致力于提供高质量免费照片和设计图形访问的网站Freepik今天披露了一起重大安全漏洞。在本周用户开始在社交媒体上抱怨他们的收件箱中收到了违规通知邮件后，该公司正式宣布了这一消息，从而确认了过去几天向注册用户发送的邮件的真实性。 根据该公司的官方声明，此次安全漏洞发生在一名黑客（或多名黑客）利用SQL注入漏洞访问其一个存储用户数据的数据库之后。Freepik表示，黑客获得了其Freepik和Flaticon网站上最老的830万注册用户的用户名和密码。 Freepik没有说明漏洞发生的时间，也没有说明它是何时发现的。不过，该公司表示，在得知这一事件后，立即通知了有关部门，并开始调查这一漏洞以及清点黑客获取的内容。至于被取走的内容，Freepik表示，并不是所有用户的账户都有相关的密码，黑客只取走了部分用户的信息。 该公司将这一数字定为450万，其中包括使用第三方联合登录账户的用户（谷歌、Facebook或Twitter）。 “对于剩下的377万用户，攻击者得到了他们的电子邮件地址和密码的哈希值，”该公司补充道。”散列密码的方法是bcrypt，还有22万9千名用户的方法是saltted MD5。随后，我们已经将所有用户的哈希值更新为bcrypt。” 该公司表示，现在正在根据被采取的措施，用定制的电子邮件通知所有受影响的用户。这些邮件将发给Freepik和Flaticon用户，这取决于用户在什么服务上注册过。Freepik是当今互联网上最受欢迎的网站之一，目前在Alexa百强网站排行榜上排名第97位。Flaticon也不甘落后，排名第668位。 当EQT在今年5月底收购Freepik公司时，该公司宣称Freepik服务拥有超过2000万注册用户。 Freepik公司的另一家网站Slidesgo的注册用户似乎没有受到影响。     （稿源：cnBeta，封面源自网络）

早在 4 个月前，安全研究员 Allison Husain 就已经向谷歌通报了一个影响 Gmail 或 G Suite 客户的电子邮件欺诈漏洞。遗憾的是，尽管给足了 137 天的时间，谷歌仍选择拖到 9 月份的某个时候再修复这个 Bug 。讽刺的是，在 Allison Husain 将详情公布后不久，谷歌团队就于 7 小时内在服务器端部署了缓解措施，以便能够撑到 9 月的正式修复。 据悉，该漏洞使得攻击者可发送模仿任何 Gmail 或 G Suite 客户的欺骗性电子邮件。 此外 Allison Husain 指出，该 bug 还使得邮件附件能够骗过发件人策略框架（SPF）和基于域的消息身份验证（DMARC）这两项最先进的邮件安全标准。 遗憾的是，搜索巨头在漏洞修复上有些不够积极，甚至一度想拖到 9 月份再正式修复。直到 Allison Husain 于自己的博客上披露了概念验证漏洞代码，谷歌工程师才于昨日改变了主义。 博文上线 7 小时后，谷歌向 Allison Husain 表示，该公司已在服务器端部署了缓解措施。 至于这个 Gmail（G Suite）Bug 本身，实际上是两个因素的结合，首先是攻击者可将欺骗性的电子邮件发送到后端网关。 其次是利用自定义邮件路由规则、以接收传入的电子邮件并将其转发，同时借助变更收件人的本地功能来骗过 Gmail 或 G Suite 客户。 利用此功能转发的好处是，Gmail / G Suite 会遵从 SPF 和 DMARC 安全标准来验证欺骗性转发的电子邮件。因源于 Google 后端，其垃圾邮件评分也可能较低，从而减少了被过滤系统拦截的可能。 Allison Husain 指出，这两个 bug 都是谷歌独有，如果漏洞未得到及时修补，其很有可能被恶意邮件发送者滥用。庆幸的是，通过在服务器端部署缓解措施，用户这边无需执行任何附加操作。     （稿源：cnBeta，封面源自网络）

Jenkins发布了一篇关于jettyweb服务器中一个严重漏洞的公告，该漏洞可能导致内存损坏，并导致机密信息泄露。该漏洞的编号为CVE-2019-17638，CVSS等级为9.4，影响范围为Eclipse Jetty版本9.4.27.v20200227至9.4.29.v20200521。 “该漏洞允许未经身份验证的攻击者获取HTTP响应标头，其中可能包含针对其他用户的敏感数据。” 这个影响Jetty和Jenkins核心的漏洞似乎是在Jetty版本9.4.27中引入的，该版本添加了一个机制来处理大型HTTP响应头并防止缓冲区溢出。 Jetty项目负责人GregWilkins说：“问题是在缓冲区溢出的情况下，我们释放了头缓冲区，但没有使字段为空。” 为解决此问题，Jetty引发异常以产生HTTP 431错误，该错误导致HTTP响应标头两次释放到缓冲池中，进而导致内存损坏和信息泄露。 因此，由于双重释放，两个线程可以同时从池中获取相同的缓冲区，并且可能允许一个请求访问由另一个线程写入的响应，该响应可能包括会话标识符、身份验证凭据和其他敏感信息。 换句话说，“当thread1要使用ByteBuffer写入response1数据时，thread2用response2数据填充ByteBuffer。然后，Thread1继续写入现在包含response2数据的缓冲区。这导致client1发出了request1并期望响应，看到response2可能包含属于client2的敏感数据。” 在一种情况下，内存损坏使得客户端能够在会话之间移动，从而可以进行跨帐户访问，因为来自一个用户响应的身份验证cookie被发送到另一用户，从而允许用户A跳入用户B的会话。 披露安全隐患后，上个月发布的Jetty 9.4.30.v20200611解决了该漏洞。Jenkins在昨天发布的Jenkins 2.243和Jenkins LTS 2.235.5中修复了其实用程序中的缺陷。 建议Jenkins用户将他们的软件更新到最新版本，以缓解该漏洞的危害。     稿件与封面来源：The Hacker News，译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理， 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

作为8月11日补丁周二的一部分，一个0day级别的漏洞被修复，它影响到Windows 7、Windows 8.1、Windows 10和几个Windows Server版本，微软还承认已经留意到利用此漏洞发生的攻击已经出现。这是操作系统中的一个欺骗漏洞，详情记录在CVE-2020-1464中，后果是黑客最终可以通过成功利用它来加载不当签名的文件。 “存在一个欺骗漏洞可以令Windows错误地验证文件签名。成功利用该漏洞的攻击者可以绕过安全功能，加载不正当签名的文件。在攻击场景中，攻击者可以绕过旨在防止加载不当签名文件的安全功能。”微软表示，看起来这个缺陷从2018年起就存在。 KrebsOnSercurity透露，该欺骗漏洞最早是由VirusTotal的经理Bernardo Quintero向微软报告的，公司随后向他证实了这一发现。但是，”微软已经决定不会在当前版本的Windows中修复这个问题，并同意我们能够在博客上公开报道这个案例和我们的发现。”在引用源强调的一篇博客文章中如此描述。 安全研究员、KZen Networks的创始人Tal Be’ery也指出，有证据表明该缺陷在2018年夏天就被发现了，不知为何微软当时就决定不打补丁。 微软则回避了关于为什么要等到现在才打补丁的问题。但更糟糕的是，微软在2018年不发布修复程序，等到2020年8月才解决操作系统缺陷，这意味着本身就暴露在攻击之下的Windows 7设备不再获得补丁，因为其非付费性质的支持早在2020年1月就结束了。     （稿源：cnBeta，封面源自网络。）

据外媒ZDNet报道，数字银行应用和科技独角兽Dave.com周日证实了一个安全漏洞，此前有黑客在公共论坛上公布了7516625名用户的详细资料。在周日致ZDNet的一封电子邮件中，Dave表示，安全漏洞源于前商业合作伙伴Waydev的网络，Waydev是一个工程团队使用的分析平台。 “由于Waydev（Dave的前第三方服务提供商之一）的漏洞，最近有恶意方未经授权访问了Dave的某些用户数据。”一位发言人告诉ZDNet。 该公司表示，已经堵住了黑客的入口点，并正在通知客户该事件。Dave应用密码被曝光后，也正在重新设置。Dave发言人称：“当Dave意识到这一事件后，公司立即启动了调查，调查正在进行中，并正在与执法部门协调，包括与FBI协调，围绕恶意方声称已经‘破解’了其中一些密码，并试图出售Dave客户数据。” 该公司还邀请了网络安全公司CrowdStrike协助调查。 ZDNet于7月25日凌晨得知了这一安全漏洞。有读者向ZDNet爆料称，有黑客在RAID上提供Dave应用的用户数据，该论坛以黑客泄露数据库的首选之地而闻名。这名黑客“ShinyHunters”也曾入侵和泄露/出售许多其他公司的数据，包括Mathway、Tokopedia、Wishbone等。 Dave数据目前以免费下载的形式提供–在论坛成员使用论坛积分解锁下载链接后。该数据包括丰富的信息，如真实姓名、电话号码、电子邮件、出生日期和家庭地址。数据中还包括社会安全号码，但Dave表示这些细节都被加密了–ZDNet在获得数据副本后证实了这一点。 密码也包括在内，但使用bcrypt进行了散列，这种散列功能可以防止黑客查看明文密码。Dave表示，目前，他们没有证据表明黑客利用这些数据访问用户账户并执行任何未经授权的行动。     （稿源：cnBeta，封面源自网络。）

美国国土安全部（DHS）下属的网络安全部门本周四发布行政令，要求联邦民用机构立即对新发现的 Windows 漏洞 SIGRed 进行安全修复，理由是该漏洞对这些的机构的安全构成了“不可接受的重大风险”。 这是 DHS 下属的网络安全和基础设施安全局（Cybersecurity and Infrastructure Security Agency，简称CISA）有史以来发布的第三道命令，要求各大机构在 24 小时内对用于域名系统的 Windows 服务器打补丁，或者部署其他的缓解方案。机构内并非用于 DNS，但受影响的服务器要在7月24日前打上补丁。 在指令是非常紧迫性的，CISA 强调：“基于该漏洞被利用的可能性，受影响软件在整个联邦企业中的广泛使用，机构信息系统被破坏的可能性很高，以及成功破坏的严重影响”。 Check Point的研究人员发现了Windows DNS的安全漏洞，并在5月份向微软报告。如果不打补丁，就会使Windows服务器容易受到攻击，不过微软指出，目前还没有发现这个缺陷被利用的证据。 “DNS服务器漏洞是一件非常严重的事情，”Check Point的漏洞研究团队负责人Omri Herscovici警告说。”这些漏洞类型只有少数几个发布过。每一个使用微软基础设施的组织，无论大小，如果不打补丁，都会面临重大安全风险，最坏的后果将是整个企业网络的彻底破坏。这个漏洞在微软的代码中已经存在了17年以上；既然我们能够发现这个漏洞，那么别人也已经发现了这个漏洞也不是不可能。”     （稿源：cnBeta，封面源自网络。）

微软警告称，该公司将一个17年前的Windows DNS服务器关键漏洞列为 “可蠕虫”。这样的漏洞可能允许攻击者创建特殊的恶意软件，在Windows服务器上远程执行代码，并创建恶意的DNS查询，甚至最终可能导致企业和关键部门的基础设施被入侵。 访问MSRC报告： https://msrc-blog.microsoft.com/2020/07/14/july-2020-security-update-cve-2020-1350-vulnerability-in-windows-domain-name-system-dns-server/ “蠕虫漏洞有可能在没有用户交互的情况下，通过恶意软件在易受攻击的计算机之间传播，”微软首席安全项目经理Mechele Gruhn解释说。”Windows DNS服务器是一个核心网络组件。虽然目前还不知道这个漏洞是否被用于主动攻击，但客户必须尽快应用Windows更新来解决这个漏洞。” Check Point的研究人员发现了Windows DNS的安全漏洞，并在5月份向微软报告。如果不打补丁，就会使Windows服务器容易受到攻击，不过微软指出，目前还没有发现这个缺陷被利用的证据。 今天，在所有被支持的Windows Server版本中都提供了修复该漏洞的补丁，但系统管理员必须在恶意行为者根据该漏洞制造恶意软件之前，尽快给服务器打上补丁。 “DNS服务器漏洞是一件非常严重的事情，”Check Point的漏洞研究团队负责人Omri Herscovici警告说。”这些漏洞类型只有少数几个发布过。每一个使用微软基础设施的组织，无论大小，如果不打补丁，都会面临重大安全风险，最坏的后果将是整个企业网络的彻底破坏。这个漏洞在微软的代码中已经存在了17年以上；既然我们能够发现这个漏洞，那么别人也已经发现了这个漏洞也不是不可能。” Windows 10和其他客户端版本的Windows不受该漏洞的影响，因为它只影响微软的Windows DNS Server实现。微软还发布了一个基于注册表的工作方法，以防止管理员无法快速修补服务器时紧急处理缺陷。 微软在通用漏洞评分系统(CVSS)上给出了10分的最高风险分，强调了问题的严重性。作为对比，WannaCry攻击所使用的漏洞在CVSS上的评分为8.5分。     （稿源：cnBeta，封面源自网络。）

新浪科技讯 北京时间7月2日早间消息，在“剑桥分析丑闻”遭到曝光后，Facebook曾经承诺在与外部开发者分享用户数据时施加时间限制，但实际期限却超出他们当初的承诺。 该公司之前表示，如果用户超过90天未与开发者互动，就将阻止该应用获取用户数据。届时，开发者需要重新获得许可才能再次获得电子邮箱、生日和所在城市等数据的访问权， 但Facebook在周三的博文中表示，这项规定在某些情况下未能顺利实施。如果用户也通过该应用与Facebook好友联系，开发者就可以同时获取这两个用户的数据。但该公司发言人称，这项漏洞却会导致开发者在获得一个活跃用户的数据时，也可以看到该用户好友的数据，即使后者已经超过90天没有打开这款应用。 Facebook透露，这一问题涉及约5000个开发者。但他们并未披露可能受此影响的用户数。 “我们在发现问题后就予以解决。”Facebook在博文中写道，“我们将会继续调查，并将继续围绕任何重大更新保持透明度。” 该漏洞是由一名Facebook工程师两周前发现的，但该公司称，他们没有理由认为相关数据遭到滥用。 Facebook在与第三方分享数据方面有过许多不良记录。这项90天的时间限制就是源自两年多以前的“剑桥分析丑闻”，那家政治数据分析公司当时购买了数百万Facebook用户的数据，但这些数据却是在用户并不知情的情况下收集的。 Facebook当时对许多数据共享产品进行限制，还实施新规，要求用户更加明确地授权外部应用使用其信息。该公司还因为这项丑闻的相关调查在2019年中与美国联邦贸易委员会签订50亿美元的隐私和解协议。(书聿)   （稿源：新浪科技，封面源自网络。）

今年早些时候 Linux 中的 UEFI 代码已经进行过清理，随后一系列 RISC-V UEFI 支持的早期补丁被提出，形成了更为全面的补丁集，用于在 Linux 下启用 RISC-V 的 UEFI 支持。近日则又有开发者提交了一系列补丁，解决了大量问题的同时为 Linux 下支持 RISC-V UEFI 新增了一些新的能力。 开发者 Atish Patra 来自西部数据，他在上周四提交了 11 个补丁，根据他的介绍，补丁 1-6 是准备性修补程序，可修复一些通用的 efi 和 riscv 问题；补丁 7-9 增加了对 RISC-V 的 efi stub 支持，并已在四月份提交审核；补丁 10 重命名了 arm-init，以便可以在不同的代码中使用该基础；补丁 11 则为 RISC-V 添加了运行时服务。 总结起来，这一系列补丁的主要贡献在于： 添加了完整的 ioremap 支持。 添加了 efi 运行时服务支持。 修复了 mm 问题。 目前补丁已在 Qemu 上使用 U-Boot 中的 bootefi 命令进行了验证，在 RISC-V 32 位与 RISC-V 64 位上都通过测试。不过 RISC-V 上 EDK2 代码的某些问题仍在解决中，主要是 SPI 与网络驱动相关的问题。 这一系列补丁打在 Linux 内核 5.8-rc2 上，目前还处于 PR 状态，等待代码审核，如果解决了相关问题，并且最终被接受，那么在 Linux 5.8 发布的时候应该能够看到。     （稿源：开源中国，封面源自网络。）

感谢腾讯御见威胁情报中心来稿！ 原文链接：https://mp.weixin.qq.com/s/oFnOODmShuuE5OUfbZKiEQ   一、背景 腾讯安全威胁情报中心检测到ThanatosMiner（死神矿工）挖矿木马利用BlueKeep漏洞CVE-2019-0708攻击传播。攻击者将公开的Python版本BlueKeep漏洞利用代码打包生成scan.exe，大范围扫描随机生成的IP地址进行探测和攻击。 漏洞利用成功后执行shellcode下载C#编写的木马svchost.exe，然后利用该木马下载门罗币挖矿木马以及攻击模块进行下一轮攻击。因Payload程序Assembly Name为ThanatosCrypt，将该挖矿木马命名为ThanatosMiner（死神矿工）。 2019年5月15日，微软发布了针对远程桌面服务（Remote Desktop Services ）的关键远程执行代码漏洞CVE-2019-0708的安全更新，该漏洞影响某些旧版本的Windows。攻击者一旦成功触发该漏洞，便可以在目标系统上执行任意代码，该漏洞的触发无需任何用户交互操作——意味着，存在漏洞的电脑只需要连网，勿须任何操作即可能遭遇远程黑客攻击而沦陷。BlueKeep漏洞（CVE-2019-0708）是所有安全厂商高度重视的高危漏洞。 该漏洞影响旧版本的Windows系统，包括： Windows 7、WindowsServer 2008 R2、Windows Server 2008、Windows 2003、Windows XP。Windows 8和Windows10及之后版本不受此漏洞影响。 腾讯安全系列产品已全面支持对ThanatosMiner（死神矿工）挖矿木马的查杀拦截，腾讯安全专家强烈建议用户及时修补BlueKeep漏洞，避免电脑被挖矿木马自动扫描攻击后完全控制。 二、样本分析 攻击模块scan.exe通过pyinstaller打包Python代码生成exe，使用pyinstxtractor.py可解压出Python编译后的无后缀文件scan。pyinstaller在打包pyc的时候会去掉pyc的magic和时间戳，而打包的系统库文件中这两项内容会被保留，所以可以查看解压出的系统库中的magic和时间戳并添加到scan的文件头，然后将其命名为scan.pyc，并通过uncompyle6进行反编译，可以还原的Python代码scan.py。 分析发现，Python3版本编译后的二进制文件开头为e3 00 00 00 00 00 00 00，Python2版本通常为63 00 00 00 00 00 00 00。 scan.py获取本机同网段IP地址，以及随机生成的外网IP地址扫描3389端口。 利用公开的BlueKeep漏洞CVE-2019-0708攻击代码进行攻击。 漏洞攻击成功执行shellcode命令，在%Temp%目录下创建DO.vbs，下载执行http[:]//download.loginserv.net/svchost.exe。 Payload木马svchost.exe采样C#编写，代码经过Dotfuscator混淆处理，可使用开源工具De4dot去除部分混淆，程序的Assembly Name为ThanatosCrypt。 运行后会检测以下注册表项和磁盘文件判断是否在虚拟机中运行。 SYSTEM\CurrentControlSet\Enum\SCSI\Disk&Ven_VMware_&Prod_VMware_Virtual_S SYSTEM\CurrentControlSet\Control\CriticalDeviceDatabase\root#vmwvmcihostdev SYSTEM\CurrentControlSet\Control\VirtualDeviceDrivers SOFTWARE\VMWare, Inc.\VMWare Tools SOFTWARE\Oracle\VirtualBox Guest Additions C:\windows\Sysnative\Drivers\Vmmouse.sys C:\windows\Sysnative\Drivers\vmci.sys C:\windows\Sysnative\Drivers\vmusbmouse.sys C:\windows\Sysnative\VBoxControl.exe 通过IsDebuggerPresent() 、IsDebuggerAttached()、CheckRemoteDebuggerPresent()判断进程是否被调试。 若无虚拟机环境、未处于被调试状态则继续执行。 然后svchost.exe继续下载http[:]//download.loginserv.net/scan.exe进行扫描攻击，以及下载http[:]//download.loginserv.net/xmrig.exe挖矿门罗币。 IOCs Domain download.loginserv.net MD5 URL http[:]//download.loginserv.net/svchost.exe http[:]//download.loginserv.net/xmrig.exe http[:]//download.loginserv.net/scan.exe http[:]//download.loginserv.net/mine.exe   参考链接 1.Windows远程桌面服务漏洞预警（CVE-2019-0708） https://mp.weixin.qq.com/s/aTSC0YR1dxSUHVJ3pnZezA 2.漏洞预警更新：Windows RDS漏洞（CVE-2019-0708） https://mp.weixin.qq.com/s/OEjI776O3cTjtMrsPdtnpQ 3.Windows远程桌面漏洞风险逼近，腾讯安全提供全面扫描修复方案 https://mp.weixin.qq.com/s/ckVHic2oChjZmVvH_zmsHA 4.Windows远程桌面服务漏洞（CVE-2019-0708）攻击代码现身 https://mp.weixin.qq.com/s/bcANAbzONFyrxqNMssTiLg 5.RDP漏洞(BlueKeep)野外利用预警，腾讯御知免费检测 https://mp.weixin.qq.com/s/G2ZS7rKkYYvEtbxUm0odGA 6.永恒之蓝下载器木马再升级，集成BlueKeep漏洞攻击能力 https://mp.weixin.qq.com/s/_teIut43g6In9YZ7VQ2f7w