分类: 漏洞事件

渥太华卡车司机抗议活动捐赠网站现安全漏洞:捐赠者数据遭曝光

获悉,目前在渥太华抗议加拿大国家疫苗规定的卡车司机使用的捐赠网站已经修复了一个安全漏洞,该漏洞暴露了捐赠者的护照和驾驶执照。位于马萨诸塞州波士顿的捐赠服务GiveSendGo上周成为Freedom Convoy的主要捐赠服务商,此前GoFundMe冻结了数百万美元的捐赠,理由是警方报告了该市的暴力和骚扰。 抗议活动始于1月,数千名抗议者和卡车司机来到加拿大首都,致使街道交通陷入瘫痪。他们反对强制接种COVID-19疫苗。在GoFundMe上的一个筹款页面达到了约790万美元的捐款,众包巨头出面阻止了该活动,促使筹款工作转移到GiveSendGo–该公司公开宣布支持抗议活动。根据一份新闻稿,GiveSendGo表示,在该公司主办活动的第一天,它已经为Freedom Convoy的抗议者处理了超450万美元的捐款。 在安全领域工作的一位工作人员发现了一个暴露的亚马逊托管的S3储存库,其中包含超过50GB的文件–里边有在捐赠过程中收集的护照和驾驶执照,之后TechCrunch得到了这个数据丢失的消息。 该研究人员称,他们通过查看自由车队在GiveSendGo上的网页的源代码发现了这个暴露的桶的网络地址。 S3储存库用于在亚马逊的云中存储文件、文档甚至整个网站,但默认设置为私有,在储存库的内容被公开供任何人访问之前需要一个多步骤的过程。 自2月4日Freedom Convoy的页面首次在GiveSendGo上建立以来,被曝光的储存库内有超1000张照片和护照及驾驶执照的扫描件。这些文件名表明,这些身份文件是在支付过程中上传的,一些金融机构在处理一个人的付款或捐款之前需要这些文件。 当地时间周二,TechCrunch联系了GiveSendGo的联合创始人Jacob Wells以了解了被曝光的储存库的细节信息,但Wells没有回应。 目前还不知道这个储存库到底被暴露了多久,但一位不愿透露姓名的安全研究员留下的一个文本文件显示日期为2018年9月,并警告称这个储存库“没有正确配置”、可能会产生“危险的安全影响”。   (消息及封面来源:cnBeta)

InsydeH2O UEFI BIOS 被曝存在 23 个安全漏洞 波及大批电脑厂家

专业处理固件威胁的安全研究公司 Binarly,刚刚在周二的一篇博客文章中披露了 InsydeH2O“Hardware-2-Operating System”UEFI BIOS 中存在的问题。作为微软、英特尔、惠普、戴尔、联想、西门子、富士通等多家科技巨头的固件供应商,这意味着它们都易受将近两打安全漏洞的影响。 Binarly.io 在网站上披露了总共 23 个此类漏洞,可知其主要波及所谓的“系统管理模式”(简称 SMM): 由于这是固件级别的缺陷,因而成功利用可能导致几乎无法摆脱的持久性恶意软件。 其中大多数漏洞(CVSS 评分 7.5 – 8.2 / 高危)可利用 SMM 权限执行代码,在借此绕过安全功能之后,这些漏洞还可在长期持久性的第二阶段继续发挥作用。 得逞后,攻击者可让消费者在重装系统后也无法摆脱顽固的恶意软件,并允许其绕过端点安全解决方案(EDR / AV)、安全启动、以及基于虚拟化的安全隔离措施。 更糟糕的是,由于可信平台模块(TPM)的固件运行时可见性设计限制,固件完整性监测系统和远程设备健康证明解决方案也无法检测到对所有已发现漏洞的主动利用。 据悉,Binarly 首先是在富士通 LifeBook 笔记本电脑上发现了这一漏洞,然后很快意识到其它供应商也面临同样的问题 —— 因为它们都选用了 InsydeH2O UEFI 解决方案。   (消息及封面来源:cnBeta)

CISA 示警 Log4j 破坏力惊人 数亿台设备受到影响

在本周一的电话简报中,网络安全和基础设施安全局(CISA)局长 Jen Easterly 告诉行业领导者,近期曝光的 Apache Log4j 漏洞破坏力即便不是最严重的,但也是她整个职业生涯中遇到的最严重漏洞之一。她表示:“我们预计该漏洞将被复杂的行为者广泛利用,我们只有有限的时间来采取必要的措施,以减少损害的可能性。该问题是一个未经认证的远程执行漏洞,可能允许入侵者接管受影响的设备”。 在与关键基础设施所有者和运营商的通话中,CISA 漏洞管理办公室的 Jay Gazlay 表示数以亿计的设备将会受到影响。作为国土安全部的一个组成部分,CISA 最快将在周二建立一个专门的网站,以提供信息并打击“积极的虚假信息”。该机构负责网络安全的执行助理主任 Eric Goldstein 说该漏洞将“允许远程攻击者轻松控制他们利用该漏洞的系统”。 该行业简报是世界各地政府官员发出的最新警报,CISA 在周末与奥地利、加拿大、新西兰和英国等国一起发出了警告。Goldstein说,CISA预计各种攻击者都会利用这一漏洞,从加密者到勒索软件集团,甚至更多。他说:“目前还没有证据表明存在积极的供应链攻击”。 Gazlay 说,企业需要“持续的努力”才能变得安全,即使在应用了 Apache 的补丁之后,也需要勤奋更新。Gazlay 说:“没有任何单一的行动可以解决这个问题”。如果认为任何人“在一两个星期内就能解决这个问题”,那是一个错误。   (消息及封面来源:cnBeta)

MonoX 宣布因漏洞导致被黑客窃取 3100 万美元

区块链初创公司 MonoX Finance 周三表示,由于软件中用于起草智能合约部分存在漏洞,已经被黑客已经成功窃取了 3100 万美元。该公司使用一种被称为 MonoX 的去中心化金融协议,让用户在没有传统交易所的一些要求的情况下交易数字货币代币。 MonoX 公司代表表示:“项目所有者可以在没有资本要求负担的情况下列出他们的代币,并专注于将资金用于建设项目,而不是提供流动性。它的工作原理是将存入的代币与vCASH组合成一个虚拟对,以提供一个单一的代币池设计”。 MonoX Finance 在一篇文章中透露,该公司软件中的一个会计错误让攻击者抬高了 MONO 代币的价格,然后用它来兑现所有其他存放的代币。这笔交易相当于以太坊或 Polygon 区块链上价值 3100 万美元的代币,这两个区块链都是由 MonoX 协议支持的。 具体来说,黑客使用相同的代币作为tokenIn和tokenOut,这是用一种代币的价值交换另一种的方法。MonoX在每次交换后通过计算两个代币的新价格来更新价格。当交换完成后,tokenIn的价格–即用户发送的代币–减少,tokenOut的价格–或用户收到的代币–增加。 通过在tokenIn和tokenOut中使用相同的令牌,黑客大大抬高了MONO令牌的价格,因为tokenOut的更新覆盖了tokenIn的价格更新。然后黑客在以太坊和Polygon区块链上用该代币兑换了价值3100万美元的代币。   (消息及封面来源:cnBeta)

联发科修复芯片漏洞 避免被恶意应用窃听

Check Point Research 在近期发布的联发科芯片组的 AI 和音频处理组件中发现了一个漏洞,或被别有用心者利用于本地权限提升攻击。这意味着通过精心设计的代码,第三方应用程序可访问它不该接触到 AI 和音频相关信息 —— 理论上甚至可用于窃听。庆幸的是,该漏洞从未被发现有在野外被利用,且联发科已于 10 月份完成了修复。 在周三发布的一份白皮书中,Check Point Research 详细介绍了如何在红米 Note 9 5G 上完成这项复杂的攻击。 首先,安全研究人员不得不对所涉及的大部分未记录的软件开展逆向工程 —— 且这一步就利用了在联发科固件中发现的一系列四个漏洞,以允许任何 App 向音频接口传递特定的命令。 简而言之,就是让恶意应用能够对音频接口的某些部分,执行它本不该实现的相关操作。 若该 App 获取了系统级权限(比如在 Root 后的设备上、或预安装的系统应用),它甚至能够‘在音频 DSP 芯片上隐藏恶意代码’。 鉴于任何 App 都可访问音频接口固件、且该固件允许访问‘音频数据流’,因而恶意应用或在漏洞修复前对客户展开窃听。 其次,我们并不能排除设备制造商本身就滥用相关安全漏洞、以开展大规模窃听活动的可能。 虽然 Check Point Research 和联发科方面都未披露受影响芯片的确切列表,但相关漏洞似乎影响了天玑(Dimensity)全系 SoC —— 包括 Helio G90 / P90 等芯片组、甚至波及所谓的“Tensilica”APU 平台。 此外一些华为麒麟芯片组也是用了“Tenscilica”IP,但目前尚不清楚确切的影响。   (消息及封面来源:cnBeta)

所有 Windows 版本均受影响 Cisco Talos 发现一个高危提权漏洞

计算机安全组织 Cisco Talos 发现了一个新的漏洞,包括 Windows 11 和 Windows Server 2022 在内的所有 Windows 版本均受影响。该漏洞存在于 Windows 安装程序中,允许攻击者提升自己的权限成为管理员。 在发现该漏洞之后,Cisco Talos 集团升级了自己的 Snort 规则,该规则由检测针对一系列漏洞的攻击的规则组成。更新后的规则清单包括零日特权提升漏洞,以及针对浏览器、操作系统和网络协议等新兴威胁的新规则和修改后的规则。 利用该漏洞,拥有部分权限的用户可以提升自己的权限至系统管理员。这家安全公司已经在互联网上发现了恶意软件样本,这表明可能已经有黑客利用该漏洞发起攻击。 此前,微软的安全研究员 Abdelhamid Naceri 向微软报告了这个漏洞,据说在 11 月 9 日用 CVE-2021-41379 修复了该漏洞。然而,这个补丁似乎并不足以解决这个问题,因为这个问题仍然存在,导致Naceri在GitHub上发布了概念证明。 简单地说,这个概念证明显示了黑客如何利用微软Edge提升服务的酌情访问控制列表(DACL)将系统上的任何可执行文件替换为MSI文件。 微软将该漏洞评为”中等严重程度”,基本CVSS(通用漏洞评分系统)评分为5.5,时间评分为4.8。现在有了功能性的概念验证漏洞代码,其他人可以尝试进一步滥用它,可能会增加这些分数。目前,微软还没有发布一个新的更新来缓解这个漏洞。   (消息及封面来源:cnBeta)

思科已修补 IOS XE 软件的三个关键漏洞

IOS XE软件被用于各种核心路由器和交换机,思科已经修复了该软件的三个关键安全漏洞。 这三个严重的警告是思科发布的32个安全警告的一部分,包括防火墙、SD-WAN和无线访问漏洞。 最严重的安全漏洞发现于Cisco Catalyst 9000系列无线控制器的Cisco IOS XE软件,它在通用漏洞评分系统(CVSS)上被评为10分(满分10分)。 该漏洞有概率允许未经身份验证的远程攻击者使用管理权限执行任意代码,或在易受攻击的设备上触发DoS拒绝服务攻击。攻击者可以通过向受影响的设备发送一个精心制作的CAPWAP数据包来利用这个漏洞。CAPWAP是一种网络协议,允许用户集中管理无线接入点。 思科表示,攻击成功的话,攻击者便使用管理权限执行任意代码,或导致受影响的设备崩溃和重新加载,从而导致DoS攻击。 第二个关键漏洞——具有9.8 CVSS评级——对思科IOS XE SD-WAN软件造成了影响,并可能让攻击者在SD-WAN设备上触发缓冲区溢出。 思科表示:“这个漏洞是由于受影响设备处理流量时边界检查不足造成的。”“攻击者可以通过向设备发送特制流量来利用这个漏洞。设备手攻击可能会导致缓冲区溢出,并可能使用根权限执行任意命令,或导致设备重新加载,从而导致DOS攻击。” 第三个关键漏洞也有9.8 CVSS评级,这个漏洞与思科IOS XE软件的身份验证、授权、和记账功能(AAA)有关,该漏洞允许攻击者绕过NETCONF或RESTCONF认证,安装、操作或删除受影响的配置设备,造成内存泄露,导致DoS攻击。 Cisco表示:“漏洞利用如果成功,攻击者便可使用NETCONF或RESTCONF安装、操纵或删除网络设备的配置,或损坏设备上的内存,从而导致DoS攻击。” 思科表示,有一个解决这一漏洞的办法:删除启用密码,并配置启用密码。还有一种降低漏洞攻击伤害的方法:限制该漏洞的攻击面,确保为NETCONF和RESTCONF配置了访问控制列表,以防止来自不受信任子网的访问尝试。 思科已发布免费软件更新,用以解决关键漏洞。   消息来源:ARNNet,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

FamousSparrow APT 组织侵入酒店、政府和企业

一个名为“FamousSparrow”的网络间谍组织利用微软Exchange服务器的ProxyLogon漏洞及其自定义后门“SparrowDoor”,将全球各地的酒店、政府和私人企业作为目标。   ESET研究人员Matthieu Faou称ESET正在跟踪该组织,他们认为,自2019年以来FamousSparrow一直很活跃。3月3日,攻击者开始利用ProxyLogon漏洞,已有10多个高级持续威胁(APT)组织利用该漏洞接管Exchange服务器。   FamousSparrow主要针对酒店;然而,研究人员发现其他部门也有一些目标,包括政府、国际组织、工程公司和律师事务所。受害者分布在巴西、布基纳法索、南非、加拿大、以色列、法国、立陶宛、危地马拉、沙特阿拉伯、中国台湾、泰国和英国。   “在恶意软件方面,该组织没有多大的发展,但在目标方面,他们在2020年做出转变,他们开始以全球酒店为目标,”Faou谈到该组织的发展时说。FamousSparrow之所以与众不同,是因为它专注于酒店,而不仅是流行的APT目标,比如政府。   “我们认为他们的主要动机是间谍活动,”他补充道。酒店是APT组织的主要目标,因为它可以让攻击者收集目标的旅行习惯数据。他们还可能侵入酒店的Wi-Fi基础设施,监听未加密的网络通信。”   他们说,在研究人员能够确定初始危害矢量的情况下,FamousSparrow利用脆弱的面向互联网的应用程序锁定受害者。该组织利用了Microsoft Exchange已知的远程代码执行漏洞,包括3月份的ProxyLogon漏洞,以及Microsoft SharePoint和Oracle Opera(一种用于酒店管理的商业软件)。   服务器被攻破后,攻击者部署了几个自定义工具:Mimikatz的一个变体、 NetBIOS扫描程序Nbtscan和一个将ProcDump转到磁盘上的小工具,该工具将转移到另一个进程,而研究人员表示该进程可能会被用来收集内存机密。   攻击者还为他们的SparrowDoor后门放置了一个载入程序,这是他们独有的工具。   Faou说:“SparrowDoor使攻击者能够几乎完全控制被攻击的机器,包括执行任意命令或窃取任何文件。”SparrowDoor的部署,以及服务器端漏洞的使用,是该组织的主要特点。   研究人员认为FamousSparrow是自行运作的,但也发现了与其他已知APT组织的联系,包括SparlingGoblin和DRBControl。   Faou说:“他们很可能共享工具或接近受害者,但我们认为他们是独立的威胁团体。”   研究人员说,这提醒企业要迅速给面向互联网的应用程序打补丁。如果无法快速打补丁,建议企业不要将应用程序暴露在互联网上。   消息来源:Darkreading,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

零日漏洞允许在 macOS 系统上运行任意命令

独立安全研究员 Park Minchan 透露,苹果 macOS Finder 中存在一个零日漏洞,攻击者可以利用这个漏洞在运行任何 macOS 版本的 Mac 系统上运行任意命令。   这个漏洞是因为 macOS 处理 inetloc 文件的方式会使它运行嵌入在其中的命令。SSD Secure Disclosure advisory称,它运行的命令可以是 macOS 的本地命令,在没有任何提示的情况下执行任意命令。   Internet 位置文件是一种系统书签,双击它,就会打开一个在线资源或本地文件(file://)。   最初,苹果公司默默地解决了这个漏洞,但是Minchan注意到苹果公司并没有完全解决这个漏洞。专家发现,仍然可以使用不同的协议(从 FiLe://到 FiLe://),利用这个漏洞来执行嵌入的命令。“较新版本的 macOS (来自 Big Sur)阻止了前缀://的文件(在 com.apple.generic-internet-location 中) ,但是他们做了一个案例匹配,导致 fIle://或 fIle://绕过了检查。”   研究人员还为这个问题提供了PoC漏洞代码和一个视频演示: BleepingComputer称,在撰写本文时,PoC 代码的病毒检测率为零。   消息来源:securityaffairs,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接  

微软承认 Windows 存在可被恶意 Office 文件攻击的零日漏洞

微软已经承认所有版本的Windows存在一个新的零日漏洞,目前正被攻击者利用。该公司表示,在MSHTML中发现了一个远程代码执行漏洞,恶意的微软Office文档可以借用这个漏洞对计算机发起攻击。攻击者可以制作一个恶意的ActiveX控件,被承载浏览器渲染引擎的微软Office文档所使用。然后,攻击者需要说服用户打开该恶意文件。 该公司解释说:”那些账户被配置为在系统中拥有较少用户权限的用户可能比那些以管理用户权限操作的用户受到的影响要小。” 这个远程代码执行漏洞的标识符为CVE-2021-40444,是由不同网络安全公司的研究人员发现的,其中包括微软自家安全响应中心、EXPMON和Mandiant。该漏洞一旦被利用,就会影响到Internet Explorer的浏览器渲染引擎MSHTML,该引擎也被用来渲染Windows上Microsoft Office文件中基于浏览器的内容。 微软已经在进行修复工作,并计划在本月的补丁星期二或通过带外更新发布安全更新。同时,用户可以通过保持反恶意软件产品(即微软Defender系列)的运行来保护电脑。该公司还建议用户暂时禁用Internet Explorer中的ActiveX控件的安装,以减轻任何潜在的攻击。 如需要了解更多细节,请访问微软的安全咨询页面,了解有关这些变通和缓解的方法: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-40444   (消息及封面来源:cnBeta)