埃因霍温科技大学的安全研究员 Björn Ruytenberg 透露，由于常用的 Thunderbolt 端口存在缺陷，2019 年之前生产的所有 PC 都可能遭到黑客入侵。 即使 PC 处于睡眠模式或处于锁定状态，这一被称为 Thunderbspy 的攻击也可以从用户的 PC 读取和复制所有数据。此外，它还可以从加密驱动器中窃取数据。 Thunderspy 属于 evil-maid 攻击类别，这意味着它需要对设备进行物理访问才能对其进行攻击，因此与可以远程执行的其他攻击相比，它的利用程度较低。但是另一方面，Thunderspy 还是一种隐身攻击，在成功执行入侵之后，犯罪分子几乎不会留下任何利用的痕迹。 事实上，早在 2019 年 2 月，一群安全研究人员就发现了一个与 Thunderspy 类似的相关入侵事件 Thunderclap。同年，英特尔发布了一种可以防止 Thunderspy 攻击的安全机制，称为内核 DMA 保护（Kernel Direct Memory Access Protection）。 不过该机制在较早的配置中未实现，这也就是在 2019 年之前生产的计算机更易受到影响的原因。但有趣的是，当苹果 MacOS 笔记本启动到 Bootcamp 时，所有的 Thunderbolt 安全都会被禁用。 Ruytenberg 指出，所有在 2011-2020 年之间出货的、配备 Thunderbolt 的设备都容易受到攻击。自 2019 年以来已交付的提供内核 DMA 保护的设备，也都在一定程度上易受攻击。 Thunderspy 漏洞无法在软件中修复，会影响到未来的 USB 4 和 Thunderbolt 4 等标准，最终将需要对芯片进行重新设计。     （稿源：开源中国，封面源自网络。）

三星本周发布了一个安全更新，修复了自2014年以来一直存在于旗下所有智能手机中的关键漏洞。该漏洞最早可以追溯到2014年下半年，三星开始在所有发布的设备中引入了对自定义Qmage图像格式（.qmg）的支持，而三星的定制Android系统在处理该图像格式上存在漏洞。 视频连接：https://www.cnbeta.com/articles/tech/975843.htm 谷歌Project Zero的安全研究员Mateusz Jurczyk发现了一种利用Skia（Android图形库）来处理发送到设备上的Qmage图像的方法。Jurczyk表示，这个Qmage漏洞能在零点击的情况下被利用，不需要用户之间的互动。所以能在用户不知情的情况下，将所有发送到设备上的图片重定向到Skia库中进行处理–比如生成缩略图预览等。 研究人员开发了一个针对三星信息应用的概念验证演示，利用该漏洞可以窃取短信和彩信。Jurczyk说，他通过向三星设备重复发送MMS（多媒体短信）信息来利用这个漏洞。每条消息都试图猜测Skia库在Android手机内存中的位置，这是绕过Android的ASLR（地址空间布局随机化）保护的必要操作。 Jurczyk表示，一旦Skia库在内存中的位置被确定，最后一条彩信就会传递出实际的Qmage有效载荷，然后在设备上执行攻击者的代码。这位谷歌的研究人员表示，攻击者通常需要50到300条彩信来探测和绕过ASLR，这通常需要平均100分钟左右的时间。 此外，Jurczyk表示，虽然这种攻击看起来可能很密集，但也可以修改后在不提醒用户的情况下执行。这位谷歌研究人员说：“我已经找到了让彩信消息完全处理的方法，而不触发Android上的通知声音，所以完全隐身攻击可能是可能的。” 此外，Jurczyk表示，虽然他没有测试过通过彩信和三星信息应用之外的其他方法来利用Qmage漏洞，但理论上来说，针对三星手机上运行的任何能够接收到远程攻击者提供的Qmage图像的应用，都有可能被利用。 研究人员在2月份发现了该漏洞，并向三星报告了该问题。这家韩国手机制造商在5月的2020年安全更新中对该漏洞进行了补丁。该漏洞在三星安全公告中被追踪为SVE-2020-16747，在Mitre CVE数据库中被追踪为CVE-2020-8899。   （稿源：cnBeta，封面源自网络。）

感谢腾讯御见威胁情报中心来稿！ 原文链接：https://mp.weixin.qq.com/s/eLnQxa_hXxhNhyquOThW7Q 一、概述 腾讯安全威胁情报中心于2020年05月03日检测到H2Miner木马利用SaltStack远程命令执行漏洞（CVE-2020-11651、CVE-2020-11652）入侵企业主机进行挖矿。通过对木马的核心脚本以及可执行文件的对比分析，我们确认了此次攻击行动属于挖矿木马家族H2Miner。 H2Miner是一个linux下的挖矿僵尸网络，通过hadoop yarn未授权、docker未授权、confluence RCE、thinkphp 5 RCE、Redis未授权等多种手段进行入侵，下载恶意脚本及恶意程序进行挖矿牟利，横向扫描扩大攻击面并维持C&C通信。 腾讯安全威胁情报中心大数据统计结果显示，H2Miner利用SaltStack漏洞的攻击自5月3日开始，目前呈快速增长趋势。H2Miner挖矿木马运行时会尝试卸载服务器的安全软件，清除服务器安装的其他挖矿木马，以独占服务器资源。目前，H2Miner黑产团伙通过控制服务器进行门罗币挖矿已非法获利超370万元。 二、样本分析 Saltstack是基于python开发的一套C/S自动化运维工具。近日，SaltStack被爆存在认证绕过漏洞（CVE-2020-11651）和目录遍历漏洞（CVE-2020-11652），其中： CVE-2020-11651：为认证绕过漏洞，攻击者可构造恶意请求，绕过Salt Master的验证逻辑，调用相关未授权函数功能，达到远程命令执行目的。 CVE-2020-11652：为目录遍历漏洞，攻击者可构造恶意请求，读取服务器上任意文件，获取系统敏感信息信息。 漏洞影响版本 SaltStack < 2019.2.4 SaltStack < 3000.2 安全研究人员在得到企业授权后，对中招机器进行排查，在/var/log/salt/minion日志中发现攻击时的恶意文件下载行为： 该下载行为正是利用SaltStack漏洞攻击成功后执行的远程命令，命令通过curl或wget下载和执行脚本sa.sh（http[:]//217.12.210.192/sa.sh），脚本sa.sh具有以下功能： 1、卸载防御软件阿里云骑士、腾讯云镜。 2、通过端口、文件名、进程名、钱包地址匹配匹配找到竞品挖矿木马，删除对应的进程和文件，杀死正在运行的竞争对手的Docker容器并删除其镜像。 3、检查文件/tmp/salt-store是否存在，md5是否为“8ec3385e20d6d9a88bc95831783beaeb”。 4、salt-store不存在或md5不正确则下载该文件至tmp目录下。 下载得到的salt-store采用Golang编写，被编译为Linux平台可执行程序，主要有以下功能： 下载文件并执行 启动和维持挖矿程序 与C&C服务器通信，接收并执行远程命令 利用masscan对外扫描 针对redis服务进行爆破攻击 salt-store从http[:]//206.189.92.32/tmp/v下载XMRig挖矿木马，保存为/tmp/salt-minions，然后启动连接矿池xmr-eu1.nanopool.org挖矿，配置中使用门罗币钱包为： 46V5WXwS3gXfsgR7fgXeGP4KAXtQTXJfkicBoRSHXwGbhVzj1JXZRJRhbMrvhxvXvgbJuyV3GGWzD6JvVMuQwAXxLZmTWkb 目前该钱包已挖矿获得8236个门罗币，获利折合人民币超过370万元。该黑产团伙的战果显示：入侵控制Linux服务器挖矿已是黑产生财之道，采用Linux服务器的企业万不可掉以轻心。 三、关联家族分析 此次攻击中sa.sh（e600632da9a710bba3c53c1dfdd7bac1）与h2miner使用的 ex.sh（a626c7274f51c55fdff1f398bb10bad5）脚本内容呈现高度相似： 上述标记中sa.sh对比ex.sh唯一缺少的代码是通过crontab定时任务设置持久化。 而sa.sh和ex.sh主要的任务为下载木马salt-store（8ec3385e20d6d9a88bc95831783beaeb）和kinsing（a71ad3167f9402d8c5388910862b16ae），这两个木马都时采样Golang语言编写，并编译为Linux平台可执行程序，两个样本代码结构高度相似、并且完成的功能几乎相同，因此我们认为两者属于同一家族。 四、安全建议 腾讯安全专家建议企业采取以下措施强化服务器安全，检查并清除服务器是否被入侵安装H2Miner挖矿木马。 1.将Salt Master默认监听端口（默认4505 和 4506）设置为禁止对公网开放，或仅对可信对象开放。将SaltStack升级至安全版本以上，升级前建议做好快照备份，设置SaltStack为自动更新，及时获取相应补丁。 2.Redis 非必要情况不要暴露在公网，使用足够强壮的Redis口令。 3.参考以下步骤手动检查并清除H2Miner挖矿木马： kill掉进程中包含salt-minions和salt-store文件的进程，文件hash为a28ded80d7ab5c69d6ccde4602eef861、8ec3385e20d6d9a88bc95831783beaeb； 删除文件/tmp/salt-minions、/tmp/salt-store； 将恶意脚本服务器地址217.12.210.192、206.189.92.32进行封禁； 升级SaltStack到2019.2.4或3000.2，防止病毒再次入侵。 IOCs MD5 e600632da9a710bba3c53c1dfdd7bac1 a28ded80d7ab5c69d6ccde4602eef861 8ec3385e20d6d9a88bc95831783beaeb a626c7274f51c55fdff1f398bb10bad5 a71ad3167f9402d8c5388910862b16ae IP 217.12.210.192 206.189.92.32 144.217.117.146 URL hxxps[:]//bitbucket.org/samk12dd/git/raw/master/salt-store hxxp[:]//217.12.210.192/salt-store hxxp[:]//217.12.210.192/sa.sh hxxp[:]//206.189.92.32/tmp/v hxxp[:]//206.189.92.32/tmp/salt-store hxxp[:]//144.217.117.146/ex.sh hxxp[:]//144.217.117.146/kinsing2 参考链接 通告：针对SaltStack远程命令执行漏洞（CVE-2020-11651、CVE-2020-11652）植入挖矿木马的应急响应 https://mp.weixin.qq.com/s/CtZbXD0CXCemWyAwWhiv2A https://developer.aliyun.com/article/741844

北京时间5月6日消息，一位化名为奥尔德森(Elliot Alderson)的法国黑客日前在Twitter上表示，其发现了印度政府“Aarogya Setu”新型冠状病毒追踪APP的安全问题，这可能会危及9000万印度人的隐私。作为一名有良心的黑客，奥尔德森已经将这个问题“标记”发送至印度计算机应急响应小组(CERT)和隶属于印度电子和信息技术部的国家信息中心(NIC)。 奥尔德森早先还曝光了印度政府“mAadhar”安卓应用程序的问题。 周二，奥尔德森在Twitter上声称，他发现了Aarogya Setu应用程序的一个安全问题，并要求印度政府私下联系他，以便向当局详细披露。印度政府很快联系了这名黑客，了解相关情况。奥尔德森现在正在等待这一问题的解决方案，如果印度政府解决不了，那么按照“白帽”黑客的核心原则，他将公开披露这一问题。 印度政府确实在昨晚凌晨对黑客的推特做出了详细的回应。但奥尔德森仍在等待政府出手修复，用他的话来说，印度政府的回应基本上是“（这里）没什么问题啊”。换句话说，按照印度政府的说法，Aarogya Setu一切正常。 Aarogya Setu的制作者回应称：“这位黑客没有证明用户的个人信息处于危险之中。我们一直在测试和升级该系统。Aarogya Setu团队向所有人保证，没有发现任何数据或安全漏洞。” 奥尔德森已经在推特上宣布，若这个问题得不到修复，他将于今天公布更多信息。 与此同时，奥尔德森不是唯一一个在隐私方面向Aarogya Setu提出警告的人。位于新德里的软件自由法律中心（Software Freedom Law Centre）声称，这个应用程序会收集如性别和旅行记录等敏感的用户数据。互联网自由基金会(IFF)也宣称Aarogya Setu缺乏透明度。 这类问题特别严重，需要深入研究，因为即使Aarogya Setu看起来是一个“自愿安装”的应用程序，但它每天都在变得越来越“强制”。按照印度警方的最新要求，在诺伊达和大诺伊达这些地方如果没有在手机上安装这个程序，甚至会面临处罚。 印度政府还要求公共和私营部门雇员把它安装在智能手机上。印度内政部最近的一项指令要求：“所有员工都必须使用Aarogya Setu应用程序，包括私人部门和公共部门的员工。各机构负责人有责任确保该应用程序在员工中的覆盖率达到100%。”所以可以说，Aarogya Setu已经是印度中央政府雇员以及居住在隔离区居民的必装软件。   （稿源：凤凰网科技，封面源自网络。）

Kenna Security 发布了一份新的报告，其中对 Microsoft、Linux 和 Mac 资产的风险状况进行了研究。Cyentia 研究所撰写了《 Prioritization to Prediction: Volume 5: In Search of Assets at Risk》报告，该报告基于 Kenna Security 来自 450 个组织的 900 万资产的数据。 报告指出，微软资产的 70％ 至少具有一个高风险漏洞。在整个研究期间，研究人员共发现了 Microsoft 资产中的 2.15 亿个漏洞，其中已完成修复的漏洞有 1.79 亿个，占比 83％。根据 Kenna Security 的说法，其余未修补的 3600 万个漏洞要高于 Max、Linux 和 Unix 资产的总和。 微软还拥有最高的封闭式高风险漏洞百分比，为 83％。紧随其后的是 Apple OSX，其次是 Linux/unix 和网络设备/IoT 设备。此外，40％ 的 Linux 和 Unix 资产以及 30％ 的网络设备具有已知漏洞。 不过，Kenna Security 也指出，较少的漏洞不一定表示设备更安全。在一个单个高风险漏洞可能造成灾难性后果的世界中，有效的补丁程序优先级和速度是安全性的关键，而与设备或软件类型无关。 尽管 Microsoft 具有比其他漏洞更多的漏洞，但这不一定表示其存在总风险，因为 Microsoft 还可以更快地修复漏洞。该报告发现，基于 Windows 的资产每月平均有 119 个漏洞，并且平均每 36 天修补一次这些漏洞。与此相比，网络设备每月平均只有 3.6 个漏洞，但这些漏洞则大约需要一年的时间才能完成修补。 苹果的补丁率位列第二高，为 79％。Linux、Unix 和其他网络设备的补丁率则为 66％。 Cyentia Institute 的合伙人兼创始人 Wade Baker 表示：“通过自动修补和’Patch Tuesdays’，Microsoft 能够解决其系统上的关键漏洞的速度非常出色，但其仍然存在很多漏洞。 “另一方面，我们看到许多资产，例如 routers 和 printers，它们的高风险漏洞具有更长的保质期。公司需要围绕这些权衡因素调整其风险承受能力，策略和漏洞管理功能。” 报告地址： https://www.kennasecurity.com/resources/prioritization-to-prediction-report-volume-five   （稿源：cnBeta，封面源自网络。）

GitLab 向报告自家平台的严重远程代码执行漏洞的安全研究人员奖励了 2 万美元。该漏洞由 William “vakzz” Bowling 发现，Bowling 既是一名程序员同时也是 Bug 赏金猎人，他于3月23日通过 HackerOne Bug 赏金平台私密披露了该漏洞。 Bowling 表示，GitLab 的 UploadsRewriter 函数用于拷贝文件，而这正是此次严重安全问题的源头。当 issue 被用于跨项目复制时，UploadsRewriter 函数会检查文件名和补丁。然而在这过程中由于没有验证检查，导致出现路径遍历问题，这可能会被利用于复制任何文件。 根据 Bug 赏金猎人的说法，如果漏洞被攻击者利用，则可能会被用于”读取服务器上的任意文件，包括 token、私有数据和配置”。GitLab 实例和 GitLab.com 域均受到该漏洞的影响，此漏洞被 HackerOne 判定为严重等级程度。 Bowling 补充到，通过使用任意文件读取漏洞从 GitLab 的 secret_key_base 服务中抓取信息，可以将该漏洞变成远程代码执行（RCE）攻击。举例来说，如果攻击者改变了自己实例的 secret_key_base 以匹配项目，那么 cookie 服务也可以被操纵以用于触发 RCE 攻击。 Bowling 将漏洞发送给了 GitLab 安全团队，工程师们重现了此问题，并指出攻击者至少需要成为项目成员才能利用该漏洞，但根据 GitLab 高级工程师 Heinrich Lee Yu 的说法，攻击者也可以”创建自己的项目或组别来达到同样的目的”。 目前，该漏洞已经在 GitLab 12.9.1 版本中得到了解决，安全研究人员 Bowling 也于3月27日获得了全额赏金。   （稿源：开源中国，封面源自网络。）

周二的时候，谷歌公布其在苹果公司的图像 I/O 中发现了当前已被修复的一些 bug 。对于该公司的平台来说，Image I/O 对其多媒体处理框架有着至关重要的意义。ZDNet 报道称，谷歌旗下 Project Zero 团队在周二概述了该漏洞的诸多细节。若被别有用心者利用，或导致用户遭遇“零点击”攻击。 据悉，Image I/O 随 iOS、macOS、watchOS 和 tvOS 一起向应用开发者提供。因此谷歌曝光的这一缺陷，几乎影响苹果的每一个主要平台。 问题可追溯到围绕图像格式解析器的一些老生常谈的问题，这些特殊的框架很适合被黑客利用。通过编造畸形的媒体文件，便可在目标系统上运行无需用户干预的“零点击”代码。 谷歌 Project Zero 补充道，他们分析了 Image I/O 的“模糊处理”过程，以观察该框架是如何响应错误的图像文件格式的。之所以选择这项技术，是因为苹果限制了对该工具大部分源代码的访问。 结果是，谷歌研究人员成功地找到了 Image I/O 中的六个漏洞、以及 OpenEXR 中的另外八个漏洞，后者正是苹果向第三方公开的“高动态范围（HDR）图像文件格式”的框架。 谷歌 Project Zero 安全研究人员 Samuel Groß 写道：“经过足够的努力，以及由于自动重启服务而授予的利用尝试，我们发现某些漏洞可被利用开执行‘零点击’的远程代码”。 鉴于这是一种基于多媒体攻击的另一种流行途径，其建议苹果在操作系统库和 Messenger 应用中实施连续的“模糊测试”和“减少受攻击面”，后者包括以安全性的名义而减少对某些文件格式的兼容政策。 最后需要指出的是，苹果已经在 1 月和 4 月推出的安全补丁中，修复了与 Image I/O 有关的六个漏洞。   （稿源：cnBeta，封面源自网络。）

谷歌应用商店Google Play Store出现了一个新的bug，导致一些应用在Google Play Store当中反复显示有相同版本的可用更新。用户报告受影响的应用主要包括YouTube TV、Google Docs、Google Docs、Sheets、Slides、Gmail等第一方应用。 据报道，一些用户开始注意到，”我的应用和游戏 “部分列出了其中的一些更新，实际上，其中一些应用会被下载安装。然而，这些更新的应用版本号和已经安装的应用版本号似乎完全相同，这表明是bug导致了有新版本的错误提示。有趣的是，在某些设备上，当从任务切换器中关闭Play Store应用时，这些更新要么消失，要么被其他应用取代。 更新后的应用甚至会在页面的 “最近更新 “部分列出。有趣的是，据说一些第三方应用也会提示有相同版本的应用更新。而有些应用的更新，不经过下载就直接跳转到安装阶段。虽然这个bug并不严重，甚至可能大多数用户都不会注意到，但那些数据量有限的用户可能会浪费数量流量下载相同版本的应用。 （稿源：cnBeta，封面源自网络。）

据外媒报道，苹果公司表示，目前没有任何证据表明网络攻击者可以利用iPhone和iPad邮件（Mail）应用程序中的新漏洞进行黑客攻击。此次发现漏洞的Mail应用在全球可能有超过10亿用户。 苹果公司正在反驳网络安全公司ZecOps的说法。ZecOps称，苹果的软件缺陷为黑客潜入iPhone及其他iOS设备中提供了可能，且这一漏洞已经存在了一年之久。苹果公司发起了一项调查，并在一份声明中表示，Mail问题本身并不足以让网络攻击者绕过苹果内置的安全机制。同时，苹果公司补充说，它将很快发布一个补丁。 苹果公司表示：“我们已经彻底调查了研究人员的报告，并根据所提供的信息得出结论，这些问题不会对我们的用户构成直接的风险。研究人员在Mail中发现了三个问题，但仅凭这些漏洞并不足以让黑客绕过iPhone和iPad的安全保护，目前我们还没有发现任何证据表明它们可以被用来攻击苹果用户的隐私。” 总部位于旧金山的ZecOps上周五对苹果的否认做出了回应，重申它发现的漏洞确实被“一些组织”利用了。ZecOps公司在一份声明中对苹果的新补丁表示了感谢，同时宣称将在补丁发布之后“更新更多信息”。 上周三，ZecOps发布了关于漏洞的报告。报告称，当iPhone或iPad在Mail应用程序上打开一封经过特别设计的电子邮件时，网络攻击者就可以利用这些漏洞。ZecOps公司在报告中称，这一漏洞已经被“一个高级威胁的运营商”用于实施攻击了。ZecOps公司表示，遭到网络攻击的用户中有“来自北美财富500强企业的个人”、“日本一家航空公司的高管”以及“欧洲的一名记者”。 据ZecOps称，网络攻击者可能从2018年1月就开始利用这些漏洞了。ZecOps预测，当苹果发布beta版更新时，这些漏洞会被公开披露，而网络攻击者“很可能会利用这段时间，在补丁发布之前攻击尽可能多的设备”。   （稿源：新浪科技，封面源自网络。）

谷歌的安全团队近日发现存在于Windows 10 May 2019（Version 1903）功能更新中的某个BUG，能够破坏所有基于Chromium浏览器的沙盒。想要利用这个漏洞发起攻击比较复杂，主要是更改操作系统代码中与安全令牌分配有关的代码。将“NewToken->ParentTokenId = OldToken->TokenId”更改为了“NewToken->ParentTokenId = OldToken->ParentTokenId;”。 在今天微软发布的安全公告(CVE-2020-0981 | Windows令牌安全特性绕过漏洞)对其进行了最简洁的解释： 当Windows无法正确处理令牌关系时，存在安全功能绕过漏洞。成功利用该漏洞的攻击者可以让具有一定完整性级别的应用程序在不同的完整性级别执行代码，从而导致沙盒逃脱。 谷歌的Project Zero安全团队发现了这个漏洞，如果被黑客利用能够绕过Chromium沙盒，运行任意代码。幸运的是，在本月补丁星期二活动日发布的累积更新（KB4549951）中，已经修复了这个漏洞。   （稿源：cnBeta，封面源自网络。）