分类: 网络安全

研究发现制造业的计算机数据面临过度曝光的风险

数据安全公司Varonis根据对制造业50个组织的40亿个文件的分析发布了一项研究,发现该行业存在着数据过度暴露的巨大问题。每个员工在工作的第一天平均可以访问600万个文件,每10个组织中就有4个向每个员工开放1000多个敏感文件。 此外,44%的公司有超过1000个活跃的”幽灵用户”账户–这些账户的用户已经离开公司或转到另一个角色,但他们的账户仍处于活跃状态。此外,超过一半的公司有超过500个账户的密码从未设定过期日期。 “制造商持有敏感的、令人难以置信的宝贵数据,使他们处于危险之中。正如我们在WannaCry、DarkSide和许多其他攻击中看到的那样,勒索软件可以使生产线停止运转,使企业停滞不前。太多时候,信息被过度暴露,保护不足。”Varonis技术总监Matt Lock说:”为了限制攻击者可能造成的损害,你必须缩小你遇到意外时的’爆炸半径’。公司需要问自己三个问题,以更好地准备应对攻击。你知道你的重要数据存放在哪里吗?你知道只有正确的人可以访问它吗?你知道他们在正确使用数据吗?如果你不知道这三个问题的答案,你将无法识别网络攻击的早期阶段。” 你可以在Varonis博客上阅读更多内容并获得完整的报告: https://www.varonis.com/blog/manufacturing-data-risk-report-reveals-files-open-to-all-employees/ 下面还有一个关于调查结果的信息图表摘要:   (消息及封面来源:cnBeta)

Mozilla 已经在技术上穿透了微软在 Windows 中的默认浏览器保护措施

最近,Mozilla已经悄悄地使在Windows上切换到Firefox变得更加容易。虽然微软提供了一种在Windows 10上切换默认浏览器的方法,但它比简单的一键切换到Edge的过程更繁琐。这种一键式流程对微软以外的人来说并不可用,而Mozilla似乎已经厌倦了这种情况。 图片网址:https://static.cnbetacdn.com/article/2021/09/67575052607bdd6.gif 在8月10日发布的91版Firefox浏览器中,Mozilla对微软在Windows 10中把Edge设置为默认的方式进行了逆向工程,并使Firefox浏览器能够迅速使自己成为默认设定。在这一变化之前,Firefox浏览器的用户会被送到Windows 10的设置部分,然后你选择Firefox浏览器作为默认浏览器,从而忽略了微软Windows弹出的关于保留Edge默认设定的请求。 Mozilla的逆向工程意味着你现在可以在浏览器内将Firefox浏览器设置为默认浏览器,而且它在后台完成所有工作,没有额外的提示。这规避了微软对自己浏览器的保护措施,该公司在Windows 10中建立了这种保护措施,对外宣称以确保恶意软件无法劫持默认应用程序,而微软在Windows 11中使这一过程更加困难。 “人们应该有能力简单轻松地设置默认值,但他们没有,”Mozilla发言人在一份声明中说。”所有的操作系统都应该提供官方开发者对默认状态的支持,这样人们就可以轻松地将他们的应用程序设置为默认状态。由于这一点在Windows 10和11上没有发生,Firefox浏览器依靠Windows环境的其他方面给人们提供类似于Windows为Edge提供的体验。” 自2015年致微软的公开信以来,Mozilla一直试图说服微软改善Windows中的默认浏览器设置,但很显然微软方面没有对此作出任何回应,反倒让Windows 11切换默认浏览器变得更加困难。这似乎已经超出了Mozilla方面忍耐的极限,因此Mozilla在6月份Windows 11揭幕后不久就开始在Firefox中实施其变化。 到目前为止,Google、Vivaldi、Opera和其他基于Chromium的浏览器都没有跟随Mozilla的步伐,目前还不清楚微软究竟会如何回应。微软确实有一些真正与安全相关的理由来保护反劫持的恶意软件,但通过允许Edge轻松切换默认值,它破坏了竞争对手的浏览器供应商的公平竞争环境。   (消息及封面来源:cnBeta)

Spook.js:可绕过 Google 严苛网站隔离安全功能获取密码等数据

为了应对 Spectre 漏洞,Google 推出了名为“Strict Site Isolation”(严苛网站隔离)的安全功能,主要是防止未经授权的数据被盗。不过近日一支由多所国际大学组成的团队发现了 Spook.js,这种恶意的 JavaScript 代码可以绕过 Google 的这项安全功能从其他标签中获取密码等敏感数据。 目前,安全专家已经证实 Intel 处理器和苹果 M1 芯片受到影响,但 AMD 芯片也被认为存在风险,但是目前并没有得到充分证明。 该团队由乔治亚理工学院、阿德莱德大学、密歇根大学和特拉维夫大学的研究人员组成。他们说,“尽管 Google 试图通过部署严格的网站隔离来缓解 Spectre,但在某些情况下,通过恶意的 JavaScript 代码提取信息仍然是可能的”。 研究人员继续说:“更具体地说,我们表明,攻击者控制的网页可以知道用户当前正在浏览同一网站的哪些其他页面,从这些页面中获取敏感信息,甚至在自动填充时恢复登录凭证(例如,用户名和密码)。我们进一步证明,如果用户安装了一个恶意扩展,攻击者可以从 Chrome 扩展(如凭证管理器)中检索数据”。 安全研究人员分享了几段视频,展示了 Spook.js 的行动。在第一段视频中,该攻击被用来从 Chrome 浏览器的内置凭证管理器中获取 Tumblr 博客的密码。 视频1网址:https://www.bilibili.com/video/BV16U4y1P7Lw 在第二个视频中,一个恶意的浏览器扩展被用来从 LastPass 盗取主密码。 视频2网址:https://www.bilibili.com/video/BV18A411F7DT   (消息及封面来源:cnBeta)

全球超 200 万服务器仍运行过时 IIS 组件

根据市场调查机构 CyberNews 公布的最新研报,全球有超过 200 万台网络服务器依然在运行过时且容易受到攻击的微软互联网信息服务(IIS)旧版本。IIS 占全球市场的 12.4%,是第三大最受欢迎的网络服务器软件套件,用于支持至少 5160 万个网站和网络应用。 不过,早于 7.5 的旧版本 IIS 已经不再受到微软的支持。与其他类型的过时服务器软件一样,微软IIS的所有遗留版本都存在许多关键的安全漏洞,使它们成为威胁者的一个有吸引力的目标。 CyberNews 研究人员使用一个物联网搜索引擎,寻找容易受到已知 CVE 影响的未打补丁的 IIS 网络服务器。在过滤掉蜜罐(安全团队使用的诱饵系统)后,他们发现了 2,033,888 个易受攻击的服务器。由于承载公共网站的服务器必须是可公开访问的,以发挥其功能,它们也在广播其过时的 IIS 版本,供所有人看到。 CyberNews 安全研究员 Mantas Sasnauskas 说:“这意味着在明显有漏洞的软件上运行这些服务器,等于向威胁者发出了渗透到他们网络的邀请”。目前国内有 679,941 个运行传统版本 IIS 的暴露实例,位居易受攻击的服务器地点之首。美国有 581,708 台未受保护的服务器,位居第二。 ThreatX 的首席技术官 Andrew Useckas 表示:“中国之所以有如此多运行旧版 IIS 的服务器,是因为它们比 Linux 服务器更容易安装,而且由于使用盗版绕过了许可证费用。而这些安装盗版的用户也不知道如何进行维护,更别说进行升级了”。   (消息及封面来源:cnBeta)

Office 365 将允许管理员阻止受信任文档上的活动内容

Bleeping Computer 报道称:微软正计划允许 Office 365 管理员能够设置一项全局策略,从而让组织内的所有用户都无法忽略“阻止受信任文档上的活动内容”的提示。据悉,这项设置旨在默认阻止受信任文档上无需用户交互的 ActiveX 控件、宏操作、以及动态数据交换(DDE)等功能。 微软中国官方商城 – Office 可信文档(官方解释) 正常情况下,来自潜在不安全位置的文件,默认是以只读方式打开的。 然而即使被添加了可能存在恶意操作的活动内容,发生修改的受信任文档也会在没有任何提示的情况下被自动打开,结果就是绕过了 Office 的“受保护视图”防线。 好消息是,作为正在进行的 Office 安全强化工作的一部分,如果文件自上次受信后发生了移动或变化,用户将继续看到相关安全提示。 (图自:Microsoft Support) 微软在 Office 365 路线图上表示: 我们正在改变 Office 应用程序的行为,以强制执行阻止可信文档上的活动内容,比如 ActiveX 控件、宏操作、以及动态数据交换等策略。 此前就算 IT 管理员设置了阻止策略,软件仍允许活动内容在受信任的文档中运行。按照计划,微软将在 10 月底之前,向世界各地的所有客户推送这项功能更新。 相关新闻中,微软还更新了 Defender for Office 365 服务,以防用户在浏览被隔离的电子邮件时,遭遇到某些嵌入式的威胁。 今年 5 月,该公司更新了企业 Microsoft 365 应用程序(以前被称作 Office 365 专业增强版)的安全基线,以组织未签名的宏和 JScript 代码执行攻击。 今年 3 月,它还为 Microsoft 365 客户引入了 XLM 宏保护,以阻止恶意软件滥用 Office VBA 宏和 PowerShell、JScript、VBScript、MSHTA/Jscript9、WMI 或 .NET 代码(常被用于通过 Office 文档宏来部署的恶意负载)。   (消息及封面来源:cnBeta)

FTC 宣布禁止间谍软件制造商 SpyFone 命令其删除非法收集的数据

据外媒The Verge报道,当地时间周三,美国联邦贸易委员会(FTC)宣布禁止间谍软件制造商SpyFone及其首席执行官 Scott Zuckerman从事监控业务。该委员会称SpyFone是一家“跟踪软件公司”,据称通过隐藏的设备非法收集和分享人们的行动、电话使用和在线活动数据。 FTC在一份声明中说:“该公司的应用程序出售对其秘密监视的实时访问权限,使跟踪者和家庭虐待者能够隐蔽地跟踪他们暴力的潜在目标。SpyFone缺乏基本的安全性,也使设备所有者面临黑客、身份窃贼和其他网络威胁。” 除了禁令之外,FTC还命令SpyFone删除非法收集的数据,并在设备所有者不知情的情况下安装该应用时通知他们。 FTC主席Lina Khan在一份声明中说:“我们必须对监控企业带来的各种威胁保持清醒的头脑。FTC将在数据安全和隐私执法中保持警惕,并将寻求大力保护公众免受这些危险的影响。”   电子前沿基金会(EFF)表示,被应用商店禁止的SpyFone应用程序可以在用户不知情的情况下被用来追踪用户的行动和在线活动,有时被推销为”追踪出轨配偶”的方法,或者更巧妙地用来监视员工或孩子。据反对跟踪软件联盟(Coalition Against Stalkerware)称,这类应用程序可被用于延续骚扰和虐待。 SpyFone说,这款应用程序有几个功能,包括监控电子邮件和视频聊天。SpyFone表示,该应用程序及其首席执行官被禁止“提供、推广、销售或宣传任何监控应用程序、服务或业务”。 EFF赞扬了FTC的命令。该基金会的领导层在一篇博文中写道:“随着FTC现在将其重点转向这一行业,跟踪软件的受害者可以开始找到安慰,因为监管机构开始认真对待他们的关切。” FTC委员以5比0的投票结果接受了与该公司的同意令。根据同意令协议,现在以Support King名义开展业务的SpyFone公司没有承认或否认FTC的指控。FTC委员Rohit Chopra发表了一份单独的声明,称拟议的命令“绝不是免除 ”该公司或其首席执行官的潜在刑事责任。 “虽然这一行动是值得的,但我担心FTC将无法利用我们的民事执法机构对跟踪应用程序的犯罪事实进行有意义的打击,”Chopra写道。“我希望联邦和州的执法者审查刑事法律的适用性,包括《计算机欺诈和滥用法》、《联邦反窃听法案》和其他刑事法律,以打击非法监控,包括使用跟踪软件。”   (消息及封面来源:cnBeta)

新研发的防御形式可让计算机应对来自 U 盘的威胁

即使在云时代,U盘仍然常用于在办公室和家庭电脑之间交换信息,但它们也被黑客用作渗透系统的一种方式。英国利物浦霍普大学的研究人员已经开发出一种新的扫描设备,可以对抗USB设备带来的威胁。 USB驱动器的一个问题是,计算机的操作系统倾向于将其作为一个受信任的组件。这意味着,一旦连接,它们可以自动执行可能是恶意的脚本 新设备位于U盘和电脑之间,充当网关或屏障,它能够扫描U盘上的恶意软件,阻止网络攻击的发生。 Shishir Kumar Shandilya博士是希望大学数学、计算机科学和工程学院的访问研究员,他解释说。 我们的发明通过提供额外的硬件安全层和隐藏主机操作系统信息来保护主机计算设备。这是通过向外部设备展示计算设备的伪装信息来实现的。伪装的信息有效地混淆了插在计算设备上的外部存储设备。 本发明还具有识别恶意软件的方法和智能,并具有隐藏主机信息的能力,使恶意代码几乎无法攻击。设备还可以扫描USB设备,并决定主机USB设备中存在的文件的可见性和可访问性,给予完全访问、部分访问或完全封锁。 该设备属于网络安全研究的一个新兴领域,被称为自然启发的网络安全(NICS)。顾名思义,它结合了自然界的想法和现象,确保操作系统不会成为黑客的受害者。Shandilya博士将NICS描述为”未来的防御机制”,并补充说:”NICS是一个新的研究领域,是生物启发计算和网络安全的综合体”。 该研究小组有一个功能齐全的原型,目前正在与制造商联系,以使该设备成为商业现实。   (消息及封面来源:cnBeta)

加拿大魁北克疫苗护照应用的 QR 码安全性受到质疑

在安全研究人员和黑客表明加拿大魁北克省的移动验证系统存在许多安全问题后,一个疫苗护照iOS应用程序的缺陷被揭开。魁北克省发布了其VaxiCode应用程序,这是该省的COVID-19疫苗接种护照,旨在提供一种通过手机来证明一个人的疫苗接种状况的方法。在其发布后不久,整个系统的安全性已经受到质疑。 一位被称为”路易斯”的计算机程序员成功地推翻了魁北克省数字转型部长Eric Caire的说法,即该系统生成的二维码”不能被伪造、修改或复制”。在加拿大广播公司CBC的报道中,该男子设法为一个不存在的人制作了一份假的疫苗接种证明。 在VaxiCode应用程序中存储该证明后,该证明能够骗过VaxiCode Verif配套应用程序,该应用程序旨在为企业验证文件。 “老实说,我对自己能够如此轻易地穿透系统感到惊讶,”这位程序员说。 安全问题并不仅仅局限于制造假证明。周四,据报道,一群黑客甚至能够获得总理Francois Legault、市长Valerie Plante、魁北克卫生部长Christian Dube的二维码,以及省内反对派的疫苗证明。 这些二维码包含一些信息,包括姓名、出生日期、接种日期和使用的疫苗类型。Caire淡化了这个问题,坚持认为该系统使用起来很安全。 该系统旨在尽可能简单,以鼓励采用,但Caire说该省可以使获得二维码的过程更加复杂,以提高安全性。 Caire还说,公民还必须出示带照片的身份证明,才能去需要疫苗接种护照的场所。”故事的核心是证明你的身份,”凯尔说。”我想说得很清楚,二维码没有被伪造,没有被修改,它仍然是安全的。” 魁北克省从9月1日起强制要求在一些活动中使用疫苗接种护照,包括坐在酒吧或餐馆里,去节日或健身房,以及其他有高传播风险的情况。 这些问题导致魁北克团结会发言人Gabriel Nadeau-Dubois向魁北克省长Legault发出一封信,称这种情况是”不可原谅的混乱”。信中要求总理解决这个漏洞,”否则,需要考虑暂停疫苗护照,直到找到一个长期的解决方案”。   (消息及封面来源:cnBeta)

4 个近期猖獗的新兴勒索软件团体曝光 对企业和关键基础设施构成严重威胁

本周二,网络安全研究人员揭开了 4 个近期比较猖獗的新兴勒索软件团体,它们可能对企业和关键基础设施构成严重威胁。最近勒索软件事件激增的连锁反应表明,攻击者在从受害者那里获取报酬方面正变得越来越复杂,越来越有利可图。 在分享给 The Hacker News 的一份报告中,Palo Alto Networks 的 42 号威胁情报小组表示:“勒索软件危机正处于光明到来之前的至暗时刻,造成最大破坏的网络犯罪集团的阵容正在不断变化”。 在报告中写道:“当这些团伙取得了如此大的名声,以至于他们成为执法部门的优先考虑对象时,他们有时会变得沉默。其他人则重新启动他们的行动,通过修改他们的战术、技术和程序,更新他们的软件和发起营销活动来招募新的成员,使他们更有利可图”。 这一发展是在勒索软件攻击越来越大、越来越频繁、规模越来越大、越来越严重的情况下出现的,同时也超越了金融勒索的范畴,演变为一个紧迫的国家安全和安保问题,威胁到世界各地的学校、医院、企业和政府,促使国际当局制定一系列行动,打击勒索软件的运营商和被滥用来抽走资金的更广泛的 IT 和洗钱基础设施的生态系统。 ● AvosLocker 在介绍的 4 个勒索软件团体中,最出名的是 AvosLocker,这是一个勒索软件即服务(RaaS)集团。该集团于今年 6 月下旬通过“新闻稿”(press releases)方式运作,这些新闻稿带有蓝色甲虫的标志,以招募新的分支机构。该集团还经营着一个数据泄露和勒索网站,据说已经攻破了美国、英国、阿联酋、比利时、西班牙和黎巴嫩的六个组织,赎金要求从 50,000 美元到 75,000 美元不等。 ● Hive Hive 尽管与 AvosLocker 在同一个月开张,但已经袭击了几个医疗机构和中型组织,包括一家欧洲航空公司和三个美国机构,以及位于澳大利亚、中国、印度、荷兰、挪威、秘鲁、葡萄牙、瑞士、泰国和英国的其他受害者。 ● HelloKitty 它专门针对运行 VMware 的 ESXi 管理程序的 Linux 服务器。Unit 42研究人员Doel Santos和Ruchna Nigam说:“观察到的变体影响了意大利、澳大利亚、德国、荷兰和美国的五个组织。从这个团体观察到的最高赎金要求是1000万美元,但在撰写本报告时,威胁者只收到了三笔交易,总额约为148万美元”。 ● LockBit 2.0 这是一个成熟的勒索软件集团,在 6 月以 2.0 版本的联盟计划重新出现,吹嘘其”加密速度和自我传播功能”的”无与伦比的好处”。开发者不仅声称它是”全世界最快的加密软件”,该组织还提供一个名为 StealBit 的窃取器,使攻击者能够下载受害者的数据。 自2021年6月首次亮相以来,LockBit 2.0已经入侵了会计、汽车、咨询、工程、金融、高科技、酒店、保险、执法、法律服务、制造、非营利性能源、零售、运输和物流行业的52个组织,横跨阿根廷、澳大利亚、奥地利、比利时、巴西、德国、意大利、马来西亚、墨西哥、罗马尼亚、瑞士、英国和美国。   (消息及封面来源:cnBeta)

新加坡和美国将在网络安全方面进行更紧密的合作

据ZDNet报道,新加坡政府与美国政府签署了几份谅解备忘录,以扩大他们在国防、银行和研究与开发等领域的网络安全合作。这些活动包括增加信息共享、团队建设、培训和技能发展。 在美国副总统卡马拉·哈里斯为期三天的访问中的周一签署了三份谅解备忘录。其中一个是新加坡和美国网络安全和基础设施安全局之间的协议,旨在将网络安全伙伴关系扩大到数据共享和交流之外。两个政府机构将探索新的合作领域,如重要的技术研究和开发。 第一份谅解备忘录将使两个合作伙伴加强国家之间现有的伙伴关系,以便他们能够密切合作,更好地抵御网络攻击。 第二份谅解备忘录旨在就网络空间的众多活动进行合作。这些活动将包括相互了解、数据共享和能力建设。 第三份谅解备忘录涉及新加坡金融管理局(MAS)和美国财政部,旨在加强双边机构合作。该协议涵盖了金融信息共享、人员培训和跨境网络安全演习等主题。 CSA的首席执行官David Koh指出,两国都认识到改善网络安全伙伴关系的重要性,在加强网络安全合作方面有着强烈的共同利益,特别是因为网络安全现在是使两国利用数字化发展各自经济和改善生活的一个关键因素。 CISA主任Jen Easterly说:”网络威胁不受国界限制,这就是为什么国际合作是拜登 – 哈里斯政府处理网络安全的一个关键部分。谅解备忘录使我们能够加强与新加坡的现有伙伴关系,以便我们能够更有效地合作,共同抵御今天的威胁并确保未来的风险。 据Mindef称,两国军队之间已经有了交流,培训和国防技术合作。2005年,新加坡通过《战略框架协议》被确认为安全合作的重要伙伴,2015年,通过《加强防务合作协议》将防务合作扩展到网络安全和生物安全等多个安全领域。   (消息及封面来源:cnBeta)