戴尔固件更新驱动中发现了重大漏洞，能够让攻击者配合其他漏洞来访问内核级别的代码。虽然这些漏洞本身并不存在允许远程代码执行的风险，但它仍然是一个重大问题，最近 10 年内推出的数百万台戴尔设备均受到影响。 去年 12 月，研究公司 SentinelLabs 就向戴尔报告了这个漏洞，并发布了包含所有信息的详细博客。此外，来自 Crowdstike 的 Alex Ionescu 说，“3 家独立的公司花了 2 年时间”，才将修复措施落实到位。 该研究公司指出，戴尔分配的一个CVE中存在五个缺陷，其中包括两个内存损坏问题，两个缺乏输入验证的问题，以及一个可能导致DDoS（拒绝服务）攻击的代码逻辑问题。问题存在于 “dbutil_2_3.sys “驱动程序中，该驱动程序用于戴尔和 Alienware系统的多个固件更新工具，包括用于BIOS更新。这些问题在CVE-2021-21551下被追踪。 戴尔已经针对该漏洞发布了安全公告（DSA-2021-088），并为Windows提供了更新包，可以从这里手动下载。另外，固件驱动程序也将通过各种戴尔通知系统提供，这些系统将从 5 月 10 日开始在 Windows 10 设备上提供自动更新。然而，运行 Windows 7 和 8.1 尚处于支持状态的 PC 将在 7 月 31 日才收到它们。 该公司已建议客户和企业采取一些步骤，以减轻缺陷带来的风险。这包括从电脑中删除 “dbutil_2_3.sys “驱动程序，并手动更新驱动程序，或等待自动下载带有更新驱动程序的更新工具。要删除有问题的驱动程序，该公司推荐这两个选项中的一个。 方案 1（推荐）。下载并运行戴尔安全咨询更新 – DSA-2021-088工具。 方案 2：手动删除有漏洞的dbutil_2_3.sys驱动程序。 步骤A：检查以下位置的dbutil_2_3.sys驱动文件 C:\Users\AppData\Local\Temp C:\Windows\Temp 步骤B：选择dbutil_2_3.sys文件，并按住SHIFT键，同时按DELETE键永久删除。     （消息及封面来源：cnBeta）

居家健身品牌 Pelonton 以室内固定式自行车和跑步机而被人们所熟知，但近日却曝出了 300 万订阅用户个人资料可能失窃的一个严重漏洞。即使你将个人资料设置为私密，且没有任何好友，Pelonton 应用程序接口（API）的这个安全漏洞，还是允许任何人获取用户的私人账户数据。 Peloton 的客户群里有许多名人，甚至连美国现总统拜登也有一台。在售价 1800 美元的动感单车的基础上，该公司还提供了丰富的订阅选项，其中包括了各种各样的课程。 然而 Pen Test Partners 安全研究员 Jan Masters 发现，他竟然能够在未经身份验证的情况下，向 Peloton 的官方 API 提出可获取其它用户私人数据的请求，且用户的本地设备和云端服务器都如此不设防。 这些数据中包括了详细的用户年龄、性别、城市、体重、锻炼统计数据，甚至可揭示用户在个人资料设置页面中设为私密的生日等信息。 遗憾的是，尽管早在 2021 年 1 月 20 日就向 Peloton 通报了这个 API 漏洞，但该公司还是未能在 90 条的标准期限内完成 bug 修复。 除了最初收到的一封确认函，该公司后续的态度也相当消极，只将 API 访问权限设置为仅会员可用。对于攻击者来说，依然能够通过注册月度会员的形式，访问到其他人的各种私密信息。 庆幸的是，在漏洞曝光的压力下，Peloton 终于在近日完成了该漏洞的修复，同时回应称很难向安全人员介绍详细的补救措施。 展望未来，该公司将更积极地与安全研究社区合作，以在收到漏洞报告时作出更快的响应。     （消息及封面来源：cnBeta）

隐私分析公司AppCensus周二披露，谷歌和苹果的COVID-19暴露通知应用程序的Android版本有一个隐私缺陷，让其他预装应用程序有可能看到敏感数据，包括某人是否曾与COVID-19检测呈阳性的人接触过。谷歌接到消息后回应称正在准备对该漏洞的修复。 这个漏洞违背了谷歌首席执行官桑达尔-皮查伊、苹果首席执行官蒂姆·库克和许多公共卫生官员的多次承诺，即暴露通知程序收集的数据不能在个人设备之外共享。 据The Markup报道，AppCensus在2月份首次向谷歌报告了这个漏洞，但该公司未能解决这个问题。AppCensus的联合创始人兼取证负责人Joel Reardon告诉The Markup，修复这个问题就像删除几行非必要的代码一样简单。”Reardon说：”明明有很简单的修复方法，我很惊讶他们没有这么做。” 谷歌发言人José Castañeda在给The Markup的一份电子邮件声明中说：”我们被告知一个问题，即蓝牙标识符暂时可以被特定的系统级应用程序用于调试目的，我们立即开始推出一个解决方案来解决这个问题。” 曝光通知系统的工作原理是在用户的手机和其他激活了该系统的手机之间ping出匿名的蓝牙信号。然后，如果有人使用该应用程序对COVID-19检测呈阳性，他们可以与卫生部门合作，向任何有相应信号记录在手机内存中的手机发送警报。 在Android手机上，追踪数据被记录在特权系统内存中，手机上运行的大多数软件都无法访问。但是，制造商预装的应用程序有特殊的系统权限，可以让它们访问这些日志，从而使敏感的联系人追踪数据处于危险之中。但是，目前没有迹象表明任何应用程序实际收集了这些数据。 预装的应用程序以前曾利用过它们的特殊权限，有调查显示，它们有时会收集地理位置信息和手机联系人等数据，但该分析报告没有发现iPhone上的曝光通知系统有任何类似的问题。 AppCensus的首席技术官Serge Egelman在Twitter上发表的一份声明中说，这个问题是一个实施上的问题，而不是曝光通知框架所固有的bug，但它不应该削弱对公共卫生技术的信任。我们希望带来的教训是，正确处理隐私问题真的很难，系统中的漏洞总是会被发现，但共同努力补救这些问题符合所有人的利益。”   （消息及封面来源：cnBeta）

援引《华盛顿邮报》报道，为了帮助寻找网络漏洞美国国防部已将大约 1.75 亿个 IP 地址池交给佛罗里达州的一家小公司控制。美国五角大楼发言人向《邮报》透露，作为试点工作的一部分已经于 1 月 20 日将这些 IP 地址交由 Global Resource Systems 公司管理，目的是“识别潜在的漏洞”和“防止未经授权使用国防部 IP 地址空间”。 这些 IP 地址依然归属于美国国防部。根据《邮报》报道，Global Resource Systems 公司成立于去年 9 月，暂时没有找到关于该公司任何其他联邦合同或任何面向公众的网站。这一举措显然是由五角大楼内一个名为 Defense Digital Service 的小组负责的，该小组为军队解决问题并进行技术实验。该小组直接向国防部长报告。 Global Resource Systems 公司到底负责为国防部做什么还不得而知，但《邮报》发现它向国防部的 IP 地址发送了 “互联网流量的消防水管（fire hose）”。一位安全专家推测，这可能会给国防部提供有关攻击者如何在线操作的信息，以及任何需要修复的可能的错误配置。   （消息及封面来源：cnBeta）

本月早些时候，有人在黑客论坛上放出了一个拥有 5.3 亿 Facebook 用户个人信息的数据集。随后该公司承认存在本次数据泄漏，但表示不会通知在该漏洞中受到影响的用户。 虽然 Facebook 表示已经修复了之前允许黑客从该社交平台上刮取数据的漏洞，不过一名安全研究人员发现了另一个漏洞。该漏洞允许黑客从 Facebook 上刮取电子邮件地址。 在与 Motherboard 分享的一段视频中，该人士指出 如果用户将其隐私设置为“Only Me”以外的其他选项，那么用于利用该漏洞的工具就可以刮取电子邮件地址。此外，该人士还指出，该漏洞已经被报告给了 Facebook，但他们并没有修复。 作为回应，Facebook 试图将其定位为小事件，也承认该漏洞尚未得到修复： 看来，我们在将该漏洞赏金报告转给相关团队之前，错误地关闭了该报告。我们感谢研究人员分享信息，并正在采取初步行动来缓解这个问题，同时我们也在跟进以更好地了解他们的发现。 安全研究员和网络安全情报公司Hudson Rock的首席技术官Alon Gal分享了有关该漏洞的更多信息，包括一个概念验证视频，显示如何从 Facebook 上提取用户的电子邮件地址。   （消息及封面来源：cnBeta）

在1月中旬，我们报道了Windows 10中的一个漏洞，它可以被用来破坏NTFS格式化驱动器的内容。只需要一个特别制作的文件夹名称，就可以导致卷被标记为dirty状态，然后系统需要使用Chkdsk实用程序进行修复。 但Chkdsk并不总是能做到这一点，反而让受害者无法启动系统。几个月前，微软开始在Windows Insiders社区测试修复补丁，现在补丁正在提供给所有用户，微软标记其为解决了被追踪为CVE-2021-28312（Windows NTFS拒绝服务漏洞）的问题。 这些修复措施被列为本月周二发布的补丁的一部分，一同到来的KB5001330和KB5001337更新主要负责卸载Windows 10中的微软Edge的传统版本。但这些Windows 10的更新，一如既往地是一把双刃剑。 不幸的是，虽然这些更新解决了不可否认的破坏性NTFS问题，但它们也给人们带来了其他问题，包括性能下降和访问共享文件夹时出现问题。在安装了Windows 10的相关更新后，试图访问有问题的路径时，会出现与Insiders构建版21322测试期间相同的消息，即” 该目录名称无效”。 有关该漏洞的更多细节，可在微软安全响应中心找到： https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-28312     （消息及封面来源：cnBeta）

通过和 JSOF Research 合作，网络安全公司 Forescout Research Labs 在披露了威胁全球上亿台设备的高危漏洞–NAME:WRECK。这是影响 4 个主流 TCP/IP 堆栈（FreeBSD，Nucleus NET，IPnet 和 NetX）的 9 个漏洞组合，对域名系统（DNS）实现有关，会导致拒绝服务(DoS)或远程代码执行(RCE)，允许攻击者控制或者宕机目标设备。 这些漏洞影响的TCP/IP堆栈包括但不限于： FreeBSD（影响版本：12.1）-BSD系列中最流行的操作系统之一。 IPnet（影响版本：VxWorks 6.6）-最初由Interpeak开发，现在由WindRiver维护，并由VxWorks实时操作系统（RTOS）使用。 NetX（影响版本：6.0.1）-ThreadX RTOS的一部分，现在是Microsoft维护的一个开源项目，名称为Azure RTOS NetX。 Nucleus NET（影响版本：4.3）-由西门子业务MentorGraphics维护的Nucleus RTOS的一部分，用于医疗、工业、消费类、航空航天和物联网设备。 攻击者可以利用NAME：WRECK漏洞窃取敏感数据、修改或使设备脱机以对制造行业中的政府或企业服务器、医疗机构、零售商或公司造成重大安全事故。攻击者还可以利用这些漏洞篡改住宅或商业场所的智能设备，以控制供暖和通风、禁用安全系统或篡改自动照明系统。   这些漏洞的细节将会在今年 5 月第 1 周召开的信息安全会议 Black Hat Asia 2021 上介绍。根据 Forescout 的研究人员的说法，医疗保健和政府组织是最容易受到所有三个 TCP/IP 堆栈的影响。不祥的是，Forescout 的粗略估计显示，多达 1 亿台或更多的设备可能受到 NAME:WRECK 的影响。 要完全防止这些易受攻击的TCP/IP堆栈版本，需要对设备打补丁，而在报告认为这并不太可能实现，有时甚至是困难的。这是因为所需的努力可能会发生 “巨大的变化”，这取决于有关设备是标准的 IT 服务器还是物联网设备。     （消息及封面来源：cnBeta）

世界各地的政府和政客正在利用Facebook如何对不真实活动进行监管的漏洞，伪造民众支持率以骚扰对手。来自《卫报》的调查基于内部文件和前Facebook数据科学家Sophie Zhang的证词，显示了该公司如何选择性地选择对这种活动采取行动。 Facebook迅速采取行动，处理美国、韩国等富裕国家和地区为左右政治而开展的协调活动，而对阿富汗、伊拉克、墨西哥和拉丁美洲大部分地区等较贫穷国家的类似活动的报道却不重视或干脆置之不理。 “Facebook上有很多伤害没有得到回应，因为它没有被认为是对Facebook构成足够的公关风险，”Sophie Zhang告诉卫报。”成本不是由Facebook承担的。它是由更广泛的世界作为一个整体来承担的。” Sophie Zhang发现的漏洞涉及到利用Pages创建假的支持者，被政府用来操控，使其显得受欢迎同时用来批评对手。虽然Facebook禁止人们操作一个以上的账户，但任何个人都可以创建多个Pages，并取得类似的效果。Pages通常用于代表企业、慈善机构、非营利组织或其他组织，但可以很容易地改变成个人账户的样子。 洪都拉斯就发生了一起利用这一漏洞的案例，该国总统胡安·奥兰多·埃尔南德斯（Juan Orlando Hernández）的Facebook页面的管理员创建了数百个Pages来为自己的帖子点赞，并营造出民众支持的假象。(2017年埃尔南德斯的选举因舞弊而广受批评。)同样，在阿塞拜疆，在总统伊利哈姆·阿利耶夫(Ilham Aliyev)的领导下，阿塞拜疆经历了多年的威权统治，执政党利用虚拟Pages来骚扰反对派政客，并批评独立媒体的新闻报道。下面来自《卫报》的视频展示了这些操作是如何进行的。 Sophie Zhang曾在Facebook的诚信团队工作，负责识别此类虚假活动，因表现不佳于2020年9月被Facebook解雇。在她最后一天分享的一份备忘录中，她描述了她是如何发现 “外国国家政府多次公然企图大规模滥用我们的平台来误导本国公民”。 当Zhang向她的经理们报告这类假Pages网络时，Facebook高层的反应并不一致。该公司对一些报告反应缓慢（《卫报》称，该公司花了 “近一年时间 “删除洪都拉斯的页面，花了14个月时间下架阿塞拜疆的活动），而对Zhang发现的其他网络，例如玻利维亚和阿尔巴尼亚的网络则置之不理。 正如Facebook的诚信副总裁盖伊·罗森（Guy Rosen）在2019年张女士抱怨反应缓慢后告诉她的那样。”我们有数百或数千种滥用类型（诚信上的工作保障）[……]这就是为什么我们应该从最重要的地方开始（顶级国家、顶级优先领域、推动流行的事情等），并在那里尝试着下功夫。” 为了说出Facebook的不作为，Sophie Zhang拒绝了公司提供的6.4万美元遣散费。在今天早上伴随着《卫报》的调查发布的推文中，她表示。”我加入FB是因为我天真地希望能从内部解决公司的问题，我站出来，是因为我失败了。” 在给《卫报》的一份声明中，Facebook发言人Liz Bourgeois表示。”我们从根本上不同意张女士对我们在平台上根除滥用行为的优先事项和努力的描述。我们在全球范围内积极追击滥用行为，并有专门的团队专注于这项工作。” Bourgeois表示，Facebook已经取缔了 “100多个协调的不真实行为网络”，”打击协调的不真实行为是我们的优先事项”。但该公司对张某在Facebook工作的事实没有异议。   （消息及封面来源：cnBeta）

在年度黑客大会 Pwn2Own 中，两位来自荷兰的白帽安全专家凭借着在 Zoom 中发现的远程代码执行（RCE）漏洞，获得了 20 万美元的赏金。Pwn2Own 大会是由 Zero Day Initiative 举办的一场高规格黑客比赛，主要是让黑客在限定时间内对常用软件、移动设备发起挑战。 举办该活动的目的是为了验证流行的软件、服务、设备都存在缺陷和漏洞，并通过赏金的方式来遏制漏洞的地下交易。这些受到攻击的“targets”自愿提供自己的软件和设备，并对攻击成功者给予奖励。 受雇于网络安全公司 Computest 的 Keuper 和 Alkemade 在本次活动的第二天，通过 3 个漏洞的整合成功接管了一个远程系统。这些漏洞不需要受害者参与互动，只要开启 Zoom 会话就可以了。 这些 Zoom 漏洞适用于 Windows 和 macOS 端，不过网页端 Zoom 并不受影响。目前尚不清楚 Android 和 iOS 端的 APP 是否也存在这些漏洞，因为Keuper和Alkemade并没有对这些进行研究。 Pwn2Own组织在推特上发布了一个gif图，展示了该漏洞的运行情况。你可以看到攻击者在运行Zoom的系统上打开计算器。Calc.exe经常被用作黑客在远程系统上打开的程序，以表明他们可以在受影响的机器上运行代码。   （消息及封面来源：cnBeta）

本月对于 IT 管理员来说是非常忙碌的，因为他们不得不尽快对内部的 Exchange Server 实例部署补丁。不过在政府的高度重视、微软的积极引导下，现在情况有所好转。微软今天宣布，92% 易受攻击的 Exchange IP 均已部署补丁或者得到缓解。 微软安全响应中心（MSRC）今天发布推文，表示 Exchange Server 实例被修复的势头强劲。在推文中写道：“我们的工作仍在继续，但是我们看到内部 Exchange 服务器更新的强劲势头。全球92%的 Exchange IP 已经打上补丁或得到缓解。上周全球范围改善了 43%” 。 从上图可以看到，还有将近 3 万个实例并没有被打上补丁。根据 RiskIQ 的遥测数据，在微软自 3 月 1 日以来观察到的 40 万个实例中，约占 8%。除了 IT 管理员的努力外，显著的减少可以归功于微软在过去几周内发布的多个建议，以及它在 Microsoft Defender 中引入的一键工具和自动缓解功能。 该公司还发布了对不再支持的预置Exchange Server实例的带外更新。剩下的实例需要多长时间才能打上补丁还有待观察，但微软可能会寄希望于未来几周持续的势头，以便实现这一目标。         （消息来源：cnBeta；封面源自网络）