分类: 网络安全

小心你的钱包!微软警告更加隐蔽的支付凭证窃取攻击

根据Microsoft 365 Defender 研究团队5月23日发表的研究文章,安全人员最近观察到使用多种混淆技术来避免检测的网页掠夺(Web skimming)攻击。这些攻击大多被用来针对电商等平台以窃取用户支付凭证。 网页掠夺攻击 网页掠夺通常针对 Magento、PrestaShop 和 WordPress 等底层平台,这些平台因其易用性和第三方插件的可移植性而成为在线电商网站的热门选择。但这些平台和插件带有漏洞正被攻击者利用。 掠夺攻击示意图 攻击者通过在 PHP 中编码来混淆略读脚本(skimming script),然后将其嵌入到图像文件中,通过这种方式,代码在加载网站的索引页面时执行。安全人员还观察到注入恶意 JavaScript 的受感染 Web 应用程序伪装成 Google Analytics 和 Meta Pixel脚本。一些浏览脚本还包括反调试机制。 在某个场景下,当用户在网站结帐页面继续输入他们的信用卡或借记卡详细信息以支付所下订单时,攻击代码将被激活。在该页面的表格上键入的任何内容都会被窃取并发送给攻击者,然后攻击者使用这些详细信息进行在线购买或将数据出售给他人。 隐蔽的攻击手法 微软的分析师报告称,目前三种十分隐蔽的攻击手法的使用正有所增加,分别是:在图像中注入脚本、字符串连接混淆和脚本欺骗。 图像注入脚本:内含base64 编码 JavaScript 的恶意 PHP 脚本,以图像文件的形式伪装成网站图标上传到目标服务器,能在识别出结账页面的情况下运行。 字符串连接混淆:获取托管在攻击者控制的域上的浏览脚本,以加载虚假的结帐表单,该域是 base64 编码并由多个字符串连接而成。 脚本欺骗:将浏览器伪装成 Google Analytics 或 Meta Pixel ,将 base64 编码的字符串注入到欺骗性的 Google 跟踪代码管理器代码中,诱使管理员跳过检查,认为这是网站标准代码的一部分。 防范网页掠夺 微软提醒,鉴于攻击者在攻击活动中采用越来越多的规避策略,企业组织应确保其电商平台、CMS 和已安装的插件是最新版本,并且只下载和使用来自受信任来源的第三方插件和服务。此外,还必须定期彻底检查其网络资产是否存在任何受损或可疑内容。 对于用户而言,应当开启防病毒程序,在结账过程中,注意付款细节,对弹出的可疑窗口提高警惕。   转自 Freebuf,原文链接:https://www.freebuf.com/news/334211.html 封面来源于网络,如有侵权请联系删除

国际刑警组织:国家网络武器将很快在暗网上出现

国家网络武器终将在暗网扩散,这一进程难以逆转。 图:国际刑警组织秘书长Jurgen Stock 国际刑警组织秘书长Jurgen Stock警告,由国家开发的网络武器会在“几年”后出现在暗网上; 他呼吁商界领袖加强与政府及执法部门的合作,上报网络安全事件,明晰威胁态势。 国际刑警组织高级官员警告称,军方在网络战中使用的数字工具,最终有可能落入恶意黑客手中。 国际刑警组织秘书长Jurgen Stock表示,他担心由国家开发的网络武器会在“几年”后出现在暗网上。所谓暗网,是指互联网上的一个隐藏部分,无法通过谷歌等搜索引擎直接访问。 周一(5月23日),在瑞士达沃斯举行的世界经济论坛上,Stock提出,“这已经成为现实世界中的一大主要问题——战场上使用的武器逐渐落入有组织的犯罪团伙手中。” 他还补充道,“数字武器也不例外。也许当前由军方开发使用的数字武器,明天就会被恶意黑客所利用。” 网络武器分为多种形式,其中可用于锁定目标计算机系统迫使受害者支付赎金的勒索软件,已经成为关键。长期以来,网络战一直是全球政府关注的焦点,并在此次俄乌战争中再次吸引整个世界的目光。 俄罗斯多次被归因指责,在俄乌战争前期先向乌克兰发动多次网络攻击。不过俄罗斯政府一直否认此类指控。与此同时,乌克兰得到了世界各地志愿黑客的支援,协助其应对俄罗斯的攻击。 Stock呼吁商界领袖加强与政府及执法部门的合作,确保更行之有效地监管网络犯罪。 他表示,“一方面,我们需要把握当前态势;而另一方面,我们需要私营部门数据的支持。” “我们需要企业的网络泄露报告。没有这些报告,我们将无法看到威胁形势。” Stock说,目前“大量”的网络攻击未被上报。“这不仅仅是执法部门要求我们打通的组织与信息孤岛,更是我们需要弥合的现实差距。” 根据世界经济论坛《全球网络安全展望》报告,2021年全球网络攻击数量增加了一倍以上。报告称,勒索软件仍是当下最流行的攻击类型,各受访组织每年平均被攻击270次。 参与讨论的企业高管和政府官员表示,网络安全事件正在令关键能源基础设施和供应链面临风险。 工控安全公司Dragos联合创始人兼CEO Robert Lee也敦促企业关注现实威胁场景,例如2015年由俄罗斯支持的对乌电网攻击,而非一味假设风险场景。乌克兰已经在今年4月成功抵挡住一次类似的能源基础设施破坏企图。 Lee总结道,“我们的问题用不着‘下一代’AI、区块链或者其他技术来解决。我们的问题在于,很多已经投资并开发完成的成果仍未得到实际应用。”   转自 安全内参,原文链接:https://www.secrss.com/articles/42740 封面来源于网络,如有侵权请联系删除

Version 安全报告:2021 年勒索软件依然是网络攻击的主角

在刚刚过去的 2021 年,勒索软件依然是网络攻击的主角。相比较窃取数据,攻击者更愿意通过锁定数据收取赎金来牟利。根据 Verizon 的 2022 年数据泄露调查报告,勒索软件攻击(涉及恶意代码扰乱受害者计算机上的数据)今年增加了 13%,相当于过去五年的总和。 这是 Verizon 的第 15 次年度报告。研究人员分析了来自 5212 起勒索事件和 23896 起安全事件的数据。相比之下,Verizon 在 2008 年的第一份报告着眼于三年期间的 500 起事件。 在接受 CNET 采访的时候,该研究的主要作者之一亚历克斯·平托(Alex Pinto)表示:“这是一段非常疯狂的旅程”。他补充说,在 2008 年,没有人真正想过要量化和衡量网络攻击。 由于 Colonial Pipeline 和 JBS USA 等公司被攻击,勒索软件在 2021 年成为头条新闻。管道运营商和肉类加工商都支付了相当于数百万美元的费用来解锁他们的数据,但他们的业务关闭导致了恐慌性购买以及天然气和肉类价格的飙升。 Pinto 表示在 15 年前,勒索软件还是非常小众。这种攻击方式直到 2008 年才开始崛起,到 2013 年已经受到了各界关注。 Pinto 表示如今,许多网络犯罪分子发现,他们可以通过锁定公司数据而不是窃取数据进行财务欺诈或身份盗窃,从而以更少的工作赚更多的钱。他说,尽管数据盗窃案件仍然存在,但出售窃取的信息会增加网络攻击者的时间和风险。 无论是勒索软件攻击还是数据泄露,人类仍然是攻击的薄弱环节。在过去的 15 年中,涉及网络犯罪分子说服人们下载恶意软件或交出凭据的社会工程的使用已从违规总数的 10% 上升到 25%。   转自 cnBeta,原文链接:https://www.cnbeta.com/articles/tech/1273281.htm 封面来源于网络,如有侵权请联系删除

Mozilla Firefox 100.0.2 版本发布 包含两个关键安全修复

Mozilla刚刚发布了一个新的Firefox浏览器版本,这次的小改版在安全方面却并不小。新的更新使浏览器达到了100.0.2版本,包括两个关键的安全修复。Mozilla已经将这两个安全修复标记为严重等级,它们是由趋势科技的零日计划的研究员Manfred Paul报告的,建议大家尽快安装。 下载地址: http://ftp.mozilla.org/pub/firefox/releases/100.0.2/ 第一个漏洞涉及顶级审计实施中的一个原型污染。 Mozilla说:”如果攻击者能够通过原型污染破坏JavaScript中Array对象的方法,他们就可以实现在特权环境下执行攻击者控制的JavaScript代码。” 第二个漏洞被记录在CVE-2022-1529中,是一个用于Javascript对象索引的不可信任的输入,Mozilla说它也导致了原型污染。 “该公司说:”攻击者可能向父进程发送一条消息,其中的内容被用来对一个JavaScript对象进行双重索引,导致原型污染,最终在有特权的父进程中执行攻击者控制的JavaScript。” 如前所述,建议所有用户尽快更新到最新的Firefox版本,特别是考虑到安全问题。 第三方统计数据显示,Google Chrome浏览器是市场上的头号选择,市场份额接近70%,亚军目前是由微软Edge拥有,而Firefox浏览器是市场上唯一的具有较大影响力的非Chromium浏览器。 转自 cnBeta,原文链接:https://www.cnbeta.com/articles/tech/1272291.htm 封面来源于网络,如有侵权请联系删除

美国联合 37 家科技巨头共同发布《开源软件安全动员计划白皮书》

为解决开源软件安全这项特殊的挑战,近期,科技大厂、开源社群与美政府持续商讨,如今已有具体行动,在两次峰会举办之后,《开源软件安全动员计划白皮书》正式发布,首年投入经费将达6,840万美元,次年为7,950万美元。 面对开源软件安全的议题,全球都在关注,如今美国政府与科技巨头正积极采取行动,希望能改善相关风险。今年1月,美国白宫曾举行开源软件安全峰会,邀请多家科技巨头,商讨这个独特的安全挑战,近期,5月中旬二度举办开源软件安全峰会,这场会议,由Linux基金会与开源安全基金会(OpenSSF)召开,集结37家科技巨头的高层主管,以及美国白宫等多个联邦机关官员,共90人参会,这次会议不仅达成很多的共识,并具体指出将解决开源软件的十大挑战,同时这些科技巨头也承诺,在未来两年内,将投入1.5亿元经费解决相关问题。 值得一提的是,这次会议的召开时间可以说是别具意义,去年同一时间,美国总统拜登签署了一份改善国家网路安全的行政命令EO 14028中,就包括了提高开源软件供应链的安全。 参与这次会议的成员,来自多个重量级行业从业者,包括亚马逊、谷歌、微软、威睿、戴尔、英特尔、摩根大通、GitHub等,同时也有多个美国政府机关的官员出席,包括来自美国白宫、美国国家安全委员会(NSC)、美国网路安全及基础设施安全局(CISA)、美国国家标准暨技术研究院(NIST)、白宫网路主任办公室(ONCD)、能源部(DOE)与美国行销管理和预算局(OMB)的官员。这样的组合,其实也显现出开源社群、科技巨头,以及美国联邦政府之间加强合作的态势与重要性。 面对开源软件安全议题,聚焦解决10大问题 该如何改善开源软件安全?Linux基金会与开源安全基金会在收集多方意见后,现已发布首个广泛解决开源软件安全的计划项目,名为”开源软件安全动员计划”(The Open Source Software Security Mobilization Plan),当中最受关注的焦点就是,不仅详细说明解决开源软件的3大议题与10大问题,也公布解决各项问题将投入的经费。 基本上,在首次开源软件安全峰会上,当时讨论了3个主要目标,包括:首先,确保开源软件生产的安全,重点放在防止程式码与开放原始码套件(Open Source package)的缺陷与漏洞;其次,改善漏洞发现与修补;最后,缩短整个生态体系的修补应变时间。 如今,随着第二次开源软件安全峰会的召开,现已进一步总结出开源软件十大问题,分别是:(一)安全教育、(二)风险评估、(三)数位签章、(四)记忆体安全、(五)资安应变、(六)强化扫描能力、(七)程式码稽核、(八)资料分享、(九)软件物料清单SBOM,以及(十)供应链改善。 具体而言,以确保开源软件生产安全的目标而言,在安全教育面向,透过教育与认证让所有人提升安全软件开发的水准;在风险评估面向上,为最热门的1万个或更多开源软件元件建立一个公开、中立且基于客观指标的风险评估仪表板;在数位签章方面,加速软件发布采用数位签章;在记忆体安全方面,透过替换「不具记忆体安全(non-memory-safe)」的程式语言,来消除许多漏洞的根源。 针对改善漏洞发现与修补的目标而言,在网安应变方面,强调建立OpenSSF开源安全事件回应小组,网安专家可在应对漏洞了解关键时刻介入协助开源项目;在强化扫描能力面向,透过进阶的安全工具与专家指引,加速开源项目维护者与专家对新漏洞的发现;在程式码稽核方面,每年将针对两百多个关键的开源软件元件,进行一次第三方程式码审查以及必要的修补工作;在资料分享方面,将协调所有产业共享相关资料,帮助确定出最关键的开源软件元件并改善研究。 以缩短整个生态体系的修补应变时间的目标而言,在软件物料清单方面,将改善SBOM工具,并且推动这类工具的培训与采用;在供应链改善方面,将运用更好的供应链安全工具与最佳实践,来强化10个最关键的开源软件开发系统、套件管理器与部署系统。 特别的是,这次计划已确定改善这十大问题的投入经费,其中,对于「强化扫描能力」一项的首年投入金费最高,达1,500万美元,后续每年投入1,100万美元,「程式码稽核」的首年投入金额也达1,100万美元,后续每年将投入更多,达4,200万美元。 整体而言,为解决这十大问题,这项计划的首年投入经费将达到6,840万美元,次年将为7,950万美元。 目前,在这1.5亿美元的经费中,已由亚马逊、爱立信、谷歌、微软、威睿共同认捐超过3,000万美元,作为此计划的前期资金。 自今年一月白宫召开开源软件安全峰会后,近日Linux基金会与开源安全基金会(OpenSSF)二度召开此会议,同时发布了开源安全动员计划白皮书,具体商讨出强化开源软件安全需解决10大问题。 美国解决开源软件安全十大问题的经费配置 Linux基金会,iThome整理,2022年5月 在开源软件安全动员计划白皮书中,针对解决开源软件安全的10大问题,都提供了详细的说明。以第一项安全教育而言,当中指出,从历史上看,传统的软件工程课程很少关注、强调,或是通过良好的网络安全教育与安全Coding技术的重要性。因此,OpenSSF提出了以下多管齐下的方法来解决这个问题,包括:收集与策划内容、扩大培训,以及并奖励与激励开发者。同时,白皮书中也具体拟定出各项问题所需花费的预算。这十项内容均值得国内思考。 转自 E安全,原文链接:https://mp.weixin.qq.com/s/FGgMo_pk2GrFENBv-LfGIw 封面来源于网络,如有侵权请联系删除

Pwn2Own 2022 比赛最后一日,Windows 11 接连被黑 3 次

在 2022 年 Pwn2Own 温哥华黑客大赛的第三天,也就是最后一天,参赛者使用零日漏洞再次将Windows 11 操作系统连续黑了3次。 由于 Double Dragon 团队无法在规定的时间内演示他们的漏洞利用,当天针对 Microsoft Teams 的第一次尝试失败,但第二次是来自 Viettel Cyber Security 的 nghiadt12,利用了 Windows 11 零日权限升级(通过整数溢出)漏洞;第三、第四次是来自 REverse Tactics 和 vinhthp1712 的Bruno Pujos ,分别使用 Use-After-Free 和 Improper Access Control 漏洞提升了 Windows 11 的权限。 在 Pwn2Own 的第一天, 参赛者成功利用 16 个零日漏洞入侵多个产品,包括微软的 Windows 11 操作系统和 Teams 通信平台、Ubuntu Desktop、Apple Safari、Oracle Virtualbox 和 Mozilla Firefox,总共赢得了80 万美元奖金。 在比赛的第二天,参赛者也对车企特斯拉展开了攻势,来自Synacktiv 的 David BERARD 和 Vincent DEHORS ,展示了位于Model 3 信息娱乐系统中的两个独特漏洞 (Double-Free & OOBW),并以此获得了75000美元奖金。 据悉,本届Pwn2Own被针对的产品类别包括 Web 浏览器、虚拟化、本地权限升级、服务器、企业通信和汽车,在为期三天的比赛中,参赛者们可以累计获得超过 100万美元的现金和奖品。同时,这些在大赛期间利用和报告的漏洞,在直到主办方趋势科技公开披露前,厂商们可以有90天的时间对这些漏洞进行修复。 转自 Freebuf,原文链接:https://www.freebuf.com/news/333967.html 封面来源于网络,如有侵权请联系删除

Pwn2Own 2022 第二日战报:参赛者成功演示 Windows 11 特权提升漏洞

一年一度的 Pwn2Own 黑客大会正在温哥华举办,通过让参赛者与网络安全专家们汇聚一堂,他们可以充分展示相关零日漏洞利用和其它软件破解大法,并获得相应的奖励和技术认可。而在 Pwn2Own 2022 的首日战报中,可知微软 Windows 11 操作系统和 Teams 团队协作服务已被白帽参赛者们在首日双双攻破。 Pwn2Own 2022 也是该系列黑客大会的第 15 周年(图自:ZDI 官网) 不过次日,Pwn2Own 参赛团队还是遇到了一些变化。在针对 Windows 11 的两次攻击尝试中,仅一次演示顺利达成(成功率 50%)。 美国西北大学 TUTELARY 团队的 Yueqi Chen,ZDI 分析师 Tony Fuller 和 Bobby Gould 。 利用不恰当的配置,该团队得以访问 Windows 11 并实现特权提升(EoP),并拿到 40000 美元奖金 + 4 点 Pwn 大师积分。 Viettel Cyber Security 团队利用了 Windows 11 上的整数溢出 EOP 漏洞 遗憾的是,一同参赛的 namnp 未能在规定时间内完成演示。至于详细的漏洞利用报告,各方尚未披露。 最后,REverse Tactics 团队的 Bruno PUJOS 利用了 Windows 11 上的“用后释放”(Use-After-Free)漏洞实现了特权提升。 感兴趣的朋友,还请关注官方的后续战报。 转自 cnBeta,原文链接:https://www.cnbeta.com/articles/tech/1271947.htm 封面来源于网络,如有侵权请联系删除

Pwn2Own 2022 大赛第一天 Windows 11 和 Teams 被黑了好几次

在Pwn2Own一年一度的计算机黑客大赛活动中,参赛者和网络安全专家展示他们利用漏洞、零日漏洞和其他问题合法破解各种软件的技能,并获得奖励和认可。今年,在2022年温哥华Pwn2Own活动期间,参赛者在第一天就成功破解了微软Teams和Windows 11。 Hector”p3rro”Peralta是第一个黑掉Microsoft Teams的人。他展示了针对微软企业信使的不当配置,并因其发现而获得15万美元。后来,当Masato Kinugawa执行了一个由感染、错误配置和沙盒逃逸组成的3个漏洞链时,这一次Teams再次成为受害者。Daniel Lim Wee Soong、Poh Jia Hao、Li Jiantao和Ngo Wei Lin展示了对两个漏洞的零点击利用,并且更多针对Teams应用的漏洞发掘依然在继续。 Windows 11也未能幸免于黑客攻击。尽管微软在其最新的操作系统中大力强调安全,但马辛·维昂佐夫斯基还是在Windows 11中执行了一次越界写入的权限升级。为此,马辛获得了40000美元和微软的高度赞扬。 在2022年温哥华Pwn2Own比赛的第一天,微软的产品并不是黑客们唯一破解的软件。参赛者通过破解甲骨文Virtualbox、Mozilla Firefox、Ubuntu Desktop和苹果Safari,成功赚取积分和金钱。这样的活动有助于微软和其他公司提高其产品的安全性,并激励熟练的黑客保持在网络法律的正确一边。 在第一天,黑客们通过利用多个产品中的16个零日漏洞,总共获得了80万美元的收入。在第二和第三天,参赛者可以通过入侵其他软件、小工具和汽车(特斯拉Model 3和Model S)赚取超过100万美元的奖励。 转自 cnBeta,原文链接:https://www.cnbeta.com/articles/tech/1271383.htm 封面来源于网络,如有侵权请联系删除

继美国之后,欧盟推出关键领域网络安全新立法

近日,欧盟已就新的立法达成政治协议,将对关键行业组织实施共同的网络安全标准。 新指令将取代欧盟关于网络和信息系统安全的现有规定(NIS指令)。“因为社会的数字化和互联程度不断提高,全球网络恶意活动的数量不断增加”,原来的指令需要更新。 NIS2指令将涵盖在关键领域运营的大中型组织, 其中包括公共电子通信服务、数字服务、废水和废物管理、关键产品制造、邮政和快递服务、医疗保健和公共管理的供应商。 新立法要求有关部门在24小时内报告网络安全事件、修补软件漏洞和准备风险管理措施。 它还旨在制定更严格的执法要求,并协调成员国之间的制裁制度。如果不遵守规定,基础服务运营商将面临高达年营业额2%的罚款,而对于重要服务提供商,最高罚款将为1.4%。 这些措施最初是由欧盟委员会于2020年12月提出的,该政治协议需要得到欧盟成员国和欧洲议会的正式批准,一旦通过,成员国将需要在21个月内将新要求转化为国家法律。 欧洲数字时代组织(a Europe Fit for the Digital Age)执行副总裁玛格丽特·维斯塔格(Margrethe Vestager)在评论该公告时说:“我们一直在为社会的数字化转型而努力。在过去的几个月里,我们已经建立了一些基石,如《数字市场法》和《数字服务法》。今天,成员国和欧洲议会还就NIS 2达成了协议,这是欧洲数字战略的又一重要突破,这次是为了确保公民和企业受到保护并信任基本服务。” 欧盟委员会副主席希纳斯马加里蒂斯·希纳斯(Margaritis Schinas)表示:“网络安全对于保护经济和社会免受网络威胁始终至关重要,随着我们在数字化转型中不断前进,这一点变得越来越重要。当前的地缘政治环境使得欧盟确保其法律框架符合目的变得更加紧迫。我们正在履行提高欧盟网络安全标准的承诺。欧盟也已表明其决心,以提高防范和恢复针对经济、民主与和平的网络威胁的能力。” 该公告是在政府机构就网络安全采取一系列重大举措之后发布的,其中包括美国总统拜登的行政命令种对联邦机构的零信任要求、美国对关键基础设施组织施加报告义务的新立法以及英国的产品安全和电信基础设施(PSTI)法案,该法案将对互联网连接设备的制造商、进口商和分销商提出新的网络安全标准。 去年,欧盟制定了建立联合网络部门的计划,以提高应对成员国不断增加的网络攻击的能力。 转自 E安全,原文链接:https://mp.weixin.qq.com/s/OlhWd2GJ8IsoguXTsc2Xdg 封面来源于网络,如有侵权请联系删除

多个网安执法机构警告:越来越多的黑客正瞄准 MSPs

近日,五眼情报联盟成员对管理服务提供商(MSPs)及其客户发出了警告,提醒他们可能正越来越多地成为供应链攻击的目标。对此,来自五眼国家的多个网络安全和执法机构(包括NCSC-UK、ACSC、CCCS、NCSC-NZ、CISA、NSA和FBI)共享了对MSPs的安全指南,以保护网络和敏感数据免受日益增长的网络威胁。 “英国、澳大利亚、加拿大、新西兰和美国的网络安全当局预计,各种恶意网络攻击者,包括由国家支持的APT组织,将加大对MSPs的攻击力度,以利用供应商与客户的网络信任关系”,五眼联盟的联合公告中这样写道,“成功入侵 MSPs的攻击者可能会针对整个MSPs的客户群发起后续攻击,例如勒索软件和网络间谍攻击。” 其实,在过去几年中,五眼联盟的网络安全主管部门一直不定期地向MSPs及其客户提供一般指导建议,只是如今除了指导建议更进一步提出了具体措施。 MSPs及其客户可采取的关键的战术行动可概括为如下3点: 识别和禁用不再使用的帐户。 对访问客户环境的MSP帐户强制执行MFA(失灵警报信号),并对无法解释的身份验证失败进行监视。 保证MSP客户合同透明地确认信息和通信技术(ICT)安全角色和职责所有权。 美国网络安全与基础设施网络安全局(CISA)主任Jen Easterly在接受采访时表示:“我们知道,易受攻击的MSPs会显著增加其支持的企业和组织的下游风险。因此,确保MSPs的安全对我们的集体网络防御至关重要,CISA以及我们的跨机构和国际合作伙伴正致力于加强其安全性并提高我们全球供应链的弹性。” 值得一提的是,在一年前,英国政府就防范软件供应链攻击和加强全国IT管理服务提供商网络安全防御的议题公开征求过建议。而就在不久前,美国总统拜登也发布了一项行政命令,以实现美国防御网络攻击的现代化。 转自 FreeBuf,原文链接:https://www.freebuf.com/news/332915.html 封面来源于网络,如有侵权请联系删除