黑客们目前使用版本过时的 WP Live Chat Support 插件来攻击 WordPress 网站。他们将访问者重定向到恶意站点，或者不断显示弹窗和伪造的订阅信息。 本月初，Bleeping Computer 报道说8.0.7以前的版本受到了存储型 XSS 漏洞影响，此漏洞无需授权就可使用。这使得黑客能够将恶意 JavaScript 脚本注入某个受影响网站的多个页面。 由于攻击成本低，并且潜在受害人数量众多。黑客很快便乘虚而入。 来自 ZScaler 的 ThreatLabZ 研究室的调查人员们发现，攻击者们多次利用漏洞注入恶意 JavaScript脚本，引起“恶意重定向，弹窗和虚假订阅消息”。这一方法被用于至少47家网站，并且这一数字仍在增长。 例如，被攻击网站的用户会收到一则以“权力的游戏”为主题的广告，与寻求身份认证的弹窗。   根据 ZScaler 提供的 WhoIs 记录，这个IP地址指向一个印度的专用服务器。 网络罪犯在不断地寻找新的漏洞报告，以研究如何攻击那些缺少防护的网站。管理员们应该在补丁更新之后尽快安装。 大部分的攻击者一直在寻找新的机会，并且WordPress 插件经常是被瞄准的目标之一，因其网站管理员在一般情况下不会及时打上最新的补丁。就在昨天，一篇针对 Convert Plus 插件漏洞的文章指出，攻击者可以在网站上建立一个拥有管理员权限的账号。 此举不难实现，并且一次成功的攻击所带来的回报值得黑客们一试。尽管是商业性产品，但据统计，  Convert Plus 的主动安装次数已经接近十万次。所以黑客把那些插件未升至最新版本的网站作为攻击的目标也不足为奇了。   消息来源：Bleepingcomputer， 译者：r4938n，校审：吴烦恼 本文由 HackerNews.cc 翻译整理，封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

外媒 Threat Post 报道称，有研究人员发现，互联网上有百万级设备易受微软 BlueKeep 漏洞的影响，或为 WannaCry 之类的攻击敞开大门。据悉，该漏洞编号为 CVE-2019-0708，但微软已在本月早些时候的星期二补丁（Security Bulletin）中修复。遗憾的是，尽管系统管理员被要求尽快修复，但还是有大量设备暴露在公共互联网上。 （图自 @GreyNoiseIO，via Threat Post）   Errata Security 研究员 Robert Graham 周二警告称，经过分析，目前公网上仍有 100 万台左右的设备易受这个严重漏洞的影响。 受威胁的设备，很容易成为 WannaCry 之类的网络攻击的受害者。更糟糕的是，上周末的检测表明，专门针对这类系统的恶意扫描数量出现了激增。 据悉，微软 Windows 操作系统中的远程桌面服务，存在着重大的远程代码执行缺陷。其影响包括 Windows 7 / XP、Server 2003 / 2008 等在内的诸多版本。 （本次威胁影响大约 95 万台暴露于公网上的计算机）   因担心黑客已经熟练掌握勒索技能，BlueKeep 漏洞或引发又一轮严重的攻击。微软这次还是破例为 Windows XP / Server 2003 提供了星期二补丁。 WannaCry / NotPetya 引发的骚乱，并没有多去多久。而这次曝出的 BlueKeep 漏洞，有些类似于 2017 年快速传播的恶意攻击所使用的 EternalBlue 漏洞。 Ivanti 安全产品管理总监 Chris Goettl 亦在周二表示：“本次曝出的 BlueKeep 漏洞具有在全球范围内掀起另一轮 WannaCry 级别的恶意攻击的潜力”。 （3389 端口原本旨在提供可靠的远程桌面通信协议）   借助 Masscan Internet 等工具，Errata Security 的 Graham 对公网上的 3389 规模进行了大范围扫描，发现漏洞影响将近百万台设备，而黑客有可能在未来一两个月造成严重的破坏。 据悉，受影响的机器包括西门子的一些医疗设备，比如面向放射肿瘤科、实验室诊断、射线成像、医疗点诊断等应用的产品。 为此，西门子建议尽快为潜在受影响的设备打上补丁，并在必要时直接禁用 3389 端口的远程桌面连接（RDP）功能。   （稿源：cnBeta，封面源自网络。）

上周 Intel 曝出影响 2011 年以来几乎所有芯片的漏洞 ZombieLoad，利用该漏洞，攻击者可以对芯片发起边信道攻击，在同一 CPU 上执行恶意进程，进而获取 CPU 的微架构缓冲器中的存储器内容。 攻击者可以访问存储缓冲区，加载端口并填充缓冲区的陈旧内容，这些缓冲区可能包含属于另一个进程的数据或源自不同安全上下文的数据。因此，在用户空间进程之间、内核与用户空间之间、虚拟机之间或虚拟机与主机环境之间可能都会发生意外的内存泄露。 ZombieLoad 与其它推测性执行边信道攻击不同，因为攻击者无法定位特定数据。攻击者可以定期对缓冲区中的内容进行采样，但是在采集样本时无法控制缓冲区中存在的数据。因此，需要额外的工作来将数据收集并重建为有意义的数据集。这也是 ZombieLoad 比较复杂的地方。 虽然 ZombieLoad 得到有价值数据的成本比较高，但是各大公司都十分重视这个漏洞，毕竟它影响了 2011 年以来几乎所有芯片，打击范围十分广泛。 Intel 自己已经发布了微代码，从架构上缓解该问题，其它科技公司如苹果、微软与谷歌也都相继发布了补丁。 但同时也有一些公司认为光有补丁并没有什么作用，比如 Red Hat 认为在云场景上 ZombieLoad 危险很大，因为你完全无法控制相邻虚拟机中的用户正在运行的内容，云安全公司 Twistlock 的首席技术官 John Morello 也指出：“这个漏洞可能对密集的、多租户的公有云提供商产生最大的影响。” 另一边，Ubuntu 目前也已经给出了补丁，但是其在安全公告中表示，如果用户系统中有不受信任或潜在的恶意代码，则建议其禁用超线程功能。 如果您的处理器不支持超线程（也称为对称多线程（SMT）），则内核和相应的 Intel 微代码软件包更新将完全解决 MDS（ZombieLoad）漏洞。如果您的处理器支持超线程并且启用了超线程，则 MDS 不会完全缓解。 所以，如果想要完全缓解漏洞，你需要暂时放弃 CPU 的超线程能力。事实上，苹果和谷歌都已经警告 macOS 和 Chrome OS 用户禁用超线程可获得全面保护，并且谷歌现在默认从 Chrome OS 74 开始禁用超线程。 但是禁用超线程的性能代价实在有点高，结合对比一下 ZombieLoad 微代码与补丁对系统性能影响的数据： Intel 发言人表示，大部分打过补丁的设备在最坏的情况下可能会受到 3% 的性能影响，而在数据中心环境中可能会是 9%。 另一边，PostgreSQL 基准测试发现，禁用超线程后，性能下降了近 40％；Ngnix 基准测试的性能下降了约 34％；Zombieload 的研究人员表示禁用超线程会使某些工作负载的性能下降 30％ 至 40％。 安全还是性能，如何选择呢？   （稿源：开源中国，封面源自网络。）

可能泄露大量数据的自2014年一来就有的严重漏洞被暴露，未更改默认密码的Linksys路由器甚至可以帮助黑客在现实世界中物理定位设备和用户。研究人员Troy Mursch声称，目前使用的Linksys智能Wi-Fi路由器至少发现有25000个存在缺陷，这意味着黑客可以访问重要数据。在“网络威胁情报”公司的Bad Packets Report中写道，敏感信息正在泄露，尽管制造商正在否认这一点。 Linksys于2013年被Belkin收购 – 而后该公司于2018年又被富士康收购 – 富士康随后表示其员工未能重现Mursch的调查结果。 “我们使用最新的公开固件（默认设置）快速测试了Bad Packets标记的路由器型号，但无法重现[它]，” Linksys在一份在线安全公告中表示，“这意味着它不可能让远程攻击者通过这种技术检索敏感信息。” Linksys进一步表示，该漏洞在2014年就得到修复。但是，Mursch并不同意，坚持认为这个安全风险依然存在。 “虽然[这个缺陷]据说是针对这个问题修补的，但我们的调查结果已经表明了其他情况，”Bad Packets说。 “在联系Linksys安全团队后，我们被告知要报告漏洞……在提交我们的调查结果后，审核人员确定问题是“不适用/不会修复”并随后关闭了这一报告。 如果您的路由器是以这种方式泄漏信息的，那么黑客可能获得的详细信息包括现在连接的每个设备的MAC地址。 它还可以包括设备名称，如“William’s iPhone”以及该设备是Mac、PC、iOS以及Android设备。 Mursch声称，MAC地址和Linksys智能Wi-Fi路由器的公共IP地址的组合可能意味着黑客可以对被攻击者的进行地理定位或跟踪。 但是，更容易和立即发现的是路由器的默认管理员密码是否已被更改。这个漏洞和Linksys / Belkin的响应首先由Ars Technica报告，其中指出受影响的路由器的数量似乎正在减少。在25617个初步报告之后，几天后重复测试显示有21401个易受攻击的设备还未与互联网上。 已报告受影响的Linksys路由器型号的完整列表位于Bad Packets站点上。   （稿源：cnBeta，封面源自网络。）

OpenSSH 8.0 发布了，此版本缓解了 scp(1) 工具和协议漏洞 CVE-2019-6111，该漏洞此前我们之前报导过：知名文件传输协议 SCP 被曝存在 35 年历史的安全漏洞。 将文件从远程系统复制到本地目录时，SCP 客户端无法验证 SCP 服务器返回的对象是否与请求的东西一致，这使得攻击者可以使用恶意服务器控制的内容创建或破坏本地文件。 OpenSSH 8.0 的缓解措施添加了客户端检查，查看从服务器发送的文件名与命令行请求是否匹配。 SCP 协议已经过时，不灵活且不易修复，OpenSSH 官方建议使用更现代的协议进行文件传输，如 sftp 和 rsync。 此版本新特性包括： ssh(1)、ssh-agent(1)、ssh-add(1)：PKCS#11 token 中添加对 ECDSA 密钥的支持。 ssh(1)、sshd(8)：基于 Streamlined NTRU Prime 4591^761 和 X25519 的组合，添加实验性量子计算抗性密钥交换方法。 ssh-keygen(1)：将默认 RSA 密钥大小增加到 3072 位。 ssh(1)：允许“PKCS11Provider = none”覆盖 ssh_config 中 PKCS11Provider 指令的后续实例。 ssh(1)：提示是否录制新主机密钥时，输入密钥指纹作为“yes”。 ssh-keygen(1)：在单个命令行调用上签名多个证书时，允许自动递增证书序列号。 scp(1)、sftp(1)：接受 -J 选项作为 scp 和 sftp 命令行上 ProxyJump 的别名。 ssh-agent(1)、ssh-pkcs11-helper(8)、ssh-add(1)：接受“-v”命令行标志以增加输出的详细程度；将详细标志传递给子进程，例如从 ssh-agent 启动的 ssh-pkcs11-helper。 ssh-add(1)：添加“-T”选项以允许通过执行签名和验证来测试代理中的密钥是否可用。 sshd(8)：在 PAM 环境中暴露 $SSH_CONNECTION。 完整更新内容查看更新日志： http://www.openssh.com/txt/release-8.0   （稿源：开源中国，封面源自网络。）

据美国科技媒体TechCrunch报道，EA已经修复了在线游戏平台Origin上的一个漏洞。在此之前，研究人员发现该漏洞可能导致玩家在电脑上远程运行恶意代码。 安装了Origin应用的Windows用户都会受此影响。有数千万用户使用Origin应用来购买、获取或下载游戏。为了方便用户通过网页访问具体的游戏商店，该客户端拥有自己的URL机制，可以让玩家通过点击origin://这样的链接来打开应用和加载游戏。 但Underdog Security的两位安全专家却发现，这款应用可以被用于在被害者的电脑上运行恶意程序。研究人员提供了概念验证代码进行演示。这段代码获得跟登录用户相同的权限，从而运行任何应用。这段概念验证代码演示了如何启动系统自带的计算器。 但更糟糕的是，黑客还可以发送恶意的PowerShell指令，黑客经常利用这种手段来下载恶意组件和安装勒索软件。 研究人员表示，恶意链接可以通过电子邮件方式发送，也可以在网页上列出。如果恶意代码与浏览器中自动运行的跨站脚本配合，还可以自动触发。 黑客只需要一行代码即可在无需密码的情况下访问用户帐号。 Origin的macOS客户端不会受此影响。 EA发言人证实已经修复这项漏洞。   （稿源：，稿件以及封面源自网络。）

讯 北京时间4月16日早间消息，据美国科技媒体ZDNet援引卡巴斯基实验室报告称，黑客最喜欢攻击微软Office产品。 在安全分析师峰会（Security Analyst Summit）上，卡巴斯基表示，分析卡巴斯基产品侦测的攻击后发现，2018年四季度有70%利用了Office漏洞。而在2016年四季度，这一比例只有16%。 黑客瞄准的不同平台比例 卡巴斯基还说，利用最多的漏洞没有一个来自Office本身，大多存在于相关组件。例如，CVE-2017-11882和CVE-2018-0802是两个经常被黑客利用的漏洞，它影响了微软数学公式编辑器（Equation Editor）组件。卡巴斯基称：“分析2018年利用最多的漏洞，我们可以确认一点：恶意软件作者偏爱简单、符合逻辑的Bug。” 正因如此，数学公式编辑器中存在的漏洞CVE-2017-11882、CVE-2018-0802才会成为Office利用最多的漏洞，因为它们很可靠，在过去17年发布的所有Word版本中都能用。还有，用这两个漏洞完成开发不需要什么先进技术。 即使漏洞不会影响Office及其组件，也可以通过Office文档完成。例如，CVE-2018-8174是一个存在于Windows VBScript引擎的漏洞，当我们处理Office文档时，Office App会用到Windows VBScript引擎。 还有CVE-2016-0189和CVE-2018-8373漏洞，它们存在于IE脚本引擎，可以通过Office文档调用漏洞，我们要用IE脚本引擎处理Web内容。   （稿源：，稿件以及封面源自网络。）

是否公开发布安全漏洞（尤其是零日漏洞）的概念验证（PoC）代码历来是备受争议的话题。在代码公开之后往往会被威胁攻击者所利用，在数天乃至数小时内发起攻击，导致终端用户没有充足的时间来修复受影响的系统。而公开这些PoC代码的并非坏人或者其他独立来源，而是理论上更应该保护用户的白帽安全研究人员。 围绕着这个争议做法的话题已经持续多年时间，而信息安全领域的专家分成两派。其中一方认为安全研究人员不应该发布PoC代码，因为攻击者可以采用该代码并自动化攻击；而另一方认为PoC代码同时是测试大型网络和识别存在漏洞系统所必须的，允许IT部门成员模拟未来可能遭受到的攻击。 在上个月发布的“网络安全威胁观2018年第四季度”报告中，Positive Technologies的安全专家再次触及了这场长期争论。 在这份报告中，Positive Technologies的安全专家并没有给这个争论下判断，而是客观陈述了当前用户面临的安全问题。在漏洞发现的新闻曝光或者零日漏洞的PoC代码公开之后，在两种情况下黑客并没有为用户提供充足的时间来修复系统。 在这份季度威胁报告中，Positive Technologies表示这种情况发生的频率越来越多。在报告中通过罗列了一系列安全事件，表明在PoC代码公开之后会立即被黑客所利用。例如在推特上有安全专家公开了Windows系统零日漏洞的PoC代码，随后ESET安全专家就观测到了此类恶意软件活动。例如在网络上关于中文PHP框架的漏洞公开之后，数百万网站立即遭到了攻击。 在接受外媒ZDNet采访时候，Positive Technologies的安全弹性负责人Leigh-Anne Galloway表示：“作为安全行业的一员，我们有责任倡导漏洞公示守则。但是并非所有人都遵循这个原则。同样并非所有安全供应商都知道或者了解。” 他表示： 通常公开披露的驱动因素是因为供应商没有认识到问题的严重性，也没有解决漏洞。或者安全研究人员可能已经尝试了所有其他途径来传达他们的发现。当然，危险的是犯罪分子可能使用此信息来攻击受害者。供应商要求提供证据证明该漏洞实际存在于他们的产品中，并且当研究人员向他们报告漏洞时可以利用这些漏洞。研究人员需要证明它是如何被利用的，为此创建了PoC代码。” 通过CVSS系统来标记该漏洞的危险程度。如果供应商向研究人员支付漏洞奖励框架内发现的漏洞，研究人员会从这项工作中赚钱，但供应商通常不会安排他们的bug-bounty计划，研究人员可以从中得到的所有内容都是专家社区的公开认可。通过在互联网上演示漏洞，展示操作和PoC代码的一个例子，研究人员得到了认可和尊重。 通常情况下，研究人员只有在他们通知供应商有关漏洞的足够长时间后才会发布漏洞利用代码，从而使产品开发人员有机会关闭漏洞并通知用户需要安装升级。但是，很多时候，供应商会推迟发布补丁和更新，有时会延迟六个月以上，因此，在发布补丁之后，[PoC]漏洞的公示就会发生。     （稿源：cnBeta，封面源自网络。）

近日安全专家在IE 11浏览器上发现了全新漏洞，在处理.MHT已保存页面的时候能够让黑客窃取PC上的文件。更为重要的是.MHT文件格式的默认处理应用程序是IE 11浏览器，因此即使将Chrome作为默认网页浏览器这个尚未修复的漏洞依然有效。 该漏洞是由John Page率先发现的，只需要用户双击.MHT文件IE浏览器中存在的XXE (XML eXternal Entity)漏洞可以绕过IE浏览器的保护来激活ActiveX模块。 研究人员表示：“通常情况下，在IE浏览器中实例化‘Microsoft.XMLHTTP’这样的ActiveX对象的时候会跳出安全警示栏，以提示启用了被阻止的内容。但是使用恶意的<xml>标记来打开特制的.MHT文件时候，用户将不会收到此类活动内容或安全栏警告。” 该漏洞是钓鱼网络攻击的理想选择，通过电子邮件或者社交网络传播后可以让恶意攻击者窃取文件或者信息。Page表示：“这允许远程攻击者窃取本地文件，并且对已经感染的设备进行远程侦查。”不幸的是，目前微软还没有计划解决这个问题，微软反馈称：“我们确定在此产品或服务的未来版本中将考虑修复此问题。目前，我们不会持续更新此问题的修复程序状态，我们已关闭此案例。” 据悉该漏洞适用于Windows 7/8.1/10系统。在微软正式修复IE 11浏览器上的漏洞之前，推荐用户尤其是企业用户尽量减少通过IE 11浏览器下载和点击不明文件。   （稿源：cnBeta，封面源自网络。）

两位安全研究人员今天披露了一组漏洞，这些漏洞统称为Dragonblood，影响了WiFi联盟最近发布的WPA3 Wi-Fi安全和认证标准。如果被利用，漏洞将允许在受害者网络范围内的攻击者获得Wi-Fi密码并渗透目标网络。 Dragonblood漏洞组总共有五个漏洞，包括一个拒绝服务攻击漏洞、两个降级攻击漏洞和两个侧通道信息泄漏漏洞。尽管拒绝服务攻击漏洞并不重要，因为它只会导致与WPA3兼容的访问点崩溃，但其他四个攻击可以用于获得用户密码。 两个降级攻击和两个侧通道泄漏漏洞都利用了WPA3标准Dragonfly密钥交换中的设计缺陷，即客户端在WPA3路由器或接入点上进行身份验证的机制。 在降级攻击中，支持WiFi WPA3的网络可以诱导设备使用更旧、更不安全的密码交换系统，从而允许攻击者使用旧的漏洞检索网络密码。 在侧通道信息泄漏攻击中，支持WiFi WPA3的网络可以欺骗设备使用较弱的算法，这些算法会泄漏少量有关网络密码的信息。通过反复的攻击，最终可以恢复完整的密码。     （稿源：cnBeta，封面源自网络。）