分类: 漏洞事件

MonoX 宣布因漏洞导致被黑客窃取 3100 万美元

区块链初创公司 MonoX Finance 周三表示,由于软件中用于起草智能合约部分存在漏洞,已经被黑客已经成功窃取了 3100 万美元。该公司使用一种被称为 MonoX 的去中心化金融协议,让用户在没有传统交易所的一些要求的情况下交易数字货币代币。 MonoX 公司代表表示:“项目所有者可以在没有资本要求负担的情况下列出他们的代币,并专注于将资金用于建设项目,而不是提供流动性。它的工作原理是将存入的代币与vCASH组合成一个虚拟对,以提供一个单一的代币池设计”。 MonoX Finance 在一篇文章中透露,该公司软件中的一个会计错误让攻击者抬高了 MONO 代币的价格,然后用它来兑现所有其他存放的代币。这笔交易相当于以太坊或 Polygon 区块链上价值 3100 万美元的代币,这两个区块链都是由 MonoX 协议支持的。 具体来说,黑客使用相同的代币作为tokenIn和tokenOut,这是用一种代币的价值交换另一种的方法。MonoX在每次交换后通过计算两个代币的新价格来更新价格。当交换完成后,tokenIn的价格–即用户发送的代币–减少,tokenOut的价格–或用户收到的代币–增加。 通过在tokenIn和tokenOut中使用相同的令牌,黑客大大抬高了MONO令牌的价格,因为tokenOut的更新覆盖了tokenIn的价格更新。然后黑客在以太坊和Polygon区块链上用该代币兑换了价值3100万美元的代币。   (消息及封面来源:cnBeta)

联发科修复芯片漏洞 避免被恶意应用窃听

Check Point Research 在近期发布的联发科芯片组的 AI 和音频处理组件中发现了一个漏洞,或被别有用心者利用于本地权限提升攻击。这意味着通过精心设计的代码,第三方应用程序可访问它不该接触到 AI 和音频相关信息 —— 理论上甚至可用于窃听。庆幸的是,该漏洞从未被发现有在野外被利用,且联发科已于 10 月份完成了修复。 在周三发布的一份白皮书中,Check Point Research 详细介绍了如何在红米 Note 9 5G 上完成这项复杂的攻击。 首先,安全研究人员不得不对所涉及的大部分未记录的软件开展逆向工程 —— 且这一步就利用了在联发科固件中发现的一系列四个漏洞,以允许任何 App 向音频接口传递特定的命令。 简而言之,就是让恶意应用能够对音频接口的某些部分,执行它本不该实现的相关操作。 若该 App 获取了系统级权限(比如在 Root 后的设备上、或预安装的系统应用),它甚至能够‘在音频 DSP 芯片上隐藏恶意代码’。 鉴于任何 App 都可访问音频接口固件、且该固件允许访问‘音频数据流’,因而恶意应用或在漏洞修复前对客户展开窃听。 其次,我们并不能排除设备制造商本身就滥用相关安全漏洞、以开展大规模窃听活动的可能。 虽然 Check Point Research 和联发科方面都未披露受影响芯片的确切列表,但相关漏洞似乎影响了天玑(Dimensity)全系 SoC —— 包括 Helio G90 / P90 等芯片组、甚至波及所谓的“Tensilica”APU 平台。 此外一些华为麒麟芯片组也是用了“Tenscilica”IP,但目前尚不清楚确切的影响。   (消息及封面来源:cnBeta)

所有 Windows 版本均受影响 Cisco Talos 发现一个高危提权漏洞

计算机安全组织 Cisco Talos 发现了一个新的漏洞,包括 Windows 11 和 Windows Server 2022 在内的所有 Windows 版本均受影响。该漏洞存在于 Windows 安装程序中,允许攻击者提升自己的权限成为管理员。 在发现该漏洞之后,Cisco Talos 集团升级了自己的 Snort 规则,该规则由检测针对一系列漏洞的攻击的规则组成。更新后的规则清单包括零日特权提升漏洞,以及针对浏览器、操作系统和网络协议等新兴威胁的新规则和修改后的规则。 利用该漏洞,拥有部分权限的用户可以提升自己的权限至系统管理员。这家安全公司已经在互联网上发现了恶意软件样本,这表明可能已经有黑客利用该漏洞发起攻击。 此前,微软的安全研究员 Abdelhamid Naceri 向微软报告了这个漏洞,据说在 11 月 9 日用 CVE-2021-41379 修复了该漏洞。然而,这个补丁似乎并不足以解决这个问题,因为这个问题仍然存在,导致Naceri在GitHub上发布了概念证明。 简单地说,这个概念证明显示了黑客如何利用微软Edge提升服务的酌情访问控制列表(DACL)将系统上的任何可执行文件替换为MSI文件。 微软将该漏洞评为”中等严重程度”,基本CVSS(通用漏洞评分系统)评分为5.5,时间评分为4.8。现在有了功能性的概念验证漏洞代码,其他人可以尝试进一步滥用它,可能会增加这些分数。目前,微软还没有发布一个新的更新来缓解这个漏洞。   (消息及封面来源:cnBeta)

思科已修补 IOS XE 软件的三个关键漏洞

IOS XE软件被用于各种核心路由器和交换机,思科已经修复了该软件的三个关键安全漏洞。 这三个严重的警告是思科发布的32个安全警告的一部分,包括防火墙、SD-WAN和无线访问漏洞。 最严重的安全漏洞发现于Cisco Catalyst 9000系列无线控制器的Cisco IOS XE软件,它在通用漏洞评分系统(CVSS)上被评为10分(满分10分)。 该漏洞有概率允许未经身份验证的远程攻击者使用管理权限执行任意代码,或在易受攻击的设备上触发DoS拒绝服务攻击。攻击者可以通过向受影响的设备发送一个精心制作的CAPWAP数据包来利用这个漏洞。CAPWAP是一种网络协议,允许用户集中管理无线接入点。 思科表示,攻击成功的话,攻击者便使用管理权限执行任意代码,或导致受影响的设备崩溃和重新加载,从而导致DoS攻击。 第二个关键漏洞——具有9.8 CVSS评级——对思科IOS XE SD-WAN软件造成了影响,并可能让攻击者在SD-WAN设备上触发缓冲区溢出。 思科表示:“这个漏洞是由于受影响设备处理流量时边界检查不足造成的。”“攻击者可以通过向设备发送特制流量来利用这个漏洞。设备手攻击可能会导致缓冲区溢出,并可能使用根权限执行任意命令,或导致设备重新加载,从而导致DOS攻击。” 第三个关键漏洞也有9.8 CVSS评级,这个漏洞与思科IOS XE软件的身份验证、授权、和记账功能(AAA)有关,该漏洞允许攻击者绕过NETCONF或RESTCONF认证,安装、操作或删除受影响的配置设备,造成内存泄露,导致DoS攻击。 Cisco表示:“漏洞利用如果成功,攻击者便可使用NETCONF或RESTCONF安装、操纵或删除网络设备的配置,或损坏设备上的内存,从而导致DoS攻击。” 思科表示,有一个解决这一漏洞的办法:删除启用密码,并配置启用密码。还有一种降低漏洞攻击伤害的方法:限制该漏洞的攻击面,确保为NETCONF和RESTCONF配置了访问控制列表,以防止来自不受信任子网的访问尝试。 思科已发布免费软件更新,用以解决关键漏洞。   消息来源:ARNNet,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

FamousSparrow APT 组织侵入酒店、政府和企业

一个名为“FamousSparrow”的网络间谍组织利用微软Exchange服务器的ProxyLogon漏洞及其自定义后门“SparrowDoor”,将全球各地的酒店、政府和私人企业作为目标。   ESET研究人员Matthieu Faou称ESET正在跟踪该组织,他们认为,自2019年以来FamousSparrow一直很活跃。3月3日,攻击者开始利用ProxyLogon漏洞,已有10多个高级持续威胁(APT)组织利用该漏洞接管Exchange服务器。   FamousSparrow主要针对酒店;然而,研究人员发现其他部门也有一些目标,包括政府、国际组织、工程公司和律师事务所。受害者分布在巴西、布基纳法索、南非、加拿大、以色列、法国、立陶宛、危地马拉、沙特阿拉伯、中国台湾、泰国和英国。   “在恶意软件方面,该组织没有多大的发展,但在目标方面,他们在2020年做出转变,他们开始以全球酒店为目标,”Faou谈到该组织的发展时说。FamousSparrow之所以与众不同,是因为它专注于酒店,而不仅是流行的APT目标,比如政府。   “我们认为他们的主要动机是间谍活动,”他补充道。酒店是APT组织的主要目标,因为它可以让攻击者收集目标的旅行习惯数据。他们还可能侵入酒店的Wi-Fi基础设施,监听未加密的网络通信。”   他们说,在研究人员能够确定初始危害矢量的情况下,FamousSparrow利用脆弱的面向互联网的应用程序锁定受害者。该组织利用了Microsoft Exchange已知的远程代码执行漏洞,包括3月份的ProxyLogon漏洞,以及Microsoft SharePoint和Oracle Opera(一种用于酒店管理的商业软件)。   服务器被攻破后,攻击者部署了几个自定义工具:Mimikatz的一个变体、 NetBIOS扫描程序Nbtscan和一个将ProcDump转到磁盘上的小工具,该工具将转移到另一个进程,而研究人员表示该进程可能会被用来收集内存机密。   攻击者还为他们的SparrowDoor后门放置了一个载入程序,这是他们独有的工具。   Faou说:“SparrowDoor使攻击者能够几乎完全控制被攻击的机器,包括执行任意命令或窃取任何文件。”SparrowDoor的部署,以及服务器端漏洞的使用,是该组织的主要特点。   研究人员认为FamousSparrow是自行运作的,但也发现了与其他已知APT组织的联系,包括SparlingGoblin和DRBControl。   Faou说:“他们很可能共享工具或接近受害者,但我们认为他们是独立的威胁团体。”   研究人员说,这提醒企业要迅速给面向互联网的应用程序打补丁。如果无法快速打补丁,建议企业不要将应用程序暴露在互联网上。   消息来源:Darkreading,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接

零日漏洞允许在 macOS 系统上运行任意命令

独立安全研究员 Park Minchan 透露,苹果 macOS Finder 中存在一个零日漏洞,攻击者可以利用这个漏洞在运行任何 macOS 版本的 Mac 系统上运行任意命令。   这个漏洞是因为 macOS 处理 inetloc 文件的方式会使它运行嵌入在其中的命令。SSD Secure Disclosure advisory称,它运行的命令可以是 macOS 的本地命令,在没有任何提示的情况下执行任意命令。   Internet 位置文件是一种系统书签,双击它,就会打开一个在线资源或本地文件(file://)。   最初,苹果公司默默地解决了这个漏洞,但是Minchan注意到苹果公司并没有完全解决这个漏洞。专家发现,仍然可以使用不同的协议(从 FiLe://到 FiLe://),利用这个漏洞来执行嵌入的命令。“较新版本的 macOS (来自 Big Sur)阻止了前缀://的文件(在 com.apple.generic-internet-location 中) ,但是他们做了一个案例匹配,导致 fIle://或 fIle://绕过了检查。”   研究人员还为这个问题提供了PoC漏洞代码和一个视频演示: BleepingComputer称,在撰写本文时,PoC 代码的病毒检测率为零。   消息来源:securityaffairs,译者:Zoeppo; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc ” 并附上原文链接  

微软承认 Windows 存在可被恶意 Office 文件攻击的零日漏洞

微软已经承认所有版本的Windows存在一个新的零日漏洞,目前正被攻击者利用。该公司表示,在MSHTML中发现了一个远程代码执行漏洞,恶意的微软Office文档可以借用这个漏洞对计算机发起攻击。攻击者可以制作一个恶意的ActiveX控件,被承载浏览器渲染引擎的微软Office文档所使用。然后,攻击者需要说服用户打开该恶意文件。 该公司解释说:”那些账户被配置为在系统中拥有较少用户权限的用户可能比那些以管理用户权限操作的用户受到的影响要小。” 这个远程代码执行漏洞的标识符为CVE-2021-40444,是由不同网络安全公司的研究人员发现的,其中包括微软自家安全响应中心、EXPMON和Mandiant。该漏洞一旦被利用,就会影响到Internet Explorer的浏览器渲染引擎MSHTML,该引擎也被用来渲染Windows上Microsoft Office文件中基于浏览器的内容。 微软已经在进行修复工作,并计划在本月的补丁星期二或通过带外更新发布安全更新。同时,用户可以通过保持反恶意软件产品(即微软Defender系列)的运行来保护电脑。该公司还建议用户暂时禁用Internet Explorer中的ActiveX控件的安装,以减轻任何潜在的攻击。 如需要了解更多细节,请访问微软的安全咨询页面,了解有关这些变通和缓解的方法: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-40444   (消息及封面来源:cnBeta)

美国网络司令部警告各机构立即修补被大规模利用的 Confluence 漏洞

美国网络司令部(USCYBERCOM)今天发布了罕见的警报,敦促来自美国的企业和机构们立即修补一个被大规模利用的Atlassian Confluence关键漏洞。“对Atlassian Confluence CVE-2021-26084的大规模利用正在进行,预计会加速,”网络国家任务部队(CNMF)说。 USCYBERCOM单位还强调了尽快修补脆弱的Confluence服务器的重要性。”如果你还没有打补丁,请立即打补丁–这不能等到周末之后”。 这一警告是在副国家安全顾问安妮·纽伯格在周四的白宫新闻发布会上鼓励各组织”在周末假期前对恶意的网络活动保持警惕”之后发出的。 这是过去12个月中的第二次此类警告,前一次的通知来自今年6月份,CISA意识到威胁者可能试图利用影响所有vCenter Server安装的远程代码执行漏洞。 CISA今天还敦促用户和管理员立即应用Atlassian最近发布的Confluence安全更新。 Atlassian Confluence是一个非常受欢迎的基于网络的企业团队工作空间,旨在帮助员工在各种项目上进行协作。 8月25日,Atlassian发布安全更新,以解决积极利用的Confluence远程代码执行(RCE)漏洞,该漏洞被追踪为CVE-2021-26084,并使未经认证的攻击者能够远程在有漏洞的服务器上执行命令。 正如BleepingComputer本周报道的那样,在Atlassian的补丁发布6天后,一个PoC漏洞被公开发布后,多个威胁者开始扫描并利用这个最近披露的Confluence RCE漏洞来安装挖矿程序。 一些网络安全公司报告说,威胁者和安全研究人员都在积极扫描和利用未打补丁的Confluence服务器。例如,联盟工程总监Tiago Henriques检测到渗透测试人员试图寻找有漏洞的Confluence服务器。网络安全情报公司Bad Packets也发现了来自多个国家的威胁者在被攻击的Confluence服务器上部署和启动PowerShell或Linux shell脚本。 在分析了漏洞样本后,BleepingComputer证实,攻击者正试图在Windows和Linux Confluence服务器上安装加密货币矿工(例如XMRig Monero加密货币矿工)。 尽管这些攻击者目前只部署了加密货币矿工,但如果威胁者开始从被入侵的内部Confluence服务器横向移动企业网络,投放勒索软件的载荷并窃取或破坏数据,攻击的危害性就会迅速升级。   (消息及封面来源:cnBeta)

黑客现在可以绕过万事达和 Maestro 非接触式卡的 PIN 码

苏黎世的瑞士工程学院的研究人员发现了一个新的漏洞,非接触式万事达卡和Maestro密码可以被轻松绕过。该漏洞的关键之处在于,如果利用得当,盗贼可以使用被入侵的万事达卡或Maestro卡进行非接触式支付,而无需输入密码来完成交易。 要实现上述做法,需要首先在两部Android智能手机上安装专用软件。一个设备用于模拟正在安装的销售点终端,而另一个则作为一个卡片模拟器,允许将修改后的交易信息传输到真正的销售点设备。一旦卡片启动交易,它就会泄露所有相关信息。 苏黎世联邦理工学院的专家证实,这是一次孤立的攻击,但随着非接触式支付方式的更多漏洞被揭开,这很容易在现实生活中被利用。过去,同一个团队成功地绕过了Visa的非接触式支付密码,研究人员你在”EMV标准:破解、修复、验证”研究论文中详细描述了这一实验。 目前的实验集中在非Visa非接触式支付协议使用的卡上的PIN绕过,但使用的都是相同的策略和已知的漏洞。该团队能够拦截Visa的非接触式支付规范,并将交易方面转移到一个真正的销售点终端,该终端并不知道交易凭据的来源,直接验证并确认了PIN和购卡者的身份,因此PoS也不需要进行进一步的检查和身份鉴别流程。 不管是Visa、Mastercard还是Maestro,ETH都成功地进行了实验,这并不是数以百万计的非接触式卡用户所希望听到的。由于这个漏洞的严重性及其潜在的后果难以估量,研究人员没有透露所使用的应用程序的名称。   (消息及封面来源:cnBeta)

加州一医疗初创公司的网站漏洞使大量 COVID-19 测试结果面临泄露风险

一家位于加州的医疗创业公司在整个洛杉矶提供COVID-19测试,在一位客户发现允许访问其他人的个人信息的漏洞后,该公司已经关闭了一个用于允许客户访问其测试结果的网站。Total Testing Solutions在整个洛杉矶有10个COVID-19测试点,每周在工作场所、体育场馆和学校处理”数千次”COVID-19测试。 当测试结果准备好后,客户会收到一封电子邮件,其中有一个网站链接,以获得他们的结果。 但一位客户说,他们发现了一个网站漏洞,允许他们通过增加或减少网站地址中的一个数字来访问其他客户的信息。这使得该客户可以看到其他客户的名字和他们的测试日期。该网站也只需要一个人的出生日期就可以访问他们的COVID-19测试结果,发现该漏洞的客户说”不需要很长时间”就可以暴力破解,或者简单地猜测。(对于30岁以下的人来说,这只是11000次生日猜测而已) 虽然测试结果网站有一个登录页面,提示客户提供他们的电子邮件地址和密码,但允许客户更改网址和访问其他客户信息的网站漏洞部分可以直接从网上访问,完全绕过了登录提示。 通过有限的测试发现,该漏洞可能使大约6万个测试处于危险之中。TTS首席医疗官Geoffrey Trenkle确认了这一漏洞,他对穷举破解的漏洞没有异议,但表示该漏洞仅限于一台用于提供传统测试结果的内部服务器,该服务器后来被关闭并被一个新的基于云的系统取代。公司在一份声明中说:”我们最近意识到我们以前的内部服务器存在一个潜在的安全漏洞,它可能允许利用URL操作和出生日期编程代码的组合来访问某些病人的名字和结果。”该漏洞仅限于在创建基于云的服务器之前在公共测试场所获得的病人信息。为了应对这一潜在的威胁,我们立即关闭了企业内部的软件,并开始将这些数据迁移到安全的云端系统,以防止未来数据泄露的风险。我们还启动了漏洞评估,包括审查服务器访问日志,以检测任何未被识别的网络活动或不寻常的认证失败。目前,TTS没有发现由于其先前服务器的问题而导致的任何不安全的受保护健康信息的泄露。据我们所知,实际上没有病人的健康信息被泄露,而且所有的风险都已经被减轻了。” Total Testing Solution表示将遵守国家法律规定的法律义务,但没有明确表示该公司是否计划通知客户这一漏洞。虽然公司没有义务向本州的总检察长或客户报告漏洞,但许多公司出于谨慎而报告,因为并不总是能够确定是否有不当访问。   (消息及封面来源:cnBeta)