今年在温哥华举行的Pwn2Own黑客大赛向发现和利用许多以前未知的零日安全漏洞的研究人员颁发了超过100万美元的奖金。这笔钱的一半以上给了一个团队。Pwn2Own是由趋势科技的零日计划（ZDI）在温哥华CanSecWest安全会议期间举办的年度黑客大赛。 每年，安全研究人员和代码专家都会加入数字战场，希望能大获全胜，赢得ZDI提供的丰厚的现金奖励。今年，五支安全专家团队揭露了流行软件和技术产品中的一些黑客行为。 在为期三天的活动结束时，参赛者披露了27个独特的零日漏洞，共分得103.5万美元（和被黑的汽车）。渗透测试公司Synacktiv团队获得了”Pwn大师”称号，他们获得了53个Pwn大师积分、53万美元和特斯拉Model 3汽车。 Synacktiv在第一天取得了绝对的领先优势，其团队攻陷了一辆特斯拉Model 3，并破解了macOS的访问权限。第二天，Synacktiv通过展示针对特斯拉信息娱乐系统的堆溢出和OOB写零日漏洞链，进一步巩固了其领先地位。 Synacktiv的代码破解者Thomas Imbert和Thomas Bouzerar还展示了一个在Oracle VirtualBox上升级权限的三个漏洞链，价值80000美元。Tanguy Dubroca在Ubuntu桌面上成功地进行了权限升级演示，获得了30000美元。在第三天的比赛结束时，Thomas Imbert又获得了30000美元的奖金，因为他成功地利用Use-After-Free零日漏洞入侵了一个完全打过补丁的Windows11系统。 Star Labs在利用了微软SharePoint和VMWare Workstation的零日漏洞以及Ubuntu Desktop上的一个先前已知的碰撞后，获得了19.5万美元和19.5 MoP积分，位居第二。Viettel团队获得了第三名，通过入侵微软团队和甲骨文VirtualBox，获得了115000美元和12个MoP积分。Qrious Security和独立安全研究人员AbdulAziz Hariri分别以55000美元（5.5分）和50000美元（5分）的奖金结束了比赛，排名第四和第五。 零日计划现在将向各自的软件供应商提供Pwn2Own 2023期间演示的所有27个零日漏洞的详细信息。在ZDI公开披露这些漏洞之前，各公司将有90天的时间来修复这些漏洞并发布其安全补丁，无论补丁是否可用。     转自 cnBeta，原文链接：https://www.toutiao.com/article/7215722988144951819/ 封面来源于网络，如有侵权请联系删除  

微软在其安全工具箱中增加了另一种由人工智能驱动的装备，今天宣布微软安全领航员（Security Copilot）处于内部预览阶段。旨在让安全专业人员”看到他们环境中正在发生的事情，从现有的情报中学习，关联威胁活动，并以机器的速度做出更明智、高效的决定”。 据微软描述，Security Copilot在Azure的超大规模架构上运行，它将OpenAI的GPT4提供的大语言模型与微软建立的安全特定模型相结合，以提供”企业级的安全和符合隐私的体验”。 当Security Copilot收到安全专业人员的提示时，它就会利用安全专用模型的全部力量来部署技能和查询，从而最大限度地发挥最新大型语言模型能力的价值。而这对于一个安全用例来说是独一无二的，新的网络训练模型增加了一个学习系统来创建和调整新的技能。然后，Security Copilot可以帮助捕捉其他方法可能错过的东西，并增强分析员的工作。在一个典型的事件中，这种提升可以转化为检测质量、响应速度和加强安全态势的能力方面的收益。 安全领航员并不总是能做对所有事情，AI生成的策略可能包含纰漏甚至错误。但Security Copilot是一个闭环学习系统，这意味着它在不断地向用户学习，并通过直接内置在工具中的反馈功能给他们提供明确的反馈。随着我们不断从这些互动中学习，我们正在调整它的反应，以创造更连贯、相关和有用的答案。 Security Copilot将与微软的安全产品整合，并随着时间的推移，将扩展到包括”一个不断增长的生态系统”的第三方产品。 你可以在Introducing Microsoft Security Copilot网站上了解更多关于Microsoft Security Copilot的信息并观看演示： https://www.microsoft.com/en-us/security/business/ai-machine-learning/microsoft-security-copilot 转自 cnBeta，原文链接：https://www.toutiao.com/article/7215630094189101580/ 封面来源于网络，如有侵权请联系删除

英国国家犯罪署（NCA）透露，他们创建了一个假的DDoS租赁网站，以渗透到地下的网络犯罪活动中，这是一个经典钓鱼执法的案例。 执法机构说：到目前为止，所有NCA运营的网站都被大约数千人访问，这些网站都伪装成可以提供网络攻击服务和工具的样式。然而，在用户注册后，他们的数据并没有被赋予网络犯罪工具的使用权，而是被调查人员整理出来。 这项工作是正在进行的名为Operation PowerOFF的国际联合行动的一部分，该行动与美国、荷兰、德国、波兰和欧洲刑警组织的当局合作，旨在瓦解全球范围内的犯罪性DDoS出租基础设施。 DDoS-for-hire（又名“Booter”或“Stresser”）服务将受感染设备网络的访问权限出租给其他犯罪分子，这些犯罪分子试图对网站发起分布式拒绝服务（DDoS）攻击并迫使它们离线。 这种非法平台提供一系列的会员选择，每月向客户收取10美元到2500美元不等的费用。 NCA表示，目前不会透露正在运营的网站数量，这样一来，计划在未来使用此类服务的个人将不得不考虑是否值得冒险。 当然，这并不是执法机构第一次用钓鱼执法的方式来打击数字领域的犯罪活动。2021年6月，美国联邦调查局（FBI）和澳大利亚联邦警察（AFP）透露，他们运行了一个名为ANoM的加密聊天服务近三年，拦截了全球犯罪团伙成员之间交流的信息约2700万条。     转自 Freebuf，原文链接：https://www.freebuf.com/news/361802.html 封面来源于网络，如有侵权请联系删除

三月初，澳大利亚非银行贷款机构 Latitude Financial 遭遇了一次网络攻击，最新情况表明，其后果可能比先前预估的更加严重。 该公司于 3 月 16 日首次透露了这起攻击事件，称有33万客户的数据遭到泄露，而最近，该公司承认受影响的客户数量可能达到了800万之多。 美国广播公司新闻报道称，黑客已经获取了客户的姓名、地址、出生日期、电话号码、护照号码，甚至还获取了月度财务报表。此外，有大约570万条数据来源于2013年之前的历史数据，最早可以追溯到2005年。该公司仍在评估可能涉及重复统计的数据，并确定受影响客户的真实数量。 有Latitude 客户表示，由于个人可供识别身份的照片在攻击中被盗，让他们感到“受到了侵犯”。 Latitude 表示，它将补偿客户更换任何被盗身份证件的费用。外交和贸易部还证实，受影响的护照仍然可以安全使用。 由于Latitude 保留了可追溯至 2005 年的历史客户数据，这一做法遭到了网络安全专家的批评。新南威尔士大学的网络安全专家理查德·巴克兰 (Richard Buckland) 称保留此类数据“非常令人难以置信”，即使这是法律所要求的。 他认为，长期保留此类数据会使客户容易遭受假冒和欺诈的风险，他还质疑联邦政府保留数据与公司共享以降低欺诈风险的做法，称这是“误导”。 Latitude 首席执行官艾哈迈德·法胡尔（Ahmed Fahour ）为此次攻击导致的数据泄露事件作了“毫无保留”的致歉，并承诺与受影响的客户合作，将风险降到最低。 目前，澳大利亚由网络攻击引发的个人信息泄露危机较为严峻，仅在2022年9月至10月，短短一个月的时间就发生了电信巨头Optus泄露1000万用户敏感信息、健康保险公司Medibank泄露390万用户数据两起颇为严重的安全事件，受影响用户人数超过了澳大利亚总人口的三分之一。     转自 Freebuf，原文链接：https://www.freebuf.com/news/361779.html 封面来源于网络，如有侵权请联系删除

近日，美国网络安全和基础设施安全局(CISA)发布了八项工业控制系统 (ICS)公告，警告称存在影响Delta Electronics和Rockwell Automation设备的严重缺陷。 这包括Delta Electronics 的实时设备监控软件 InfraSuite Device Master 中的 13 个安全漏洞。1.0.5 之前的所有版本都受这些问题的影响。 “成功利用这些漏洞可能允许未经身份验证的攻击者获得对文件和凭据的访问权限、提升权限并远程执行任意代码。”CISA表示。 排在首位的是CVE-2023-1133（CVSS评分：9.8），这是一个严重缺陷，源于 InfraSuite Device Master 接受未经验证的 UDP 数据包并反序列化内容，从而允许未经身份验证的远程攻击者执行任意代码。 CISA警告说，另外两个反序列化缺陷CVE-2023-1139（CVSS评分：8.8）和CVE-2023-1145（CVSS评分：7.8）也可以被武器化以获取远程代码执行。 Piotr Bazydlo 和一位匿名安全研究员发现了这些缺陷并向 CISA 报告。 另一组漏洞与罗克韦尔自动化的 ThinManager ThinServer 相关，影响以下版本的客户端和远程桌面协议 (RDP) 服务器管理软件 ： 6.x – 10.x 11.0.0 – 11.0.5 11.1.0 – 11.1.5 11.2.0 – 11.2.6 12.0.0 – 12.0.4 12.1.0 – 12.1.5 13.0.0 – 13.0.1 最严重的问题是跟踪为CVE-2023-28755（CVSS评分：9.8）和CVE-2023-28756（CVSS评分：7.5）的两个路径遍历缺陷，可能允许未经身份验证的远程攻击者将任意文件上传到目录ThinServer.exe 的安装位置。 更令人不安的是，对手可以将CVE-2023-28755武器化，用木马化版本覆盖现有的可执行文件，从而可能导致远程代码执行。 “成功利用这些漏洞可能允许攻击者在目标系统/设备上执行远程代码或使软件崩溃。”CISA指出。 我们的建议 1、用户更新至版本11.0.6、11.1.6、11.2.7、12.0.5、12.1.6和 13.0.2 以减轻潜在威胁。ThinManager ThinServer 版本 6.x – 10.x 已停用，要求用户升级到受支持的版本。 2、建议将端口 2031/TCP 的远程访问限制为已知的客户端和 ThinManager 服务器。 在CISA警告Rockwell Automation ThinManager ThinServer（CVE-2022-38742，CVSS 评分：8.1）中存在可能导致任意远程代码执行的高严重性缓冲区溢出漏洞后的六个多月，该漏洞才被披露。     转自 E安全，原文链接：https://mp.weixin.qq.com/s/9TyE8Ec9QTsJqfj6fsaBkg 封面来源于网络，如有侵权请联系删除

最近使用Google Pixel 手机的用户需要注意，你打过码的照片未必安全！ 安全研究人员 Simon Aarons 和 David Buchanan 最近在推特披露称，Google Pixel 自带的照片编辑工具Markup存在一个名为“Acropalypse的安全漏洞，能够还原用户照片中已经打码或裁剪掉的内容。 Aarons 分享了一个示例，演示他们如何使用 Acropalypse 漏洞恢复上传到 Discord 的信用卡照片。最开始，该信用卡卡号码已使用Markup工具进行了打码处理。但当他们的利用Acropalypse exploit 运行照片后，已经被打码的卡号信息得到了还原。 Acropalypse 示例 据悉，这两名研究人员于今年1月向谷歌报告了该漏洞，谷歌也与3月13日发布的更新中对其进行了修复。分析指出，经过Markup编辑处理的照片有大约80%能够被恢复，如果用户将未压缩的图片发布至互联网或社交平台，就可能导致敏感信息泄露。当然，一些平台会自动压缩、重新编码上传的照片，从而在一定程度上减少了信息泄露的范围。 虽然Acropalypse漏洞已经得到修复，但仍需值得注意的是，漏洞存在的时间长达5年之久，这期间已经共享出去的照片难以计数，且没有任何补救措施。此外，该漏洞广泛存在于所有运行 Android 9 Pie 及更高版本的 Pixel 型号手机中，一些较老型号的手机并不会在第一时间得到安全更新，安全风险依然存在。 最后，Acropalypse漏洞还会影响其他品牌的定制化Android手机，可能完全沿用原生的Markup对照片进行编辑。     转自 Freebuf，原文链接：https://www.freebuf.com/news/361126.html 封面来源于网络，如有侵权请联系删除  

近日，多个威胁行为者，包括一个民族国家组织，利用Progress Telerik中存在三年的严重安全漏洞闯入美国一个未命名的联邦实体。   该披露来自网络安全和基础设施安全局(CISA)、联邦调查局(FBI)和多州信息共享与分析中心(MS-ISAC)发布的联合咨询。 “利用此漏洞允许恶意行为者在联邦文职行政部门(FCEB)机构的Microsoft Internet 信息服务(IIS) Web 服务器上成功执行远程代码。”这些机构表示。 从2022年11月到2023年1月初，确定了与数字入侵相关的妥协指标(IoC)。 跟踪为CVE-2019-18935（CVSS分数：9.8），该问题与影响ASP.NET AJAX的Progress Telerik UI的.NET反序列化漏洞有关，如果不打补丁，可能会导致远程代码执行。 在此值得注意的是，CVE-2019-18935之前曾在2020年和2021年被各种威胁参与者滥用的一些最常利用的漏洞中占有一席之地。 CVE-2019-18935与CVE-2017-11317一起，也被追踪为Praying Mantis（又名TG2021）的威胁行为者武器化，以渗透到美国的公共和私人组织网络。 上个月，CISA还将CVE-2017-11357——另一个影响 Telerik UI 的远程代码执行错误——添加到已知被利用漏洞(KEV)目录中，引用了积极利用的证据。 在2022年8月记录的针对FCEB机构的入侵中，据说威胁行为者利用CVE-2019-18935 通过 w3wp.exe 进程上传和执行伪装成 PNG 图像的恶意动态链接库(DLL)文件。 DLL工件旨在收集系统信息、加载额外的库、枚举文件和进程，并将数据泄露回远程服务器。 早在2021年8月就观察到的另一组攻击很可能是由名为XE Group的网络犯罪分子发起的，需要使用上述规避技术来规避检测。 这些DLL文件投放并执行反向（远程）shell实用程序，用于与命令和控制域进行未加密的通信，以投放额外的有效负载，包括用于持久后门访问的ASPX web shell。 Web shell配备了“枚举驱动器；发送、接收和删除文件；以及执行传入的命令”和“包含一个用于轻松浏览系统上的文件、目录或驱动器的界面，并允许用户上传或将文件下载到任何目录。” 为应对此类攻击，建议组织将其 Telerik UI ASP.NET AJAX 实例升级到最新版本，实施网络分段，并对具有特权访问权限的帐户强制实施抗网络钓鱼的多因素身份验证。     转自 E安全，原文链接：https://mp.weixin.qq.com/s/qU9A5AM7gtCW-aPRF1pqVg 封面来源于网络，如有侵权请联系删除

作为美国第十六大银行，硅谷银行(SVB)在投资者引发的流动性挤兑而倒闭后，来自技术、私募股权、风险投资和生命科学领域的客户恐面临网络安全危机。 虽然美国政府和银行业建议保持冷静，但金融服务业的不确定性仍然很高，ReliaQuest 在一份新报告中指出，网络犯罪分子可能会试图利用这场动荡攻击企业和个人客户。该公司表示，他们一直在追踪大量新注册且含有“SVB”的域名，在 3 月 6 日至3月12 日期间，就观察到 95 个可能冒充 SVB 的新域名，与过去三个月的平均值相比增加了11倍。这些虚假域名可能冒充硅谷银行的合法服务，例如客户支持。 ReliaQuest还发现，一些域名还还未包含任何虚假的服务内容，因此认为这些域名可能是为将来的网络钓鱼攻击做准备。但据另一家美国网络安全公司 Cyble的调查，目前已经观察到冒充银行进行的加密货币骗局。例如，钓鱼网站设置了一个虚假的 USDC（数字美元）奖励计划，声称“作为 SVB USDC 回报计划的一部分，硅谷银行正在积极向符合条件的持有者分发 USDC。”这些网络犯罪分子试图以该计划诱导受害者扫描伪造的二维码，窃取他们账户中的加密货币。 ReliaQuest认为，因为硅谷银行的破产，接下来几周内大量伴随而来的网络钓鱼攻击将成为必然。随着一些企业因财务危机不得不裁撤包括网络安全团队在内的员工，企业网络的安全性在这一阶段将变得更加脆弱，其系统很可能因此而受到攻击。     转自 Freebuf，原文链接：https://www.freebuf.com/news/361010.html 封面来源于网络，如有侵权请联系删除

每当一个公司遭遇数据泄露时，密码是最常被泄露的信息之一。而当攻击背后的威胁者掌握了这些信息后，它们通常会在暗网上转卖，在那里它们可以被购买并用于身份和财务盗窃。 网络安全公司SpyCloud的2023年身份暴露报告证实了这一点。根据该文件，该公司的研究人员在2022年发现了7.215亿个在线曝光的凭证。在这个数字中，50%来自僵尸网络，这是一个由感染了恶意软件的计算机组成的网络，由威胁者作为一个群体控制，部署信息窃取的恶意软件。 “信息窃取者的普遍使用是一个危险的趋势，因为这些攻击为像凭据数据经纪人这样的不良行为者打开了大门，他们将包含准确认证数据的恶意软件日志出售给勒索软件集团和其他罪犯，”SpyCloud的安全研究总监Trevor Hilligoss说。”信息窃取者简单、便宜、可扩展，以’任何东西都是服务’的模式创造了一个繁荣的地下经济，使网络犯罪成为可能。这种经纪人-运营商的合作关系是一项利润丰厚的业务，进入成本相对较低”。 更糟糕的是，该研究发现，在2022年的数据泄露事件中，72%的被曝光的用户仍在重复使用以前被泄露的密码。超过32.7万个被曝光的密码与泰勒·斯威夫特和Bad Bunny有关，26.1万个与Netflix和Hulu等流媒体服务有关，超过16.7万个与英国王室和伊丽莎白女王的逝世有关。 该研究还发现，2022年有86亿个人身份信息资产外泄，这包括14亿全名，3.32亿国民身份证/完整的社会安全号码，以及6700万信用卡号码。 如果你的信息受到安全漏洞的影响，立即改变你的密码是值得的。你可以使用口令，这是一串不相关的词，或者让密码管理器为你生成一个强密码。开启多因素认证也有帮助，它要求你提供另一个身份证明来登录你的账户。这可以采取一次性密码、物理钥匙、或指纹或面部扫描的形式。这样，网络犯罪分子即使获得了你的凭证，也无法渗透到你的账户中。     转自 cnBeta，原文链接：https://www.toutiao.com/article/7210419867583775244/ 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站披露，谷歌 Project Zero 安全团队在三星用于移动设备、可穿戴设备和汽车的Exynos 芯片组中发现了 18 个漏洞，包括 Pixel 6 系列、Pixel 7 系列、三星 Galaxy S22 系列和 Galaxy A53 等产品均受影响。 Exynos 芯片组中的安全漏洞发生在 2022 年末至 2023 年初，其中四个被评为高危漏洞，允许攻击者从互联网到基带执行远程代码。这些互联网到基带远程代码执行（RCE）漏洞（包括 CVE-2023-24033 和其它三个仍在等待 CVE-ID的漏洞）允许攻击者在没有任何用户交互的情况下，远程危害易受攻击的设备。 三星在一份描述 CVE-2023-24033 漏洞的安全咨询中表示，基带软件没有正确检查 SDP 指定接受的格式类型，可能导致三星基带调制解调器中的拒绝服务或代码执行。 Project Zero 安全团队负责人 Tim Willis 指出，潜在攻击者只要有受害者的电话号码，就可以发动袭击。更糟糕的是，只要稍微认真研究一下，经验丰富的攻击者便可以在不引起目标注意的情况下，轻而易举的利用漏洞远程攻击易受攻击的设备。 其余 14个 漏洞主要包括 CVE-2023-24072、CVE-2023-204073、CVE-202 3-24074、CVE-2022 3-24075、CVE-2020 3-24076 以及其它 9 个等待 CVE ID 的漏洞，虽然这些漏洞不会造成很严重的后果，但仍存在安全风险。 受影响设备列表包括但不限于： 三星的移动设备，包括 S22、M33、M13、M12、A71、A53、A33、A21、A13、A12 和 A04 系列。 Vivo 的移动设备，包括 S16、S15、S6、X70、X60 和 X30 系列。 谷歌的 Pixel 6 和 Pixel 7 系列设备。 任何使用 Exynos W920 芯片组的可穿戴设备。 以及任何使用 Exynos Auto T5123 芯片组的车辆。 受影响设备可采取的解决方法 目前，虽然三星已经向其它厂商提供了漏洞安全更新，但这些补丁并不对所有用户公开。此外，每个制造商对其设备打补丁的时间表也有所不同，例如，谷歌已经在 2023 年 3 月的安全更新中针对受影响的 Pixel 设备解决了 CVE-2023-24033 问题。 好消息是，在安全补丁可用之前，用户可以通过禁用 Wi-Fi 呼叫和 Vo-over-LTE（VoLTE）来消除攻击媒介，从而挫败针对其设备中的三星 Exynos 芯片组的基带 RCE 利用尝试。     转自 Freebuf，原文链接：https://www.freebuf.com/news/360767.html 封面来源于网络，如有侵权请联系删除