针对近期涌现的疑似具有国家级技术和资源背景的黑客攻击，微软其实已经在 2020 版《数字防御报告》中有所预料。虽然截止目前，微软尚未在相关调查中发现自家产品或云服务有漏洞被利用，但该公司还是在一篇博客文章中发出了提醒，希望客户能够采取切实有效重要步骤，以防其成为此类网络攻击的受害者。 微软在文中列出了恶意代理开展复杂网络攻击的一些技术细节，比如通过 SolarWinds Orion 产品中的恶意代码实施入侵。若被攻击者得逞，后续黑客可能以此为跳板，在网络中获得更高的权限。 其次，攻击者或利用本地窃取的管理员权限，获得对机构内受信任 SAML 签名证书的访问权限。然后通过伪造 SAML 令牌，假扮组织内任何现有用户的账户，甚至染指特权较高的账户。 为应对此类异常登录，建议客户在网络系统上进行适当的安全配置，以区分访问本地或云端任何资源的可信证书。由于 SAML 令牌使用了自签名证书，组织内很可能会忽视掉这部分异常。 利用上述或其它技术获得了搞特权账户的访问权限之后，攻击者还可将自己的登录凭证添加到现有的应用程序服务主体中，从而使之获得相关应用程序的权限调用 API 。 至于 COVID-19 大流行期间的完整事件分析、以及社区对网络安全的态度等问题，微软将在完整版的 2020 数字防御报告中进行阐述。       （消息及封面来源：cnBeta）

根据 Bugcrowd 公布的 2020 年最新报告，越来越多的企业选择部署众包网络安全计划，以便于及时应对不断变化的网络威胁。在过去 12 个月里面，Bugcrowd 发现在其平台上的提交量增加了 50%，其中 Priority One (P1，指最关键的安全漏洞) 提交量增加了 65%。 和 2019 年全年相比，前 10 个月的漏洞提交量增长了 24%。在整个行业中，计算机软件公司支付的提交费用几乎是其他行业的五倍。最值得注意的是，软件行业的 P1 提交量在2020年几乎增加了两倍。 Bugcrowd 的首席执行官 Ashish Gupta 表示：“我们的 Priority One 报告结果清晰地表明，所有行业的领先组织都在接受众包安全作为其安全战略的核心要素。对比过去两年的数据，我们发现，由于快速的数字化转型和COVID-19大流行造成的威胁增加，众包网络安全正在快速增长。漏洞提交量上升，其中关键漏洞数量较多，总赔付额每季度以15%-20%左右的速度稳步增长”。 在2020年提交的前10个漏洞中，有8个–由Bugcrowd的漏洞评级分类法（VRT）评定，这是一个广泛使用的开源标准，为每个通过Bugcrowd平台提交的漏洞提供基准风险评级–也出现在2019年的榜单上。这表明，管理已知的风险对大多数企业来说仍然是一个挑战。       （消息及封面来源：cnBeta）

Pay2Key勒索软件组织周日发布了似乎是从Habana Labs获得的内部文件的细节，Habana Labs是一家位于以色列的芯片初创公司，一年前被英特尔收购。这个被安全公司Check Point与伊朗人联系在一起的黑客组织通过Twitter发布了一张包含Habana Labs的源代码截图，同时还发布了一个Tor浏览器可访问的.onion地址的链接。 该网站包含与Habana Labs的Gerrit代码协作软件、DomainController数据相关的文件名，以及似乎来自这家AI芯片制造商的文件。 在撰写这篇报道时，@pay2key账户因违反Twitter的规则而被暂停。 发布到.onion网站上的Readme文件称，英特尔和Habana实验室有七十二小时的时间来阻止进一步的泄露，这位身份不明的作者表示，这些数据可能包括活动目录信息和相关密码，以及该公司Gerrit服务器的全部内容，据说这些数据由价值53GB的数据组成。 英特尔在2019年12月以20亿美元收购了用于数据中心的深度学习加速器芯片制造商Habana Labs。Check Point上个月报告称，Pay2Key勒索软件此前并未出现过。它表示，该名称已于6月在加密身份服务KeyBase.io注册，该勒索软件于10月开始出现。 据报道，自那以后，据Check Point称，至少有三家以色列公司被这种数据绑架软件感染，还至少有一家欧洲公司受害。 勒索软件通常涉及在未经授权的情况下访问计算机，对发现的文件进行加密，然后要求支付赎金以获得解密密钥。付款并不能保证解密后的文件，也不能保证这些文件没有被复制并提供给其他地方。 Check Point表示，Pay2Key组织进行 “双重敲诈”，威胁解密文件并公开发布，以此向受害者施压，迫使其付款。到目前为止，要求支付的赎金一般在7到9个比特币之间，目前折合成美元在13.5万到17.3万之间。 Check Point认为Pay2Key集团由伊朗人组成的原因是，过去的赎金支付是通过Excoino进行的，Excoino是一家伊朗加密货币交易所，拥有有效伊朗电话号码和伊朗身份证/Melli码的个人可以使用。         （消息来源：cnBeta；封面来源于网络）

谷歌 Project Zero 团队近日披露了存在于高通 Adreno GPU 的“高危”安全漏洞，不过目前高通已经发布补丁完成了修复。这个漏洞和 GPU 共享映射的处理方式有关，有关于该漏洞的详细代码细节可以访问谷歌提供的列表。 根据博文描述，Adreno GPU 驱动程序为每个内核图形支持层（KGSL）描述符链接了一个私有设备结构，而描述符包含上下文切换所需的页表。此结构与 process ID (PID) 相关联，但同一流程中可以被其他 KGSL 描述符重用，可能会提高性能。 当调用进程派生创建一个子进程时，后者也继承了最初为父进程创建的KGSL描述符的私有结构，而不是创建一个新的子进程。本质上，这给子进程（可能是攻击者）提供了对父进程将创建的后续GPU映射的读取访问权，而父进程却不知道。 可以看出，这是一个相当复杂的攻击。Google Project Zero 团队表示，在实际情况下，要想要成功利用该漏洞将要求攻击者循环 PID，然后通过崩溃 BUG 来触发 well-timed 或者系统服务重启。该漏洞可能会尝试回复受感染者 GPU 渲染的内容或者其他 GPU 操作的结果。 该漏洞已经于 9 月 15 日报告给了高通，并提出了修复建议。在 90 天的标准期限（截至 12 月 14 日）之前，高通在 12 月 7 日完成了修复并和 OEM 厂商私下共享了信息。高通表示将会在 2021 年 1 月公开该漏洞的相关细节。         （消息及封面来源：cnBeta）

一伙为不法分子提供攻击工具的黑客找到了一种非常巧妙的方法，能够绕过目标网络的多因素身份验证（MFA）系统。根据安全公司 Volexity 本周一发布的博文，他们在 2019 年年末和 2020 年年初发现了这些攻击者的踪迹，并不少于 3 次利用该方法潜入某些机构内部。 在一次入侵期间，Volexity 的研究人员注意到黑客使用一种新颖技术绕过了 Duo 提供的 MFA 保护。在受感染的网络上获得管理员特权后，黑客使用这些不受束缚的权限从运行 Outlook Web App 的服务器上窃取了名为 akey （企业为各种网络服务提供帐号身份验证）的 Duo 机密。 然后，黑客使用 akey 生成 cookies。因此，当拥有正确用户名和密码的用户登录之后，黑客就能通过 cookies 接管账户。Volexity 认为该方法是由黑客集团  Dark Halo 提供的。研究人员 Damien Cash，Matthew Meltzer，Sean Koessel，Steven Adair 和 Thomas Lancaster 写道： 在 Volexity 对 Dark Halo 的第二次调查进入尾声的时候，研究人员观察到黑客通过 Outlook Web App 访问了用户的电子邮件账户。出于某些原因，这是完全意外的，最重要的原因是目标邮箱是受到 MFA 保护的。 来自Exchange服务器的日志显示，攻击者提供的用户名和密码身份验证正常，但没有通过Duo受到第二方面的挑战。来自Duo身份验证服务器的日志进一步表明，未尝试登录到该帐户。 Volexity能够确认不涉及会话劫持，并且通过OWA服务器的内存转储，还可以确认攻击者提供了与名为duo-sid的Duo MFA会话绑定的cookie。 Volexity对这一事件的调查确定，攻击者已从OWA服务器访问了Duo集成密钥（akey）。然后，该密钥使攻击者可以得出在duo-sid cookie中设置的预先计算的值。成功进行密码身份验证后，服务器评估了duo-sid cookie并确定其有效。 这使攻击者知道用户帐户和密码，然后完全绕过帐户上设置的MFA。此事件强调了确保与密钥集成关联的所有机密（例如与MFA提供者的机密）在发生泄露后应进行更改的必要性。此外，重要的是，不仅要在违规后更改密码，而且不要将密码设置为与以前的密码类似的内容（例如，Summer2020！vs Spring2020！或SillyGoo $ e3 vs SillyGoo $ e2）。           （消息及封面来源：cnBeta）

12月14日，网络安全公司Sophos和ReversingLabs首次联合发布了面向公众的恶意软件研究数据集，旨在建立有效的防御措施，推动全行业在安全检测和响应方面的改进。 “SoReL-20M”是一个数据集，包含2000万个Windows可移植可执行文件（.PE）的元数据、标签和功能，1000万个已解除防护的恶意软件样本，其目标是设计机器学习方法，以获得更好的恶意软件检测能力。 Sophos AI组织表示：“对网络威胁的开放认识和理解也会导致更具预测性的网络安全。他防御者将能够预见攻击者在做什么，并为下一步行动做好更好的准备。” 伴随发布的是一组基于Pythorch和LightGBM的机器学习模型，这些模型以这些数据为基础进行了预先训练。 EMBER（又名Endgame Malware BEnchmark for Research）于2018年发布，是一种开源恶意软件分类器，但其较小的样本量（110万个样本）及其作为单标签数据集（良性/恶意软件）的功能意味着它“限制了可以用它执行的实验范围”。 SoReL-20M旨在用2000万个PE样本来解决这些问题，其中包括1000万个已解除防护的恶意软件样本（无法执行），以及为另外1000万个良性样本提取的特征和元数据。 此外，该方法利用了一个基于深度学习的标记模型来生成人类可解释的语义描述，指定所涉及样本的重要属性。 ReversingLabs的研究人员表示：“在安全领域共享威胁情报并不新鲜，但攻击者近几年来不断创新，因此共享威胁情报十分重要。”       消息及封面来源：The Hacker News ；译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

这篇文章包含近期国家网络攻击背后攻击者的技术细节。以下是攻击者常使用的工具及技术： 通过SolarWinds Orion产品中的恶意代码入侵。这导致攻击者在网络中获得立足点，从而获得更高的凭据。详请参阅SolarWinds安全咨询。 一旦进入网络，攻击者就会使用通过本地泄露获得的管理权限来访问组织的全局管理员帐户/可信的SAML令牌签名证书。这使得攻击者能够伪造SAML令牌，以模拟任何现有用户和帐户，包括高权限帐户。 然后，可以针对任何本地资源（无论身份系统或供应商如何）以及任何云环境（无论供应商如何）使用由受损令牌签名证书创建的SAML令牌进行异常登录。因为SAML令牌是用它们自己的可信证书签名的，所以组织可能会忽略异常。 使用全局管理员帐户/可信证书来模拟高权限帐户，攻击者可以向现有应用程序或服务主体添加自己的凭据，使它们能够使用分配给该应用程序的权限调用API。 …… 更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/1427/         消息及封面来源：Microsoft，译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

据外媒Axios了解，美国联邦贸易委员会(FTC)将于当地时间周一宣布，将对包括亚马逊、TikTok所有者字节跳动、Twitter、YouTube和Facebook以及其子公司WhatsApp在内的大型科技公司的隐私和数据收集行为展开新的调查。 此举正值该行业受到更广泛的审查之际，它似乎是一项广泛的调查，目的是调查大型科技公司对用户的所有了解以及它们如何利用这些数据和它们更广泛的商业计划。 FTC要求从上述平台获取大量信息和文件，另外Discord、Reddit和Snap也都在调查范围内。 据悉，该机构需要这些平台收集的用户使用和参与数据以及它们用来衡量这些事情的指标、短期和长期的商业策略和其他许多领域的调查。 据了解，FTC启动这项研究则是在利用其职权展开广泛的研究，并没有具体的执法目的。 根据Axios看到的一份新闻稿，在这项研究中，该委员会特别想要调查技术的隐私和数据实践如何影响儿童和青少年。共和党委员Christine Wilson早在去年秋天就已经推动了这样一项研究。 该机构的五名委员以4比1的投票结果通过了这项调查，共和党委员Noah Phillips表示反对，其称这一调查的范围太大。         （消息及封面来源：cnBeta）

与iOS 14.3同时发布的iOS 12.5更新为老款iPhone机型带来了冠状病毒暴露通知系统。此外，它还提供了安全补丁，修复了上一次更新中已知的漏洞。苹果上一次更新iOS 12是在11月发布的iOS 12.4.9。随着周一的最新更新，该公司正在扩大可添加到区域暴露通知网络的设备数量。 暴露通知系统由苹果和谷歌开发，如果用户接触过COVID-19检测呈阳性的人，就会向用户发出警报。它依靠匿名的短程蓝牙识别器，并不收集任何位置数据或个人身份信息。该系统完全是可选加入，必须由用户激活。当地的卫生部门也必须支持该系统才可以运作，因此用户应该检查自己所在的州或地区是否具备相关的通知功能。 虽然iOS 14更新支持所有与iOS 13相同的设备，但它仍然遗漏了iPhone 5s、iPhone 6和iPhone 6 Plus以及第六代iPod touch等老机型，这些机型接下来也可能不会再收到功能方面的更新了。 iOS 12.5现在应该可以在兼容设备上作为OTA更新被找到。用户可以通过前往设置>通用>软件更新开始升级。         （消息来源：cnBeta；封面来自网络）

据路透社报道，美国国土安全部和数千家企业周一争分夺秒地调查和应对一场大规模的黑客攻击活动，官员们怀疑该活动是由俄罗斯政府指挥的。三位知情人士周一告诉路透社记者，作为复杂的系列漏洞的一部分，负责边境安全和防御黑客攻击的国土安全部官员发送的电子邮件被黑客监控。周日首次披露的攻击事件还袭击了美国财政部和商务部。 科技公司SolarWinds是黑客使用的关键“踏脚石”，该公司表示，其多达1.8万名客户下载了一个被入侵的软件更新，使黑客能够在近9个月的时间里不被察觉地监视企业和机构。 美国周日发出紧急警告，命令政府用户断开SolarWinds软件的连接，称该软件已被“恶意行为者”入侵。 这一警告是在路透社报道疑似俄罗斯黑客利用劫持的SolarWinds软件更新侵入包括财政部和商务部在内的多个美国政府机构之后发出的。莫斯科否认与攻击有任何关系。其中一位熟悉黑客活动的人士表示，国土安全部网络安全部门用来保护基础设施的关键网络，包括最近的选举，都没有被攻破。 国土安全部表示知道这些报道，但没有直接证实这些报道，也没有说受影响有多严重。国土安全部是一个庞大的官僚机构，其中负责保障COVID-19疫苗的分发。在国土安全部(DHS)下属网络安全和基础设施安全局(CISA)局长克里斯托弗·克雷布斯(Christopher Krebs)称2020年总统选举是美国历史上最安全的选举后，美国总统特朗普解雇了负责人克雷布斯。他的副手和选举负责人也已经离开。 SolarWinds在一份监管披露中表示，它认为这次攻击是 “外部民族国家 “所为，他们在今年3月至6月间发布的Orion网络管理软件更新中插入了恶意代码。 “SolarWinds目前认为，可能安装了包含此漏洞的Orion产品的客户实际数量不到1.8万，”它说。 该公司没有回应有关受影响客户的确切数量或这些组织的任何违规程度的评论请求。该公司表示，它并不知道其其他产品存在漏洞，目前正在美国执法部门和外部网络安全专家的帮助下进行调查。 SolarWinds在全球拥有30万客户，其中包括美国财富500强企业的大部分，以及美国和英国政府的一些最敏感的部分–如白宫、国防部门和两国的信号情报机构。目前，世界各地的调查人员都在争分夺秒地寻找黑客。英国政府发言人表示，英国目前还不知道这次黑客攻击有什么影响，但仍在调查。 三位熟悉黑客调查的人士告诉路透社，任何运行Orion软件受损版本的机构都会被攻击者在其电脑系统中安装了“后门”。“在那之后，只是攻击者是否决定进一步利用这一权限的问题，”其中一位消息人士说。 据两位熟悉周一上午启动的企业网络安全调查浪潮的人士称，早期迹象表明，黑客在选择入侵对象时是有区别的。”我们看到的是远远少于所有的可能性，”一位人士说。”他们正在像使用手术刀一样使用这个。” 与此次事件有关的知名网络安全公司FireEye在此间的一篇博客中表示，其他目标包括 “北美、欧洲、亚洲和中东的政府、咨询、技术、电信和采掘实体”。 “如果是网络间谍活动，那么这是我们在相当长一段时间内看到的最有效的网络间谍活动之一。”FireEye的情报分析总监John Hultquist说。 专家表示，由于攻击者可以利用SolarWinds进入网络内部，然后创建一个新的后门，因此仅仅断开网络管理程序还不足以将黑客引导出去。为此，成千上万的客户都在寻找黑客存在的迹象，并试图猎取并禁用这些额外的工具。         （消息来源：cnBeta；封面来源于网络）