But, not all Adafruit customers are convinced, with some demanding email notifications be sent out with regards to the incident: 但是，并不是所有的 Adafruit 用户都信服了，他们提出了自己的需求: 用户的一个主要担心是在前团队成员的 GitHub repo 中使用了真实的客户信息，而不是使用自动生成的“假”临时数据，以及这些信息如何被网络钓鱼者滥用: 值得注意的是，在 GitHub 存储库中保存真实的客户数据，即使是私有的存储库，也是十分危险的。 去年，电子商务巨头 Mercari 遭遇了一起数据泄露事件，这起事件是他们的 GitHub 储存库泄露了超过17000份客户记录，其中包括银行信息。Rapid7还遭受了一次私人 GitHub 储存库制造成的数据泄露，影响到了“一小部分客户”。 Adafruit 表示: “此外，我们正在实施更多的协议和访问控制，以避免未来可能出现的任何数据曝光，并限制员工培训使用的访问权限。” 用户应对任何可能接收到冒充 Adafruit 职员的钓鱼诈骗或通信保持警惕。该公司特别敦促人们注意可能诱使受害者泄露密码的虚假“重置密码”提醒。   消息来源：BleepingComputer，译者：Zoeppo； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文