卡巴斯基实验室在安全公告中称，其安全研究人员在 win32k.sys 中又发现了一个新的零日漏洞，代号为 CVE-2019-0859 。2019 年 3 月，卡巴斯基的自动化漏洞利用防护（EP）系统检测到了对微软 Windows 操作系统中的漏洞尝试。但在进一步分析后，他们发现 win32k.sys 中确实存在新的零日漏洞，而且这是实验室最近几月内第五次发现被利用的本地提权漏洞。 Win7 SP1 x64 上的 win32k!xxxFreeWindow+0x1344 弹窗（图自：Kaspersky Lab） 2019 年 3 月 17 日，卡巴斯基实验室向微软提交了漏洞报告，该公司确认了该漏洞，并分配了 CVE-2019-0859 这个编号。 万幸的是，微软已经为该漏洞发布了一个补丁，并通过 Windows Update 进行了推送。 卡巴斯基实验室称，功劳簿上有 Vasiliy Berdnikov 和 Boris Larin 这两位安全研究人员的名字。 至于 CVE-2019-0859 漏洞的技术细节，主要是 CreateWindowEx 函数中隐含的 Use-After-Free 漏洞。 执行期间，CreateWindowEx 会在首次创建时，将 WM_NCCREATE 消息发送到窗口。 借助 SetWindowsHookEx 函数，可在窗口调用过程之前，设置处理 WM_NCCREATE 消息的自定义回调。 然而在 win32k.sys 中，所有窗口都由 tagWND 结构呈现，其具有“fnid”字段（亦称 Function ID）。 该字段用于定义窗口的类，所有窗口分为 ScrollBar、Menu、Desktop 等部分，此前卡巴斯基已经分享过与我们已经写过与 Function ID 相关的 bug 。 在 WM_NCCREATE 回调期间，窗口的 Function ID 被设置为 0，使得我们能够钩子内部为窗口设置额外数据，更重要的是 Hook 后立即执行的窗口过程的地址。 将窗口过程更改为菜单窗口过程，会导致执行 xxxMenuWindowProc，且该函数会将 Function ID 启动到 FNID_MENU（因为当前消息等于 WM_NCCREATE）。 在将 Function ID 设置为 FNID_MENU 之前操作额外数据的能力，可强制 xxxMenuWindowProc 函数停止菜单的初始化、并返回 FALSE 。 因此发送 NCCREATE 消息将被视为失败的操作，CreateWindowEx 函数将通过调用 FreeWindow 来停止执行。 卡巴斯基实验室发现，野外已经有针对 64-bit 版本的 Windows 操作系统的攻击（从 Windows 7 到 Windows 10），其利用了众所周知的 HMValidateHandle 漏洞来绕过 ASLR 。 成功利用后，漏洞会借助 Base64 编码命令来执行 PowerShell，主要目的是从 https // pastebin.com 下载执行二、三阶段的脚本。 其中三阶段脚本的内容很是简洁明了 —— 捷豹 shellcode、分配可执行内存、将 shellcode 复制到已分配的内存、以及调用 CreateThread 来执行 shellcode 。 shellcode 的主要目标，是制作一个简单的 HTTP 反向 shell，以便攻击者完全控制受害者的系统。     （稿源：cnBeta，封面源自网络。）

据外媒报道，某学术团队创建了一个名为 Chrome Zero 的 Chrome 扩展程序，据称可阻止使用 JavaScript 代码从计算机中的 RAM 或 CPU 泄露数据的旁路攻击。目前该扩展程序仅在 GitHub 上提供，并且不能通过 Chrome 官方网上商店下载。 安全专家表示，目前有 11 种最先进的旁路攻击可以通过在浏览器中运行的 JavaScript 代码执行。 根据对这些先进的旁路攻击进行研究之后，研究人员确定了 JavaScript 旁路攻击试图利用的 5 种主要数据/特性：JS 可恢复的内存地址、精确的时间信息、浏览器的多线程支持、JS 代码线程共享的数据以及来自设备传感器的数据。 针对以上情况，Chrome Zero 试图通过拦截 Chrome 浏览器应执行的 JavaScript 代码，重写封装器中的某些 JavaScript 函数、属性以及对象来抵御旁路攻击。 尤其值得注意的是，安全专家表示 Chrome Zero 不仅能够消除旁路攻击，并且还具有最低的性能影响。此外，自 Chrome 49 发布以后，Chrome Zero 将能够阻止 50% 的 Chrome  0day 攻击。 消息来源：bleepingcomputer.，编译：榆榆，校审：FOX; 本文由 HackerNews.cc 编译整理，封面来源于网络； 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

据外媒报道，零日漏洞对于公众来说是一个非常大的风险，与此同时它还为攻击性网络攻击创造了一个巨大优势。随着越来越多的设备都具备了联网功能，这为该类型攻击提供额外的机会。日前，白宫网络安全协调官 Rob Joyce 公布了一份相关报告，指出政府系统中可能并没有那么多的漏洞等着攻击者利用。相反，已经知晓的漏洞会被提交给漏洞公正性评估（VEP）部门，由他们决定是否将漏洞公布于众或是保密。 根据 Joyce 的说法，在保密漏洞和未知漏洞保护这件事情上它的处理等级完全不亚于实体军事武器。许多国家都被认为对大部分漏洞进行保密处理以此来扩大它们的攻击能力，而代价是牺牲防御能力。Joyce 表示，他知道没有一个国家将其发现的所有漏洞公布于众。 稿源：cnBeta，封面源自网络；

据外媒 9 月 13 日报道，网络安全公司 FireEye 研究人员近期发现微软 Office 文档存在一处零日漏洞（ CVE-2017-8759 ），允许黑客操控受影响系统、安装间谍程序 FinSpy、更改或删除原始数据，以及诱导受害用户打开电子邮件下载特制文档或恶意应用程序。 FireEye 研究人员表示，资金充足的网络间谍组织于今年 7 月就已利用该漏洞传播恶意软件 FinSpy，其主要瞄准讲俄语的用户展开网络攻击活动。 FinSpy 是一款监控软件，由英国 Gamma 组织开发，并仅面向政府与执法机构出售，但隐私倡导者推测该软件也可能被售于专制政权机构。此外，FireEye 研究人员经调查发现间谍软件 FinSpy 在近期的攻击活动中 “ 使用 ” 了混淆代码与内置虚拟设备，以便隐藏受害系统内部进行反分析监控。 一旦受害系统感染恶意软件，FinSpy 不仅能够录制所有通信来电与短信消息，还可远程开启目标设备的摄像头、麦克风，以及实时定位与跟踪用户设备。目前，研究人员尚不清楚有多少用户已被攻击，也不了解此次攻击活动是否与俄罗斯政府有关。不过，好在作为微软每月安全更新的一部分，研究人员已发布漏洞修复补丁。 原作者：Mohit Kumar，译者：青楚 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接

据外媒报道，美国国家安全局（ NSA ）武器库于上周遭神秘黑客组织 “影子经纪人” 在线曝光，WannaCry 勒索软件肆意蔓延，致使全球各企业机构造成严重损失。为有效避免此类事件再次发生，美国两党议员趁热打铁于本月 17 日提出一项议案，迫使 NSA 将武器库转交至新审查委员会以确定哪些重大漏洞应尽快得到修复。 所谓 “ Protecting Our Ability to Counter Hacking Act ”（ PATCH Act ）即成立新技术审查委员会，接手审查 NSA 未披露的零日漏洞储存库，公开并及时修复更多软硬件漏洞。 尽管 NSA 一再声称，发现、保留并私藏漏洞的主要目的是为了捍卫国家网络安全，但前美国中央情报局（ CIA ）技术分析员斯诺登却直言，NSA 发现、利用、甚至在某些特殊情况下购买的漏洞多数用于政府监听与情报收集，只有极少部分用于维护自身网络安全。美国参议院国土安全和政府事务委员会主席罗恩 · 约翰逊（ R-WI ）指出，NSA 必须尽快向新技术审查委员会提供所有零日漏洞细节，以迅速制衡漏洞披露的需求与其他国家安全利益之间的关系，从而改善网络安全透明度与问责制。 目前，该议案虽然得到广大公民及全球各知名企业的支持，但具体规则却受到 “ Vulnerabilities Equities Process ” （ VEP ）约束，因 VEP 进程决定是否应该将漏洞用于网络间谍活动或公开披露。此外，立法委员会表示，虽然 VEP 尚未处于公开状态，但目前可通过监督来确保该议案的透明度与问责制。 原作者：Zack Whittaker ，译者：青楚 ，译审：游弋 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接

FireEye 安全研究人员发现，编号为 CVE-2017-0199 的 Microsoft Word 零日漏洞与乌克兰冲突中的网络间谍活动存在某种联系。 据悉，攻击者将特制的 Microsoft Word 文档伪装成俄罗斯军事训练手册，受害者一旦打开文档就会传播由 Gamma Group 开发的恶意监控软件 FinSpy 。按规定，FinSpy 仅面向政府与执法机构出售，但隐私倡导者推测该软件也可能被售与专制政权。 FireEye 公开表示，CVE-2017-0199 漏洞在经披露之前就已被充分用于经济与国家民族利益动机。调查表明，攻击者早在今年 1 月与 3 月就曾使用该漏洞传播恶意软件 FinSpy 与 LatentBot 。此外，研究人员发现这两款恶意软件的传播方式具有相似性，疑似从某个共享源获取攻击代码。目前，专家们仍在调查攻击的最终目标，而该诱饵文件似乎已在俄罗斯支持的乌克兰分裂地区“ 顿涅茨克人民共和国 ”发布。 早在 2017 年 1 月 25 日，CVE-2017-0199 漏洞就已通过伪装成《俄罗斯国防部法令》与“ 顿涅茨克人民共和国 ”境内发行手册的诱饵文档提供恶意软件 FinSpy 的有效载荷。虽然目前具体目标尚无法确定，FinSpy 已由 Gamma 集团出售给多个国家地区的客户。研究人员介绍，该恶意软件将与零日漏洞一并用于网络间谍攻击。 恶意文档 СПУТНИКРАЗВЕДЧИКА.doc（MD5：c10dabb05a38edd8a9a0ddda1c9af10e）是一份广泛传播的军事训练手册。值得注意的是，这个版本据称已在“ 顿涅茨克人民共和国 ”（由乌克兰东部反基辅反叛分子控制）发布。据悉，这本训练手册可以下载额外有效载荷以及冒充《俄罗斯森林管理计划审批法令》的另一个伪造文件FireEye 专家怀疑黑客可能已经使用恶意软件 FinSpy 入侵政府运营商等目标。此外，专家还发现暗市中流通的零日漏洞曾于今年 3 月引发同样的攻击流量。 FireEye 补充，早在 2017 年 3 月 4 日，恶意软件 LatentBot 就已通过 CVE-2017-0199 漏洞进行传播。迄今为止， FireEye iSIGHT Intelligence 仅在经济动机攻击活动中观察到具有凭据盗窃能力的恶意软件。此外，近期攻击活动中使用的通用诱饵与经济黑客使用的方法相一致。 原作者：Pierluigi Paganini，译者：青楚，译审：游弋 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接。