ZDNet 报道称，谷歌在过去三周时间内，修复了影响 Chrome 浏览器的五个凌日漏洞。在今日发布的 Chrome 86.0.4240.198 版本中，就包括了最新的两个。据悉，此前的三个零日漏洞，是谷歌内部安全研究人员发现的。而这次紧急修复的两个，则来自于不愿透露姓名的消息人士。 截止发稿时，谷歌尚未披露两个零日漏洞攻击的详情。但在 Chrome 86.0.4240.198 的变更日志中，该公司还是提到了两个通用漏洞披露编号。 首先是 CVE-2020-16013，其描述涉及 Chrome 组件中处理 JavaScript 代码的 V8 引擎的不当实现。 其次是 CVE-2020-16017，其描述涉及 Chrome 组件中负责隔离不同站点数据的‘释放后使用’内存泄露 bug 。 两个 CVE 的披露时间分别为周一和周三，不过遗憾的是，目前尚不清楚这两个漏洞是否需要被结合在一起使用，但是可以单独发挥一定的破坏力。 在此之前，Google 还修补了以下三个零日漏洞： ● CVE-2020-15999：Chrome 浏览器的 FreeType 字体渲染库问题，谷歌在 10 月 20 日完成了与 Windows 零日漏洞（CVE-2020-17087）的修补，但拖到了本周。 ● CVE-2020-16009：同样涉及 Chrome 的 JavaScript V8 引擎，谷歌在 11 月 2 日完成了修复。 ● CVE-2020-16010：这次主要与 Chrome for Android 有关，主要影响浏览器的用户界面（UI）组件。 目前尚不清楚上述漏洞的严重程度，但谷歌还是建议大家尽快更新至 86.0.4240.198 。不过鉴于大多数零日漏洞攻击仅会瞄向少数极具针对性的目标，普通用户其实没必要太过恐慌。       （消息来源：cnBeta；封面来自网络）

安全研究人员发现了针对巴西，拉丁美洲和欧洲金融机构的银行木马“Tetrade”，四个月后，调查表明，攻击者扩大了策略，利用间谍软件感染移动设备。 根据卡巴斯基的全球研究和分析团队（GReAT）的说法，总部位于巴西的威胁集团Guildma部署了“Ghimob”，这是一种Android银行木马，针对的是巴西、巴拉圭、秘鲁、葡萄牙、德国、安哥拉和莫桑比克的银行、金融科技公司、交易所和加密货币的金融应用程序。 网络安全公司在报告中表示，“Ghimob是您一种成熟间谍：一旦感染完成，黑客就可以远程访问受感染的设备，用受害者的智能手机完成欺诈交易，从而避免被识别、金融机构采取的安全措施以及所有他们的反欺诈行为系统。” 除了共享与Guildma相同的基础结构外，Ghimob继续使用网络钓鱼电子邮件作为分发恶意软件的机制，从而诱使毫无戒心的用户单击可下载Ghimob APK安装程序的恶意URL。 该木马一旦安装在设备上，其功能与其他移动RAT十分相似，它通过隐藏应用程序中的图标来掩饰自己的存在，并滥用Android的辅助功能来获得持久性，禁用手动卸载并允许银行木马捕获击键信息，操纵屏幕内容并向攻击者提供完全的远程控制。 研究人员表示：“即使用户有适当的屏幕锁定模式，Ghimob也能够记录下来，然后再解锁设备。” “当攻击者准备执行交易时，他们可以插入黑屏作为覆盖或以全屏方式打开某些网站，因此当用户查看该屏幕时，攻击者通过受害者运行的金融应用程序在后台执行交易。” 此外，Ghimob的目标多达153个移动应用程序，其中112个是巴西的金融机构，其余的是德国，葡萄牙，秘鲁，巴拉圭，安哥拉和莫桑比克的加密货币和银行应用程序。 卡巴斯基研究人员总结说：“Ghimob是巴西第一家准备扩展并瞄准居住在其他国家的金融机构及其客户的移动银行木马。” “该木马可以从许多国家/地区窃取银行、金融科技、交易所、加密货币交易所和信用卡数据。”         消息来源：The Hacker News ；封面来自网络；译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

网络安全咨询公司 CynergisTek 的首席执行官 Caleb Barlow 表示：“我们从未见过如此大规模的攻击事件，实际上它已经对人产生了危害，甚至已经导致某些人死亡。这些攻击已经越过了整个安全业内对此类攻击的安全线”。 在过去几年中，针对医院的大规模网络攻击都是偶然的。通常情况下，是某款勒索软件在传播过程中恰好进入医院。2017年春天，英国国家卫生服务（NHS）就发生了这样的事情，当时WannaCry网络攻击袭击了全球的组织。但最近的两次攻击是故意对医院进行的。在COVID-19大流行期间，它们是一个吸引人的目标，因为它们是如此重要。 计算机安全专家、英国萨里大学教授 Alan Woodward 表示，之所以医院成为目标，还因为有些人支付了赎金来让他们的系统解锁。Woodward 表示：“已经有不少高调的案例，因为有医院已经支付赎款了。而如果你问任何执法机构，他们会说，请不要付钱。这只会继续成为黑客攻击的靶子”。 一些网络犯罪组织承诺在COVID-19大流行期间不针对医院，但今年下半年对医疗机构的攻击增加了一倍。Barlow 说，大多数医疗机构对网络攻击毫无准备，而这场大流行可能会让情况变得更糟。       （消息及封面来源：cnBeta）

卡普空在11月4日发布官方公告，称该公司服务器11月2日遭到第三方未授权访问。随后自称为“RAGNAR LOCKER”的黑客组织发布了犯罪声明，表示获取了卡普空超过1TB容量的隐私敏感数据，要求卡普空在日本时间11日上午8点之前与之联系，并达成交易（以比特币形式支付1100万美元）。 而据日媒的最新报道，因为卡普空在11日并未与“RAGNAR LOCKER”进行交易，“RAGNAR LOCKER”已经在“暗网”上公开了卡普空内部信息的一部分（日媒报道为67000MB字节的数据）。目前日本大阪警方已经介入了这起事件，正在进行情报收集工作。 日媒报道称这一次公开的数据主要是公司的销售业绩与薪酬记录，此外还有相关人员的护照及公司内部邮箱等内容。“RAGNAR LOCKER”还发表了“卡普空没有做出正确决定”等声明，他们表示此次公开的数据只是一部分，并威胁“如果想避免数据泄露和巨额诉讼费用等损失，就进行交易”。 卡普空方面在接受采访时解释说:“目前事件还在调查中，还没有确认顾客信息的泄露。关于未授权访问，正在与府警商讨。”       （消息及封面来源：cnBeta）

身为微软身份安全总监的Alex Weinert写了一篇博客文章，强调了摆脱基于公共交换电话网络（PSTN）的多因素认证（MFA）机制的必要性。这位高管强调了基于PSTN的MFA系统存在安全隐患的各种理由，如短信和语音验证码，他强调，MFA本身是必不可少的，只是人们使用它的方式应该改变。 Weinert表示，基于PSTN的机制是目前最不安全的MFA方法，因为实际上所有的利用技术，如网络钓鱼和账户接管等仍然可以借此进行。一旦攻击者将兴趣转移到破解MFA系统上，这种情况只会变得更糟，而这取决于公众使用MFA系统的程度。此外，PSTN消息也不能适应不同类型的用户，所以通过它们进一步提高安全性的潜力是有限的。 例如，攻击者可以在大多数网络上部署软件来拦截基于PSTN的消息，意味着这又是一个独特的攻击面，对于恶意行为者来说是有利用价值的。 值得注意的是，大多数PSTN系统都有在线账户和丰富的客户支持基础设施支持。可悲的是，客户支持代理很容易受到魅惑、胁迫、贿赂或敲诈。如果这些社会工程学攻击成功，客户支持可以提供对SMS或语音通道的访问。虽然社会工程攻击也会影响电子邮件系统，但主要的电子邮件系统（如Outlook、Gmail）拥有更发达的 “肌肉”，可以通过其支持生态系统防止账户泄露。这就导致了从信息拦截、呼叫转发攻击到SIM卡劫持等一切问题。 不幸的是，PSTN系统并不是100%可靠，报告也不是100%一致。这取决于地区和运营商，但消息到最终接收人那里的路径可能会影响它需要多长时间才能得到，以及是否完全得到它。在某些情况下，运营商会在投递失败时报告投递情况，而在另一些情况下，消息的投递可能需要足够长的时间，以至于用户认为消息已经无法通过。在一些地区，投递率甚至低至50%。MFA提供商没有实时信号反馈来提示问题的出现，只能依靠统计完成率或服务台电话来发现问题，这意味着向用户提供替代方案或警告问题的信号难以提供。 不仅如此，监管方面，有关短信和通话的规定变化很快，而且各地区的规定也不尽相同，当使用基于PSTN的MFA系统时，可能会导致中断。     （消息来源：cnBeta；封面来自网络）

英特尔在周二晚上发布了 20201110 CPU 微代码更新包，这也是自 6 月以来的又一个重大更新。此前，安全社区已经披露了影响英特尔产品的大约 40 个新安全公告，其中包括利用 RAPL 接口来窃取 CPU 敏感数据的“鸭嘴兽”（PLATYPUS）安全漏洞。在等待许久之后，该公司终于为 Linux 用户发布了新版微代码更新包，以修复相关 Bug 和漏洞。 首先是刚才已经详细介绍过的《RPAL 接口安全漏洞》（INTEL-SA-00389），今日更新的 CPU 微码、与新版 Linux 内核补丁一起发布，旨在阻止非 root 权限用户读取 Intel CPU 的能耗信息。 其次 INTEL-SA-00381 修复了围绕“快速存储前向预测器信息泄露”的问题、以及另一个 AVX 漏洞。受此影响，本地攻击者可获取先前 AVX 执行的寄存器状态。 除了 CPU 安全更新，英特尔还修复了影响多代处理器的“功能性问题”。比如 Ice Lake 处理器的 VT-d 虚拟化 Bug，以及可能导致系统挂起的 Type-C 端口问题。 此外至强可扩展（Xeon Scalable）Cascade Lake 处理器在内核退出 C6 状态时中断丢失等问题也得到了解决，并且包括了其它各种随机的处理器 Bug 修复程序。 最后，英特尔 20201110 微码更新包也首次包含了面向了 Cooper Lake、Lakefield、Tiger Lake、以及 Comet Lake 的二进制文件。     消息及封面来源：cnBeta

Palo Alto Networks安全专家在调查在Kuwait发生的对Microsoft Exchange服务器的网络攻击事件时，发现了两个前所未有的Powershell后门。 专家将这次网络攻击归因于xHunt（又名Hive0081），该黑客组织于2018年首次被发现。在最近的攻击活动中，黑客使用了两个新型后门，分别为“ TriFive”和“ Snugy”，后者是基于PowerShell后门（CASHY200）的变体。 专家分析：“ TriFive和Snugy后门是PowerShell脚本，它们使用不同的命令和控制（C2）通道与黑客进行通信，从而提供对受害Exchange服务器的访问。TriFive后门基于电子邮件，使用Exchange Web Services（EWS）在受感染电子邮件帐户的Deleted Items文件夹中创建草稿。”  “ Snugy后门使用DNS通道在受害服务器上运行命令。我们将概述这两个后门，因为它们不同于之前使用的工具。” 在发布报告时，专家们尚未确定该黑客如何访问Exchange服务器。 TriFive使用了来自目标组织的合法帐户名和凭据，这意味着该黑客已在部署后门程序之前窃取了帐户。黑客登录到相同的合法电子邮件帐户，并创建主题为“ 555s”的电子邮件草稿，其中包括加密和base64编码格式的命令。 通过将编码后的密文设置为电子邮件草稿的邮件正文，将电子邮件再次以“ 555s”为主题保存在“已删除邮件”文件夹中，后门会将命令结果发送回黑客。基于Snugy powerShell的后门使用DNS通道在受感染Exchange服务器上运行命令。 黑客利用Snugy后门来获取系统信息，运行命令并从受感染的服务器中窃取数据。 研究人员共享了危害指标（IoC），以允许管理员检查其环境是否受到威胁，xHunt黑客组织的活动仍在继续。       消息来源：securityaffairs；封面来自网络；译者：小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

近日有报道称，某些防病毒产品会将戴尔的打印机驱动程序标记为恶意软件。目前尚不清楚到底是什么情况，但戴尔已经紧急撤除了下载链接。Windows Central 援引网络安全观察记者 Brian Krebs 的话称，大家应暂时尽量避免安装任何戴尔打印机的驱动程序更新。 戴尔在致 Windows Central 的一份声明中称：公司网络安全团队已将问题驱动文件从可被公共访问的资源库中剔除，并就此事展开深入的调查。该公司致力于保护客户的信息，网络和产品的安全性一直是其第一要务。 如果你正在使用戴尔的打印机产品，目前看来最好还是临时避免安装任何驱动程序更新，直到本次被防病毒软件标记为恶意软件的事件被调查得水落石出。以下是 VirusTotal 上的检测清单： Virus Total 的结果表明，已有超过 24 款反病毒软件的引擎，在本次戴尔打印机驱动程序更新文件中检测到了恶意软件，其中包括 Avast、BitDefender、Microsoft Security、以及 McAfee 等知名厂商。 这些大牌软件都将本次驱动更新标记为不安全，普遍认定其具有特洛伊木马或通用恶意软件的特征。至于是否有人攻击、替换、或篡改了戴尔的文件下载服务器，仍有待进一步的调查去澄清。       （消息来源：cnBeta；封面来自网络）

Gitpaste-12是Juniper Threat Labs最近发现的一种新蠕虫，它使用GitHub和Pastebin来存储组件代码，并且至少提供12种不同的攻击模块。 目前，该恶意软件正在开发中，它的目标是基于Linux的x86服务器，以及基于Linux ARM和MIPS的物联网设备。   更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/1394/     消息来源：JUNIPER，封面来自网络，译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

本次黑客竞赛展示了对多个平台的攻击，包括: 1.Adobe PDF Reader 2.Apple iPhone 11 Pro running iOS 14 and Safari browser 3.ASUS RT-AX86U router 4.CentOS 8 5.Docker Community Edition 6.Google Chrome 7.Microsoft Windows 10 v2004 8.Mozilla Firefox 9.Samsung Galaxy S20 running Android 10 10.TP-Link TL-WDR7660 router 11.VMware ESXi hypervisor 在上周末举行的为期两天的活动中，来自15个不同团队的白帽黑客三次尝试，利用最初的漏洞，在5分钟内侵入了广泛使用的软件和移动设备。 简而言之，这个想法就是使用各种网络浏览器来导航到一个远程URL，或者利用软件中的一个漏洞来控制浏览器或底层操作系统。     消息来源：The Hacker News ；封面来自网络；译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。