HackerNews 编译，转载请注明出处： 阿姆斯特丹自由大学（Vrije Universiteit Amsterdam）的学术研究人员证实，在现实场景中，可利用 CPU 瞬时执行漏洞（transient execution CPU vulnerabilities）从公共云服务上运行的虚拟机（VM）中窃取内存数据。 研究表明，2018 年 1 月披露的英特尔处理器漏洞L1 终端故障（L1TF，又称 Foreshadow），以及被认为无法在新一代 CPU 上利用的 “半幽灵”（half-Spectre）漏洞组件（此前认为其无法直接泄露机密数据），二者结合后可用于从公共云环境中窃取数据。 上个月，这些研究人员发布了名为 “L1TF Reloaded” 的漏洞报告（PDF 文档）。该漏洞通过结合 L1TF 与 “半幽灵” 技术，绕过了当前广泛部署的软件防护措施，成功从谷歌云（Google Cloud）的虚拟机监控程序（hypervisor）及同一物理机上的其他租户（co-tenant）系统中窃取敏感数据。 研究人员指出：“我们基于一种新颖的‘指针追踪’技术（通过主机与客户机进行指针遍历），获取了在软件中手动执行‘二维页表遍历’所需的全部信息；借助这一能力，我们可将客户机的任意虚拟地址转换为主机物理地址，进而通过 L1TF 漏洞窃取受害者内存中的任意字节数据。” 漏洞背景与影响 L1TF 漏洞于 2018 年披露，披露当天恰逢臭名昭著的 “Spectre（幽灵）” 与 “Meltdown（熔断）” 漏洞公开。这三类漏洞的最终危害一致：攻击者可获取 CPU 在执行指令时意外访问、且已缓存到内存中的机密数据。 研究人员表示，尽管这类漏洞以往的现实影响有限（因攻击者需具备 “远程代码执行” 能力，才能触发 CPU 中的相关指令），但 “L1TF Reloaded” 的测试结果表明，公共云服务商面临的这类攻击具有实际可行性 —— 本质上，公共云服务商向客户提供的 “云服务”，相当于 “远程代码执行即服务”（remote code execution as a service）。 在云环境中，客户的虚拟化系统虽运行在同一硬件上，但彼此应被视为 “不可信对象”，因此需要针对 “Spectre” 等瞬时执行漏洞部署所有合理的防护措施。 攻击测试与结果 研究人员在谷歌云的 “单租户节点”（sole-tenant node，指仅分配给单个客户使用的物理服务器）上开展测试，结果显示：在 “高干扰环境”（noisy conditions）下，即便对主机或客户机的细节一无所知，仍能窃取目标虚拟机中 Nginx 服务器的 TLS 密钥，平均耗时 14.2 小时。 此次攻击的核心逻辑是：针对 Linux 系统 KVM（基于内核的虚拟机）子系统中的 “半幽灵” 漏洞组件，通过 “推测执行”（speculative execution）将内存中的数据加载到 L1 缓存中，随后利用 L1TF 漏洞从 L1 缓存中窃取这些机密数据。 具体而言，攻击者可从恶意虚拟机出发，实现三层数据窃取： 从主机操作系统（host OS）中窃取数据，识别该物理机上运行的其他虚拟机； 从目标客户机操作系统（guest OS）中窃取数据，了解目标虚拟机上正在运行的进程； 最终从目标虚拟机的 Nginx 服务器中窃取私有 TLS 密钥。 研究人员还在亚马逊云（AWS）上进行了相同攻击测试，但由于 AWS 部署了深度防御机制，最终仅能窃取非敏感的主机数据，无法获取核心敏感信息。 奖励与防护建议 谷歌为研究人员提供了测试所需的 “单租户节点”，并向其颁发了 151,515 美元奖金 —— 这是谷歌云漏洞奖励计划（Google Cloud VRP）的最高级别奖励，谷歌方面同时指出，这也是该计划首次发放此级别奖金。 研究人员强调：“我们的攻击表明，若仅针对单个瞬时执行漏洞进行孤立防护，效果十分有限 —— 攻击者可通过组合利用多个漏洞，不仅能绕过现有防御措施，还能构建更具破坏力的攻击原语（attack primitives）。而以下防护措施可有效阻止此类攻击：AWS 已部署的‘跨页表防护（XPFO）’与‘进程本地内存’机制，以及业内提议的‘地址空间隔离’或‘无机密数据虚拟机监控程序’方案。”   消息来源：securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 三家主流网络安全解决方案提供商已决定不参与 MITRE（米特雷公司）2025 年度的终端检测与响应（EDR）解决方案年度测试。 微软于 6 月宣布将不参与 “MITRE Engenuity ATT&CK 评估：2025 企业版” 测试，随后在 9 月 12 日，SentinelOne 与帕洛阿尔托网络公司（Palo Alto Networks）也确认将退出今年的该测试。 这些决定引发了网络安全界对该评估项目未来走向及相关性的担忧。此举尤为出人意料，因为这三家均为行业内的主流厂商，且在 2024 年的测试中表现优异 —— 微软的解决方案位列榜首，SentinelOne 排名第五，帕洛阿尔托排名第十二。 值得注意的是，微软的退出决策更显意外：就在 2024 年 12 月，该公司还曾利用其在 MITRE 测试中的排名，推广旗下解决方案 Microsoft Defender XDR。 有趣的是，三家公司为退出测试给出的理由如出一辙，均表示希望将重点优先放在产品开发与创新上。 然而，专家指出，背后可能还存在其他因素，例如该测试正逐渐被视为 “宣传工具”，而非能真正推动安全能力提升的评估机制。 《信息安全》（Infosecurity）杂志采访了 MITRE 首席技术官兼 MITRE 实验室高级副总裁查尔斯・克兰西（Charles Clancy）。克兰西分享了该评估测试的发展演变细节，或许能为理解厂商退出决策（2025 年测试结果将于 12 月公布）提供参考。 一、ATT&CK 评估：企业版的背景 MITRE 公司是总部位于美国的非营利组织，运营着多个网络安全项目，其中部分项目是受美国政府委托开展。 2015 年，MITRE 推出 ATT&CK 框架，该框架迅速成为网络安全行业的标准工具，用于梳理现实世界中网络攻击者的技术、战术与流程（TTPs）。 克兰西表示，2019 年 MITRE ATT&CK 启动首个评估项目，旨在 “填补安全测试市场的空白”。 他解释道：“当时市场上已有多种网络安全产品第三方测试，但每种测试都有自己的流程和评分方法，导致结果不一致且缺乏严谨性，无法推动行业进步。” “MITRE Engenuity ATT&CK 评估：企业版” 是所有评估测试中最常规的一项，自启动以来每年举办一次。 CrowdStrike 公司工程总监伊加尔・戈夫曼（Igal Gofman，曾任职于微软和 Tenable，担任安全研究员）在领英（LinkedIn）帖子中称，该测试堪称 “网络安全界的奥运会”。 克兰西向《信息安全》透露，MITRE 网络安全业务板块共有 1000 名工作人员，其中 133 人专职负责 MITRE ATT&CK 相关工作，而参与评估测试的人员有 12 至 15 人。 每年，测试项目团队会根据 ATT&CK 框架中梳理的攻击者 TTPs，从多个真实攻击者案例中选取一个或多个，以及对应的攻击链作为测试场景。 随后，他们使用 MITRE 自研的自动化攻击者模拟平台 Caldera，对参与厂商的 EDR 解决方案进行模拟攻击测试，并依据多项标准评分，包括检测结果、误报率（假阳性）与漏报率（真阴性）等。 尽管该测试可用于对比不同 EDR 解决方案的有效性，但克兰西强调，不应将其视为 “纵向基准”，因为每年的测试内容与前一年存在显著差异。 他表示：“我们希望通过测试传递的核心理念是，评估单一产品对特定威胁攻击者的检测能力。每年模拟不同的攻击者，对于了解各类新兴威胁至关重要。” 二、2024 与 2025 年测试详情 2024 年的 “MITRE ATT&CK 评估：企业版” 中，测试团队模拟了三类攻击者的行为： 与朝鲜相关的已知黑客组织：涉及 7 类战术中的 14 项技术； CL0P 勒索软件团伙：涉及 7 类战术中的 16 项技术； LockBit 勒索软件团伙：涉及 11 类战术中的 31 项技术。 作为 EDR 领域的头部厂商之一，CrowdStrike 并未参与 2024 年的测试。CrowdStrike 某 Reddit 子论坛上有一名自称该公司员工的用户表示，评估测试的时间恰好在 7 月 19 日该公司 EDR 产品全球宕机事件后不久，这可能是其退出的原因。 2024 年测试中，微软、ESET 与 Cybereason 位列前三，紧随其后的是 ThreatDown、SentinelOne 与 Bitdefender。 克兰西承认，每年参与测试的厂商会有变化，但他强调 “回头客” 仍占多数，厂商对测试的信任度总体稳定。 三、厂商为何退出 MITRE 测试？ 然而，今年（结果预计 12 月公布）的测试将缺少三家关键厂商：微软、SentinelOne 与帕洛阿尔托网络公司。 6 月 13 日，微软宣布不参与今年测试，称该决策 “能让我们将所有资源集中在‘安全未来计划’（Secure Future Initiative）上，并为客户交付产品创新成果”。 9 月 12 日，SentinelOne 与帕洛阿尔托发布了类似声明： SentinelOne 表示，希望 “将产品与工程资源优先投入以客户为中心的项目，同时加快平台路线图推进”； 帕洛阿尔托则解释，该决策 “能让我们进一步加速关键平台创新，直接应对客户最紧迫的安全挑战，并更快速地响应不断演变的威胁态势”。 《信息安全》杂志试图联系三家公司获取更多评论，其中 SentinelOne 与帕洛阿尔托拒绝进一步置评，微软则未回应采访请求。 不过，MITRE 的克兰西表示，他与这三家厂商保持着密切沟通，并认为自己了解他们退出的深层原因： 首先，正如厂商在声明中提及的，参与 MITRE ATT&CK 评估项目需要投入大量资源 —— 这意味着用于测试的时间和人力，会占用其他项目的资源。 其次，克兰西指出，测试团队每年都会努力提高测试难度，他坦言今年可能 “用力过猛”。 他解释道：“为了推动整个行业进步，我们每年都会设计比前一年更难的测试。因为测试能为厂商提供机会：准备测试时升级产品，拿到结果后进一步优化。但有时，我们确实没能把握好难度平衡。” ManageEngine 公司终端安全产品高级产品经理维沙尔・桑塔拉姆（Vishal Santharam）在接受《信息安全》采访时，进一步阐释了克兰西的观点。 他提到：“2024 年，MITRE 开始在评估中统计警报数量，这对厂商来说始终是个难题 —— 需要精准调整警报机制。警报越多，安全人员的‘警报疲劳’就越严重。” 桑塔拉姆此处引用的是弗雷斯特研究公司（Forrester）一份基于警报数量解读 2024 年 MITRE 企业版评估的报告。 此外，桑塔拉姆指出，2025 年企业版评估纳入了 “云环境” 场景，“这是未经测试的新领域，需要厂商投入更多精力应对”。 最后，克兰西向《信息安全》透露，过去团队每年都会举办 “厂商论坛”，为 “MITRE ATT&CK 评估：企业版” 测试做准备。 他承认：“这个论坛每年都有助于我们与行业合作确定测试目标，但在过去几年里，论坛逐渐停办了。” CrowdStrike 的戈夫曼则在领英上直言，MITRE 评估测试最初是衡量安全解决方案的优秀举措，但近年来已沦为 “厂商表演秀”。 他表示：“厂商投入巨额资源，只为赢得公关优势，而非实现真正的安全提升。加之 MITRE 和美国网络安全与基础设施安全局（CISA）面临预算削减与调整压力，部分厂商可能认为这是退出的好时机。” 他补充道：“基于 TTP 的测试理念仍有价值，但如今的测试方式已逐渐过时、过度聚焦终端，且与现实威胁脱节，价值大不如前。” 漏洞检测公司 VulnCheck 的漏洞研究员帕特里克・加里蒂（Patrick Garrity）也认同这一观点。他在另一条领英帖子中表示：“听起来，这种基准测试活动已变成巨大的干扰 —— 厂商为了宣传曝光，牺牲了打造更优质产品的精力。” 尽管存在这些担忧，克兰西仍确认，已有 12 家网络安全厂商确认参与 2025 年的测试。 四、MITRE 计划 2026 年重启厂商论坛 克兰西向《信息安全》透露，团队计划在 “2026 年 MITRE ATT&CK 评估：企业版” 测试前，重新举办厂商论坛。 他表示：“我们已着手准备，为 2026 年测试重启这一论坛。” 在 SentinelOne 与帕洛阿尔托宣布退出 2025 年测试后，克兰西于 9 月 18 日在领英上发布帖子，公开了这一计划。 桑塔拉姆也向《信息安全》表示，ManageEngine 正在研发一款 EDR 解决方案，并计划参与 2026 年的 “MITRE Engenuity ATT&CK 评估：企业版”。 他介绍：“ManageEngine 的‘高级反恶意软件’与‘下一代杀毒软件’产品，首次参与测试便获得了 AV-Comparatives（国际权威杀毒软件测试机构）认证。该解决方案为我们下一代 EDR 产品奠定了基础，同时能提供全面的恶意软件与勒索软件防护。” “我们还在为参与即将到来的‘Gartner 终端保护平台（EPP）魔力象限’评估与 MITRE ATT&CK 测试做准备。这些独立评估不仅能证明我们技术的稳健性与可靠性，也能帮助客户建立对我们 EDR 能力的信心。”   消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员在Python包索引（PyPI）仓库中发现两个新的恶意软件包，其设计目的是在Windows系统上投放名为“SilentSync”的远程访问木马。 Zscaler威胁实验室研究员玛尼莎·拉姆查兰·普拉贾帕蒂和萨蒂亚姆·辛格表示：“该木马具备远程命令执行、文件窃取和屏幕截图捕获能力，还能从Chrome、Brave、Edge和Firefox等浏览器提取凭据、历史记录、自动填充数据和cookie等浏览器数据。” 这两个目前已从PyPI下架的软件包由用户“CondeTGAPIS”上传，具体信息如下： sisaws (201次下载) secmeasure (627次下载) Zscaler指出，sisaws包模仿了阿根廷国家卫生信息系统Sistema Integrado de Información Sanitario Argentino（SISA）官方Python包sisa的行为。该库中包含一个位于初始化脚本（init.py）中的“gen_token()”函数，其功能是下载下一阶段恶意软件。该函数会发送硬编码令牌作为输入，并以类似合法SISA API的方式接收二级静态令牌响应。 “当开发者导入sisaws包并调用gen_token函数时，代码将解码一个包含curl命令的十六进制字符串，该命令用于获取额外Python脚本。从PasteBin获取的Python脚本会以helper.py为名写入临时目录并执行。” 同样地，secmeasure包伪装成“用于字符串清理和安全措施应用的库”，但暗藏投放SilentSync远控木马的功能。虽然该木马主要针对Windows系统，但同样具备Linux和macOS系统感染能力——在Windows上修改注册表、在Linux上修改crontab文件实现开机自启动、在macOS上注册LaunchAgent。 该软件包依赖二级令牌向硬编码端点(“200.58.107[.]25”)发送HTTP GET请求以获取内存中直接执行的Python代码。其服务器支持四个不同端点： /checkin：验证连接 /comando：请求执行命令 /respuesta：发送状态消息 /archivo：发送命令输出或窃取数据 该恶意软件能窃取浏览器数据、执行shell命令、捕获屏幕截图、窃取文件，还能以ZIP压缩包形式泄露整个目录文件。数据传输完成后，所有痕迹都会从主机删除以规避检测。 Zscaler强调：“恶意包sisaws和secmeasure的发现，揭示了公共软件仓库中软件供应链攻击风险的日益增长。通过利用拼写错误和仿冒合法软件包，威胁行为者能够获取个人身份信息（PII）。”   消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国国防部及数百万用户使用的关键代码目前仅由一名俄罗斯开发者独立维护。有人对此不以为然，认为互联网的半壁江山本就依赖于某些人的个人项目。网络安全圈的这番骚动，凸显出人们对国家行为体可能对个体维护者施加影响的担忧。 Hunted Labs的安全研究人员近期重点关注了“fast-glob”，这是一个广泛应用于Node.js环境中进行快速文件和文件夹搜索的工具。报告指出：“由单人维护的状况给超过5000个软件包（包括Node.js中的容器镜像及美国国防部系统内的容器）带来了供应链风险。我们的调查发现，在经批准的国防部系统中，超过30个容器存在此组件。” GitHub上的依赖关系图显示，该代码被超过2700万个代码仓库使用，并在JavaScript包管理器NPM上每周获得7500万次下载。 Hunted Labs报告称，fast-glob的维护者mrmInc（本名Denis Malinochkin）一直居住在莫斯科，并曾为俄罗斯科技巨头Yandex工作。众所周知，Yandex在与俄罗斯政府合作进行公民跟踪、审查和压迫方面有所配合。报告认为这是一个风险点，“鉴于开源社区往往在几乎不了解贡献者背景的情况下就盲目采纳项目”。但目前并无迹象表明该开发者曾有任何不当行为。 该开发者强调，从未有人要求他操纵该工具、向项目引入隐藏更改或收集分享系统数据。Malinochkin甚至联系了The Register并解释，他从2016年起就开始独立开发fast-glob，这远早于他加入Yandex的时间。这个完全开源的项目完全在本地运行，任何人都可以查看代码。 播客主、博主兼Anchore公司安全副总裁Josh Bressers站出来为这位俄罗斯开发者辩护。他在一篇博文中论证：“让THE WHOLE F*CKING PLANET运转的软件是由一个人写的。在一个国家。但我们不知道是哪个国家。注意，不是同一个人，但就是一个人。几乎所有的开源软件 literally 都是由一个人完成的。”专家用数据支持了这一说法：在ecosyste.ms跟踪的1180万个开源项目中，约有700万个由单人维护。由于400万个项目的维护者人数未知，实际数字可能更大。“实际上比这还要多，”Bressers说，“其中一大批项目将会是一个人维护的。”由单名开发者维护的代码几乎占据了NPM上最受欢迎代码库的一半。“大约13000个下载量最大的NPM包中，有一半是仅由一个人维护的，”专家强调。许多独立开发者还拥有不止一个软件包，并且其中可能没多少人拥有他们可能需要的适当资源。 Bresser认为，真正的供应链风险在于维护者薪酬过低和工作过度，而不在于他们来自哪个国家。“让我们面对现实吧，俄罗斯人还没蠢到去给一个住在俄罗斯的人所拥有的软件包植入后门。他们会做一些事情，比如假装来自另一个国家，用像Jia Tan这样的名字，而不是Boris D. Badguy。这可不是《波波鹿与飞天鼠》的剧集。” 这场讨论在程序员和技术专业人士驱动的社区论坛Lobste.rs上热度渐起。计算机科学家Kornel Lesinski认为，维护者的数量并不是衡量协作的正确标准，因为一个普通的NPM依赖树涉及许多不同的人。发布小型独立的软件包，比让多个维护者在一个单一的整体库上协作更为便利。然而，其他人则表示担忧，认为任何国家行为体能够接触到的代码都可能被滥用。当面对秘密法院的令状时，开发者将没有太多选择。“我对俄罗斯政府的信任程度与对一个人的信任程度截然不同。”一位开发者说。 尽管许多人同意过分关注单一维护者可能有些夸大其词，但对地缘政治或系统性风险保持谨慎的认识仍然必要。Hunted Labs的研究人员承认，替换或修复fast-glob没有快速简便的解决方案。“最佳选择是让mrmInc为项目增加额外的维护者和监督机制，新的维护者需为开源社区所知且居住在民主社会。这是最简单的解决方案，能立即保护使用fast-glob的数百万项目。”Hunted Labs建议道。其他替代方案包括选择不同的工具，或者对其进行分叉（fork）并维护一个独立的版本。 然而，研究人员也敦促立即从美国国防部或情报界使用的产品中移除fast-glob。美国国防部此前曾发布一份备忘录，指示所有技术必须经过验证，确保其安全，能防范来自俄罗斯及其他对手的潜在供应链攻击。       消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 巴尔的摩市监察长表示，该市向一名诈骗者支付了超过150万美元的欺诈款项；此人成功冒充某供应商，并骗过了市政府员工，使其更改了该承包商的银行账户信息。 巴尔的摩监察长伊莎贝尔·梅赛德斯·卡明（Isabel Mercedes Cumming）在对此事件的事后分析中表示，该市应付账款部门未能在此前的欺诈事件后实施纠正措施，也没有建立适当的保护措施来核实供应商详细信息。 2024年12月，诈骗者使用一名合法公司员工的姓名提交了一份供应商联系表，以获取该供应商Workday系统的访问权限。被冒充的这名人员并无权访问公司财务信息，且诈骗者提供的电子邮件地址也非公司官方地址。然而，应付账款部门的一名员工并未联系供应商以确认此人身份。 诈骗者多次提交请求，要求更改Workday中关联的银行账户，这些请求最终获得两名员工的批准。在2月和3月，巴尔的摩应付账款部门向所谓的供应商支付了两笔款项——分别超过80万美元和72.1万美元——之后在收到收款方银行关于可疑活动的通知后，他们才发现这可能是一场欺诈。该市成功追回了数额较小的那笔付款。 这起供应商诈骗案至少是自2019年以来巴尔的摩市政府遇到的第三起同类事件。2022年，市长儿童与家庭成功办公室一笔超过376,213美元的款项，在诈骗者说服市财政部门更改账户信息后，最终流入了一个诈骗者的账户。三年前，在对某供应商的信息进行修改后，有62,377美元被汇入一个欺诈账户。 根据监察长关于2022年事件的一份报告，该市财务总监曾表示，事发后已制定了新政策，要求部门员工“独立地向请求更改银行的供应商的高管级别员工核实变更信息”。 应付账款总监小蒂莫西·戈德斯比（Timothy Goldsby, Jr.）在给最新报告的书面回应中表示，在此办公室于2023年1月从财政部迁至审计长办公室之前，先前的控制措施“并未完全制度化”。 他写道：“应付账款部门同意监察长的评估，即该事件的发生是由于验证程序存在漏洞以及供应商账户保障措施不足所致。” 他表示，事件发生后，该部门正在修订其供应商联系和银行信息更新的操作流程，并要求对任何银行信息的更改进行交叉验证。他们还在加强Workday系统内的保障措施，包括创建一个受限用户角色来管理账户的敏感更改，并加强员工培训，以提高对社交工程欺诈的识别能力。 巴尔的摩市曾经历过几起具有重大影响的网络事件，其中包括2019年的一次勒索软件攻击，该攻击造成了约1900万美元的损失，并导致服务中断数月。       消息来源：therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 谷歌推出名为“开发者验证”（Developer Verification）的安卓新防护机制，旨在阻止从官方Google Play商店外通过侧载方式安装的恶意应用。此前，谷歌已在2023年8月31日要求Play商店上架应用的发布者提供D-U-N-S（全球数据通用编码系统）编号，该措施显著降低了平台内的恶意软件比例，但未覆盖应用商店外的大量开发者生态。 “我们发现恶意行为者常利用匿名身份伪装开发者，盗用品牌形象制作高仿应用来侵害用户，”谷歌在公告中指出，“此类威胁规模巨大：最新分析显示，通过互联网侧载渠道传播的恶意软件数量是Google Play应用的50倍以上。” 尽管外部威胁更为普遍，新规要求同时适用于Google Play及第三方应用商店托管的应用。自2026年起，所有安装于“认证安卓设备”的应用必须来自已完成谷歌身份验证的开发者。 开发者验证计划将于2025年10月开放早期测试，2026年3月全面开放注册。2026年9月，巴西、印度尼西亚、新加坡和泰国将率先强制执行身份验证要求，2027年起全球推广。届时，未通过验证的侧载应用在认证设备上将被系统拦截并显示安全警告。 “认证安卓设备”指通过谷歌兼容性测试套件（CTS）认证、预装Google Play服务、Play商店及Play Protect的设备，涵盖三星、小米、摩托罗拉、一加、OPPO、vivo及谷歌Pixel等主流品牌。而华为设备、亚马逊Fire平板，以及采用深度定制系统、组件来源存疑的山寨电视盒或手机等“非认证设备”不受新规约束，用户仍可自由侧载未经验证的匿名开发者应用。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 数百万网站表面采用现代安全协议，实则仍在代理链中降级至陈旧的HTTP/1.1协议。安全研究人员警告，黑客可利用该协议固有缺陷完全接管这些网站。 当用户访问网站时，其HTTP请求需经过反向代理、负载均衡器等组件转发至目标服务器。应用安全软件商PortSwigger发现，逾2400万网站在请求路径中仍使用“古老”的HTTP/1.1协议。黑客可通过请求走私（request smuggling）手段，将恶意代码植入合法用户请求以完全控制网站。 “HTTP/1.1存在致命且极易利用的缺陷——请求间边界极度脆弱。所有请求在底层TCP/TLS套接字上直接串联，既无分隔符又存在多种长度定义方式。攻击者可借此制造请求起始位置的严重歧义。”最新研究报告指出。更令人担忧的是，多数主流云服务商内部仍默认使用HTTP/1.1。即便Google或Cloudflare的管理员也需手动配置才能实现全链路HTTP/2。Nginx、Akamai、CloudFront和Fastly等软件尚未支持HTTP/2上游连接。 PortSwigger研究总监詹姆斯·凯特尔指出，该漏洞波及多数成熟且注重安全的机构。他在黑帽大会和DEF CON披露的协议缺陷已为其赢得超35万美元漏洞赏金。“若想建立安全网络，HTTP/1.1必须淘汰，”其强调，“单个恶意请求即可导致网站混淆响应归属，引发大规模敏感数据泄露，通常表现为用户被随机登录至他人账户。” 攻击者还可通过恶意JavaScript污染网站缓存，持久控制用户访问的每个页面，实现流量劫持、密码窃取或信用卡信息盗用等操作。研究人员曾两度利用请求走私技术攻破PayPal，窃取用户明文密码，仅此漏洞就获3.9万美元赏金。 攻击原理剖析 凯特尔解释，反向代理通常将不同用户请求通过共享连接池路由至后端服务器。只要攻击者在服务器链中发现“最微小的解析逻辑偏差”，即可引发去同步化（desync），将恶意载荷附加至其他用户请求中。“这导致攻击者请求与合法用户请求相互混杂。” 请求分隔缺陷是该协议的“致命伤”。HTTP/1.1作为古老的文本协议，具有宽松规范与数千种实现方式，寻找解析差异点并非难事。“此类攻击利用两个服务器（通常为前端代理与后端服务器）对同一请求的解析差异，使攻击者能将恶意请求’走私’至后端服务器，进而危害其他应用用户。” 例如，HTTP请求可同时包含定义字节总量的”Content-Length”标头，以及指示分块传输的“Transfer-Encoding: chunked”标头。不同服务器对同一请求的解析结果可能截然不同。攻击者通过构造含矛盾标头的畸形请求，使一台服务器认为请求已结束，而另一台仍等待更多数据，从而将恶意代码预置到合法用户请求前。 凯特尔认为该协议缺陷无法简单修补：“时间证明我们无法通过补丁拯救HTTP/1.1——更多漏洞正在路上。”虽然无代理环节时HTTP/1.1仍可安全使用，但现实场景极少满足此条件。其敦促企业升级至HTTP/2上游连接，该协议通过明确请求边界使去同步漏洞大幅减少。若无法升级，管理员需严格配置服务器以验证并拒绝歧义请求，同时定期扫描漏洞。研究人员已开源自动化检测工具HTTP Request Smuggler v3.0，可探测多种高级去同步攻击技术。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Meta正在打击东南亚的大型诈骗中心，这些中心同时运作多种欺诈活动。Meta表示已检测并封禁超过680万个WhatsApp账户，并将在该平台推出新的安全功能。 默认情况下，WhatsApp允许任何人邀请其他用户加入群组，除非用户自行更改隐私设置。这一功能常被网络犯罪分子滥用，用于实施加密货币投资诈骗、传销计划及其他骗局。 黑客只需获得用户电话号码即可将其拉入群组，而这些号码在数据泄露事件中持续暴露或被出售于暗网市场。 “WhatsApp始终允许任何获知您电话号码的人发送消息或将您拉入群组。这就像任何人获知您的联系方式后都能发送短信或邮件一样。默认情况下，您的群组隐私设置处于‘所有人’可添加的状态。”支持页面如此说明。 这一机制虽未改变，但当用户被未知联系人拉入群组时，现在将收到警示。“我们将推出新的安全概览功能。当您被不在通讯录中的联系人添加至一个可能不熟悉的WhatsApp新群组时，系统会向您展示该群组的关键信息和安全提示，”Meta表示。 该警示将提供选项：用户无需查看聊天内容即可直接退出群组，或进入聊天界面查看更多上下文。“无论选择如何，在您明确表示愿意留在群组前，该群组的所有通知将被静音，”Meta补充道。 Meta同时认识到诈骗者常尝试通过私聊信息首次接触用户。WhatsApp正在测试新方法，以在与不请自来的发件人互动前提升用户警觉性。“我们正探索在您与通讯录外联系人发起聊天时发出警示，通过展示对方更多背景信息助您做出明智决定。” 今年上半年，WhatsApp已封禁超过680万个与诈骗中心关联的账户。其中许多账户在诈骗分子利用其进行恶意活动前已被检测并删除。这款即时通讯应用拥有近30亿月活跃用户。 据Meta透露，WhatsApp与OpenAI合作挫败了来自柬埔寨的诈骗活动。诈骗者使用ChatGPT编写初始信息→引导至WhatsApp聊天→转移至Telegram→以“点赞TikTok视频换取报酬”为诱饵。最终这些收益均为虚假，诈骗者会要求受害者向加密货币账户存款。 “诈骗手法包括：虚假点赞换酬金、租赁摩托车传销计划、加密货币投资骗局等。” 若您不希望被陌生人拉入群组，请更改WhatsApp群组隐私设置：进入设置→隐私→群组，在此选择“我的联系人”或其他限制选项。       消息来源：cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软周日发布了针对SharePoint中一个正被恶意利用的安全漏洞的补丁，并同时公布了另一个漏洞的细节，该漏洞已通过“更强大的防护措施”得到解决。 微软承认，“目前发现攻击者正利用7月安全更新中未完全修复的漏洞，针对本地部署的SharePoint Server客户发起攻击”。 被利用的漏洞编号为CVE-2025-53770（CVSS评分：9.8），属于高危远程代码执行漏洞。该漏洞源于本地部署的Microsoft SharePoint Server在处理不可信数据时存在反序列化缺陷。 新披露的漏洞是一个SharePoint欺骗漏洞（CVE-2025-53771，CVSS评分：6.3）。一位匿名安全研究员因发现并报告该漏洞获得了微软官方致谢。 微软在2025年7月20日发布的安全公告中指出：“Microsoft Office SharePoint存在路径遍历漏洞，由于对受限目录的路径名限制不当，导致授权攻击者可通过网络实施欺骗攻击。” 微软还指出，CVE-2025-53770和CVE-2025-53771与另外两个SharePoint漏洞（CVE-2025-49704和CVE-2025-49706）存在关联，这些漏洞可被串联利用形成远程代码执行攻击链。该攻击链被称为ToolShell，已在微软2025年7月“补丁星期二”更新中得到修复。 微软表示：“针对CVE-2025-53770的更新比CVE-2025-49704的修复措施更完善”，“针对CVE-2025-53771的更新也比CVE-2025-49706的防护能力更强”。 值得注意的是，微软此前曾将CVE-2025-53770归类为CVE-2025-49706的变体漏洞。对此，微软发言人向媒体解释：“公司优先保障更新推送，同时会及时纠正内容不准确之处。”微软强调当前发布的信息准确无误，表述差异不影响对客户的安全指导。 这两个漏洞仅影响本地部署的SharePoint服务器，不涉及Microsoft 365中的SharePoint Online。目前已修复的版本包括： Microsoft SharePoint Server 2019（16.0.10417.20027） Microsoft SharePoint Enterprise Server 2016（16.0.5508.1000） Microsoft SharePoint Server Subscription Edition Microsoft SharePoint Server 2019 Core Microsoft SharePoint Server 2016（待确认） 为防范潜在攻击，建议用户采取以下措施： 使用受支持的本地SharePoint版本（SharePoint Server 2016、2019及Subscription Edition） 立即安装最新安全更新 开启反恶意软件扫描接口（AMSI）并启用全模式防护，同时配置Defender Antivirus等杀毒软件 部署Microsoft Defender for Endpoint或同类威胁防护解决方案 轮换SharePoint Server的ASP.NET机器密钥 微软特别提醒：“安装上述安全更新或启用AMSI后，必须轮换SharePoint服务器的ASP.NET机器密钥，并重启所有SharePoint服务器的IIS服务。若无法启用AMSI，安装更新后也需立即轮换密钥。” 有安全公司向媒体透露，已有至少54家机构遭受攻击，包括银行、高校及政府部门。据该公司称，攻击活动始于7月18日左右。 美国网络安全和基础设施安全局（CISA）已将CVE-2025-53770纳入已知被利用漏洞目录，要求联邦民用行政机构在2025年7月21日前完成修复。 帕洛阿尔托网络公司（Palo Alto Networks）旗下Unit 42团队也在追踪这起“高影响、持续性威胁事件”，指出政府、教育机构、医疗机构（含医院）及大型企业面临直接风险。 Unit 42首席技术官兼威胁情报负责人Michael Sikorski表示： “攻击者正绕过MFA和SSO等身份验证机制获取特权访问权限。入侵后会窃取敏感数据、植入持久化后门并盗取加密密钥。攻击者已利用该漏洞建立攻击据点。” “本地SharePoint服务器若暴露在公网环境，应假定已遭入侵。仅靠补丁无法彻底清除威胁。更危险的是SharePoint与微软生态的深度整合，Office、Teams、OneDrive和Outlook等服务存储的敏感信息都会成为攻击目标，一次入侵可能导致整个网络沦陷。” 该安全厂商将此次事件列为高严重度、高紧急度威胁，敦促本地SharePoint用户立即安装补丁、轮换加密凭证并启动事件响应流程。Sikorski补充道：“临时应急方案可先断开SharePoint服务器的公网连接直至补丁部署完成。错误的安全认知可能导致威胁持续扩散。” （事件仍在发展中，请关注后续更新。）       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国联邦调查局（FBI）近日查封多个盗版游戏平台。亚特兰大分局宣布查没nsw2u.com、nswdl.com、game-2u.com、bigngame.com、ps4pkg.com、ps4pkg.net及mgnetu.com等网站，并在页面展示执法通告。FBI声明称“已同步摧毁这些网站的技术设施”。 调查显示，过去四年间，这些平台在热门游戏正式发售前数周便提供盗版资源。仅2025年2月28日至5月28日期间，主要下载渠道的非法下载量就达320万次，造成约1.7亿美元经济损失。此次行动得到荷兰执法部门协助。 查封引发玩家群体强烈反应，其中nsw2u因允许用户在破解版任天堂Switch主机上运行盗版游戏而广受欢迎，该平台同时提供PC游戏下载。2025年5月，欧盟将nsw2u列入假冒与盗版监控名单，指出其运营商持续无视版权方下架要求。今年2月该网站全球访问量达230万次，英国、西班牙等六国已实施访问封锁。 行业背景显示，2021年代表任天堂、微软等巨头的娱乐软件协会（ESA）曾向美国贸易代表办公室举报nsw2u公然漠视版权通知。近三年欧美执法机构持续打击盗版内容：德国去年逮捕知名盗版电影网站Movie2k幕后运营者；欧洲刑警组织去年11月在一次大规模行动中逮捕11名非法流媒体网络嫌犯。索尼与任天堂未回应是否参与本次行动。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文