分类: 漏洞事件

微软:PrintNightmare 补丁有效 能绕过是因为错误使用 Windows

几天前微软紧急发布了一个带外(OOB)更新 KB5004945, 以修复“PrintNightmare”高危零日漏洞。但随后安全专家发现只需要修改注册表中的一个值就能绕过这个补丁,依然能利用该漏洞执行远程操作。 不过微软官方对本次更新予以肯定,表示在注册表安全设置下新更新能够保护用户,但修改注册表的行为是不安全的,在常规状态下不太会发生。微软官方回应道 我们已经收到了这方面的信息,并已着手进行调查,但目前我们并没有发现任何绕过该更新的情况。我们观察到可以绕过更新的方法,但这需要管理员将默认注册表设置更改为不安全的配置。参见 CVE-2021-34527 指南,以了解保护系统所需的设置的更多信息。   (消息及封面来源:cnBeta)

微软紧急发布带外更新 修复 PrintNightmare 高危打印漏洞

微软今天推出了一个紧急 Windows 修复补丁,以修复存在于 Windows Print Spooler 服务中的一个关键缺陷。该漏洞被称之为“PrintNightmare”,在安全研究人员无意中公布了概念验证(PoC)的利用代码后,于上周被曝光。 微软已经发布了带外安全更新以解决该漏洞,并将其评为关键漏洞,因为攻击者可以在受影响机器上以系统级权限远程执行代码。由于 Windows Print Spooler 服务在Windows上默认运行,微软不得不为 Windows Server 2019、Windows Server 2012 R2、Windows Server 2008、Windows 8.1、Windows RT 8.1 以及 Windows 10 的各种支持版本发布补丁。 微软甚至采取了不寻常的措施,为去年正式停止支持的 Windows 7 发布了补丁。不过,微软还没有为 Windows Server 2012、Windows Server 2016 和 Windows 10 Version 1607 发布补丁。微软表示,”这些版本的Windows的安全更新将很快发布”。 PrintNightmare,在漏洞代号CVE-2021-34527下被追踪,现在已被授予通用漏洞评分系统(CVSS)基本评级为8.8。值得注意的是,CVSS v3.0规范文件将其定义为 “高严重性”漏洞,但它非常接近从9.0开始的”危急”评级。目前的时间紧迫性得分是8.2,时间分是根据一些因素来衡量一个漏洞的当前可利用性。 基础分被定为8.8分是因为微软已经确定该攻击载体是在网络层面,需要较低的攻击复杂性和权限,不涉及用户互动,并可能导致组织资源的保密性、完整性和可用性 “完全丧失”。同时,时间分是8.2分是因为功能上的漏洞代码在互联网上很容易获得,并且适用于所有版本的Windows,存在关于它的详细报告,并且有一些官方的补救方法被建议。   (消息及封面来源:cnBeta)

PrintNightmare 漏洞已引起 CISA 关注 微软表示正积极开展调查

虽然每月的补丁星期二活动微软都会发布一系列安全更新,但依然存在“漏网之鱼”。日前,国内安全公司深信服(Sangfor)发现了名为 PrintNightmare 的零日漏洞,允许黑客在补丁完善的 Windows Print Spooler 设备上获得完整的远程代码执行能力。该漏洞已引起美国网络安全和基础设施安全局(CISA)的关注,微软正在积极开展调查。 CISA 将 PrintNightmare 漏洞描述为“关键漏洞”(Critical),因为它可以远程执行代码。CERT 协调中心在 VU#383432 下对其进行跟踪,并解释说,问题的发生是因为 Windows Print Spooler 服务没有限制对 RpcAddPrinterDriverEx() 函数的访问,这意味着经过远程验证的攻击者可以利用它来运行任意代码。这种任意代码的执行是在SYSTEM的幌子下进行的。 作为参考,这个有问题的函数通常用于安装打印机驱动程序。然而,由于远程访问是不受限制的,这意味着有动机的攻击者可以使它指向远程服务器上的驱动程序,使受感染的机器以SYSTEM权限执行任意代码。 值得注意的是,微软在6月的 “补丁星期二 “更新中修复了CVE-2021-1675的相关问题,但最新的进展并不在修复范围内。该公司表示,它正在积极调查这个问题,并为域名管理员提出了两个解决方法。第一个是禁用 Windows Print Spooler 服务,但这意味着本地和远程的打印都将被禁用。第二种是通过组策略禁用入站远程打印。这将限制远程打印,但本地打印仍将正常工作。 微软正在以CVE-2021-34527追踪该漏洞。该公司明确表示,有问题的代码存在于所有版本的Windows中,但它仍在调查它是否也可以在所有版本中被利用。也就是说,由于该问题正在积极调查中,微软还没有给它一个漏洞评分,但也将其标记为 “关键”。   (消息及封面来源:cnBeta)

零日漏洞 PrintNightmare 曝光:可在 Windows 后台执行远程代码

中国安全公司深信服(Sangfor)近日发现了名为 PrintNightmare 的零日漏洞,允许黑客在补丁完善的 Windows Print Spooler 设备上获得完整的远程代码执行能力,该公司还发布了概念证明代码。 在 6 月补丁星期二活动日中,微软发布的安全累积更新中修复了一个类似的 Print Spooler 漏洞。但是对于已经打过补丁的 Windows Server 2019 设备,PrintNightmare 漏洞依然有效,并允许攻击者远程执行代码。 根据概念证明代码显示,黑客只需要一些(甚至是低权限)的网络凭证就可以利用该漏洞进行远程执行,而且这些凭证在暗网上只需要 3 美元就能买到。这意味着企业网络又极易受到(尤其是勒索软件)的攻击,安全研究人员建议企业禁用其 Windows Print Spoolers。 影响版本 Windows Server 2019 (Server Core installation) Windows Server 2019 Windows Server 2016 (Server Core installation) Windows Server 2016 Windows Server 2012 R2 (Server Core installation) Windows Server 2012 R2 Windows Server 2012 (Server Core installation) Windows Server 2012 Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation) Windows Server 2008 R2 for x64-based Systems Service Pack 1 Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation) Windows Server 2008 for x64-based Systems Service Pack 2 Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation) Windows Server 2008 for 32-bit Systems Service Pack 2 Windows Server, version 2004 (Server Core installation) Windows RT 8.1 Windows 8.1 for x64-based systems Windows 8.1 for 32-bit systems Windows 7 for x64-based Systems Service Pack 1 Windows 7 for 32-bit Systems Service Pack 1 Windows 10 Version 1607 for x64-based Systems Windows 10 Version 1607 for 32-bit Systems Windows 10 for x64-based Systems Windows 10 for 32-bit Systems Windows Server, version 20H2 (Server Core Installation) Windows 10 Version 20H2 for ARM64-based Systems Windows 10 Version 20H2 for 32-bit Systems Windows 10 Version 20H2 for x64-based Systems Windows 10 Version 2004 for x64-based Systems Windows 10 Version 2004 for ARM64-based Systems Windows 10 Version 2004 for 32-bit Systems Windows 10 Version 21H1 for 32-bit Systems Windows 10 Version 21H1 for ARM64-based Systems Windows 10 Version 21H1 for x64-based Systems Windows 10 Version 1909 for ARM64-based Systems Windows 10 Version 1909 for x64-based Systems Windows 10 Version 1909 for 32-bit Systems Windows 10 Version 1809 for ARM64-based Systems Windows 10 Version 1809 for x64-based Systems Windows 10 Version 1809 for 32-bit Systems     (消息及封面来源:cnBeta)

戴尔发布 BIOSConnect 安全漏洞修补程序 影响 3000 多万台设备

上周,MSPU 报道了戴尔远程 BIOS 更新软件正存在的一个漏洞,或导致多达 129 款不同型号的电脑遭遇中间人攻击。Eclypsium 研究人员解释称,该漏洞使得远程攻击者能够执行多款戴尔笔记本电脑的 BIOS 代码,进而控制设备的启动过程、并打破操作系统和更高层级的安全机制。 此外 Eclypsium 指出,受影响的设备数量超过了 3000 万台,并且涵盖了戴尔的消费级 / 商务本、台式机、以及平板电脑产品线。 至于问题的根源,其实出在戴尔 BIOS 更新软件 —— BIOSConnect 的身上。作为戴尔支持帮助(SupportAssistant)服务的一部分,该公司在大多数 Windows 设备上都预装了它。 然而在客户机到服务器端的连接过程中,BIOSConnect 使用了不安全的 TLS 连接。结合三个溢出漏洞,使得攻击者能够将特定的软件传送到用户设备上。 其中两个溢出型的安全漏洞会对操作系统的恢复过程产生影响,而另一个则影响固件的更新过程。但这三个漏洞都是相互独立存在的,最终都可能导致 BIOS 中的任意代码执行。 研究人员建议所有受影响的设备用户手动执行 BIOS 更新,且戴尔官方也应该主动砍掉 BIOSConnect 软件中用不到的功能。 庆幸的是,目前戴尔已经承认了相关问题,并于今日发布了修补程序。该公司在支持页面上写道: DSA-2021-106:这是一项针对戴尔客户端平台的安全更新,旨在修复 BIOSConnect 和 HTTPS 引导功能中的多个漏洞。 下载地址: https://www.DELL.com/support/kbdoc/en-hk/000188682/dsa-2021-106-dell-client-platform-security-update-for-multiple-vulnerabilities-in-the-supportassist-biosconnect-feature-and-https-boot-feature   (消息及封面来源:cnBeta)

西数:黑客利用远程漏洞抹除 My Book 用户数据 正研究潜在恢复方案

在遭到一系列远程攻击之后,西部数据(WD)敦促 My Book 用户立即断开互联网连接。在 6 月 24 日发布的官方公告中,WD 表示 My Book Live 和 My Book Live Duo 网络附加存储(NAS)设备可能通过出厂重置被远程擦除,使用户面临失去所有存储数据的风险。 在公告中写道:“西部数据已经确定,一些 My Book Live 和 My Book Live Duo 设备正受到一个远程命令执行漏洞的影响。在某些情况下,攻击者已经触发了出厂重置,似乎是要删除设备上的所有数据”。被利用的漏洞目前编号为 CVE-2018-18472,这是一个根远程命令执行(RCE)漏洞,在 CVSS 严重性评级为 9.8。 攻击者能够以 root 身份进行远程操作,他们可以触发重置并擦除这些便携式存储设备上的所有内容,这些设备在 2010 年首次亮相,在 2015 年获得了最后的固件更新。当产品进入报废期时,它们通常无权获得新的安全更新。 正如Bleeping Computer首次报道的那样,论坛用户于6月24日开始通过WD论坛和Reddit查询他们的数据突然丢失的情况。一位论坛用户认为,由于他们的信息被删除,自己 “完全完蛋了”。 另一位用户评论道:“我愿意拿出我的毕生积蓄来获取我的博士论文数据、我孩子和死去的亲戚的新生照片、我写的但从未发表的旅行博客以及我过去7个月的所有合同工作。我甚至不敢想这对我的职业生涯会有什么影响,因为我失去了所有的项目数据和文件…”。 在撰写本文时,论坛用户正在交易潜在的恢复方法和想法,并有不同程度的成功。西部数据说:“我们正在审查我们从受影响的客户那里收到的日志文件,以进一步确定攻击和访问机制的特征”。 到目前为止,这些日志文件显示,My Book Live设备是通过直接在线连接或端口转发在全球范围内被攻击的。WizCase之前已经公布了该漏洞的概念验证(PoC)代码。在某些情况下,攻击者还安装了一个木马程序,其样本已被上传到VirusTotal。 My Book Live设备被认为是参与这次广泛攻击的唯一产品。西部数据的云服务、固件更新系统和客户信息被认为没有被泄露。西部数据正在敦促客户尽快将他们的设备从互联网上撤出。 西部数据说:”我们知道我们客户的数据非常重要。”我们还不明白为什么攻击者触发了出厂重置;但是,我们已经获得了一个受影响设备的样本,正在进一步调查”。该公司还在调查受影响客户的潜在恢复方案。   (消息及封面来源:cnBeta)

安全研究人员为 ATM NFC 读卡器中存在的漏洞敲响警钟

据《连线》报道,IOActive安全研究员Josep Rodriquez警告说,许多现代ATM和POS系统中使用的NFC读卡器使它们容易受到攻击。这些缺陷使它们容易受到一系列问题的影响,包括被附近的NFC设备对撞攻击、作为勒索软件攻击的一部分而被锁定、甚至被黑客提取某些信用卡数据。 Rodriquez警告说,这些漏洞可能被用作所谓的”中奖”攻击的一部分,欺骗机器吐出现金。然而,这样的攻击只有在与其他漏洞的利用配对时才有可能,《连线》说,由于IOActive与受影响的ATM机供应商有保密协议,他们无法公布这种攻击的视频。 依靠机器的NFC读卡器的漏洞,黑客攻击相对容易执行。虽然以前的一些攻击依赖于使用医疗内窥镜等设备来探测机器,但Rodriquez只需在机器的NFC读卡器前挥动运行其软件的Android手机,就可以利用机器可能存在的任何漏洞。 在与《连线》分享的一段视频中,Rodriquez仅仅通过在NFC读卡器上挥动他的智能手机,就使马德里的一台ATM机显示出错误信息,然后,该机器对举到读卡器上的真实信用卡反而变得没有反应。 这项研究强调了这些系统的几个大问题。首先是许多NFC读卡器容易受到相对简单的攻击,例如,在某些情况下,读卡器没有验证它们接收到多少数据,这意味着攻击者能够用过多的数据淹没系统并破坏其内存,作为 “缓冲区溢出”攻击的一部分。 第二个问题是,即使发现了问题,ATM的厂家对世界各地使用的数十万台机器应用补丁的速度也会很慢。通常情况下,需要对机器进行物理上的实际访问才能应用更新,而且许多机器并没有定期收到安全补丁。例如,一家公司表示,虽然已经在2018年给指定型号的机器打了补丁,但研究人员依然能够验证该攻击在2020年的一家餐厅中起到作用,这证明安全更新推送实际上并没有很有效执行。 Rodriquez计划在未来几周的网络研讨会上介绍他的发现,以强调他所说的嵌入式设备的安全措施到底有多欠缺。   (消息及封面来源:cnBeta)

英特尔最新补丁修补了 CPU、蓝牙产品中的隐患 安全库中也被发现漏洞

Threat Post报道,英特尔已经发布了29个安全警告,解决英特尔芯片BIOS的固件、蓝牙产品、主动管理技术工具、NUC迷你PC,以及有讽刺意义的英特尔自家安全库中的关键漏洞。评级较高的警告集中在CPU特权升级固件漏洞上:这对于修补和利用而言都很困难,但影响广泛,因此对聪明的攻击者很有吸引力。 英特尔的高级通信主管杰里·布莱恩特(Jerry Bryant)在周三的一篇博文中说,该公司基本上在内部挖掘出了95%的安全问题,其中一些部分来自其漏洞赏金计划和内部研究。 尽管漏洞赏金计划只占本月安全漏洞的一小部分,但到目前为止,这比2021年的正常情况要多。Chipzilla的内部安全团队发现了所处理的132个潜在漏洞中的75%,其中70%在公开披露之前就已修复。 本月的补丁集包含对各种问题的修复,其中几个被评为高严重性–包括产品的固件CPU中的4个本地权限升级漏洞;英特尔定向I/O虚拟化技术(VT-d)中的另一个本地权限升级漏洞;以及英特尔安全库中的一个可网络利用的权限升级漏洞。 英特尔的公告中还包括一个针对BlueZ的中等严重性漏洞的补丁,BlueZ是一个蓝牙软件堆栈,允许对所谓的安全蓝牙和蓝牙低能量(BLE)连接进行中间人式攻击。另一个影响英特尔CPU的中等严重性漏洞允许通过可观察到的浮点响应差异进行本地可利用的信息泄露。 对于系统管理员而言应修补系统的主板管理控制器(BMC)中的一组高威胁漏洞,它允许在2019年底发布的英特尔服务器主板M10JNP2SB系统中进行权限升级和拒绝服务攻击。   (消息及封面来源:cnBeta)

Thunderbird 邮件客户端迎来 78.10.2 更新:堵上伪造发件人漏洞

过去几个月,Mozilla 旗下安全电子邮件客户端“雷鸟”(Thunderbird)被曝用纯文本格式保存了一些用户的 OpenPGP 密钥。该漏洞的追踪代号为 CVE-2021-29956,影响从 78.8.1 ~ 78.10.1 之间的软件版本。虽然严重等级较低,但开发者还是努力在新版中实施了修复,同时为 Thunderbird 所使用的加密密钥添加了额外的保护。 几周前,Mozilla E2EE 邮件列表中的用户发现,他们可在无需输入主密码的情况下,直接查看受 OpenPGP 加密保护的电子邮件。而按照正常的功能逻辑,查看前是必须先进行用户身份验证的。 受该缺陷影响,本地攻击者将可通过查看和复制这些 OpenPGP 密钥来伪造发件人,并悄悄地向其联系人发送不为用户所知的电子邮件。 在最新的安全公告中,Mozilla 提供了有关 CVE-2021-29956 漏洞的更多细节,以及他们是如何在 Thunderbird 78.10.2 版本中修复该漏洞的。 使用 78.8.1 ~ 78.10.1 版本的 Thunderbird 邮件客户端的用户,其 OpenPGP 密钥未能通过加密存储的方式留在本地磁盘上,并导致主密码保护功能失效。 不过在 78.10.2 版本中,Thunderbird 已经恢复了新导入密钥的保护机制,并将自动保护从受影响的旧版本上导入的 OpenPGP 密钥。 Mozilla Thunderbird 项目团队软件开发者 Kai Engert 在接受 The Register 采访时给出了相关解释: 一旦用户配置了主密码,那在 Firefox / Thunderbird 首次存储任何机密内容时,系统都将提示用户输入密码。 若输入正确,则相应的密钥将在会话期间维持被记住和解锁的状态,并且可根据需要来解锁任何受保护的加密内容。 不过现在,Thunderbird 电子邮件客户端已经过了重新编写。为避免保护 OpenPGP 密钥,Mozilla 建议大家立即将 Thunderbird 升级到最新的 78.10.2 版本。   (消息及封面来源:cnBeta)

修补太慢:WebKit 中的 AudioWorklet 漏洞仍影响 iOS 与 macOS 设备

尽管修复程序已发布数周,但苹果尚未完成对 iOS 和 macOS 中存在的 WebKit 漏洞的修补。Apple Insider 指出,该漏洞由网络安全初创公司 Theori 研究人员首先发现,问题主要与 WebKit 中的 AudioWorklets 实现有关。除了可能引发 Safari 浏览器的崩溃,Theori 也警告它是一个可被利用的类型混淆漏洞。 AudioWorklet 接口允许开发者控制、渲染和输出音频,但也为攻击者利用此漏洞在设备上执行恶意代码而敞开了大门。 不过恶意攻击者仍需绕过指针验证码(PAC),才能在现实世界中发起攻击。作为一套缓解措施,PAC 强制需要密码签名,才能在内存中执行代码。 开源开发者已于 5 月初修复了 AudioWorklet 漏洞(GitHub 传送门),但 Theori 研究人员 Tim Becker 警告称,该漏洞仍存在于最新版本的 iOS 和 macOS 中。 在理想情况下,从公开补丁到稳定版发布的时间间隔会尽可能小,但 AudioWorklet 漏洞还是让新版 iOS 设备用户在几周内易受攻击。 在 Tim Becker 看来,缺乏修复程序的“空窗缺口”是开源开发领域的一个重大风险。 由谷歌 Project Zero 安全团队披露的数据可知,自 2021 年初以来,苹果系统中共有 7 个漏洞在野外被积极利用,且其中已修复的多个都与 WebKit 有关。   (消息及封面来源:cnBeta)