与Fortinet、Ivanti和VMware设备安全漏洞0day利用有关的网络间谍活动据观察采用多种持久机制，以维持对受感染环境的不受限制的访问。 Mandiant 研究人员在一份新报告中表示：“持久机制涵盖网络设备、虚拟机管理程序和虚拟机，确保即使主要层被检测和消除，替代通道仍然可用。” 该APT组织代号UNC3886，谷歌旗下的 Mandiant 公司将其标记为“老练、谨慎和逃避”。 攻击者精心策划的攻击利用了CVE-2022-41328（Fortinet FortiOS）、CVE-2022-22948（VMware vCenter）和CVE-2023-20867（VMware Tools）等 0day 漏洞执行各种恶意操作，从部署后门到获取更深层次访问权限的凭据。 在网络安全公司 Fortinet FortiGate 公开披露该漏洞后不久，人们还观察到有人利用漏洞CVE-2022-42475 。 这些入侵主要针对北美、东南亚和大洋洲的实体，欧洲、非洲和亚洲其他地区也发现了其他受害者。目标行业涵盖政府、电信、技术、航空航天和国防以及能源和公用事业部门。 UNC3886 武器库中一个值得注意的策略是，它开发了逃避安全软件的技术，使其能够潜入政府和商业网络并在不被发现的情况下长时间监视受害者。 这需要在客户虚拟机 (VM) 上使用可公开获得的 rootkit，例如Reptile和Medusa，后者使用名为 SEAELF 的安装程序组件进行部署。 Mandiant 指出：“Reptile 仅提供具有 rootkit 功能的交互式访问，而 Medusa 则不同，它能够记录成功身份验证的用户凭据（无论是本地还是远程）以及命令执行。这些功能对 UNC3886 非常有利，因为它们的作案手法是利用有效凭据进行横向移动。” 系统上还提供了两个名为 MOPSLED 和 RIFLESPINE 的后门，它们利用 GitHub 和 Google Drive 等可信服务作为命令和控制 (C2) 通道。 MOPSLED 可能是Crosswalk恶意软件的演变，它是一种基于 shellcode 的模块化植入程序，通过 HTTP 进行通信以从 GitHub C2 服务器检索插件，而 RIFLESPINE 是一种跨平台工具，利用 Google Drive 传输文件和执行命令。 Mandiant 表示，它还发现 UNC3886 部署了后门 SSH 客户端来获取 2023-20867 漏洞利用后的凭证，并利用 Medusa 设置自定义 SSH 服务器以达到相同目的。 “攻击者首次尝试通过瞄准TACACS 服务器来扩展对网络设备的访问权限，就是使用 LOOKOVER。”报告指出。“LOOKOVER 是一个用 C 编写的嗅探器，可处理 TACACS+ 身份验证数据包、执行解密并将其内容写入指定的文件路径。” 在针对 VMware 实例的攻击过程中，还传播了一些其他恶意软件家族： 具有凭证记录功能的合法 TACACS 守护程序的木马版本 VIRTUALSHINE，一个基于 VMware VMCI 套接字的后门，可提供对 bash shell 的访问 VIRTUALPIE，一个支持文件传输、任意命令执行和反向 shell 功能的 Python 后门 VIRTUALSPHERE，与基于 VMCI 的后门关联的控制器模块 多年来，由于虚拟机在云环境中的广泛使用，它已成为攻击者有利可图的目标。 Palo Alto Networks Unit 42表示：“被入侵的虚拟机不仅可以让攻击者访问虚拟机实例内的数据，还可以访问分配给它的权限。由于虚拟机等计算工作负载通常是短暂且不可改变的，因此身份被入侵所带来的风险可以说比虚拟机内数据被入侵的风险更大。” 建议各组织遵循Fortinet和VMware公告中的安全建议，以防范潜在威胁。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/WigivE2ENVghHk3wUwnsqA 封面来源于网络，如有侵权请联系删除

据Barracuda公司的最新报告显示， 2023 年，有约 92% 的企业平均在一年内经历了 6 次因电子邮件社交工程攻击导致的凭据泄露事件。 在去年的社交工程攻击中，诈骗和网络钓鱼占了86%。 报告中提到了几种社工攻击的趋势，包括： 对话劫持： 这是指攻击者通过网络钓鱼攻击入侵企业账户，然后监控被入侵的账户，以了解企业运营情况，了解正在进行的交易、付款程序和其他细节。攻击者利用这些信息，从冒充的域名中编造看似真实、令人信服的信息，诱骗受害者汇款或更新付款信息。2023 年，对话劫持仅占社交工程攻击的 0.5%，但与 2022 年相比，却上升了近 70%。 勒索：这类攻击涉及黑客威胁向受害者的联系人暴露敏感或令人尴尬的内容，除非支付赎金。勒索攻击占 2023 年社会工程学攻击总数的 2.7%。 攻击者不断利用合法服务 梭子鱼报告强调，通过利用上述的社交工程技术，越来越多攻击者开始使用合法服务来攻击员工。 Gmail 是迄今为止社交工程攻击中使用最多的电子邮件域，占去年攻击的 22%。 黑客最常用的免费网络邮件服务依次是 Outlook（2%）、Hotmail（1%）、iCloud（1%）和 Mail.com（1%）。所有其他域名占攻击总数的 73%。使用 Gmail 的攻击尤其偏向于 BEC，50% 以上的 Gmail 攻击用于此目的。在 2023 年使用 Gmail 的攻击中，诈骗占 43%。 研究人员还发现，越来越多网络犯罪分子开始利用流行的商业 URL 缩短服务在钓鱼电子邮件中嵌入恶意链接。这种策略有助于掩盖链接的真实性质和目的地，因为它们通常看起来像是来自合法网站。 去年使用最广泛的 URL 缩短服务是 bit.ly，近 40% 的包含缩短 URL 的攻击都利用了它。 其次最常用的服务是 X（前 Twitter），在 16% 的包含缩短 URL 的攻击中使用。 与 2020 年的研究相比发生了重大变化，当时约有三分之二的攻击（64%）使用了 X 的缩短服务，而 bit.ly 仅占 3%。 报告中强调的另一个显著趋势是 2023 年末 QR 码网络钓鱼攻击的显著增加，约有 5% 的邮箱成为二维码攻击的目标。 网络犯罪分子会在钓鱼邮件中嵌入二维码，提示用户扫描二维码并访问一个看似可信服务或应用程序的虚假页面。这些页面通常是为了诱骗用户下载恶意软件或输入登录凭证。 研究人员指出，由于没有嵌入链接或恶意附件可供扫描，因此使用传统的电子邮件过滤方法很难检测到 QR 代码攻击。 通过电子邮件发送的 QR 码还能诱导受害者转而到不受公司安全软件保护的个人设备，如手机或 iPad上进行操作。   转自Freebuf，原文链接：https://www.freebuf.com/news/403895.html 封面来源于网络，如有侵权请联系删除

据知道创宇暗网雷达监测显示，半导体公司 AMD（Advanced Micro Devices）产品信息及源代码疑似发生泄露。 据称，黑客 IntelBroker 正在黑客论坛上出售 AMD 被盗的数据，而该公司正在调查此次泄露事件是否属实。AMD表示：”我们正与执法人员和第三方合作调查这一说法的真实性和数据的重要程度。” 涉嫌泄露的内容包括AMD 未来产品的信息、详细技术规格、员工和客户数据库、财产相关文件、ROM、源代码、固件和财务记录。黑客 IntelBroker 声称员工数据库包括个人和专业信息，例如用户 ID、名字和姓氏、工作职能、公司电话号码、电子邮件地址和员工状态。 知道创宇暗网雷达截图 出售AMD数据的黑客论坛截图 与此同时，IntelBroker 还分享了一些 AMD 数据的截图，但尚未透露该数据的售价或获取方式。 AMD 数据截图 据了解，IntelBroker 因入侵 DC Health Link 而闻名，该入侵事件导致美国众议院议员和工作人员的个人数据发生泄露，并引发了一场国会听证会。 近期，该黑客还破坏了欧洲刑警组织专家平台（EPE），即一个国际执法机构之间共享信息的门户网站。   Hackernews 原创发布，转载请注明出处 消息来源：知道创宇暗网雷达，bleepingcomputer

网络安全公司 Sygnia 报告称，APT组织被发现使用传统 F5 BIG-IP 设备持续访问受害者网络长达三年。 这个被称为“Velvet Ant （天鹅绒蚂蚁）”的APT组织使用了多种机制来确保在受害者网络中立足，并迅速从已解决的机制转向新的机制，并表现出逃避检测的适应性。 该网络安全公司指出：“攻击者在调查前至少两年就已渗透到该组织的网络，并成功站稳脚跟，掌握了对该网络的深入了解。” 研究人员发现，Velvet Ant 使用各种工具和技术来破坏关键系统并访问敏感数据，并在未受监控的系统中部署休眠持久机制，包括 PlugX 远程访问木马 (RAT)。 攻击链 在部署 PlugX 恶意软件之前，攻击者被发现使用了 DLL 搜索顺序劫持、DLL 侧加载和幻影 DLL 加载，以及篡改已安装的安全软件。 该黑客组织表现出了高度的操作安全（OPSEC）意识，并没有在未能禁用安全软件的工作站上安装恶意软件。 Velvet Ant 还使用开源工具 Impacket 在受感染的机器上进行横向工具传输和远程代码执行，并创建防火墙规则以允许连接到命令和控制 (C＆C) 服务器。 从受害者网络中消除后，Sygnia 观察到它使用 PlugX 样本感染新机器，这些样本重新配置为使用内部服务器作为 C＆C，并通过该服务器与恶意软件建立外部通信。 攻击者使用配置了外部 C＆C 服务器的 PlugX 版本感染了可以访问互联网的系统，以窃取敏感信息，并使用没有 C＆C 的恶意软件迭代感染了旧服务器。 Velvet Ant 通过两台运行过时、易受攻击的软件的 F5 BIG-IP 设备，使用反向 SSH 隧道连接来访问旧文件服务器。 Sygnia 指出：“受感染文件服务器上的 PlugX 实例被攻击者用作内部 C&C 服务器。黑客从该服务器开展侦察活动，利用 Impacket 的 WmiExec 将 PlugX 的其他实例部署到旧服务器上。” 受害者使用受感染的 F5 BIG-IP 设备提供防火墙、WAF、负载平衡和本地流量管理服务。这两款设备都直接暴露在互联网上，可能已通过利用已知漏洞遭到黑客攻击。 在其中一台被攻陷的 F5 设备上，攻击者部署了 VelvetSting（用于接收来自 C&C 的命令）、VelvetTap（用于捕获网络数据包）、Samrid（开源 Socks 代理隧道程序 EarthWorm）和 Esrde（具有与 VelvetSting 相同的功能）等工具。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/rvV74uqIKcar3y6Zd2dRMQ 封面来源于网络，如有侵权请联系删除

美国多个城市的政府机构遭受勒索软件攻击，导致服务中断，被迫关闭设施。 日前，密歇根州的特拉弗斯市和纽约州的纽堡市同时遭受了大规模勒索软件攻击事件，当地政府机构向市民通知暂时无法处理税款、水费和许可证等方面的工作。 特拉弗斯市被迫关闭城市网络系统 特拉弗斯市是密歇根州北部人口最多的城市，目前约有 3 万居民，大特拉弗斯县约有 10 万居民。特拉弗斯市相关机构负责人表示，大特拉弗斯县的官员在本周三上午发现了内部网络系统出现异常状况，随后经过内部讨论，最终决定关闭所有县市的网络。 据悉，大特拉弗斯县负责管理该县和特拉弗斯市的 IT 网络，该市某负责人 Liz Vogel 指出，他们的首要任务是保护民众的数据信息，以及确保城市的基本服务能够正常、稳定、连续的运营。联邦调查局 FBI 和密歇根州警方目前正在参与网络恢复工作，但在可预见的未来，县和市的网络将一直处于离线状态。 值得一提的是，特拉弗斯市的 911、警察和消防等紧急服务没有受到勒索软件的影响，由于在线支付系统托管在第三方平台上，也未受到攻击的影响。因此，政府负责人呼吁居民尽量使用在线门户网站支付账单或税款等费用。 大特拉弗斯县行政长官内特-阿尔杰（Nate Alger）表示，在发现勒索软件攻击的迹象后，IT 部门迅速采取了行动，隔离了这一事件并关闭了县市的网络，后续将继续与合作伙伴合作，以了解更多有关影响的信息，并尽可能减少对公众造成的干扰。 勒索软件攻击致使纽堡市政厅关闭 纽堡位于纽约市以北约一小时车程的地方，有 3 万人口，在本周宣布遭受到网络攻击事件，市政府被迫关闭。据悉，网络攻击时间发生在当地时间周一，导致纽堡市政府完全无法处理或接受财产税、水费、下水道费、卫生费、许可证费或停车罚单等付款。 市政府表示，发生勒索软件攻击事件后，经过调查研究发现，本市的紧急服务功能齐全，未受到此次勒索软件袭击的影响。同时，市政府也已经聘请了外部 IT 专家和其他专业人员一起夜以继日地工作，以期全面恢复运作。 值得一提的是，纽堡和特拉弗斯市遭受攻击的同一周，美国中西部最大的城市之一克利夫兰也同样遭遇了勒索软件攻击。克利夫兰政府发言人在一封电子邮件中告诉 Recorded Future News，市政厅将在关闭数天。2023 年，奥克兰和达拉斯等大城市也遭受了重大勒索软件攻击。2024 年，威奇托、伯明翰、彭萨科拉、杰克逊维尔海滩等城市也遭受了勒索软件攻击事件。 Emsisoft 威胁分析师布雷特-卡洛（Brett Callow）追踪、分析了针对美国政府机构的勒索软件攻击事件。到目前为止，2024 年已经发生了 50 起勒索软件攻击事件（不包括对纽堡的攻击）。在整个 2023 年，美国地方政府共遭到 95 起经证实的勒索软件攻击事件。   转自Freebuf，原文链接：https://www.freebuf.com/news/403795.html 封面来源于网络，如有侵权请联系删除

一名 22 岁的英国人在西班牙马略卡岛帕尔马被捕，据称该嫌疑人与 “Scattered Spider”黑客组织有关，涉嫌对 45 家美国公司发动的网络攻击负有责任。 该嫌疑人疑似为一网络犯罪团伙的头目，这一团伙专门从事从组织机构窃取数据和加密货币的活动，以不公布敏感数据为由进行敲诈勒索。 警方在公告中写道：“该团伙作案手法包括通过网络钓鱼技术获取个人访问凭证，接着利用凭证访问公司并攫取敏感信息，或访问受害者的加密货币钱包并将其接管。” 据调查人员称，该威胁组织利用上述计划窃取了价值2700万美元的加密货币。 联邦调查局收到国际逮捕令（OID）后，西班牙警方于 2024 年 5 月 31 日在帕尔马机场逮捕了这名网络罪犯，此时他正准备前往意大利那不勒斯。在逮捕过程中，他的笔记本电脑和手机交由法医调查人员进行检查以寻找罪证。 与 Scattered Spider 的联系 当局尚未透露嫌疑人所属威胁组织的详细信息，但 VX-Underground 在没有证据的情况下声称该嫌疑人为 “Tyler”，是臭名昭著的组织 Scattered Spider 的 SIM 卡交换专家。 Brian Krebs 报道称，据消息人士透露，”Tyler”又名 “tylerb”，经常出现在以 SIM 卡交换为主题的 Telegram 频道上。 Scattered Spider，又称 0ktapus 或 UNC3944，是一个以英语为沟通语言、组织结构松散且在不断演化的网络犯罪团伙，该团伙以使用社交工程、网络钓鱼、多因素身份验证（MFA）疲劳和 SIM 卡交换访问目标网络而闻名。 该团伙中的一些成员因参与以俄语为沟通语言的勒索软件团伙 BlackCat 而出名。 2023 年 9 月，据称 Scattered Spider 入侵了娱乐业巨头 MGM Resorts，部署了BlackCat/ALPHV 加密器并窃取了数据，对公司运营业务造成了严重干扰。 西班牙警方对该嫌疑人的网络活动、年龄和籍贯的描述与 Scattered Spider 成员的特征相符，嫌疑人发起网络攻击的策略也与该威胁组织的相关策略相似。但二者间的联系尚未正式确定。   消息来源：bleepingcomputer，译者：lune；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

据观察，与哈马斯有关的高级持续性威胁 (APT) 组织 Arid Viper 早在 2022 年就使用 Android 间谍软件 AridSpy。现在，研究人员首次对该恶意软件之前神秘的后期阶段进行了全面分析。 ESET 的研究人员最近发布了一份关于 AridSpy 活动的新报告，结果表明 AridSpy 是通过木马消息应用程序进行传播的。 报告称：“在这些攻击活动中，AridSpy 被改造成一个多阶段木马，最初的木马应用程序会从命令和控制服务器下载额外的有效载荷。” 报告称，研究人员分析了五起针对埃及和巴勒斯坦 Android 用户的 AridSpy 攻击活动。AridSpy 经常潜伏在具有合法功能的应用程序中，使其更难被发现。 ESET 表示，在本例中，巴勒斯坦的受害者被一款冒充巴勒斯坦民事登记处的恶意应用程序的广告所针对。在埃及，第一阶段的间谍软件隐藏在一款名为 LapizaChat 的应用程序中以及诈骗性质的工作机会发布中。这些应用程序可从威胁行为者控制的第三方网站（而非 Google Play）下载。 被木马感染的消息应用程序 分析表明，一旦第二阶段数据泄露开始，该威胁组织将能够收集大量数据，包括设备位置、联系人列表、通话记录、短信、照片缩略图、剪贴板数据、通知、视频录制缩略图，以及让网络犯罪分子能够录制音频、拍照等。 报告称，此前的分析显示，AridSpy 曾在 2022 年针对卡塔尔举行的 FIFA 世界杯以及中东地区的其他活动展开攻击。 ESET 警告称，专用网站仍在运行至少三个 AridSpy 间谍活动。 报告称：“截至本文发布时，发现的五个攻击活动中有三个仍然活跃；这些攻击活动使用专门的网站来分发冒充 NortirChat、LapizaChat 和 ReblyChat 的恶意应用程序、招聘信息……以及巴勒斯坦民事登记应用程序。” 随着时间的推移，Arid Viper 也可能会维护和改进 AridSpy 代码。 研究人员指出：“当然，第二阶段的有效载荷携带了最新的更新和恶意代码更改，这些更改可以推送到其他正在进行的活动。”“这些信息表明 AridSpy 得到了维护，可能会收到更新或功能更改。”   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/ah-zsfC8vkkcdVb7IBu_GQ 封面来源于网络，如有侵权请联系删除

CISA 将该 CVE 添加到其已知被利用的漏洞目录中，但到目前为止，大多数受感染主机都在中国被发现。 据 Censys 的一篇博客文章称，研究人员周五警告称，PHP 编程语言中的一个严重漏洞正受到越来越多的利用，因为 TellYouThePass 勒索软件组织正在瞄准易受攻击的网站。 该漏洞被列为CVE-2024-4577，自 6 月 7 日起就一直受到该威胁组织的攻击，截至周四，已观察到约 1,000 台受感染主机 — 它们主要位于中国。截至 6 月 10 日，观察到的感染数量已从约 1,800 台下降。 美国网络安全和基础设施安全局于周三将 CVE-2024-4577 添加到已知利用的漏洞目录中。 Devcore 最初发现了参数注入漏洞，其 CVSS 评分为 9.8，可允许攻击者实现远程代码执行。未经身份验证的攻击者可以绕过之前针对CVE-2012-1823的保护。 Imperva 的研究人员首先检测到了为利用该漏洞而部署的 TellYouThePass 勒索软件。这种特定的勒索软件至少从 2019 年就已经存在，之前曾利用过 Apache Log4j 中的漏洞CVE-2021-44228和 Apache ActiveMQ 中的漏洞CVE-2023-46604。 据 Censys 称，勒索软件目前正在针对其发现的任何存在漏洞的 PHP 服务器进行攻击。 “这可能会影响到广泛的用户，从个人网站维护者到企业网站。”Censys 安全研究员 Himaja Motheram 说。“攻击者似乎正在大规模扫描互联网，而不是针对任何特定组织。” 目前对美国的直接影响有限，因为美国被入侵的主机数量在周二达到峰值 39 台，而截至周一中国被入侵的主机数量最高为 962 台。 Palo Alto Networks的研究人员证实，截至 6 月 11 日，他们也发现了活跃的攻击活动。 PHP 于 6 月 6 日发布了修补版本，包括8.3.8、8.2.20 和 8.1.29。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/k7XCRxrxBRcIN6_e0M9OSw 封面来源于网络，如有侵权请联系删除

有消息称，英国国家医疗服务体系（NHS）近日透露，本月初Synnovis医疗组织遭到勒索软件攻击，导致伦敦多家医院受到影响，被迫取消了数百项手术计划和门诊预约。 Synnovis的前身是2009年成立的GSTS Pathology，后更名为Viapath，并于2022年10月再度更名为Synnovis。该组织是由医疗诊断巨头SYNLAB UK & Ireland、盖伊和圣托马斯NHS信托基金会以及国王学院医院NHS信托基金会共同成立的合资企业。 6月3日，俄罗斯勒索软件组织“麒麟”（Qilin）发起攻击，导致Synnovis系统被锁定，盖伊和圣托马斯NHS信托基金会、国王学院医院NHS信托基金会以及整个伦敦东南部的初级保健提供商遭遇持续服务中断。 各家医院发布的官方备忘录显示，这一“持续的重大事件”对医疗程序和手术（包括输血和血液检测）造成了“重大影响”。不过，NHS在事件发生两天后（5日）表示，除了部分依赖病理服务的手术和医疗程序不得不推迟，紧急救护（A&E）等急诊服务、急救中心和产科部门仍照常开放。 然而，上周五（14日），NHS伦敦部门透露，勒索软件攻击对相关医院的手术工作造成了巨大影响，并补充说，Synnovis可能需要数月时间才能完全恢复系统。 NHS表示：“攻击后第一周（6月3日至9日）的数据显示，受影响最大的两家信托基金会——国王学院医院NHS信托基金会和盖伊和圣托马斯NHS信托基金会，需要重新安排800多台手术计划和700多次门诊预约。” “Synnovis正在专注于系统的技术恢复，并计划在未来几周内开始恢复其IT系统的部分功能。然而，彻底完成技术恢复需要一些时间。由于检测和门诊预约需要重新安排，这起网络事件带来的干扰将在未来几个月内继续体现。” NHS警告血液储备短缺 上周一（10日），英格兰NHS血液和移植协会（NHSBT）发出警告称，受Synnovis勒索攻击事件影响，相关医院无法快速匹配患者血液，伦敦面临血液短缺，特别需要O型阳性和O型阴性血液（安全输血血型）。协会呼吁捐献者预约献血，以帮助补充O型血液储备。 由于替代配血程序耗时可能长达数小时，对于那些亟需手术和医疗程序的患者而言，上述血液储备至关重要。 盖伊和圣托马斯NHS信托基金会首席执行官Ian Abbs教授和国王学院医院NHS信托基金会首席执行官Clive Kay教授发表联合声明，表示“我们完全理解任何医疗延误给患者及其家属带来的痛苦，并对此深感抱歉。与此同时，我们敦促患者，除非医院通知他们预约已取消，一定要按计划完成预约就诊。” 攻击后几天内，“麒麟”的暗网泄漏网站下线，但现在已经重新上线。该黑客组织尚未宣布对Synnovis的攻击负责。 “麒麟”勒索软件活动始于两年前，即2022年8月。当时，他们以“Agenda”的名义出现，但迅速更名为“麒麟”（Qilin）。 自那时起，该组织被认为或主动宣称对多起攻击事件负责。其泄漏网站上已经添加了超过130家公司。到了2023年底，“麒麟”组织变得非常活跃，攻击显著增加。 他们以实施双重勒索攻击而闻名。在加密被攻破的系统之前，先拿窃取的数据向目标公司施压，以满足他们的要求。到目前为止，“麒麟”索要的赎金最低为25000美元，如果受害者知名度较高，则会提升到数百万美元。   转自安全内参，原文链接：https://www.secrss.com/articles/67160 封面来源于网络，如有侵权请联系删除

近日，来自三星、首尔国立大学和佐治亚理工学院的韩国研究团队的研究人员发现一种以 ARM 的内存标记扩展（MTE）为目标的，名为 “TIKTAG “的新型攻击，黑客可利用这种方式绕过安全防护功能，这种攻击专门针对谷歌浏览器和 Linux 内核的攻击，导致数据泄露几率超过 95%。 MTE是ARM v8.5-A架构（及更高版本）新增的一项功能，旨在检测和防止内存损坏。系统采用低开销标签技术，为 16 字节内存块分配 4 位标签，确保指针中的标签与访问的内存区域相匹配，从而防止内存损坏攻击。 MTE 有三种运行模式：同步、异步和非对称，兼顾了安全性和性能。 研究人员发现，通过使用两个小工具（代码），即 TIKTAG-v1 和 TIKTAG-v2，他们可以利用投机执行在短时间内泄露 MTE 内存标记，成功率很高。 标签泄露图 泄露这些标签不会直接暴露敏感数据，如密码、加密密钥或个人信息。但理论上，它可以让攻击者破坏 MTE 提供的保护，使安全系统无法抵御隐蔽的内存破坏攻击。 TIKTAG 攻击 TIKTAG-v1 利用 CPU 分支预测和数据预取行为中的推测收缩来泄漏 MTE 标记。 TIKTAG-v1 代码 研究人员发现，这个小工具在攻击 Linux 内核时，对投机性内存访问的功能格外有效，不过需要对内核指针进行一些操作。 攻击者使用系统调用调用投机执行路径，并测量缓存状态以推断内存标签。 TIKTAG-v2 利用了投机执行中的存储到加载转发行为，这是一个将值存储到内存地址并立即从同一地址加载的序列。 TIKTAG-v2 代码 如果标签匹配，值将被转发，加载成功，并影响缓存状态；如果标签不匹配，转发将被阻止，缓存状态保持不变。 因此，通过探测投机执行后的缓存状态，可以推断出标签检查结果。 研究人员展示了 TIKTAG-v2 小工具对谷歌 Chrome 浏览器，尤其是 V8 JavaScript 引擎的有效性，为利用渲染器进程中的内存破坏漏洞开辟了道路。 通过 MTE 旁路实现的攻击场景 行业响应和缓解措施 研究人员在 2023 年 11 月至 12 月期间向受影响的企业报告了他们的发现，并得到了普遍积极的回应。 发表在 arxiv.org 上的技术论文提出了以下针对 TIKTAG 攻击的缓解措施： 修改硬件设计，防止投机执行根据标签检查结果修改高速缓存状态。 插入投机障碍（如 sb 或 isb 指令），防止关键内存操作的投机执行。 添加填充指令，以扩展分支指令和内存访问之间的执行窗口。 增强沙箱机制，将投机性内存访问路径严格限制在安全内存区域内。 虽然 ARM 认识到了情况的严重性，并在几个月前发布了公告，但它并不认为这是对功能的妥协。 ARM 在公告中写道：由于 Allocation Tags 对地址空间中的软件来说并不是秘密，因此揭示正确标签值的投机机制并不被视为对架构原则的破坏。 Chrome 浏览器的安全团队承认存在这些漏洞，但目前并未打算修复。因为他们认为 V8 沙盒的目的不是保证内存数据和 MTE 标记的机密性。 此外，Chrome 浏览器目前默认不启用基于 MTE 的防御功能，因此修复的优先级较低。 Pixel 8 设备中的 MTE 标记已于今年 4 月报告给了安卓安全团队，并被确认为符合悬赏条件的硬件漏洞。   转自Freebuf，原文链接：https://www.freebuf.com/news/403690.html 封面来源于网络，如有侵权请联系删除