都什么年代了，还在用传统密码？10 月 12 日，谷歌宣布在 Android 和 Chrome 中正式推行密钥登录 “PassKey”，以逐步替代长期使用的密码登录 “PassWord”。 推出的密钥登录可以认为是 “生物密码” 和 “授权登录” 的结合。用户可以在 Android 手机上创建一个基于公钥加密的密钥凭据，创建密钥的时候需要对本人进行生物特征识别，比如 “指纹” 或者 “面部识别” 等。 创建完毕后，这个密钥凭据可用于解锁所有在线帐户 —— 既可以解锁 Android 手机上的帐户，也可以解锁附近所有设备的帐户。是的，这个 FIDO 密匙登录功能由微软 / 苹果 / 谷歌联合出品，属于行业标准。因此它是跨平台的，包括 Windows、macOS 和 iOS 以及 ChromeOS。换而言之，你可以用 Android 手机的密钥凭据解锁上述所有系统的帐户和网站。 在谷歌的眼中，密码登录这种老旧的身份验证方法很容易被钓鱼或者盗号等方法影响，安全性不高。而密钥登录则大为不同，它不能重复使用，也不会泄露服务器漏洞，还能保护用户免受网络钓鱼的攻击以及忘记密码的困扰，即使丢失了手机， FIDO 密钥也可以从云备份安全地同步到新手机。 不过，现在这个密钥登录功能还不完善，只是一个重要的里程碑，实现了两个关键功能： 用户可以在 Android 设备上创建和使用密钥，密钥通过 Google 密码管理器进行同步。 开发人员可以通过 WebAuthn API、Android 和其他支持的平台，使用 Chrome 在网站上为用户构建密钥支持。 如果要在网站上添加密钥登录功能，开发者需要注册 Google Play Services 测试版 ，并使用 Chrome Canary 版本。 密钥登录功能的下一个里程碑是原生的 Android 应用 API，原生 API 将为应用程序提供多种登录方式，用户可以选择密钥登录，或是使用已保存的密码登录。 转自 安全内参，原文链接：https://www.secrss.com/articles/47984 封面来源于网络，如有侵权请联系删除

韩国SK公司C&C板桥数据中心15日发生火灾，导致包括韩国“国民聊天工具”Kakao Talk在内的多个网络平台服务中断。16日，韩国总统尹锡悦为此向公众表示歉意，并要求相关部门查明事故原因，制定事故预防对策避免此类事故再次发生。 发生火灾的SK公司C&C板桥数据中心有Kakao、NAVER、SK电信等企业入驻。韩联社报道称，15日下午3时19分左右，该数据中心发生火灾，3时22分服务电源被切断。韩国警方和消防部门16日表示，初步研判火灾是电气因素导致电气设备室电池周围起火所致。调查发现，安装在地下三层电气设备室的5个电池机架全部被烧毁。火灾并未造成人员伤亡，但通信软件Kakao Talk、门户网站Daum等大部分Kakao服务和NAVER的部分服务瘫痪。 《环球时报》驻韩国特派记者15日曾使用Kakao Talk与朋友联系，从下午3时13分后便未接收到对方的回复信息。16日上午10时许，记者在Kakao Talk上收到前一天朋友回复的信息，但电脑版客户端依然不能正常使用。16日下午5时左右，记者的电脑版Kakao Talk才能正常登录。 韩国《国民日报》16日报道称，16日下午2时，Kakao Talk的文字信息发送和接收功能才完全恢复正常，但照片和视频的发送功能仍在修复。Kakao公司表示，无法确定彻底恢复服务的时间。Kakao公司代表南宫勋称，整个数据中心受到影响是非常罕见的情况，采取相关措施需要比预期更长的时间。不过Kakao方面表示，此次事故导致数据损失的可能性为零。 《韩国时报》报道称，对韩国国内外数以千万计的Kakao用户来说，这是一场混乱，他们的日常生活在周末全乱套了。他们在很大程度上依赖该公司的在线服务，这些服务在过去10年变得越来越受欢迎。 报道称，纵观整个韩国IT业界，很难找到发生10小时左右服务故障的事例。因此，有人批评Kakao的灾难恢复系统不健全。SK公司C&C板桥数据中心是Kakao主要的数据中心，15日的火灾导致停电，造成约3.2万个服务器瘫痪。另一家韩国互联网企业NAVER也使用同一数据中心，却在几小时内恢复了服务。这是因为NAVER还在春川等其他数据中心分散储存数据，即使一处出现问题，也能通过其他数据中心恢复正常运营。 由于Kakao Talk是韩国人主要使用的即时通信软件，这一事故引起韩国总统尹锡悦和政府相关部门的重视。尹锡悦称，相关部门不仅要准确掌握事故原因，还要制定包括设置双数据中心在内的事故预防方案和事故发生时的应对策略。韩联社报道称，尹锡悦15日就要求科学技术信息通信部长官李宗昊迅速处置这一事故。李宗昊表示，作为主管相关事务的官员深感责任重大，对给国民带来巨大不便表示歉意。李宗昊还承诺，政府将完善通信服务相关设施的检查和管理体系，积极研讨所需的制度和技术对策，以防类似情况重演。 韩总统办公室一名高级官员接受媒体采访时表示，有必要调查Kakao等企业是否在国民遭受不便时采取放任态度。另据韩国纽西斯通讯社报道，就此事件，Kakao创始人金范洙将于24日作为国会科学技术信息广播通信委员会国政监察证人被传唤。而导致服务瘫痪的SK公司C&C板桥数据中心的代表预计也将接到传票。 转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1327747.htm 封面来源于网络，如有侵权请联系删除

Lansweeper 盘点的超过 45,000 台 VMware ESXi 服务器刚刚达到使用寿命 (EOL)，除非公司购买扩展支持合同，否则 VMware 将不再提供软件和安全更新。 自 2022 年 10 月 15 日起，VMware ESXi 6.5 和 VMware ESXi 6.7 已结束生命周期，将仅获得技术支持而不会获得安全更新，从而使软件面临漏洞风险。该公司分析了来自 6,000 名客户的数据，发现安装了 79,000 台 VMware ESXi 服务器。 在这些服务器中，36.5% (28,835) 运行2018年4月发布的6.7.0版，21.3% (16,830) 运行2016年11月发布的6.5.0版。总共有45,654台 VMware ESXi 服务器即将结束生命。 Lansweeper 的调查结果令人担忧，除了57%进入高风险时期外，还有另外15.8%的安装运行更旧的版本，从3.5.0到5.5.0很久以前就达到了EOL . 目前，Lansweeper盘点的ESXi服务器中只有大约四分之一 (26.4%) 仍受支持，并将继续定期接收安全更新，直到2025年4月2日。 然而，实际上，今天达到EOL的VMware服务器数量可能要大得多，因为该报告仅基于 Lansweeper 的客户。 ESXi 6.5 和 6.7 的技术指南将持续到2023年11月15日，但这涉及实施问题，不包括安全风险缓解。 为了确保可以继续安全使用旧版本的唯一方法是申请两年延长支持，该支持需要单独购买。但是，这不包括第三方软件包的更新。 有关所有 VMware 软件产品的 EOL 日期的更多详细信息，请查看原文链接。 这意味着什么？ 当软件产品达到生命周期结束日期时，它会停止接收定期安全更新。这意味着管理员应该已经提前计划并将所有部署升级到更新的版本。 尽管 VMware 仍会为这些旧版本提供一些关键的安全补丁并非不可能，但它不能保证并且肯定不会为所有发现的新漏洞发布补丁。 一旦不受支持的 ESXi 服务器在没有补丁的情况下运行了足够长的时间，它就会积累如此多的安全漏洞，攻击者将有多种方法来破坏它。 由于 ESXi 托管虚拟机，攻击服务器可能会对业务运营造成严重和大规模的破坏，这就是勒索软件团伙如此专注于攻击它的原因。 今年，ESXi VM 成为 Black Basta、RedAlert、GwisinLocker、Hive和 Cheers 勒索软件团伙之类的目标。 最近，Mandiant 发现黑客发现 了一种在 VMware ESXi 虚拟机管理程序上建立持久性的新方法 ，可以让他们控制服务器和托管的虚拟机而不被发现。 但是，ESXi 已经受到威胁参与者的充分关注，因此运行该软件的过时且易受攻击的版本无疑是一个糟糕的主意。 转自 E安全，原文链接：https://mp.weixin.qq.com/s/dMsR7mQxNdJ0hv-mTg5bOg 封面来源于网络，如有侵权请联系删除

RSS源可能不像以前那么流行了，但对于某些事情来说，它们是保持更新的最有效和最有用的手段之一。微软意识到了这一点，在听取了客户的反馈意见后，推出了一个新的RSS提要，以使人们更容易了解该公司的最新安全通知。 具体来说，现在微软提供了一个安全更新指南（SUG）的RSS源。微软安全响应中心（MSRC）宣布了这一消息，称其目的之一是确保客户拥有及时和容易获得的通知。 考虑到这一点，一个新的电子邮件通知系统已经被建立起来，您可以在这里注册，此外还有一个新的RSS提要： https://msrc-blog.microsoft.com/2022/08/09/security-update-guide-notification-system-news-create-your-profile-now/ 有关新上线的安全通知选项，MSRC介绍。 关于RSS订阅，我们收到了一些客户的反馈，说安全更新指南（SUG）上如果有RSS订阅会受到极大的欢迎。一些客户甚至要求将其作为默认的通信方式。我们听到了你们的反馈，现在大家可以通过在任何RSS阅读器中粘贴RSS提要的URL来获得SUG的更新。点击SUG标题旁边的RSS提要图标，就可以访问XML文件。 可以在任何RSS阅读器中访问该源，订阅地址是：https://api.msrc.microsoft.com/update-guide/rss     转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1326801.htm 封面来源于网络，如有侵权请联系删除

在印度总理纳伦德拉·莫迪（Narendra Modi）于 10 月 1 日宣布在印度启动 5G 服务之后，5G 网络正分阶段在印度缓慢推出。在带来更快的网络体验同时，在印度也出现了各种诈骗活动。孟买警方发布最新警告：欺诈者以提供 5G 升级指南为由进行欺骗。 孟买警方表示新一波骗子号称可以为用户升级到 5G 网络，实际上是为了欺骗用户。这条推文警告人们不要成为此类骗局的牺牲品，也不要分享他们的个人或银行信息或点击任何未知链接。 在推文中分享的一张图片中，孟买警方表示，诈骗者假装是老牌电话服务公司的高管，并声称帮助您从 4G 升级到 5G。孟买警方还表示，诈骗者可以通过未知链接向人们施加压力，要求他们分享个人和银行信息 孟买警方表示目前在印度几个州已经出现了数起诈骗案件，印度的几个网络安全部门已经警告用户提防此类骗局。推文中写道：“网络欺诈者正在以 5G 的名义发送链接。如果您打开该链接，则存在黑客入侵手机的风险。如果你不警觉，你就会有危险。通过发送从 4G 升级到 5G SIM 的链接来清空帐户。这些链接是用各自电信公司的名称发送的”。 转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1326687.htm 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 西门子Simatic可编程逻辑控制器（PLC）中的漏洞可以被用来检索硬编码的全局私有加密密钥，并获取对设备的控制权。 工业网络安全公司Claroty在一份新报告中表示：“攻击者可以使用这些密钥对西门子SIMATIC设备和相关的TIA Portal进行多次高级攻击，同时绕过其所有四个访问级别保护。” “黑客可能会利用这些机密信息，以无法修复的方式破坏整个SIMATIC S7-1200/1500产品线。” 该关键漏洞被追踪为CVE-2022-38465，在CVSS评分为9.3，西门子已在2022年10月11日发布的安全更新中对其进行了处理。 受影响的产品和版本列表如下： SIMATIC 驱动控制器系列（2.9.2之前的所有版本） SIMATIC ET 200SP 开放式控制器 CPU 1515SP PC2，包括 SIPLUS 变体（21.9 之前的所有版本） SIMATIC ET 200SP 开放式控制器 CPU 1515SP PC, 包括 SIPLUS 变体（所有版本） SIMATIC S7-1200 CPU 系列, 包括 SIPLUS 变体（4.5.0 之前的所有版本） SIMATIC S7-1500 CPU 系列, 包括相关的 ET200 CPUs 和 SIPLUS 变体（V2.9.2 之前的所有版本） SIMATIC S7-1500 软件控制器（21.9 之前的所有版本） SIMATIC S7-PLCSIM 高级版（4.0 之前的所有版本） Claroty表示，它能够通过利用西门子PLC中之前披露的漏洞（CVE-2020-15782）来获得对控制器的读写权限，从而恢复私钥。 这样做不仅可以让攻击者绕过访问控制并覆盖本机代码，还可以完全控制每个受影响的西门子产品线的PLC。 CVE-2022-38465反映了去年在罗克韦尔自动化PLC（CVE-2021-22681）中发现的另一个严重漏洞，该漏洞可能使对手能够远程连接到控制器，并上传恶意代码，从PLC下载信息或安装新固件。 Claroty在2021年2月指出:“该漏洞在于Studio 5000 Logix Designer软件可能允许发现秘密加密密钥。” 西门子建议客户仅在受信任的网络环境中使用传统PG/PC和HMI通信，并安全访问TIA Portal和CPU，以防止未经授权的连接。 这家德国工业制造公司还采取措施，使用TIA Portal版本17中的传输层安全性（TLS）对工程站、PLC和HMI面板之间的通信进行加密，同时警告“黑客滥用全球私钥的可能性越来越大。” 这些是在工业网络中使用的软件中发现的一系列重大漏洞中的最新发现。今年6月初，Claroty详细介绍了西门子SINEC网络管理系统（NMS）中的十几个漏洞，这些漏洞可能会被滥用以获得远程代码执行功能。 然后在2022年4月，该公司在罗克韦尔自动化PLC中发现了两个漏洞（CVE-2022-1159和CVE-2022-1161），这些漏洞可能被利用来修改用户程序并将恶意代码下载到控制器。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

网络犯罪分子使用各种方法来获取密码。一些人利用网络钓鱼，即冒充受信任的组织，发送欺诈性的电子邮件、短信或拨打诈骗电话以窃取登录凭证。也有一些手上资源丰富的则转向暴力穷举，这涉及到使用字典和错误重试来猜测用户的密码。但是你知道吗，热也可以用来破解密码？ 苏格兰的网络安全专家已经开发了一个系统，利用热成像和人工智能（AI）来即时破解密码（通过CTV新闻）。该系统被称为ThermoSecure，通过分析一个人在电脑键盘或移动设备上输入密码时指尖留下的热量痕迹来工作。由于热感应图像上较亮的区域显示最近被触摸过的区域，这使得猜测所用字母、数字和符号的顺序成为可能。 格拉斯哥大学副教授穆罕默德-卡米斯博士和他的团队使用机器学习和1500张最近使用过的键盘的热图像来训练一个人工智能模型，以读取热特征并研究可能的密码组合。 该研究发现，较长的密码更安全，因为ThermoSecure在20秒内破解了67%的16个字符的密码。该系统对较短的密码效果更好，对于12、8和6个字符的密码，其成功率分别提高到82%、93%和100%。 用户的打字风格也很重要，因为在键盘上停留时间较长的”猎取式”键盘用户比打字速度快的”触摸式”键盘用户产生的热信号更持久。在该研究的测试中，ThermoSecure猜出第一组密码的成功率为92%，而后者的成功率只有80%。 转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1326407.htm 封面来源于网络，如有侵权请联系删除

韩国网络安全公司AhnLab报告说，Lockbit勒索软件的附属公司正在通过被破坏的微软Exchange服务器分发其恶意软件。 据悉，2022年7月，该安全公司的一个客户经营的两台服务器被感染了LockBit 3.0勒索软件。威胁者最初在被破坏的Exchange服务器上部署了Web shell，然后只花了7天时间就将权限升级为活动目录管理员，并在加密网络中托管的系统之前窃取了大约1.3TB的数据。 根据研究人员的说法，攻击者据称利用了微软Exchange服务器的一个零日漏洞。查看微软Exchange服务器的漏洞历史，远程代码执行漏洞是在2021年12月16日披露的（CVE-2022-21969），特权升级漏洞是在2022年2月披露的，而最近的漏洞是在6月27日。信息泄露漏洞的漏洞。  也就是说，在5月之后披露的漏洞中，没有与远程命令或文件创建有关的漏洞报告。因此，考虑到WebShell是在7月21日创建的，预计攻击者使用了一个未公开的零日漏洞。 专家们认为，攻击者很可能没有利用最近披露的CVE-2022-41040和CVE-2022-41082漏洞。 在这份关于LockBit勒索软件的报告中，有很多内容，我不相信这是一个零日（报告中没有证据），但要注意一个问题。 – Kevin Beaumont (@GossiTheDog) 2022年10月11日 漏洞研究者Will Dormann指出，该报告没有包括利用一个新的零日漏洞的证据。 到目前为止，我只粗略浏览了该页面的翻译版本，但有什么证据表明这是一个不同的漏洞？ – Will Dormann (@wdormann) 2022年10月11日 Bleeping Computer指出，由Zero Day Initiative漏洞研究员Piotr Bazydlo发现的微软Exchange中至少有三个漏洞还没有被修补。这三个问题被ZDI追踪为ZDI-CAN-18881、ZDI-CAN-18882和ZDI-CAN-18932，于2022年9月20日报告。 转自 E安全，原文链接：https://mp.weixin.qq.com/s/eXa5J_TZeTO41ynS9oA9ig 封面来源于网络，如有侵权请联系删除

据Bleeping Computer消息，VMware于10月11日通知客户，vCenter Server 8.0（最新版本）仍在等待补丁来解决 2021 年 11 月披露的高严重性特权提升漏洞。 该安全漏洞 CVE-2021-22048 由 CrowdStrike 的 Yaron Zinar 和 Sagi Sheinfeld 在 vCenter Server 的 IWA（集成 Windows 身份验证）机制中发现，影响范围涉及到了 VMware 的 Cloud Foundation 混合云平台部署，具有非管理访问权限的攻击者可以利用漏洞，在未打补丁的服务器上将权限提升到更高权限组。 VMware 表示，只有使用与目标服务器相邻的向量网络的攻击者才能利用此漏洞作为高复杂性攻击的一部分，该攻击需要低权限且无需用户交互（但是NIST NVD 的 CVE-2021-22048 条目表示它可以远程利用低- 复杂性攻击）。 尽管如此，VMware 仍将该漏洞的严重性评估为“重要”， 这意味着通过用户协助或经过验证的攻击者能利用漏洞泄露用户数据。 尽管该公司在 2022 年 7 月发布安全更新，但仅解决了当时运行最新可用版本（vCenter Server 7.0 Update 3f）的服务器漏洞，即便如此，该补丁也在发布 11 天后被撤回，因为它没有修复漏洞并导致 Secure打补丁时令牌服务 (vmware-stsd) 崩溃。 补丁发布之前的解决方法 尽管所有受影响产品都还在苦苦等待补丁的到来，但 VMware 提供了一种解决方法，允许管理员删除攻击媒介。 为了阻止攻击尝试，VMware 建议管理员从受影响的集成 Windows 身份验证 (IWA) 切换到 Active Directory over LDAPs 身份验证或 AD FS 身份提供程序联合身份验证（仅限 vSphere 7.0）。 转自 Freebuf，原文链接：https://www.freebuf.com/news/346632.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： BazaCall回调网络钓鱼背后的运营商继续发展，更新了社会工程策略，以在目标网络上部署恶意软件。 网络安全公司Trellix在上周发布的一份报告中表示，该计划最终将成为进行金融欺诈或交付勒索软件等下一阶段有效载荷的切入点。 此次攻击的主要目标包括美国、加拿大、中国、印度、日本、中国台湾、菲律宾和英国。 BazaCall，也称为BazarCall，通过操纵潜在受害者拨打诱饵电子邮件中指定的电话号码来分发BazarBackdoor（又名BazarLoader）恶意软件的新方法，于2020年开始流行。 这些电子邮件诱饵旨在制造一种虚假的紧迫感，通知收件人有关续订防病毒服务的试用订阅的信息。这些消息还敦促他们联系服务人员以取消该计划，否则可能会自动收取该软件高级版本的费用。 这些攻击的最终目标是以终止假定订阅或安装安全解决方案的名义远程访问端点，以清除计算机中的恶意软件，从而有效地为后续活动铺平道路。 运营商采用的另一种策略是在PayPal主题活动中伪装成事件响应者，欺骗来电者以为他们的账户是从遍布世界各地的八台或更多设备访问的。 无论采用哪种方案，系统都会提示受害者启动特定的URL ，这是一个精心设计的网站，旨在下载和执行恶意可执行文件，除其他文件外，还会删除合法的ScreenConnect远程桌面软件。 成功持续访问后，攻击者会打开虚假的取消表单，要求受害者填写个人详细信息并登录他们的银行帐户以完成退款，但实际上他们被愚弄将钱发送给诈骗者。 这一发展是因为Conti勒索软件卡特尔至少有三个不同的衍生集团已经接受了回调网络钓鱼技术，作为破坏企业网络的初始入侵媒介。 和Conti的关系还不止于此。BazarBackdoor是由一个名为TrickBot的网络犯罪组织创建的，该组织于今年早些时候被Conti接管，之后于2022年5月至6月因在攻击乌克兰时效忠俄罗斯而关闭。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文