分类: 漏洞

监狱视频探视服务 HomeWAV 暴露了囚犯与律师之间的私下通话

据外媒TechCrunch报道,由于担心新冠病毒的传播,美国大部分监狱仍暂不允许家人和律师探视服刑人员。探访者无法看到他们正在服刑的亲人,迫使朋友和家人使用昂贵的视频探视服务,但这些服务往往不起作用。但现在这些系统的安全和隐私受到审查后,一个基于圣路易斯的监狱视频探视供应商被发现存在一个安全漏洞,暴露了数千名囚犯和他们的家人之间的电话,但也有他们与律师的通话,这些应该是由律师 – 客户特权保护的电话。 HomeWAV为全美十几所监狱提供服务,它的一个数据库在没有密码的情况下暴露在互联网上,允许任何人阅读、浏览和搜索囚犯与其朋友和家人之间的通话记录和转录。抄本还显示了打电话者的电话号码、哪个犯人以及通话时间。 安全研究员Bob Diachenko发现了这个安全漏洞,他说,这个数据库至少从4月份开始就已经公开了。TechCrunch向HomeWAV报告了这个问题,HomeWAV在几个小时后关闭了系统。 在一封电子邮件中,HomeWAV首席执行官John Best证实了该安全漏洞。他告诉TechCrunch:“我们的一个第三方供应商已经证实,他们意外地取下了密码,从而允许访问服务器。”Best没有点名第三方供应商的名字,他表示,公司将把这一事件通知囚犯、家属和律师。 ACLU刑法改革项目的高级职员律师Somil Trivedi告诉TechCrunch:“我们一次又一次看到的是,当系统失败时,被监禁者的权利是第一个被践踏的–因为它总是这样。” “我们的司法系统只有对最弱势者的保护才是好的。一如既往,有色人种、请不起律师的人和残疾人将为这个错误付出最高的代价。”Trivedi说:”技术不能解决刑事法律制度的根本性缺陷–如果我们不慎重和谨慎,它将加剧这些缺陷。” 美国几乎所有的监狱都会记录囚犯的电话和视频通话–即使在每次通话开始时没有披露。据悉,检察官和调查人员会回听录音,以防囚犯在通话中自证其罪。然而,由于律师与当事人的特权,囚犯与其律师之间的通话不应该被监控,这一规则保护律师与其当事人之间的通信不被用于法庭。 尽管如此,已知有美国检察官使用律师与被监禁客户之间的通话录音的案例。去年,美国肯塔基州路易斯维尔市的检察官据称监听了一名谋杀嫌疑人与其律师之间的数十次通话。而且,今年早些时候,缅因州的辩护律师表示,他们经常被几个县级监狱录音,他们在律师客户特权保护下的电话至少在四个案件中被移交给检察官。 HomeWAV的网站上说:“除非来访者之前已经登记为神职人员,或者是犯人有权与之进行特权交流的法律代表,否则会告知来访者,访问可能会被记录,并且可以被监控。” 但当被问及时,HomeWAV的Best不愿透露该公司为何要记录和抄录受律师-当事人特权保护的对话。TechCrunch审查的几份记录显示,律师明确宣布他们的通话受律师-当事人特权保护,有效地告诉任何听进去的人,通话是禁区。 TechCrunch与两位律师进行了交谈,他们与监狱中的客户在过去六个月的通信被HomeWAV记录并转录,但要求不要说出他们或他们的客户的名字,因为这样做可能会损害他们客户的法律辩护。两人都对自己的通话被录音表示震惊。其中一位律师表示,他们在通话中口头主张律师与当事人的特权,而另一位律师也认为他们的通话受到律师与当事人特权的保护,但拒绝进一步评论,直到他们与当事人通话。 另一位辩护律师Daniel Repka告诉TechCrunch证实,他9月份与监狱中的一位客户的一次通话被记录、转录,随后被曝光,但他表示这次通话并不敏感。“我们没有转达任何被认为是受律师-客户特权保护的信息,”Repka说。“任何时候,我都有一个客户从监狱给我打电话,我非常意识到并意识到不仅有可能出现安全漏洞,而且还有可能被县检察官办公室访问这些电话。” Repka称:“这确实是我们能够确保律师能够以最有效和最热心的方式代表他们的客户的唯一方法。”他说道:“律师的最佳做法是,总是亲自去监狱探望你的客户,在那里,你在一个房间里,你有更多的隐私,而不是通过电话线,你知道已经被指定为录音设备。” 但疫情带来的挑战使得亲自探视变得困难,或者在一些州不可能。关注美国刑事司法的无党派组织 “马歇尔计划 “说,由于冠状病毒带来的威胁,几个州已经暂停了亲自探视,包括合法探视。甚至在大流行之前,一些监狱就结束了亲自探视,改用视频通话。 视频探视技术现在是一个价值数十亿美元的产业,像Securus这样的公司每年通过向呼叫者收取高昂的费用来呼叫他们被监禁的亲人而赚取数百万美元。 HomeWAV并不是唯一一家面临安全问题的视频探视服务。2015年,Securus的一个明显的漏洞导致约7000万个囚犯电话被匿名黑客泄露,并与The Intercept分享。据该出版物报道,缓存中的许多录音还包含受律师-当事人特权保护的指定电话。 8月,Diachenko报告说,另一家监狱探视服务机构TelMate也出现了类似的安全漏洞,由于无密码数据库,数百万条囚犯信息被泄露。     (稿源:cnBeta,封面源自网络。)

研究人员在 Microsoft Azure 云服务中发现漏洞

随着企业越来越多地迁移到云中,保护基础架构变得前所未有的重要。 根据最新研究,Microsoft Azure应用服务中的两个安全漏洞可能使攻击者能够进行服务器端请求伪造(SSRF)攻击或执行任意代码并接管服务器。 网络安全公司Intezer在今天发布并与《The Hacker News》共享的一份报告中说:“这使攻击者能够悄悄接管App Service的git服务器,或植入可通过Azure门户访问的恶意网络钓鱼页面,以锁定目标系统管理员。” 在Intezer Labs的Paul Litvak发现后,该漏洞已于6月份报告给微软,之后微软对该漏洞进行了解决。 Azure App Service是基于云计算的平台,用作构建Web应用程序和移动后端的托管Web服务。 通过Azure创建应用服务时,将创建一个新的Docker环境,其中包含两个容器节点(管理器节点和应用程序节点),并注册指向应用程序HTTP web服务器和应用程序服务管理页面的两个域,它反过来利用Kudu从源代码管理提供者(如GitHub或bitback)连续部署应用程序。 视频链接:https://www.youtube.com/watch?v=uI0_6OWNbnQ&feature=emb_title 同样,Linux环境中的Azure部署由一个名为KuduLite的服务管理,该服务提供有关系统的诊断信息,并由一个web接口组成,该接口将SSH连接到应用程序节点(称为“websh”)。 第一个漏洞是权限提升漏洞,允许通过硬编码凭据接管KuduLite (“root:Docker!”)这使得SSH能够进入实例并以root用户身份登录,从而允许攻击者完全控制SCM(又名软件配置管理)web服务器。 研究人员认为,这可以使对手“侦听用户对SCM网页的HTTP请求,添加我们自己的页面,并将恶意Javascript注入用户的网页”。 第二个安全漏洞涉及应用程序节点向KuduLite API发送请求的方式,可能允许具有SSRF漏洞的Web应用程序访问节点的文件系统并窃取源代码和其他敏感资产。 研究人员说:“设法伪造POST请求的攻击者可以通过命令API在应用程序节点上实现远程代码执行。” 而且,成功利用第二个漏洞意味着攻击者可以将两个问题联系在一起,以利用SSRF漏洞并提升他们的特权来接管KuduLite Web服务器实例。 就其本身而言,微软一直在努力改善云和物联网(IoT)空间中的安全性。在今年早些时候提供其以安全性为重点的物联网平台Azure Sphere之后,它还向研究人员开放了该服务,以使其能够“识别黑客之前的高影响力漏洞”进入服务。 Intezer说:“云使开发人员能够快速,灵活地构建和部署应用程序,但是,基础架构经常容易受到其控制之外的漏洞的影响。” “对于App Services,应用程序与其他管理容器共同托管,并且其他组件可能带来其他威胁。 “运行时云安全是重要的最后一道防线,也是降低风险的首要措施之一,因为它可以检测恶意代码注入和其他内存中的威胁,这些威胁是在攻击者利用漏洞后发生的。”     稿件与封面来源:The Hacker News,译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理, 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

一组黑客发现 55 个苹果产品相关漏洞 获赏金超 5 万美元

一组黑客因为发现了苹果公司系统的55个漏洞,获得了超过5万美元的除虫奖励。Sam Curry、Brett Buerhaus、Ben Sadeghipour、Samuel Erb和Tanner Barnes花了3个月的时间对苹果平台和服务进行黑客攻击,发现了一系列弱点。该团队发现的55个漏洞严重程度不一,其中一些漏洞非常严重,他们如此描述: 在我们的参与过程中,在苹果基础设施的核心部分发现了各种漏洞,这些漏洞将允许攻击者完全入侵客户和员工的应用程序,甚至启动一个能够自动接管受害者的iCloud账户的蠕虫,检索苹果内部项目的源代码,完全入侵苹果使用的工业控制仓库软件,并接管苹果员工的会话,并能够访问管理工具和敏感资源。 苹果公司收到报告后迅速处理了大部分漏洞,有些漏洞在短短几个小时内就得到了解决。 总的来说,苹果公司对我们的报告反应非常迅速。对于我们比较重要的报告,从提交到修复的时间只有四个小时。 作为苹果公司安全赏金计划的一部分,该小组的一些工作能够获得可观的报酬。截至10月4日周日,他们已经收到了四笔款项,共计51500美元。其中包括披露iCloud用户全名的5000美元,发现IDOR漏洞的6000美元,进入企业内部环境的6500美元,以及发现包含客户数据的系统内存泄露的34000美元。 由于没有人真正了解他们的bug赏金计划,所以我们几乎是在进入一个未知的领域,投入了如此大的时间。苹果与安全研究人员合作的历史很有趣,但他们的漏洞披露计划似乎是在与黑客合作保护资产安全、让感兴趣的人发现并报告漏洞的正确方向上迈出了一大步。 自去年以来,苹果一直在积极投资其漏洞赏金计划。现在,安全研究人员根据安全漏洞的性质和严重程度,每个漏洞最高可以获得100万美元的奖励。 在得到苹果安全团队的许可后,该小组发布了一份内容广泛的报告,其中详细介绍了一系列漏洞以及定位和利用弱点的方法。他们还暗示,更多的悬赏可能会在路上。     (稿源:cnBeta,封面源自网络。)

研究人员警告 T2 芯片存在无法修复的漏洞 导致 Mac 设备易受攻击

据悉,大多数现代 macOS 设备中使用 T2 协处理器,可负责启动和安全相关的操作,以及音频处理等不同的功能。自 2018 年起,苹果已经为自家多款基于英特尔处理器平台的 macOS 设备配备了 T2 安全芯片。然而近日有位网络安全研究人员指出,该芯片存在一个无法修复的漏洞,攻击者或借此轻易获得设备的 root 访问权限。 iMac Pro 主板特写(图自:iFixit) 据 Niels H. 所述,由于 T2 芯片基于苹果 A10 处理器,因而容易受到 iOS 设备同源漏洞攻击(checkm8)的影响。   通常情况下,如果在 DFU 模式下检测到解密调用,T2 芯片将以发生致命错误的形式退出。 但该漏洞利用程序可与 Pangu 开发的另一个漏洞配合使用,以绕过 DFU 的出口安全机制。 对于经验丰富的攻击者来说,显然可借此绕过激活锁定,并执行其它恶意攻击。 一旦被攻击者获得了对 T2 芯片的访问权限,他们将拥有完全的 root 访问和内核执行特权。 即便无法解密受 FileVault 加密保护的文件,但由于 T2 芯片管理着键盘访问,因而还是有可能被注入键盘记录器程序、并窃取用户的相关密码凭证。 固件级的密码也无法幸免,因为这部分还是要用到键盘访问。此外该漏洞或允许通过移动设备管理(MDM)和查找(Find My)功能,以绕过内置的激活锁安全机制。 MacBook Pro 系统截图(来自:Apple Support) 更糟糕的是,苹果也无法在不进行硬件修补的情况下彻底缓解该漏洞。因为出于安全的考量,T2 的基础操作系统(SepOS)是烧录在只读存储器(ROM)上的。 Niels H. 表示其已向苹果公司通报了这些问题,但尚未得到任何回应,感兴趣的朋友可到 IronPeak.be 博客上了解更多细节(传送门)。 聊以慰藉的是,即便该漏洞影响所有基于英特尔处理器和 T2 安全芯片的 Mac 产品,但相关问题并不会持久存在。 因为攻击者首先需要物理接触到用户设备,然后搭配特殊的硬件来执行,比如恶意或定制的 USB-C 线缆。 对于普通用户来说,只需牢记保持物理安全性、不插入未经验证的 USB-C 设备来规避这方面的风险。 至于最新的 Apple Silicon 平台是否也存在着同样的问题,仍有待时间去检验。     (稿源:cnBeta,封面源自网络。)

Google 为 Pixel 设备提供的 10 月更新修复了刷新手势的 Bug 以及其它严重漏洞

与每个月的情况一样,谷歌已经开始为本月支持的Pixel设备推出月度安全补丁。这家搜索巨头还发布了Android安全公告,以记录作为2020年10月补丁的一部分所解决和修复的所有错误和漏洞。补丁列表中包括操作系统中各个组件中的一些高严重性漏洞,公告中提供了详细的内容。 除了这些适用于不同Android版本的修复之外,该公司还详细介绍了针对支持的Pixel设备发布的功能补丁。这些更新通过带来Pixel手机特有的性能改进、bug修复等,提高了设备的可用性。 本月的更新为所有支持的机型带来了屏幕自动旋转的改进,为最新的中端机、Pixel 4a等带来了触控灵敏度和自动亮度的提升。此次更新还修复了最近报道的向上滑动手势访问最近应用UI的问题。 以下是该公司发布的完整变更日志: 补丁应该会在今天通过空中更新(OTA)逐步开始向所有用户推出。然而,对于带运营商锁的设备,推出时间表可能有所不同。Google还在此提供了OTA镜像,供用户手动加载镜像并更新设备。 此外,Android安全公告本月补丁的源代码将在未来48小时内在Android开源项目(AOSP)存储库上提供。     (稿源:cnBeta,封面源自网络。)

谷歌正筹建一支 Android 安全团队 致力于查找敏感应用中的漏洞

随着操作系统代码复杂度的提升,Bug 与漏洞也变得越来越难以避免。与此同时,随着 Android 与 iOS 平台在移动时代的重要性日渐提升,行业也需要越来越多有这方面经验的安全研究人员。最新消息是,搜索巨头谷歌正在组建一支 Android 安全团队,并将致力于发现和消除敏感 App 中的 Bug 。 虽然 Android Security 团队早期不是什么新鲜事,但谷歌显然还是希望通过成立一支新的团队,来进一步加速发现和修复 Bug 的过程。 具体说来是,这支 Android 安全团队将主要负责对“高度敏感型的应用”展开安全评估。有趣的是,该公司也在一则招聘启事中进行了披露。   据悉,搜索巨头希望招募安全工程方面的经理人选(传送门),该职位需要负责组建一支安全团队,然后对 Google Play 上高度敏感的第三方 Android 应用进行安全评估。 外媒猜测,该团队或专注于包含敏感用户数据的 App,比如网银和最近流行的 COVID-19 密切接触者追踪通报应用程序。 此外这份招聘启事还讨论了谷歌正在寻找的新 Android 安全团队将不仅致力于发现敏感 App 中的漏洞,同时也会提供解决问题的补救措施。 更进一步的话,新团队还将负责与其它 Android 安全团队的合作,以找到更好的方法来缓解此类问题的发生,后续显然会将范围覆盖到自家的 Play 应用商店之外。 换言之,此举将提升 Android 生态系统的整体安全性和可访问性,进而带来更好的用户体验。     (稿源:cnBeta,封面源自网络。)

微软称伊朗黑客正在利用今年危害性最大的 Zerologon 漏洞

微软周一表示,伊朗国家支持的黑客目前正在现实世界的黑客活动中利用Zerologon漏洞。成功的攻击将使黑客能够接管被称为域控制器(DC)的服务器,这些服务器是大多数企业网络的核心,并使入侵者能够完全控制其目标。 微软今天在一条简短的推文中表示,伊朗的攻击是由微软威胁情报中心(MSTIC)检测到的,已经持续了至少两周。 MSTIC将这些攻击与一个伊朗黑客组织联系在一起,该公司追踪到的这个组织名为MERCURY,但他们MuddyWatter的绰号更为人所知。 该组织被认为是伊朗政府的承包商,在伊朗主要情报和军事部门伊斯兰革命卫队的命令下工作。 根据微软的《数字防御报告》,这个组织历史上曾针对非政府组织、政府间组织、政府人道主义援助和人权组织。 尽管如此,微软表示,”MERCURY”最近的目标包括 “大量参与难民工作的目标 “和 “中东地区的网络技术提供商”。 但当安全研究人员推迟公布细节,给系统管理员更多的时间打补丁时,Zerologon的武器化概念验证代码几乎在详细撰文的同一天公布,在几天内就引发了第一波攻击。 漏洞披露后,国土安全部给联邦机构三天时间打补丁或将域控制器从联邦网络中断开,以防止攻击,该机构预计攻击会到来,几天后,它们确实来了。 MERCURY攻击似乎是在这个概念验证代码公布后一周左右开始的,大约在同一时间,微软开始检测到第一个Zerologon利用尝试。     (稿源:cnBeta,封面源自网络。)

BuleHero 挖矿蠕虫变种,具有 8 个漏洞利用和 2 个弱口令爆破能力

感谢腾讯御见威胁情报中心来稿! 原文链接:https://mp.weixin.qq.com/s/3dfWy7EGfGRMgES0Z8xlpg   攻击者利用Apache Solr远程代码执行漏洞(CVE-2019-0193)对某客户进行攻击,由于客户部署的腾讯云防火墙已对该类型攻击进行识别并设置为“阻断”,该攻击未对客户资产造成损失。进一步分析后发现,此次攻击属于BuleHero挖矿蠕虫病毒,且该变种版本新增了SMBGhost(CVE-2020-0796)漏洞利用代码。 一、背景 腾讯安全威胁情报中心研究人员在日常巡检中发现,有攻击者利用Apache Solr远程代码执行漏洞(CVE-2019-0193)对某客户进行攻击,由于客户部署的腾讯云防火墙已对该类型攻击进行识别并设置为“阻断”,该攻击未对客户资产造成损失。 进一步分析后发现,此次攻击属于BuleHero挖矿蠕虫病毒,且该变种版本新增了SMBGhost(CVE-2020-0796)漏洞利用代码。 该团伙擅长利用各类Web服务器组件漏洞进行攻击,包括:Tomcat任意文件上传漏洞、Apache Struts2远程代码执行漏洞、Weblogic反序列化漏洞、Drupal远程代码执行漏洞、Apache Solr 远程命令执行漏洞、PHPStudy后门利用均在其武器列表中。此外还会利用永恒之蓝漏洞、$IPC和MSSQL弱口令爆破等等攻击手法,攻击成功后,会在目标机器植入门罗币挖矿木马和远控木马。 腾讯安全系列产品应对BuleHero挖矿蠕虫的响应清单: 应用 场景 安全产品 解决方案 威 胁 情 报 腾讯T-Sec 威胁情报云查服务 (SaaS) 1)BuleHero挖矿蠕虫相关IOCs已入库。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics 腾讯T-Sec 高级威胁追溯系统 1)BuleHero挖矿蠕虫相关信息和情报已支持检索。 网管可通过威胁追溯系统,分析日志,进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息,可参考:https://cloud.tencent.com/product/atts 云原生安全 防护 云防火墙 (Cloud Firewall,CFW) 基于网络流量进行威胁检测与主动拦截,已支持: 1.BuleHero挖矿蠕虫关联的IOCs已支持识别检测; 2.检测以下类型漏洞利用: Struts2漏洞利用 PHPWeb漏洞利用 Weblogic漏洞利用 Drupal漏洞利用 Tomcat漏洞利用 永恒之蓝漏洞MS17-010 SMBGh0st漏洞CVE-2020-0796 有关云防火墙的更多信息,可参考: https://cloud.tencent.com/product/cfw 腾讯T-Sec  主机安全 (Cloud Workload Protection,CWP) 1.支持查杀BuleHero挖矿蠕虫相关木马程序; 2.检测以下漏洞: Apache Struts2漏洞CVE-2017-5638 WebLogic 漏洞CVE-2018-2628 WebLogic 漏洞CVE-2017-10271 Thinkphp5漏洞CNVD-2018-24942 Tomcat漏洞CVE-2017-12615 Drupal漏洞CVE-2018-7600 永恒之蓝漏洞MS17-010 SMBGh0st漏洞CVE-2020-0796 腾讯主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息,可参考:https://cloud.tencent.com/product/cwp 腾讯T-Sec 安全运营中心 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全(云镜)、腾讯御知等产品数据导入,为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 关于腾讯T-Sec安全运营中心的更多信息,可参考:https://s.tencent.com/product/soc/index.html 非云企业安全防护 腾讯T-Sec 高级威胁检测系统 (腾讯御界) 1.已支持通过协议检测BuleHero挖矿蠕虫与服务器的网络通信; 2.检测以下漏洞利用: Apache Struts2漏洞CVE-2017-5638 WebLogic 漏洞CVE-2018-2628 WebLogic 漏洞CVE-2017-10271 Thinkphp5漏洞CNVD-2018-24942 Tomcat漏洞CVE-2017-12615 Drupal漏洞CVE-2018-7600 永恒之蓝漏洞MS17-010 SMBGh0st漏洞CVE-2020-0796 关于T-Sec高级威胁检测系统的更多信息,可参考: https://cloud.tencent.com/product/nta 腾讯T-Sec终端安全管理系统(御点) 1)可查杀BuleHero挖矿蠕虫入侵释放的木马程序; 腾讯御点提供企业终端的防毒杀毒、防入侵、漏洞管理、基线管理等能力,关于T-Sec终端安全管理系统的更多资料,可参考:https://s.tencent.com/product/yd/index.html 更多产品信息,请参考腾讯安全官方网站https://s.tencent.com/ 二、详细分析 腾讯云防火墙捕获到利用Apache Solr远程代码执行漏洞(CVE-2019-0193)攻击流量,该攻击Payload利用certutil.exe命令下载http[:]//UeR.ReiyKiQ.ir/download.exe执行。 2019年08月01日Apache官方发布Apache Solr远程代码执行漏洞(CVE-2019-0193)安全通告,Apache Solr DataImport功能在开启Debug模式时,可以接收来自请求的”dataConfig”参数,在dataConfig参数中可以包含script恶意脚本导致远程代码执行。官方通告如下:https://issues.apache.org/jira/browse/SOLR-13669 腾讯云防火墙对该漏洞利用及时进行阻断,客户服务器资产未遭受损失。 腾讯安全研究人员对Payload进行分析后,确认该攻击事件属于BuleHero挖矿蠕虫病毒,此次变种新增了SMBGhost(CVE-2020-0796)漏洞利用代码。 download.exe下载木马http[:]//UeR.ReiyKiQ.ir/SesnorDateService.exe。 SesnorDateService.exe在Windows目录下创建文件 C:\Windows\<random>\EventisCache\divsfrsHost.exe,并释放SMBGhost漏洞攻击程序divsfrsHost.exe。 漏洞攻击代码采用开源程序 https://github.com/chompie1337/SMBGhost_RCE_PoC/blob/master/exploit.py 生成,并利用Pyinstaller打包生成exe可执行程序。 此外SesnorDateService.exe还利用其他多个Web应用漏洞进行攻击: Apache Struts2漏洞【CVE-2017-5638】 WebLogic 漏洞【CVE-2018-2628】 WebLogic 漏洞【CVE-2017-10271】 Thinkphp5漏洞【CNVD-2018-24942】 Tomcat漏洞【CVE-2017-12615】 Drupal漏洞【CVE-2018-7600】 通过内置的账号密码字典对MSSQL进行远程爆破攻击。 通过内置的账号密码字典对IPC$进行远程爆破攻击。 利用永恒之蓝漏洞攻击。 检测phpStudy后门。 释放XMRig挖矿木马挖矿门罗币。 释放远控木马Hentai.exe拷贝自身至系统system32目录下命名为随机名,并将文件设置为隐藏属性,然后安装为服务“Uvwxya”进行自启动。 木马启动后解密出PE文件并加载到内存执行。 尝试连接C2地址ai.0x1725.site。 释放的远控木马可根据服务端指令完成上传下载文件、执行任意程序、进程管理、窗口管理、服务管理、网络代理、远程shell、清除日志等功能。 IOCs Domain uer.reiykiq.ir gie.ezrutou.ir Ecc.0ieyFeD.ir Sub.0ieyFed.ir Js.0ieyFed.ir fky.6d6973616b61.cyou fky.6d6973616b61.icu fky.6d6973616b61.xyz fky.simimasai.fun fky.simimasai.online fky.simimasai.site fky.simimasai.space fky.simimasai.xyz oio.seeeeeeeeyou.su ai.0x1725.site MD5 download.exe 303d038621c2737f4438dbac5382d320 divsfrshost.exe daf42817f693d73985cd12c3052375e2 hentai.exe 386be8418171626f63adb52d763ca1c0 URL http[:]//uer.reiykiq.ir/AdPopBlocker.exe http[:]//UeR.ReiyKiQ.ir/download.exe http[:]//UeR.ReiyKiQ.ir/SesnorDateService.exe 参考链接: https://cloud.tencent.com/developer/article/1486905 https://issues.apache.org/jira/browse/SOLR-13669 https://www.freebuf.com/column/180544.html https://www.freebuf.com/column/181604.html https://www.freebuf.com/column/197762.html https://www.freebuf.com/column/204343.html https://www.freebuf.com/articles/219973.html

物联网设备存在较大安全隐患 专家可轻松掌控 Smarter 咖啡机

尽管名称为“Smarter”,但这家主打互联网连接的厨房电器制造商并不意味着比传统电器公司更聪明。早在 2015 年,Smarter 的产品就曾曝光过安全问题,当时总部位于伦敦的安全公司 Pen Test 发现,可以恢复初代 Smarter iKettle 咖啡机中使用的 Wi-Fi 加密密钥。随后团队还发现第二代 iKettle 和其他 Smarter 旗下的咖啡机存在其他问题,包括没有固件签名,芯片组 ESP8266 内部没有可信的安全区域(Enclave)等等。   两年前,Smarter 发布了 iKettle 3 和 Coffee Maker version 2,为 Pen Test 合作伙伴工作的研究专家 Ken Munro 表示更新后的产品使用了新的芯片组,修复了这些问题。但是他表示,Smarter 从未发布过CVE漏洞的指定,也没有公开警告客户。 安全公司 Avast 的研究专家 Martin Hron 对其中一台老式咖啡机进行了逆向工程,看看他能用它做什么样的黑客。经过一周多时间的努力,Hron 发现可以做到的事情有很多,包括触发咖啡机的加热器、出水、旋转磨豆机、显示赎金信息,反复发出哔哔声。而消费者停止这一切的唯一方式就是拔掉电源。   Hron 在接受采访时说:“这样做是为了指出,这种情况确实发生过,而且可能发生在其他物联网设备上。这是一个开箱即用(out-of-the-box)的问题的好例子。你不需要配置任何东西。通常情况下,厂商不会考虑到这一点”。 当 Hron 第一次插上他的Smarter咖啡机时,他发现它立即充当了一个Wi-Fi接入点,使用不安全的连接与智能手机应用进行通信。该应用程序则用于配置设备,如果用户选择,则将其连接到家庭Wi-Fi网络。   但这些破坏力还不够,于是他又检查了咖啡机用来接收固件更新的机制。结果他发现这些更新是从手机上接收的,而且是没有加密、没有认证、没有代码签名。这些明显的疏漏恰恰为Hron创造了机会。由于最新的固件版本存储在Android应用中,他可以将其拉到电脑上,并使用 IDA (一种软件分析器、调试器和反汇编器)进行逆向工程,找到了人类可读的字符串。Hron最终获得了足够的信息,写出了一个 python 脚本,最终实现了上述入侵。     (稿源:cnBeta,封面源自网络。)

Edge 稳定版 85.0.564.63 发布:修复诸多严重安全漏洞

本次稳定版更新并不是修复存在于 Edge 中的漏洞,而是修复存在于 Chromium 浏览器中漏洞。新的稳定版本更新中修复了以下漏洞: ● CVE-2020-15960 ● CVE-2020-15961 ● CVE-2020-15962 ● CVE-2020-15963 ● CVE-2020-15964 ● CVE-2020-15965 ● CVE-2020-15966 微软将这些漏洞的严重性评级为高,建议用户尽快更新Microsoft Edge。 CVE-2020-15966是一个漏洞,它允许攻击者只使用一个精心制作的扩展程序从设备中获取敏感信息。一旦用户安装这些扩展程序,他们最终可能会读取浏览器中的敏感信息。CVE中写道:“ Chrome 85.0.4183.121 之前的版本中对扩展的策略执行不重返,允许攻击者使用特制的扩展程序来获取敏感信息。” CVE-2020-15960 本身也描述了一种非常简单的攻击方法,因为它要求攻击者只需将易受攻击的浏览器指向一个恶意的HTML页面。更具体地说,黑客可以在消息平台上或通过电子邮件向用户发送一个链接,将用户指向一个被入侵的网站托管代码,利用Chrome存储组件中的堆缓冲区溢出故障。     (稿源:cnBeta,封面源自网络。)