大约 9% 的经过测试的固件映像使用公开或在数据泄露中泄露的非生产加密密钥，导致许多安全启动设备容易受到 UEFI bootkit 恶意软件的攻击。 该供应链攻击被称为“PKfail”，漏洞编号为CVE-2024-8105，是由测试安全启动主密钥（平台密钥“PK”）引起的，计算机供应商应该用自己安全生成的密钥替换该密钥。 尽管这些密钥被标记为“不信任”，但它们仍然被众多计算机制造商使用，包括宏碁、戴尔、富士通、技嘉、惠普、英特尔、联想、菲尼克斯和超微。 该问题是由 Binarly于 2024 年 7 月下旬发现的，它警告称，超过八百种消费者和企业设备型号上存在不受信任的测试密钥的使用，其中许多密钥已经在 GitHub 和其他地方泄露。 PKfail 可以让攻击者绕过安全启动保护并在易受攻击的系统上植入无法检测到的 UEFI 恶意软件，使用户无法防御，也无法发现入侵。 PKfail 影响和响应 作为研究的一部分，Binarly 发布了“PKfail 扫描仪”，供应商可以使用它来上传他们的固件映像以查看他们是否使用了测试密钥。 根据最新指标，自发布以来，扫描仪已在 10,095 个固件提交中发现 791 个易受攻击的固件提交。 Binarly 在新报告中指出：“根据我们的数据，我们在医疗设备、台式机、笔记本电脑、游戏机、企业服务器、ATM、POS 终端以及投票机等一些奇怪的地方发现了 PKfail 和非生产密钥。” 大多数存在漏洞的提交密钥来自 AMI (American Megatrends Inc.)，其次是 Insyde (61)、Phoenix (4)，以及 Supermicro 的一个提交。 对于 2011 年生成的 Insyde 密钥，Binarly 表示，固件映像提交显示它们仍在现代设备中使用。此前，人们认为它们只能在旧系统中找到。 社区还确认 PKfail 会影响 Hardkernel、Beelink 和 Minisforum 的专用设备，因此该漏洞的影响比最初预估的要广泛。 Binarly 评论称，尽管并非所有厂商都迅速发布了有关安全风险的公告，但厂商对 PKfail 的反应总体上是积极主动且迅速的。目前，戴尔、富士通、Supermicro、技嘉、英特尔和Phoenix均发布了有关 PKfail 的公告。 一些供应商已经发布补丁或固件更新来删除易受攻击的平台密钥或用可用于生产的加密材料替换它们，用户可以通过更新 BIOS 来获取这些补丁或固件更新。 如果您的设备不再受支持并且不太可能收到 PKfail 的安全更新，建议限制对它的物理访问并将其与网络中更关键的部分隔离。 技术报告：https://www.binarly.io/blog/pkfail-two-months-later-reflecting-on-the-impact   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/x0_Yzlx8I5RVXvFE7Vefjw 封面来源于网络，如有侵权请联系删除

最近，Fortinet专家发现了一种新的网络威胁：攻击者正利用与盗版软件相关的YouTube视频分发名为Lumma的数据窃取程序。 这些视频通常包含有关被黑客入侵的应用程序的信息，其安装说明相似，并包含恶意URL。这些URL通常通过服务如TinyURL和Cuttly进行缩短。 长期以来，这种方法一直被用来传播各种恶意软件，包括数据盗窃、加密货币和非法挖矿恶意软件。需要注意的是，这些欺诈视频有可能在热门视频平台上保留较长时间，然后被删除，但很快之后又会被大量重新上传。 在最近发生的网络攻击中，攻击者有针对在YouTube上搜索合法视频编辑器（例如Vegas Pro）的用户。攻击手法包括在网络钓鱼视频中使用社会工程技术，诱使观看者点击视频描述中的链接。这导致用户从MediaFire文件共享服务下载被植入恶意代码的安装程序。 安装程序包含一个伪装成安装可执行文件的恶意LNK文件。该LNK文件会通过从GitHub存储库进行静默下载，获取.NET加载程序。随后，Lumma Stealer除了检查虚拟机上是否正在运行恶意软件之外，还开始在受感染的系统上执行操作。 Lumma infostealer是一款使用C语言编写的恶意软件，自从2022年底以来已在地下论坛上出售。该恶意软件具备收集敏感数据的能力，并将这些数据传输到攻击者控制的服务器。据一些报告称，Lumma infostealer首次在2018年的实际攻击中被发现。 在2023年10月，我们发布了一份报告，详细描述了这种恶意软件通过Discord机器人，利用游戏玩家流行平台的API进行传播的情况。 为了有效防范Lumma等信息窃取者和其他网络威胁，建议在下载应用程序之前三思而后行，尽量使用官方渠道下载任何软件，并获得可靠的防病毒解决方案以进一步提高安全性。   转自安全客，原文链接：https://www.anquanke.com/post/id/292492 封面来源于网络，如有侵权请联系删除

欧盟立法者就《网络弹性法案》在技术和政治层面均达成一致，下一步欧洲议会和欧盟理事会通过后将成为法律。 有消息称：欧盟政策制定者于11月30日达成了关于《网络弹性法案》的政治协议，弥合了在最后几个悬而未决问题上的分歧。 《网络弹性法案》是一项立法提案，为从智能玩具到工业机械等各类联网设备引入安全要求。欧盟委员会、欧洲议会和欧盟理事会通过“三方对话”会议最终敲定这一法案。下一步需要欧洲议会和欧盟理事会正式通过，才能成为法律。 该协议此前在技术层面上已经基本敲定，提案的许多方面在政治会议期间得到认可。欧盟谈判代表经过激烈讨论之后解决了最后的政治障碍。 牵头此事的欧洲议会议员Nicola Danti表示，“《网络弹性法案》将加强联网产品的网络安全，解决硬件和软件中的漏洞问题，让欧洲大陆更安全、更有弹性。欧洲议会已经立法保护供应链，并将保护路由器、杀毒软件等关键产品列为网络安全优先事项。” 漏洞处理机制 法案规定，如果制造商知道联网设备存在可能被黑客利用的重大漏洞，不得将此类产品投放市场。一旦发现这些潜在入口，在产品公开的支持期限内，他们必须处理这些问题。 一旦发现安全事件或被积极利用漏洞，制造商必须向有关当局报告，并告知他们采取了哪些行动减轻安全风险。 被积极利用漏洞是一类极其敏感的网络威胁情报，表明黑客入口仍然没有被修补。因此，谁应该负责处理这些敏感信息成为谈判的焦点。 欧盟部长理事会将这项任务从欧盟网络安全局（ENISA）移交给各国计算机安全事件响应团队（CSIRTs）。根据修订的《网络和信息系统指令》（NIS2），这些团队本就担负类似的任务。 然而，欧洲议会坚持让ENISA参与，避免国家机构在保留这些高度敏感信息方面拥有过多自主权。 后来，双方达成妥协，决定要求制造商通过单一报告平台同时向有关CSIRT和ENISA发送通知。但是，欧盟成员国认为，考虑网络安全事宜，他们应该有权利对发送给ENISA的信息加以限制。 各方对这些限制的条件进行激烈讨论，达成的条件十分“狭窄”。具体而言，如涉及产品主要存在于国内市场且不对其他欧盟国家构成风险，所在国CSIRT有权限制向ENISA发送通知。 其次，成员国当局不会被强制要求，向ENISA披露他们认为与保护基本安全利益相关的任何信息。这一限制性条款符合欧盟条约。 第三，如制造商自认为信息进一步传播会立即带来风险，并在提交给CSIRT的通知中加以说明，所在国也有权对发送给ENISA的信息加以限制。 另一方面，欧洲议会议员争取到如下权利：ENISA仍将获得部分信息，用以监测欧盟单一市场的任何系统性风险。ENISA将了解相关制造商和产品信息，以及有关漏洞利用的一般信息。 欧洲议会议员们还推动在法案中明确，ENISA应获得足够的资源应对新任务。虽然这未能成为法案的一部分，但它将纳入欧盟主要机构发布的联合声明。 开源软件 谈判的另一大焦点是如何处理集成到商业产品中的开源软件。就此，各方已在技术层面达成一项协议，并在政治层面得到认可。 法案仅涵盖在商业活动背景下开发的软件，并专门针对开源软件管理者在文档编制和漏洞处理方面制定规则。 根据外媒Euractiv看到的最终文本，法案排除了那些在市场上销售开源软件但将所有收入重新投资于非营利活动的非营利组织。 其他热点话题 法案还包括其他热点话题的条目，如国家安全豁免、次级立法、罚款收入分配等。 成员国专门为国家安全或国防目的开发或修改的任何产品不受法案限制。 欧盟立法阶段反复讨论次级立法类型。如果是委托法规（delegated acts），需要欧洲议会参与，而执行法规（implementing acts）无需欧洲议会参与。支持期限将在委托法规下详细定义，而特殊产品类别将在执行法规下定义。 欧洲议会推动加入措辞，要求《网络弹性法案》的罚没款项用于增强网络安全能力的活动。这一点没有写入法案文本，但将在法案总则中提及。   转自安全内参，原文链接：https://www.secrss.com/articles/61414 封面来源于网络，如有侵权请联系删除

11月13日，国家金融监管总局网站显示，华美银行（中国）有限公司（简称华美中国）因“生产环境安全管控不足”和“生产数据安全管控不足”被责令整改，并处罚款60万元人民币（下同）。 财联社记者注意到，据国家金融管理总局官网查询，这是外资银行公开可查询的首张类似罚单，亦是华美银行在华经营以来首张监管罚单。 此外，罚单显示，与华美中国一同被处罚的还有时任华美中国信息科技部主管仲蔚，因“对华美中国生产环境安全管控不足及生产数据安全管控不足负直接管理责任”被处于警告。 一位在外资行和国内大行金融科技部门都曾有过工作经历的人士告诉财联社记者，现实中行业出现这类事件（指数据安全问题）应该比较多，只是开罚单比较少，主要还是看造成的影响。 财联社记者注意到，此次罚单对违法违规事实表述与过往稍有不同。据国家金融管理总局网站显示，过往罚单对此类情况多笼统表述为“数据安全”，例如在2021年1月，原中国银保监会对农业银行的罚单中指出其“数据安全管理较粗放，存在数据泄露风险”。 “数据安全是泛指所有和数据相关的安全工作，不限于生产数据，涵盖不限于测试数据，验证结果、解决方案等有价值的信息。”上述人士表示。此次监管对华美中国的罚单所涉及数据安全领域更为细化，在罚单表述中尚属首例。 此外，财联社记者注意到，此次罚单中提到“生产环境安全管控不足”，在过往罚单中也比较罕见。上述人士指出，“生产环境”指的是正式发布使用的系统环境，以及和生产环境同步的灰度环境、容灾环境等。据国家金融管理总局网站查询，目前已公开罚单中涉及该表述的也仅此一例。 据公司官网显示，华美银行是总部位于美国南加州最大的商业银行，于1973年在加州洛杉矶唐人街开业，是全美首家主要为华裔社区提供服务的联邦储贷银行。 华美中国是由美国华美银行在上海市设立的外商独资法人银行，注册资本为人民币14亿元，2003年在北京设立首个办事处。目前，华美中国在上海（总部）、深圳、汕头设有分行，同时在北京、广州、重庆和厦门设有办事处。 据华美中国企业年报显示，截至2022年末，公司资产总额为128.76亿元，较2021年同期增加了18.71亿元，增幅为17%；2022年营收2.55亿元，同比增长46.90%；净利润净利润为9217万元，较2021年增加6548万元。资本充足率为19.16%，一级资本充足率为18.09%。 财联社记者注意到，此次为华美银行在华经营以来收到的首张监管罚单。 “从趋势来看，银行信息安全领域监管正在加强。尤其在AIGC（即生成式人工智能）这一波冲击下，国家对数据安全肯定会更加严格。”上述人士指出。   转自安全圈，原文链接：https://mp.weixin.qq.com/s/ee9Jx_rp7KiK6ZkXnZATrA 封面来源于网络，如有侵权请联系删除