标签: 零日漏洞

Twitter 证实,零日漏洞致 540 万账户数据泄露

Twitter 证实,最近泄露 540 万个账户数据的数据泄露事件是由利用零日漏洞造成的。7月底,一名威胁参与者泄露了 540 万个 Twitter 账户的数据,这些账户是通过利用Twitter 平台中现已修复的漏洞获得的。 威胁行为者在流行的黑客论坛 Breached Forums 上出售被盗数据。早在一月份,Hacker 上发布的一份报告声称发现了一个漏洞,攻击者可以利用该漏洞通过相关的电话号码/电子邮件找到 Twitter 账户,即使用户已选择在隐私选项中阻止这种情况。 “该漏洞允许任何未经任何身份验证的一方 通过提交电话号码/电子邮件来获取任何用户的Twitter ID(这几乎等于获取账户的用户名),即使用户已在隐私设置中禁止此操作。由于 Twitter 的 Android 客户端中使用的授权过程,特别是在检查 Twitter 账户重复的过程中,存在该错误。”zhirinovskiy 提交的报告中指出:“通过漏洞赏金平台 HackerOne,这是一个严重的威胁,因为人们不仅可以找到限制通过电子邮件/电话号码找到能力的用户,而且任何具有脚本/编码基本知识的攻击者都可以列举出大量无法使用的 Twitter 用户群枚举之前(创建一个带有电话/电子邮件到用户名连接的数据库)。此类基地可以出售给恶意方用于广告目的,或用于在不同的恶意活动中对名人进行攻击。” 卖家声称该数据库包含从名人到公司的用户数据(即电子邮件、电话号码)。卖家还以 csv 文件的形式分享了一份数据样本。 在帖子发布几个小时后,Breach Forums 的所有者验证了泄漏的真实性,并指出它是通过上述 HackerOne 报告中的漏洞提取的。 “我们下载了样本数据库进行验证和分析。它包括来自世界各地的人,拥有公开的个人资料信息以及与该账户一起使用的 Twitter 用户的电子邮件或电话号码。” 卖家告诉 RestorePrivacy,他要求为整个数据库至少支付 30,000 美元。 现在 Twitter 确认数据泄露是由 zhirinovskiy 通过漏洞赏金平台 HackerOne 提交的现已修补的零日漏洞造成的。 Twitter 确认了此漏洞的存在,并授予了 zhirinovskiy 5,040美元的奖金。 “我们想让你知道一个漏洞,该漏洞允许某人在登录流程中输入电话号码或电子邮件地址,以试图了解该信息是否与现有的 Twitter 账户相关联,如果是,哪个特定账户。” Twitter 的公告。“在 2022 年 1 月,我们通过我们的漏洞赏金计划收到了一份漏洞报告,该漏洞允许某人识别与账户关联的电子邮件或电话号码,或者,如果他们知道某人的电子邮件或电话号码,他们可以识别他们的 Twitter 账户,如果存在的话,”这家社交媒体公司继续说道。 “这个错误是由 2021 年 6 月我们的代码更新造成的。当我们了解到这一点时,我们立即进行了调查并修复了它。当时,我们没有证据表明有人利用了这个漏洞。” 该公司正在通知受影响的用户,它还补充说,它知道安全漏洞对那些使用假名 Twitter 账户以保护其隐私的用户造成的风险。没有泄露密码,但鼓励其用户 使用身份验证应用程序或硬件安全密钥启用 2 因素身份 验证,以保护其账户免受未经授权的登录。 BleepingComputer报告说,两个不同的威胁参与者以低于原始售价的价格购买了这些数据。这意味着威胁行为者将来可以使用这些数据来攻击 Twitter 账户。 转自 E安全 ,原文链接:https://mp.weixin.qq.com/s/G9mHzpFpEcbLzwDb1KpuMg 封面来源于网络,如有侵权请联系删除

Chrome 被爆严重零日漏洞,谷歌督促用户尽快更新

近期,谷歌发布公告,称已经为Windows用户发布了Chrome 103.0.5060.114更新,以解决在野被攻击者利用的高严重性零日漏洞,这也是2022年谷歌修补的第四个 Chrome 零日漏洞。目前103.0.5060.114版本正在全球范围内的Stable Desktop频道推出,谷歌表示它需要几天或几周的时间才能触达整个用户群。 按照提示,BleepingComputer进入Chrome 菜单>帮助>关于 Google Chrome 检查新更新时,发现更新立即可用。同时Web浏览器还将自动检查新更新并在下次启动后自动安装它们。 上周五,Avast威胁情报团队的Jan Vojtesek报告说,近期修复的零日漏洞(编号为CVE – 222 -2294)是WebRTC (Web实时通信)组件中一个严重的基于堆的缓冲区溢出漏洞。 尽管谷歌表示这个零日漏洞在野被利用,但该公司尚未分享技术细节或有关这些事件的任何信息。谷歌表示:“在大多数用户更新修复之前,对错误详细信息和链接的访问可能会受到限制。如果漏洞存在于第三方中,在尚未修复之前,我们也会保留限制。”由于有关攻击的详细信息延迟发布,Chrome用户有足够的时间来更新和防止利用尝试,直到 Google 提供更多详细信息。 通过此次更新,谷歌解决了自年初以来的第四次 Chrome 零日问题,而在这之前发现并修补的前三个零日漏洞分别是: CVE-2022-1364  – 4 月 14 日 CVE-2022-1096  – 3 月 25 日 CVE-2022-0609  – 2 月 14 日 根据谷歌威胁分析组 (TAG)的说法,2月份修复的CVE-2022-0609在2月补丁发布前几周被朝鲜支持的国家黑客利用,最早的在野漏洞利用是在今年1月4日发现的。它被两个朝鲜资助的威胁组织所利用,并通过网络钓鱼邮件、使用虚假的工作诱饵和提供隐藏iframes服务的网站来传播恶意软件。最后,对于此次漏洞,谷歌方面建议用户尽快安装最新的谷歌浏览器更新。   转自 FreeBuf,原文链接:https://www.freebuf.com/news/338299.html 封面来源于网络,如有侵权请联系删除

新的 Windows 搜索零日漏洞可被远程托管恶意软件利用

安全研究人员发现了一个新的Windows Search零日漏洞,攻击者可以通过启动Word文档来加以利用。该漏洞将允许威胁行为者自动打开一个搜索窗口,其中包含受感染系统上远程托管的恶意可执行文件。 由于Windows的URI协议处理程序“search-ms”可以使用应用程序和 HTML 链接在设备上进行自定义搜索,因此利用此漏洞是可能的。尽管该协议旨在促进使用本地设备索引的 Windows 搜索,但黑客可以强制操作系统在远程主机上执行文件共享查询。 不仅如此,威胁参与者还可以利用此漏洞为搜索窗口使用自定义标题。在成功的攻击中,犯罪者可以配置远程Windows共享托管恶意软件,伪装成补丁或安全更新,然后将恶意 search-ms URI包含在网络钓鱼电子邮件或附件中。然而,让目标打开这样的链接对攻击者来说可能具有挑战性。尝试打开URL会在系统上触发警告,提醒用户某个站点正在尝试访问Windows资源管理器。 在这种情况下,用户需要通过单击附加按钮来确认他们的操作。然而,正如安全研究员 Matthew Hickey 所证明的那样,将 search-ms 协议处理程序与另一个新发现的 Office OLEObject 漏洞配对可以让黑客通过简单地打开 Word 文档来启动自定义搜索窗口。要使漏洞利用,用户需要打开诱饵 Word 文档,然后从自定义搜索窗口启动恶意可执行文件共享。攻击者可以将可执行文件伪装成关键的安全更新,诱骗用户在他们的系统上启动它。更糟糕的是,Hickey 还展示了攻击者可以创建富文本格式 (RTF) 文件,通过资源管理器中的预览选项卡自动启动自定义 Windows 搜索窗口,而无需打开文档。 安全研究人员建议对新发现的漏洞采取以下缓解措施: 1、以管理员身份运行命令提示符 2、在CMD中运行reg export HKEY_CLASSES_ROOT\search-msfilename备份注册表项reg 3、在CMD中执行reg delete HKEY_CLASSES_ROOT\search-ms /f Windows Search漏洞是在关键的Microsoft Office零日漏洞“Follina”出现后不久发现的。后者可以通过Microsoft诊断工具(MSDT)在PowerShell远程代码执行攻击中被利用。   转自 FreeBuf,原文链接:https://www.freebuf.com/articles/335311.html 封面来源于网络,如有侵权请联系删除

速看,微软 MSDT 零日漏洞的补丁来了

近日,网络安全研究人员发现了一个新的 Microsoft Office 零日漏洞,编号 CVE-2022-30190。只需打开 Word 文档即可通过 Microsoft 诊断工具 (MSDT) 执行恶意 PowerShell 命令,也可以运行任意代码。这也就意味着,攻击者可以安装程序、查看、更改或删除数据,或者在用户权限允许的上下文中创建新帐户。 所幸,微软方面很快有了应对措施。5月30日,微软发布了相关的缓解措施,可阻止攻击者利用该零日漏洞发起远程攻击,具体如下: 其余缓解措施 由于攻击者使用MSDT URL协议来启动故障排除程序并在易受攻击的系统上执行代码,因此管理员和用户也可以通过禁用该协议来规避CVE-2022-30190零日漏洞带来的威胁。 具体操作方式如下: 1、以管理员身份运行命令提示符; 2、备份注册表项,请执行命令“reg export HKEY_CLASSES_ROOT\ms-msdt ms-msdt.reg” 3、执行命令“reg delete HKEY_CLASSES_ROOT\ms-msdt /f” 在微软发布CVE-2022-30190漏洞补丁后,用户也可以通过启动提升的命令提示符并执行 reg import ms-msdt.reg 命令来撤消解决方法(文件名是禁用协议时创建的注册表备份的名称)。 虽然微软表示 Microsoft Office 的受保护视图和应用程序防护将阻止CVE-2022-30190攻击,但 CERT/CC 漏洞分析师 Will Dormann发现,如果目标预览恶意文档还有可能是Windows资源管理器,因此还建议禁用 Windows 资源管理器中的“预览”窗格以删除此攻击媒介。   转自 FreeBuf,原文链接:https://www.freebuf.com/news/334919.html 封面来源于网络,如有侵权请联系删除

零日漏洞积极利用,或影响多个 Microsoft Office 版本

近日,网络安全研究员nao_sec发现了一个从白俄罗斯上传至分析服务网站VirusTotal的恶意Word文档(文件名为” 05-2022-0438.doc “)。这个文档使用远程模板特性获取HTML,然后使用“ms-msdt”方案执行PowerShell代码。 随后,知名网络安全专家Kevin Beaumont发表了对该漏洞的分析。“该文档使用 Word远程模板功能从远程网络服务器检索HTML文件,该服务器又使用ms-msdt MSProtocol URI方案加载一些代码并执行一些 PowerShell”,在他的分析中这样写道,“这里发生的一些事情比较复杂,而首当其冲的问题是即使禁用了宏,Microsoft Word 也会通过msdt(一种支持工具)执行代码。受保护的视图确实起了作用,可尽管如果您将文档更改为RTF形式,它甚至无需打开文档,仅通过资源管理器中的预览选项卡即可运行,更不用说受保护的视图了。” 据了解,该零日漏洞会影响多个Microsoft Office版本,包括Office、Office2016和Office 2021。   转自 FreeBuf,原文链接:https://www.freebuf.com/articles/334861.html 封面来源于网络,如有侵权请联系删除

谷歌:Predator 间谍软件使用零日漏洞感染 Android 设备

谷歌的威胁分析小组(TAG) 表示,国家支持的威胁行为者使用五个零日漏洞来安装由商业监控开发商Cytrox开发的Predator间谍软件。部分攻击活动开始于2021年8月至2021年10月之间,攻击者利用针对Chrome和Android 操作系统的零日漏洞在最新的Android设备上植入Predator 间谍软件。 Google TAG成员Clement Lecigne和Christian Resell说:“这些漏洞是由一家商业监控公司 Cytrox 打包并出售给不同的政府支持的参与者,这些参与者至少在三个活动中使用了这些漏洞。”根据谷歌的分析,购买并使用这些漏洞利用间谍软件感染安卓目标的政府支持的恶意行为者来自埃及、亚美尼亚、希腊、马达加斯加、科特迪瓦、塞尔维亚、西班牙和印度尼西亚。这些发现与CitizenLab于2021年12月发布的关于Cytrox雇佣间谍软件的报告一致,当时其研究人员在逃亡的埃及政治家 Ayman Nour 的电话中发现了该恶意工具。Nour的手机也感染了NSO Group的Pegasus间谍软件,根据 CitizenLab 的评估,这两种工具由两个不同的政府客户操作。 这些活动中使用的五个以前未知的0-day漏洞包括: Chrome中的 CVE- 2021-37973、  CVE-2021-37976、  CVE-2021-38000、  CVE-2021-38003 Android中的 CVE-2021-1048 威胁参与者在三个不同的活动中部署了针对这些零日漏洞的攻击: 活动 #1 -从Chrome 重定向到 SBrowser (CVE-2021-38000) 活动 #2 – Chrome 沙盒逃逸(CVE-2021-37973、CVE-2021-37976) 活动 #3 – 完整的 Android 0day漏洞利用链(CVE-2021-38003、CVE-2021-1048) 谷歌TAG分析师表示,“这三个活动都通过电子邮件向目标Android用户提供了模仿 URL 缩短服务的一次性链接。但它们是有限制的,根据我们的评估,活动目标数量每次都是几十个用户。当目标用户单击后,该链接会将目标重定向到攻击者拥有的域,该域在将浏览器重定向到合法网站之前传递了漏洞。如果链接失效,则用户被直接重定向到合法网站。”这种攻击技术也被用于记者和其他一些被警告说是政府支持的攻击目标的谷歌用户。在这些活动中,攻击者首先安装了带有 RAT功能的Android Alien银行木马,用于加载Predator Android植入程序,并允许录制音频、添加 CA 证书和隐藏应用程序。 该报告是2021年7月对当年在Chrome、Internet Explorer 和 WebKit (Safari) 中发现的其他四个 0day漏洞的分析的后续报告。正如 Google TAG 研究人员透露的那样,与俄罗斯外国情报局 (SVR) 有关联的俄罗斯支持的政府黑客利用 Safari 零日漏洞攻击西欧国家政府官员的 iOS 设备。谷歌TAG 周四补充说:“TAG正在积极跟踪30多家向政府支持的参与者出售漏洞或监视设备的供应商,这些供应商的复杂程度和公开曝光程度各不相同。” 转自 Freebuf,原文链接:https://www.freebuf.com/news/333988.html 封面来源于网络,如有侵权请联系删除

苹果紧急更新修复入侵 Mac 和 Watch 的零日漏洞

近日,苹果发布了安全更新以解决一项新的零日漏洞,黑客可以利用该漏洞对Mac和Apple Watch设备发起攻击。 5月16日发布的安全报告中,苹果方面透露,公司已经意识到这个安全漏洞“可能正被积极利用”。 该漏洞是一项AppleAVD(音频和视频解码的内核扩展)中的越界写入问题,追踪代码为CVE-2022-22675,它允许应用程序以内核权限执行任意代码。该漏洞由匿名研究人员报告,随后苹果在macOS Big Sur 11.6、watchOS 8.6和 tvOS 15.5系统中对其修复并改进了边界检查。 受该漏洞影响的设备包括Apple Watch Series 3及更新的机型、运行macOS Big Sur的Mac、Apple TV 4K、Apple TV 4K(第2代)和Apple TV HD等。 虽然苹果公司披露了一些关于网络攻击的报告,但并没有发布任何关于这些攻击的额外信息。 外界推测,苹果公司很可能是希望通过隐瞒信息进而在攻击者发现零日漏洞的细节并将它利用于其他攻击之前,让安全更新覆盖尽可能多的Macs和Apple Watch设备。 虽然这个零日漏洞很可能只能被运用于针对性进攻,但苹果公司仍然强烈建议尽快安装macOS和watchOS的安全更新以阻止攻击企图。 2022零日漏洞一览 今年1月,苹果对另外两个被在野利用的零日漏洞进行了修补,一个漏洞使攻击者能够利用内核权限执行人任意代码(追踪编号为CVE-2022-22587),另一个漏洞使攻击者能够跟踪网页浏览活动和用户身份(追踪编号为CVE-2022-22594)。 一个月后,苹果发布了一项新的安全更新,以修补另一个零日漏洞,漏洞的追踪编号为CVE-2022-22620,被用来攻击iPhone、iPad和Macs设备,导致操作系统崩溃,并在受损的苹果设备上远程执行代码。 今年3月,英特尔图形驱动程序和AppleAVD解码器中也发现了两个活跃的零日漏洞,追踪编码分别为CVE-2022-22674和CVE-2022-22675,后者如今依旧活跃在旧版本macOS、watchOS 8.6和tvOS 15.5系统中。 这5个零日漏洞会影响iPhone(iPhone 6s及以上)、运行macOS Monterey的Mac和多种iPad型号的设备。 转自 Freebuf,原文链接:https://www.freebuf.com/news/333384.html 封面来源于网络,如有侵权请联系删除

微软修复了所有 Windows 版本中的新 NTLM 零日漏洞

微软于近期解决了一个积极利用的Windows LSA零日漏洞,未经身份验证的攻击者可以远程利用该漏洞来强制域控制器通过Windows NT LAN Manager (NTLM)安全协议对其进行身份验证。LSA(Local Security Authority的缩写)是一个受保护的Windows子系统,它强制执行本地安全策略并验证用户的本地和远程登录。该漏洞编号为CVE-2022-26925,是由Bertelsmann Printing Group的Raphael John报告的,据调查,该漏洞在野已被利用,似乎是PetitPotam NTLM中继攻击的新载体。 安全研究员GILLES Lionel于2021年7月发现该变体,且微软一直在阻止PetitPotam变体,不过官网的一些举措仍然没有阻止其变体的出现。LockFile勒索软件组织就滥用PetitPotam NTLM中继攻击方法来劫持Windows域并部署恶意负载。对此,微软建议Windows管理员检查针对Active Directory证书服务(AD CS)上的NTLM中继攻击的PetitPotam缓解措施,以获取有关保护其系统免受CVE-2022-26925攻击的信息。 通过强制认证提升权限 通过使用这种新的攻击向量,威胁行为者可以拦截可用于提升权限的合法身份验证请求,这可能会导致整个域受到破坏。不过攻击者只能在高度复杂的中间人攻击(MITM)中滥用此安全漏洞,他们能够拦截受害者和域控制器之间的流量以读取或修改网络通信。 微软在其发布的公告中解释:未经身份验证的攻击者可以调用LSARPC接口并强制域控制器使用NTLM 对攻击者进行身份验证。此安全更新检测到LSARPC中的匿名连接尝试并禁止它。且此漏洞影响所有服务器,但在应用安全更新方面应优先考虑域控制器。在运行Windows 7 Service Pack 1和Windows Server 2008 R2 Service Pack 1 的系统上安装这些更新可能会带来不利影响,因为它们会破坏某些供应商的备份软件。 CVE-2022-26925影响所有Windows版本,包括客户端和服务器平台,从Windows7和 Windows Server 2008到Windows 11和Windows 2022。不过在今年五月份的微软Patch Tuesday,微软已经和其他两个漏洞一起修补了该零日漏洞,一个是Windows Hyper-V 拒绝服务漏洞 (CVE-2022-22713)、还有一个是Magnitude Simba Amazon Redshift ODBC 驱动程序漏洞 (CVE-2022-29972)。 转自 Freebuf,原文链接:https://www.freebuf.com/articles/332788.html 封面来源于网络,如有侵权请联系删除

Project Zero 报告:2021 年共发现 58 个已被黑客利用的零日漏洞

Project Zero 是由 Google 专家和分析师组成的内部团队,负责寻找零日漏洞和其他对网络产生威胁的漏洞。本周二,该团队发布公告称,在 2021 年共发现了 58 个已被黑客利用的漏洞,刷新了历史记录。 零日漏洞是指开发人员刚刚意识到的安全缺陷,因此,他们有“零天”时间来修复或“打补丁”。如果不被发现,这种缺陷可能导致数据泄露和勒索软件攻击。去年,微软警告用户 Windows 10 和其他软件的零日漏洞,包括 Microsoft Exchange和Microsoft Office,然后及时为100多个潜在风险发布了安全更新补丁。 自 2014 年成立以来,Project Zero 检测和披露的零日漏洞的最高数量出现在 2015 年,共有 28 个,不到2021年检测的一半。同比之下,反差更大,2020年仅有20个零日漏洞被检测和披露。 这一峰值可能表明网络攻击的增长趋势,在正在进行的COVID-19大流行和加密货币的日益普及期间,网络攻击已经上升,但Project Zero表示,可能的罪魁祸首是检测和报告零日发生的改进。 该报告指出,绝大多数零日漏洞的使用”与以前的[和]公开的漏洞类似”,只有两个事件因其”技术复杂性”或逻辑而脱颖而出。因此,尽管检测到的零日漏洞有所增加,你的在线安全似乎并不比前几年更危险,至少在涉及零日漏洞时是这样。   转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1260329.htm 封面来源于网络,如有侵权请联系删除

Google 发布第 3 个紧急更新 修复 Chrome 中另一个零日漏洞

Google 今天发布了第 3 个紧急更新,修复了存在于 Chrome 浏览器中的另一个零日漏洞。周四,Google 面向 macOS、Windows 和 Linux 发布了 Chrome 100.0.4898.127 更新,会在未来几天内完成部署。 本次更新修复了追踪为 CVE-2022-1364 的“类型混淆”漏洞。The Register 写道,Google Threat Analysis Group 的一名成员于 4 月 13 日报告了该漏洞,Google 迅速为其提供了修复。 据估计,该漏洞是一个高严重度的零日漏洞,已经有相关证据表明被黑客利用。一旦执行,它可以导致浏览器崩溃或触发错误,这有可能允许任意代码被执行。 Google表示,它知道 CVE-202201364 的漏洞已经被黑客利用,这也是促成快速创建修复程序的一个因素。Google 没有提供该漏洞的明确细节,而是说它正在限制对该信息的访问,直到“大多数用户被更新”。   转自 cnBeta ,原文链接:https://www.cnbeta.com/articles/tech/1259387.htm 封面来源于网络,如有侵权请联系删除