近日，有研究人员发现，Linux 操作系统中的 util-linux 软件包 wall 命令中存在一个漏洞，该漏洞名为 WallEscape，被追踪为 CVE-2024-28085，黑客能够利用该漏洞窃取密码或更改剪贴板。 利用WallEscape 漏洞攻击的方式 据调查，该漏洞已存在 11 年之久，也就是说该软件包 2.40 版本前的每个版本都存在该漏洞。研究人员表示，WallEscape 可能会影响 “wall “命令，该命令在 Linux 系统中通常用于向登录到同一系统（如服务器）的所有用户的终端发送消息弹窗。 由于在处理通过命令行参数输入时，转义序列会被过滤，因此无权限用户可利用该漏洞，使用转义控制字符在其他用户的终端机上创建假的 SUDO 提示，并诱使他们输入管理员密码。 安全研究员 Ferrante 解释称，如果 “mesg “实用程序处于活动状态，且 wall 命令具有 setgid 权限，那在这样的情况下，该漏洞就有可能被成功利用。 同时，研究人员指出，这两种情况在 Ubuntu 22.04 LTS（Jammy Jellyfish）和 Debian 12.5（Bookworm）上都存在，但在 CentOS 上不存在。 目前，WallEscape 的概念验证利用代码已经发布，同时也公布了攻击者利用该漏洞的技术细节。 除了技术细节外，研究人员还介绍了可能导致不同结果的利用方案。其中一个案例描述了为 Gnome 终端创建虚假 SUDO 提示以诱骗用户输入密码的步骤。 Ferrante 也提到，黑客可以通过为 Gnome 终端创建虚假的 SUDO 提示，诱骗用户输入敏感信息作为命令行参数。但需要一些预防措施，比如使用 wall 命令向目标传递一个脚本，改变他们在终端中的输入（前景色、隐藏输入、睡眠时间），这样虚假的密码提示就会作为合法请求通过。 要找到密码，攻击者就必须检查 /proc/$pid/cmdline 文件中的命令参数，在多个 Linux 发行版上，非特权用户都能看到这些参数。 另一种攻击方式是通过转义序列更改目标用户的剪贴板。研究人员强调，这种方法并不适用于所有终端模拟器，Gnome 就是其中之一。 但由于人们可以通过墙发送转义序列，因此如果用户使用的终端支持这种转义序列，攻击者就可以将受害者的剪贴板更改为任意文本。 研究人员在漏洞报告中提供了设置陷阱和运行攻击的演示代码，并解释了两种利用方案的工作原理。 值得注意的是，利用 WallEscape 依赖于本地访问（物理访问或通过 SSH 进行远程访问），这限制了其严重性。 其中涉及到的安全风险来自在多用户设置（如组织的服务器）中与受害者访问同一系统的无权限用户。 安全人员建议广大用户立即升级到 linux-utils v2.40，以修补漏洞。一般来说，可通过 Linux 发行版软件包管理器上的标准升级通道进行，但可能会有一些延迟。 另外，系统管理员还可通过移除 “wall “命令中的 setgid 权限，或使用 “mesg “命令将其标志设置为 “n”，并禁用消息广播功能，这样就能有效缓解 CVE-2024-28085 漏洞带来的影响。   转自Freebuf，原文链接：https://www.freebuf.com/news/396355.html 封面来源于网络，如有侵权请联系删除

俄罗斯安全研究人员表示，他们发现了一个与乌克兰有联系的新网络间谍组织，该组织至少从今年一月起就开始运作。 他们将该组织命名为PhantomCore，并将攻击者之前未描述的远程访问恶意软件标记为 PhantomRAT。 总部位于莫斯科的网络安全公司 FACCT 表示，在对未具名俄罗斯公司的攻击中，黑客利用了WinRAR 中的一个已知漏洞（CVE-2023-38831）。 据 FACCT 称，PhantomCore 使用的策略与之前利用此漏洞的攻击不同。例如，研究人员表示，黑客通过利用特制的 RAR 存档而不是之前观察到的 ZIP 文件来执行恶意代码。 为了将 PhantomRAT 传送到受害者的系统中，黑客使用了网络钓鱼电子邮件，其中包含伪装成合同的 PDF 文件，以及附加的 RAR 存档，该存档受电子邮件中发送的密码保护。PDF 文件是网络间谍活动中的常见诱惑。 网络钓鱼电子邮件 恶意PDF附件 仅当用户使用低于 6.23 的 WinRAR 版本打开 PDF 文件时，才会启动存档中的可执行文件。 研究人员表示，在攻击的最后阶段，易受攻击的系统感染了 PhantomRAT，该系统能够从命令和控制 (C2) 服务器下载文件，并将文件从受感染的主机上传到黑客控制的服务器。 PhantomCore 组织的杀伤链 黑客在攻击活动中可以获得的信息包括主机名、用户名、本地IP地址和操作系统版本。通常，这些信息可以帮助黑客进行进一步的攻击。 在分析过程中，研究人员还发现了三个 PhantomRAT 测试样本，根据 FACCT 的说法，这些样本是从乌克兰上传的。 研究人员表示：“我们可以有一定把握地说，实施这些攻击的攻击者可能位于乌克兰境内。” 鉴于大多数西方网络公司在俄罗斯入侵乌克兰时离开了俄罗斯，因此它们在俄罗斯网络中的知名度有限。Recorded Future News 要求几家公司审查 FACCT 的研究。 Check Point 的研究人员表示，他们调查了该报告和相关漏洞，并确认该恶意软件确实按照描述运行。 Check Point 表示，所有运行 WinRAR 6.23 之前版本的系统都容易受到攻击。研究人员指出，存档中的特定示例仅针对 64 位系统设计——较新的 Windows 机器通常具有处理能力。Check Point 表示，在其他攻击中，有效负载可能会有所不同，如果攻击者需要的话，可能会同时影响 32 位和 64 位系统。 微软威胁情报战略总监 Sherrod DeGrippo 表示，该公司此前并未观察到 FACCT 归因于该组织的具体活动。Microsoft 和其他公司熟悉 CVE-2023-38831 的广泛利用，包括网络犯罪分子和国家支持的行为者。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/BsSkIhQYI57MovPzyJ3sUA 封面来源于网络，如有侵权请联系删除

谷歌威胁分析小组 (TAG) 和谷歌子公司 Mandiant 表示，他们观察到 2023 年攻击中利用的0day漏洞数量显着增加，其中许多与间谍软件供应商及其客户有关。 谷歌研究人员周三表示，他们观察到 2023 年有 97 个0day漏洞被利用，而 2022 年为 62 个，增加了 50%。 在 97 个0day漏洞中，研究人员能够确定其中 58 个0day漏洞利用的攻击者动机。其中 48 个漏洞归因于间谍活动，其余 10 个漏洞则归因于出于经济动机的黑客。 自 2019 年以来的攻击中利用的零日漏洞 FIN11利用了三个0day漏洞，四个勒索软件团伙——Nokoyawa 、Akira、LockBit和Magniber——分别利用了另外四个。该报告指出，FIN11 是影响Accellion 旧版文件传输设备的2021 年0day漏洞的幕后黑手，该设备被用来攻击数十家知名机构。 研究人员表示：“FIN11 重点关注文件传输应用程序，这些应用程序可以高效且有效地访问敏感受害者数据，而无需横向网络移动，从而简化了渗透和货币化的步骤。” “随后，大规模勒索或勒索软件活动产生的巨额收入可能会刺激这些组织对新漏洞进行额外投资。” 有官方背景、专注于间谍活动的黑客发起了 12 个0day攻击，而 2022 年有 7 个。 研究人员称，包括明确针对梭子鱼电子邮件安全网关的攻击活动，黑客的目标是东盟成员国的电子邮件域和用户，以及敏感地区的外贸机构、学术研究组织或个人。 谷歌指出，一个0day漏洞与Winter Vivern相关，Winter Vivern 是白俄罗斯国家资助的网络组织，幕后策划了对乌克兰和其他欧洲国家的多次攻击。谷歌表示，这是据报道与白俄罗斯有联系的间谍组织在其活动中利用0day漏洞的第一个已知实例，表明该组织“正在变得越来越复杂”。 就目标产品而言，研究人员发现攻击者寻求“提供可对多个目标进行广泛访问的产品或组件中的漏洞”。 研究人员表示，梭子鱼电子邮件安全网关、思科自适应安全设备、Ivanti Endpoint Manager Mobile and Sentry以及Trend Micro Apex One等企业特定技术反复成为目标，并补充说这些产品通常提供广泛的访问和高级权限。 商业间谍软件供应商 2023 年企业专用技术的利用增加主要是由安全软件和设备的利用推动的。 商业监控软件供应商（CSV）是浏览器和移动设备利用背后的罪魁祸首，2023 年，谷歌将 75% 的已知0day漏洞利用针对 Google 产品以及 Android 生态系统设备（17 个漏洞中的 13 个）。 谷歌研究人员的调查结果中最令人震惊的部分是商业间谍软件开发者利用大量漏洞，目前缺乏针对该行业的全球规范。 “我们已经广泛记录了 CSV 造成的危害，但它们仍然构成针对最终用户的野外 0day 攻击的大部分。”她说。 这家科技巨头重申其警告，称商业监控行业继续向世界各国政府出售尖端技术，这些技术利用消费设备和应用程序中的漏洞“在个人设备上秘密安装间谍软件”。 他们表示：“私营部门公司多年来一直参与发现和销售漏洞，但我们观察到过去几年这类攻击者驱动的漏洞显着增加。” 谷歌表示，它正在追踪至少 40 家参与创建间谍软件和其他黑客工具的公司，这些工具被出售给某些政府机构并针对“高风险”用户，包括记者、人权捍卫者和持不同政见者。 谷歌在二月份发布的一份报告中强调的一些间谍软件供应商包括： Cy4Gate 和 RCS Lab：Android 和 iOS 版 Epeius 和 Hermit 间谍软件的意大利制造商。 Intellexa：Tal Dilian 领导的间谍软件公司联盟，结合了 Cytrox 的“Predator”间谍软件和 WiSpear 的 WiFi 拦截工具等技术。 Negg  Group：具有国际影响力的意大利 CSV，以通过漏洞利用链针对移动用户的 Skygofree 恶意软件和 VBiss 间谍软件而闻名。 NSO 集团：Pegasus 间谍软件和其他商业间谍工具背后的以色列公司。 Variston：与 Heliconia 框架相关的西班牙间谍软件制造商，因与其他监控供应商合作开展零日漏洞而闻名。 浏览器内攻击 谷歌还指出，第三方组件和库中的漏洞是“主要的攻击面，因为它们通常会影响多个产品。” 2023 年，谷歌看到了这种定位的增加，特别是在浏览器方面。他们发现第三方组件中存在三个浏览器0day漏洞，并影响了多个浏览器。 该报告指出，影响 Chrome 的 CVE-2023-4863 和影响 Safari 的 CVE-2023-41064 “实际上是同一个漏洞”，并补充说它还影响了 Android 和 Firefox。他们还引用了 CVE-2023-5217——去年合并的一个引人注目的漏洞，影响了 libvpx 。去年，其他几个浏览器内工具也被利用。 “2023 年，有 8 个针对 Chrome 的野外0day漏洞，11 个针对 Safari 的野外0day漏洞。虽然被跟踪的 Safari 0day漏洞被用于针对 iPhone 的链中，但除了其中一个 Chrome 0day漏洞外，所有其他漏洞都被用于针对 Android 设备的攻击链中。”谷歌研究人员表示。 谷歌警告称，随着越来越多的黑客大力投资研究，被利用的0day漏洞数量可能会继续增加。 0day漏洞利用“不再只是少数参与者可以使用的攻击功能，我们预计过去几年我们所看到的增长可能会持续下去。” 安全建议 为了防御0day攻击，谷歌建议高风险用户在 Pixel 8 设备上启用内存标记扩展（MTE），并在 iPhone 智能手机上启用锁定模式。 谷歌建议Chrome高风险用户打开“HTTPS优先模式”并禁用v8优化器以消除潜在风险，以消除JIT（Just-in-Time）编译引入的潜在安全漏洞，这些漏洞可能使攻击者操纵数据或注入恶意代码。 此外，谷歌还建议高风险用户注册其高级保护计划（APP），该计划提供增强的帐户安全性和内置防御措施，以防范商业间谍软件的攻击。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/IOMnGZ6gBeDC7VIBSmNj_A 封面来源于网络，如有侵权请联系删除

3月25日（本周一），网络安全与基础设施安全局（CISA）和联邦调查局（FBI）发布了 “安全设计 “警报。他们将 SQL 注入漏洞（SQLi）归入”不可饶恕的 “一类漏洞。 警报指出：尽管在过去二十年中，人们普遍了解并记录了 SQLi 漏洞，而且也有了有效的缓解措施，但软件制造商仍在继续开发存在这一缺陷的产品，这使许多客户面临风险。 在 SQL 注入攻击中，威胁行动者将恶意构造的 SQL 查询“注入”数据库查询中所使用的字段或参数中，利用应用程序中的漏洞来执行非计划SQL命令如提取、操作或删除存储在数据库中的敏感数据。 因与目标数据库交互的 web 应用或软件中的输入验证和清理不当，这可导致机密数据越权访问、数据泄露甚至是目标系统遭完全接管，CISA 和 FBI 建议使用实现写好语句的参数化査询，阻止SQL注入漏洞。 这种方法将SQL代码与用户数据加以区分，使得恶意输入不可能被解释为 SQL语句。与输入清理技术相比，参数化査询时设计安全方法的更好选择，因为前者可被绕过且难以大规模执行。 SQL注入漏洞在MITRE 于2021年和2022年发布的“前25个最危险的漏洞”中排行第三，仅次于越界写入漏洞和跨站脚本攻击。越界写入漏洞是一种软件漏洞，会导致程序在分配的内存区域边界之外写入。端点崩溃，或者执行任意代码等后果。威胁行为者通常通过写入比分配的内存区域的大小更大的数据或将数据写入内存区域内的错误位置来滥用此漏洞。 CISA 和 FBI 指出，”如果他们发现代码存在漏洞，高管们应当确保所在组织机构的软件开发人员立即开始执行缓解措施，从所有当前和未来软件产品中消除整个缺陷类型。在设计阶段直到开发、发布和更新阶段集成该缓解措施，可以缓解客户的网络安全负担以及公众所面临的风险。 几十年来，软件行业一直知道如何大规模消除 SQLi 缺陷。然而，威胁分子去年就利用了开发商 Progress 的 MOVEit 文件传输软件中的这样一个漏洞，造成了毁灭性的后果。 去年5月， Clop 勒索团伙利用了 Progress MOVEit Transfer文件传输管理 app 中的一个 SQLi 零日漏洞，该漏洞影响全球数千家组织机构，随后 CISA 和 FBI 立即发布了联合告警。尽管此案的受害者众多，但Coveware认为仅有少部分受害者可能会支付赎金。即便如此，据估计该勒索团伙可能获得的赎金仍在750万到1亿美元之间。 据 CISA 称，SQLi 攻击之所以能够得逞，是因为开发人员没有将用户提供的内容视为潜在的恶意内容。它不仅会导致敏感数据被盗，还会使坏人篡改、删除数据库中的信息或使其不可用。 警报敦促技术制造商遵循三项指导原则： 通过执行正式的代码审查并使用“带有参数化查询的预制语句”作为标准做法，对客户安全结果负责 通过确保 CVE 记录的正确性和完整性、记录漏洞的根本原因并努力消除整个类别的漏洞，实现“彻底”的透明度和问责制 将业务目标重新调整为安全设计软件开发，包括进行正确的投资和建立激励结构。这最终有助于降低财务和生产力成本以及复杂性 CISA 和 FBI 督促技术制造企业管理层对所在组织机构的软件提起正式审计并执行缓解措施，在软件交付前消除SQL注入(SQLi) 漏洞。   转自会freebuf，原文链接：https://www.freebuf.com/news/396035.html 封面来源于网络，如有侵权请联系删除

近日AWS修复了一个关键漏洞，通过利用该漏洞，攻击者可直接接管亚马逊Apache Airflow（MWAA）托管工作流。该漏洞危害较大，虽然利用起来比较复杂，但仍建议及时进行修复。 网络安全公司Tenable披露AWS 一个严重的安全漏洞，将之命名为FlowFixation，攻击者可借此完全控制客户在AWS服务上的账户。AWS承认漏洞存在，并表示该漏洞利用较为困难，且已经在几个月前进行修复，建议用户更新补丁。 Tenable在报告中强调，通过研究发现了一个更加严重、广发的安全问题，并且可能在不久的未来造成伤害。 Apache Airflow托管工作流(MWAA)是亚马逊推出的一项全托管的服务，简化了在 AWS 上运行开源版 Apache Airflow，构建工作流来执行 ETL 作业和数据管道的工作。 Apache Airflow 是一个开源工具，每月下载量达到1200万次，用于通过编程的方式开发、调度和监控被称为“工作流”的过程和任务序列。开发人员和数据工程师用 Apache Airflow 管理工作流，通过用户界面(UI)来监控它们，并通过一组强大的插件来扩展它们的功能。但是，要使用 Apache Airflow，需要进行手动安装、维护和扩展，AWS 解决了这个问题，它为开发人员和数据工程师提供了 MWAA，让他们可以在云端构建和管理自己的工作流，无需关心与管理和扩展 Airflow 平台基础设施相关的问题。 由于MWAA网络管理面板中的会话是固定的，以及AWS域名配置错误可引发跨站脚本攻击（XSS），让FlowFixation漏洞可以实现接管MWAA。 Tenable指出，攻击者可利用该漏洞强迫受害者使用并认证其已知的会话，随后利用已经认证的会话接管受害者的网络管理面板。这一步骤完成后，攻击者将可进行更进一步的入侵动作，包括读取连接字符串、添加配置、触发有向无环图等。此时他可以对底层实例执行远程代码攻击或进行其他横向移动。 Tenable研究还揭示一个更广泛的问题，即共享父域和公共后缀列表（PSL）相关的同站点攻击。而由同一供应商提供云服务往往会共享一个父域，例如多个AWS服务共同使用“amazonaws.com”。这种共享导致了一个攻击场景，攻击者可对在“amazonaws.com”共享父域的子域资产发起攻击。 Tenable解释称，在本地环境中，你通常不会允许用户在子域上运行XSS，但在云上允许却是一个非常自然的操作。例如当用户创建一个AWS S3存储桶时，可以通过存储桶中的HTML页面来运行客户端代码；代码可以在S3存储桶子域的上下文中运行，自然也在共享父域“amazonaws.com”的上下文中运行。 也有研究显示，该风险不仅仅存在于AWS，Azure/Google Cloud等共享父服务域被错误配置，即域名没有出现在PSL上，那么客户也将面临相应的攻击风险，包括cookie tossing、同站点cookie保护绕过等。 AWS和微软都已经采取了措施来减轻Tenable报告中的风险。AWS发言人Patrick Neighorn表示，AWS在2023年9月对上述风险进行修复，因此运行当前版本的Amazon托管工作流Apache Airflow（MWAA）的客户不会受到影响。在2023年AWS已经通知并督促用户通过AWS控制台、API或AWS命令行界面进行更新修复。   转自Freebuf，原文链接：https://www.freebuf.com/news/395687.html 封面来源于网络，如有侵权请联系删除

研究人员发现了一个新的不可修补的安全漏洞，如果被攻击者利用，可能会破坏最好的 MacBook上的加密。 据9To5Mac报道，这个最近发现的漏洞影响每台运行 Apple 芯片的 Mac，包括该公司的M1、M2和M3芯片。更糟糕的是，这些芯片的架构中存在缺陷，这意味着苹果无法彻底修复它。相反，任何修复都需要在 iPhone 制造商今年晚些时候发布M4芯片之前完成。 就像去年的iLeakage 攻击一样，这个缺陷也是一个侧通道，在适当的情况下，攻击者可以提取加密中使用的端到端密钥。但幸运的是，攻击者利用此漏洞相当困难，因为这样做可能需要相当长的时间。 无论您拥有 Apple 最近发布的MacBook Air M3型号，还是 2020 年搭载 M1 芯片的旧款MacBook Pro ，以下都是您需要了解的有关此无法修补的安全漏洞的所有信息，以及有关如何保护自己的一些提示。 使用 GoFetch 利用此漏洞 这个新漏洞是由来自美国各地大学的七名学术研究人员组成的团队发现的，他们在一篇有关微架构侧通道攻击的研究论文中详细介绍了他们的发现。 为了展示攻击者如何利用这个缺陷，他们创建了一个名为 GoFetch 的应用程序，根据Ars Technica 的说法，该应用程序不需要 root 访问权限。相反，它只需要与大多数第三方 Mac 应用程序相同的用户权限。 对于那些不熟悉苹果 M 系列芯片的人来说，它们都被分为不同的集群，其中包含不同的核心。如果 GoFetch 应用程序和攻击者瞄准的加密应用程序在同一性能集群上运行，GoFetch 将能够挖掘足够的秘密来泄露秘密密钥。 这一切都有点技术性；建议阅读 Ars Technica 的报告进行更深入的研究，但从本质上讲，这个无法修补的漏洞对苹果来说是个坏消息，但它可能不会像 Meltdown和 Spectre缺陷对 PC 用户造成的影响那样影响你。 打补丁会影响性能 由于这个缺陷存在于苹果的芯片本身而不是其软件中，因此修补它是不可能的。iPhone 制造商必须发布全新的芯片才能彻底解决这个问题。 由于该漏洞无法修补，发现该漏洞的研究人员建议，苹果公司能做的最好的事情就是在该公司的 M1、M2 和 M3 芯片中实施解决方法来解决该漏洞。 这些解决方法将在软件方面进行，加密软件开发人员需要添加密文致盲等缓解措施，在敏感值存储到内存或从内存加载之前/之后添加或删除敏感值的掩码（例如加密密钥中使用的掩码）。 但这里的一个大问题是，实施这样的事情会导致性能受到严重影响，这是大多数苹果用户最不希望发生的事情。不过值得庆幸的是，利用这个漏洞并不容易。 普通用户不用过于担心 为了在一次攻击中使用这个无法修补的漏洞，黑客首先需要诱骗毫无戒心的 Mac 用户安装一个恶意应用程序在他们的计算机上。Apple 在 macOS 中默认阻止未签名的应用程序安装，这将使安装发起攻击所需的恶意应用程序变得更加困难。 从这里开始，这次攻击需要相当长的时间才能进行。事实上，在测试过程中，研究人员指出，完成此操作需要花费近 1 小时到 10 小时的时间，在此期间，恶意应用程序需要连续运行。 虽然我们还没有收到 Apple 关于此不可修补漏洞的任何消息，但如果有的话，我们会更新此内容。在此之前，研究人员建议将 Apple 芯片驱动的 Mac 上的所有软件保持最新状态，并在 Apple 提供的定期更新可用后立即安装。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/CMwIwirspnDmmHkRcuhItg 封面来源于网络，如有侵权请联系删除

一组研究人员发现了一种新的数据泄漏攻击，该攻击影响支持推测执行的现代CPU架构。 该漏洞被命名为GhostRace（CVE-2024-2193），是Spectre v1（CVE-2017-5753）的一种变体，属于瞬时执行CPU漏洞。该攻击方法结合了推测执行和竞争条件，可能会导致敏感信息泄露。 “使用条件分支实现的所有常见同步原语都可以使用分支误预测攻击在推测路径上从微架构上绕过，将所有架构上无竞争的关键区域转变为推测竞争条件（SRC），从而允许攻击者从目标泄漏信息，”研究人员表示。 IBM 欧洲研究院系统安全研究小组和 VUSec 的调查结果，后者于 2023 年 12 月披露了另一种名为SLAM的旁道攻击，针对现代处理器。 Spectre 是指一类旁道攻击，它利用现代 CPU 上的分支预测和推测执行来读取内存中的特权数据，绕过应用程序之间的隔离保护。 研究人员指出，尽管推测执行是大多数CPU使用的性能优化技术，但Spectre攻击利用了错误预测在处理器缓存中留下内存访问或计算痕迹的事实。 根据研究人员在2018年的指出，Spectre攻击诱使受害者在严格序列化的程序指令处理过程中推测性地执行不会发生的操作，并通过隐蔽通道将受害者的机密信息泄露给对手。 此外，研究人员还指出，使用条件分支实现的常见同步原语容易受到分支误预测攻击的影响。这种攻击可以绕过微架构中的推测路径，并将架构上无竞争的关键区域转变为推测竞争条件（SRC），从而允许攻击者从目标泄露信息。 调查结果来自IBM欧洲研究院系统安全研究小组和VUSec，他们在2023年12月披露了一种名为SLAM的旁道攻击，针对现代处理器。 Spectre是一类旁道攻击，利用现代CPU上的分支预测和推测执行来读取内存中的特权数据，绕过应用程序之间的隔离保护。尽管推测执行是大多数CPU使用的性能优化技术，但Spectre攻击利用了错误预测在处理器缓存中留下内存访问或计算痕迹的事实。 根据2018年研究人员的指出，Spectre攻击诱使受害者在严格序列化的程序指令处理过程中推测性地执行不会发生的操作，并通过隐蔽通道将受害者的机密信息泄露给对手。 这些漏洞的发现以及Meltdown导致多年来对微处理器架构进行了更广泛的审查，甚至促使MITRE常见弱点枚举（CWE）计划添加了四个与瞬时执行（从CWE-1420至CWE-1423）上个月末。 GhostRace值得注意的是，它使未经身份验证的攻击者能够利用竞争条件从处理器中提取任意数据，从而通过所谓的推测并发释放后使用（SCUAF）攻击来访问推测的可执行代码路径。 竞争条件是一种不良情况，当两个或多个进程在没有适当同步的情况下尝试访问相同的共享资源时，会发生这种情况，从而导致结果不一致，并为攻击者执行恶意操作打开了机会之窗。 根据CERT协调中心（CERT/CC）的公告，SRC漏洞在特征和利用策略方面与经典的竞争条件类似。然而，不同之处在于，攻击者在源自错误推测的分支（类似于Spectre v1）的瞬时执行路径上利用所述竞争条件，以最终向攻击者泄露信息的活泼代码片段或小工具为目标。 最终结果是，它允许有权访问CPU资源的攻击者从主机内存中访问任意敏感数据。 根据VUSec的说法，任何软件，如操作系统、虚拟机管理程序等，通过条件分支实现同步原语而不包含序列化指令的路径，在任何微体系结构上运行（例如x86、ARM、RISC-V等），都容易受到SRC的影响。 AMD表示，他们针对Spectre的现有指南仍然适用于缓解这一漏洞。Xen开源虚拟机管理程序的维护者承认所有版本都会受到影响，尽管他们表示这不太可能构成严重的安全威胁。 Xen表示：“出于谨慎考虑，Xen安全团队提供了强化补丁，包括在x86上添加新的LOCK_HARDEN机制，类似于现有的BRANCH_HARDEN。” 由于Xen下存在漏洞的不确定性以及性能影响的不确定性，LOCK_HARDEN默认处于关闭状态。但是，预计在该领域会进行更多研究，并认为采取缓解措施是谨慎的做法。   消息来源：thehackernews，译者：dengdeng；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

今天是微软2024年3月补丁日，微软发布了针对60个漏洞的安全更新，其中包括18个远程代码执行漏洞。 本月补丁仅修复了两个严重级别漏洞：Hyper-V 远程代码执行漏洞和拒绝服务漏洞。 按漏洞类别统计： 24个特权提升漏洞 3个安全功能绕过漏洞 18个远程代码执行漏洞 6个信息泄露漏洞 6个拒绝服务漏洞 2个欺骗漏洞 60 个安全漏洞总数不包括 3 月 7 日修复的 4 个 Microsoft Edge 缺陷。微软没有在今天的补丁日更新中披露任何0day漏洞。 本次更新修复以下组件的安全漏洞： Microsoft Windows 、Office、Azure、.NET框架和Visual Studio、SQL Server、Windows Hyper-V、Skype、适用于 Android 的 Microsoft 组件、和微软Dynamics。微软还修复了另外五个 Chromium 缺陷。 其中两个漏洞（编号为CVE-2024-21407 和 CVE-2024-21408）被评为“严重”级，而其余漏洞为“重要”级。 漏洞 CVE-2024-21407 是 Windows Hyper-V 中的远程代码执行漏洞。 “此漏洞需要来宾虚拟机上经过身份验证的攻击者向虚拟机上的硬件资源发送特制的文件操作请求，这可能会导致在主机服务器上远程执行代码。” 安全公告中写道：“成功利用此漏洞需要攻击者收集特定环境的信息，并在利用之前采取其他措施来准备目标环境。” 漏洞 CVE-2024-21408 是 Windows Hyper-V 中的拒绝服务漏洞。 Microsoft 解决的评分最高的漏洞是开放管理基础设施 (OMI) 远程代码执行漏洞，编号为CVE-2024-21334（CVSS 评分 9.8）。 未经身份验证的远程攻击者可以触发此漏洞，在可通过 Internet 访问的 OMI 实例上执行代码。 “目前尚不清楚有多少系统可以通过互联网访问，但数量可能很大。微软给出了“利用可能性较小”的评级，但考虑到这是一个针对重要目标的简单释放后使用 (UAF) 漏洞，预计 TCP 端口 5986 的扫描很快就会增加。” 据 ZDI报道。 本月补丁日没有修复任何0day漏洞，但包含一些有趣的缺陷: CVE-2024-21400- Microsoft Azure Kubernetes 服务机密容器特权提升漏洞 Microsoft 修复了 Azure Kubernetes 服务中的一个漏洞，该漏洞可能允许攻击者获得提升的权限并窃取凭据。 Microsoft 安全公告解释道：“成功利用此漏洞的攻击者可能会窃取凭据并影响超出 Azure Kubernetes 服务机密容器 (AKSCC) 管理的安全范围的资源。” CVE-2024-26199 – Microsoft Office 权限提升漏洞 Microsoft 修复了 Office 漏洞，该漏洞允许任何经过身份验证的用户获得系统权限。 “任何经过身份验证的用户都可能触发此漏洞,它不需要管理员或其他提升的权限。”微软解释道。 CVE-2024-20671 – Microsoft Defender 安全功能绕过漏洞 微软修复了一个 Microsoft Defender 漏洞，微软解释说：“成功利用此漏洞的经过身份验证的攻击者可能会阻止 Microsoft Defender 启动。” 这将通过 Windows 设备上自动安装的 Windows Defender 反恶意软件平台更新来解决。此缺陷已在反恶意软件平台 4.18.24010.12 版本中修复。 CVE-2024-21411 – Skype for Consumer 远程代码执行漏洞 微软修复了 Skype for Consumer 的一个远程代码执行漏洞，该漏洞可能由恶意链接或图像触发。 微软解释说：“攻击者可以通过即时消息向用户发送恶意链接或恶意图像，然后说服用户单击该链接或图像来利用该漏洞。” 更多信息参考微软安全更新发行说明。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/AfVPHjx99c8Sim39rDdyuQ 封面来源于网络，如有侵权请联系删除

思科发布了更新，以解决其安全客户端软件中的一个严重漏洞，该漏洞允许攻击者连接到目标用户的VPN会话。 该漏洞编号为 CVE-2024-20337 ， CVSS严重等级为 8.2 ，允许未经身份验证的远程攻击者进行CRLF 注入攻击，从而允许黑客在建立 VPN 会话期间强迫受害者单击特制链接。 攻击允许攻击者在受害者的浏览器中执行任意脚本或访问敏感信息，包括有效的SAML令牌，这反过来又允许攻击者使用受影响用户的权限建立对 VPN 会话的远程访问。 该漏洞影响 Windows、Linux 和 macOS 的 Secure Client，公司已在最新的软件版本中修复，可以在此页面上找到安全版本表 。 此外，思科还解决了 Secure Client for Linux 中的另一个严重漏洞 CVE-2024-20338 (CVSS 7.3)，该漏洞可能允许具有本地访问权限的攻击者升级其在设备上的权限。该漏洞已在5.1.2.42版本中修复。 思科敦促用户立即更新他们的系统，以保护免受可能的攻击。   转自安全客，原文链接：https://www.anquanke.com/post/id/293734 封面来源于网络，如有侵权请联系删除

Apple 发布了紧急安全更新，以解决两个 iOS 0day漏洞，分别为 CVE-2024-23225 和 CVE-2024-23296，这些漏洞在针对 iPhone 设备的攻击中被利用。 CVE-2024-23225 是一个内核内存损坏漏洞，该公司通过改进验证来解决该漏洞。 “具有任意内核读写能力的攻击者可能能够绕过内核内存保护。苹果公司获悉有报告称该问题可能已被利用。” CVE-2024-23225 是一个 RTKit 内存损坏漏洞，该公司通过改进验证来解决该缺陷。 “具有任意内核读写能力的攻击者可能能够绕过内核内存保护。苹果公司获悉有报告称该问题可能已被利用。” 苹果证实这两个漏洞都被积极利用。该公司表示：“苹果公司已获悉有关此问题可能已被利用的报告。” 受影响的设备包括 iPhone XS 及更新机型、iPad Pro 12.9 英寸第 2 代及更新机型、iPad Pro 10.5 英寸、iPad Pro 11 英寸第 1 代及更新机型、iPad Air 第 3 代及更新机型、iPad 第 6 代及更新机型以及 iPad mini第五代及以后。 苹果通过发布iOS 17.4、  iPadOS 17.4、  iOS 16.76和 iPad 16.7.6解决了这两个漏洞。 iPhone 漏洞通常被商业间谍软件供应商或民族国家行为者利用，在许多情况下，目标是持不同政见者和记者。 普通用户通常勿须过度担心，苹果系统的0day漏洞攻击往往针对那些特殊目标。普通用户只须在苹果发布安全更新后及时升级系统即可降低风险。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/mUECkn3t2VYlQseGWUwMKQ 封面来源于网络，如有侵权请联系删除