文章提交注意事项:
请在发布文章时用HTML代码加上至少一条新闻来源的链接;原创性消息,可加入相关信息(如涉及公司的网址)的链接。有任何问题,邮件至:he.fang#zhiding.cn
注意:收到邮件乱码的用户请修改客户端的默认字体编码,从"简体中文(GB2312)"修改为"Unicode(UTF-8)"。
solidot新版网站常见问题,请点击这里查看。
卡巴斯基研究人员披露了一个秘密植入后门三年之久的 Linux 应用 Free Download Manager。网站 freedownloadmanager[.]org 向 Linux 用户提供应用 Free Download Manager,但从 2020 年开始,该域名会不定时的将用户重定向到另一个域名 deb.fdmpkg[.]org 下载恶意版本。恶意版本包含了脚本会下载两个可执行文件到 /var/tmp/crond 和 /var/tmp/bs 中,脚本然后使用 cron 定时任务调度器每 10 分钟执行一次 /var/tmp/crond 中的文件,这意味着设备被永久植入了后门。安全研究人员发现,攻击者会收集系统信息、浏览历史、保存的密码、加密钱包文件以及云服务(AWS、Google Cloud、Oracle Cloud Infrastructure 和 Azure)凭证等数据,将窃取的数据上传到其控制的服务器。恶意域名的重定向在 2022 年结束,该行动目前处于不活跃状态。
被命名为 WiKI-Eve 的新型攻击能拦截智能手机通过 WiFi 传输的明文信号,以最高九成的正确率推断出单个数字按键,从而窃取到数字密码。WiKI-Eve 利用了 2013 年随 WiFi 5 (802.11ac) 引入的一项功能 BFII(beamforming feedback information),该功能允许设备向路由器发送有关其位置的反馈,让路由器更精确的引导信号。BFI 交换的是明文形式的数据,意味着它无需专门的硬件或破解加密密钥就能拦截和使用数据。来自中国和新加坡的一组大学研究人员发现,他们能以九成的正确率破译单个数字按键,以 85% 的正确率破译 6 位数字密码。攻击仅适用于数字密码,而且必须是在密码输入期间拦截 WiFi 信号,这是一种实时攻击。攻击者还需要使用 MAC 地址等识别目标。
Google 释出紧急更新修复一个 Chrome 0day。Google 在安全公告中警告,被称为 CVE-2023-4863 的漏洞正被利用,但没有披露更多信息。Chrome 用户被建议尽快更新到 v116.0.5845.187 (Mac 和 Linux) 以及 v116.0.5845.187/.188(Windows)。CVE-2023-4863 属于 WebP 堆缓冲区溢出(heap buffer overflow)漏洞,会导致从崩溃到任意代码执行。苹果 Security Engineering and Architecture (SEAR)和多伦多大学公民实验室在 9 月 6 日报告了该漏洞。
预印本平台 arXiv 官方博客宣布它遭遇了 DDOS 攻击。过去几天一小部分用户发出了逾百万电邮变更请求。这些邮件来自 200 多个 IP 地址,几乎全部隶属于中国某个省的一家 ISP。如此多的确认电邮请求令其电邮服务器不堪重负,可能导致 arXiv 用户未能收到邮件。arXiv 正采取措施遏制攻击,包括屏蔽特定 IP 段,这可能会影响部分合法用户。arXiv 的开发和运营团队规模很小,没有能力对抗 DDOS 攻击。
加州圣巴巴拉 Yasamin Mostofi 教授的实验室研究人员利用 WiFi 信号实现高质量静物成像。他们的方法运用了衍射几何理论和相应的凯勒锥(Keller cones)去追踪物体的边缘,首次实现了 WiFi 穿墙成像或阅读英文字母。Mostofi 教授称,缺乏运动使得 WiFi 静物成像颇具挑战性。通过跟踪物体边缘,他们使用了完全不同的方法解决了这一挑战性难题。他解释说,当给定波入射到边缘点,根据 Keller 的衍射几何理论,会出现被称为凯勒锥的外射线锥体。他们开发出一个数学框架,根据相应的凯勒锥去推断边缘的方向,创建其边缘图。
运营赌场和酒店的米高梅集团周一发表声明称遭遇了网络攻击,表示已经通知了执法部门,并立即采取措施保护
系统和数据。目前尚不清楚是否是勒索软件攻击,攻击者是否是在与米高梅协商赎金。根据用户在社交媒体上的消息,米高梅的移动应用已经下线,赌场的信用卡机、ATM 机和进票机和出票机全部瘫痪。米高梅集团在拉斯维加斯的所有业务都受到影响。赌场和酒店官网都下线。目前网络攻击未影响到米高梅在澳门的业务。
通过 Google Play 传播的恶意版 Telegram 在被 Google 下架前下载了逾六万次。恶意版本主要针对中文用户,感染之后会通过间谍软件窃取用户消息和通讯录等数据。恶意版 Telegram 被宣传是原版更快的替代。它们表面上与原版相同,但加入了窃取用户数据的代码。恶意版本包括了名叫 com. wsys 的包,能访问用户的联系人,收集用户名、用户 ID 和电话号码。当用户收到消息时,间谍软件会向位于 sg[.]telegrnm[.]org 指令控制服务器发送副本。恶意版本的包名称为 org.telegram.messenger.wab 和 org.telegram.messenger.wob,原版是 org.telegram.messenger.web。今年早些时候安全研究人员还发现了恶意版本的 Signal 和 WhatsApp,也被认为主要针对中文用户。
OpenSSL 1.1.1 系列结束支持,意味着未来将不再提供公开可用的安全修正。OpenSSL 1.1.1 是在 2018 年 9 月 11 日发布的,作为长期支持版本提供了五年的支持,2023 年 9 月 11 日结束寿命。操作系统供应商或第三方所提供的 OpenSSL 1.1.1 支持时间可能不同于 OpenSSL 项目本身。如果用户是从 OpenSSL 项目下载的 OpenSSL 1.1.1,那么是时候更新到较新版本。OpenSSL 的最新版本是 OpenSSL 3.1。
FBI 有一个问题。它在 2019 年秘密运营了名为 Anom 的加密手机公司。该手机被有组织犯罪分子广泛使用。它包含有后门,能悄悄的复制和转发每一条“加密”消息。但问题是 FBI 没有获得法律授权去查看它收集的加密消息。FBI 因此求助于所谓的“第三国”,该国允许 FBI 绕过这一法律障碍。这个国家为 FBI 托管了 Anom 的拦截服务器,每周一、三和五向 FBI 提供 Anom 的信息。该国不想被曝光,要求对其参与一事保密。法庭文件称这个国家是欧盟成员国。根据 404 Media 从消息来源获得信息,这个国家是立陶宛。
马斯克的 X 公司提起诉讼,寻求阻止加州的内容审核法律 AB 587 生效。该法律于 2022 年 9 月通过,要求社交媒体平台每半年向加州总检察长递交报告,提供内核审核方法的细节,以及如何定义和审核仇恨言论或种族主义、极端主义或激进化、虚假或错误消息、骚扰和外国政治干预等类别的信息。此外社交平台还需要提供针对此类信息所采取的内容审核行动的统计数据。社媒平台需要从 2023 年第三季度开始收集数据,2024 年 1 月 1 日前递交首份报告。违反者将面临罚款。X 公司在诉讼中称,加州政府试图摆布其服务条款,强迫引起争议的披露其如何审核内容。X 公司认为 AB 587 违反了宪法第一修正案,如果法院不阻止该法律,那么加州政府将有权向企业施压,要求删除加州政府不喜欢的内容。AB 587 法案的提出者 Jesse Gabriel 议员表示该法律旨在提高透明度,没有要求任何具体的内容审核政策。如果 X 没有什么可隐瞒,那么它不应该反对该法案。
加拿大多伦多大学公民实验室的研究人员在检查一部 iPhone 手机时,发现了一个零点击 0day 漏洞正被利用感染以色列公司 NSO Group 的间谍软件 Pegasus。该漏洞利用链被称为 BLASTPASS,能感染运行最新版本 iOS 16.6 的 iPhone 手机,整个过程不需要任何交互。攻击者可通过 iMessage 账号向受害者发送包含有恶意图像的 PassKit 附件去利用该漏洞。苹果已经释出了 iOS 16.6.1 修复漏洞。研究人员表示会在未来公布漏洞利用的更多细节,他们建议 iPhone 用户立即更新。
Shawn the R0ck 写道:2023年3月,微星国际(MSI)遭受了由Money Message勒索软件组织发起的一次重大攻击。不幸的是,这不仅仅是一次随机泄露。事后的调查揭示了内部数据的泄露,包括高度敏感的信息,如BootGuard私钥。该私钥是英特尔硬件信任和加密密钥管理系统的核心组成部分,意味着存在一个难以轻易修复的漏洞,使得特定设备型号的主要安全机制可以被绕过。此外,泄露的数据还暴露了UEFI固件镜像签名密钥,进一步加剧了这次安全漏洞的严重性。
BootGuard安全机制与CPU微码和CSME共同构成了英特尔核心安全机制的基础。它作为硬件信任系统中的关键完整性保护机制,而UEFI固件则是计算机系统中重要的底层软件组件。通过成功攻击漏洞(例如:CVE-2020-8705)或获取来自OEM/ODM制造商的私钥,BootGuard的被破坏使得威胁行为者可以利用UEFI实现的缺陷、配置错误和其他漏洞来绕过多个已建立的安全措施和缓解措施,例如:SMM_BWP、BWE/BLE、PRx硬件安全机制、SecureBoot以及内核安全缓解技术,如HCVI、PatchGuard、kASLR、KDEP、SMEP、SMAP。此外,主流的杀毒软件和EDR/XDR系统变得无效,使攻击者持久控制被入侵的设备。Hardcore Matrix团队经过广泛研究,重建了制造商缺失的内部工具,并成功执行了针对MSI Modern-15-B12M笔记本电脑(配备英特尔第12代CPU:i5-1235U)的全面攻击链。演示涵盖了BootGuard私钥重签名、胶囊更新重签名和SMM根套件部署等活动。这个令人信服的演示视频凸显了供应链威胁的严重性,展示了它们在现实世界中的影响。该演示不涵盖操作系统内核攻击技术或SMM启动套件,因为这些技术已经有多个开源实现进行了文档化。
当前,全球面临严峻形势,恶意软件/勒索软件攻击中使用引导套件的情况日益增多。微星国际泄露的OEM签名密钥进一步加剧了x86固件安全本就脆弱的状态。尽管如此,许多人(包括安全专业人员)仍然难以理解源自操作系统以下层面的威胁的重要性。考虑一下,如果引导套件被植入加密托管密钥管理服务节点的固件中,可能造成的后果。这样的攻击可以通过利用内存扫描和钩子来轻松实现弱熵作为一种服务。在这种情况下,攻击者可以通过轻微的暴力攻击从公共链中窃取私钥,而无需实际接触托管基础设施。
然而,没有必要因此陷入恐慌,也不明智地寄希望于像RISC-V或Rust这样的“未来技术”。相反,尝试掌控每个设备的安全供应过程是一个可行的计划。听起来像个好计划!坚持这个该死的计划!这是一个很好的起点,不是吗?
BootGuard安全机制与CPU微码和CSME共同构成了英特尔核心安全机制的基础。它作为硬件信任系统中的关键完整性保护机制,而UEFI固件则是计算机系统中重要的底层软件组件。通过成功攻击漏洞(例如:CVE-2020-8705)或获取来自OEM/ODM制造商的私钥,BootGuard的被破坏使得威胁行为者可以利用UEFI实现的缺陷、配置错误和其他漏洞来绕过多个已建立的安全措施和缓解措施,例如:SMM_BWP、BWE/BLE、PRx硬件安全机制、SecureBoot以及内核安全缓解技术,如HCVI、PatchGuard、kASLR、KDEP、SMEP、SMAP。此外,主流的杀毒软件和EDR/XDR系统变得无效,使攻击者持久控制被入侵的设备。Hardcore Matrix团队经过广泛研究,重建了制造商缺失的内部工具,并成功执行了针对MSI Modern-15-B12M笔记本电脑(配备英特尔第12代CPU:i5-1235U)的全面攻击链。演示涵盖了BootGuard私钥重签名、胶囊更新重签名和SMM根套件部署等活动。这个令人信服的演示视频凸显了供应链威胁的严重性,展示了它们在现实世界中的影响。该演示不涵盖操作系统内核攻击技术或SMM启动套件,因为这些技术已经有多个开源实现进行了文档化。
当前,全球面临严峻形势,恶意软件/勒索软件攻击中使用引导套件的情况日益增多。微星国际泄露的OEM签名密钥进一步加剧了x86固件安全本就脆弱的状态。尽管如此,许多人(包括安全专业人员)仍然难以理解源自操作系统以下层面的威胁的重要性。考虑一下,如果引导套件被植入加密托管密钥管理服务节点的固件中,可能造成的后果。这样的攻击可以通过利用内存扫描和钩子来轻松实现弱熵作为一种服务。在这种情况下,攻击者可以通过轻微的暴力攻击从公共链中窃取私钥,而无需实际接触托管基础设施。
然而,没有必要因此陷入恐慌,也不明智地寄希望于像RISC-V或Rust这样的“未来技术”。相反,尝试掌控每个设备的安全供应过程是一个可行的计划。听起来像个好计划!坚持这个该死的计划!这是一个很好的起点,不是吗?
微软在 7 月份披露,中国黑客组织 Storm-0558 入侵了它的 Azure 云服务,访问了多名美国政府官员的电邮账号。本周三微软官方博客披露了此次攻击的更多细节。软件巨人称,黑客盗取了该公司一名工程师的账号,该账号能访问调试环境,其中包括了崩溃转储(crash dump)。它的调查发现,由于被称为“竞争条件”的 bug,2021 年 4 月发生的一次消费者签名系统崩溃留下的信息包含有机密的签名密钥,密钥原本应该在崩溃转储过程中移除。两年后黑客访问了崩溃转储获得了密钥。利用密钥黑客伪造了令牌访问了 OWA 和 Outlook.com。从 5 月 15 日起黑客访问了大约 25 个组织的账号,而直到 6 月中旬客户警告之后微软才获悉此次入侵。微软表示,黑客是通过窃取令牌的恶意程序盗取了工程师的账号,但没有进一步透露恶意程序是如何安装的,是否有其他工程师账号被入侵。
Android 操作系统正日益封闭,最新的 Android 14 将进一步限制对系统证书的修改。Google 是从 2016 年发布的 Android 7(Nougat)起将设备上信任 CA 列表的权力从用户转移到设备供应商和第三方应用开发者。以前 Android 系统允许用户创建自己的 CA 并信任它,拦截设备上的 HTTPS 流量,查看设备上正在发送和接收的内容,可以进行修改或阻止。即将在未来几个月释出的 Android 14 将 CA 证书的管理转移到了一个独立更新的组件,由 Google Play 提供更新。一方面它对普通用户的安全是好事,但另一方面它进一步限制了开发者,即使 root 设备也将无法修改系统证书。
流行的开源代码编辑器 Notepad++ 发现了多个缓冲溢出漏洞,允许攻击者执行任意代码。Notepad++ 尚未发布补丁修复漏洞。GitHub Security Lab 的安全研究员 Jaroslav Lobačevski 发现,Notepad++ 使用的部分函数和库存在堆缓冲区写溢出和堆缓冲区读取溢出漏洞,这些漏洞的风险评分从 5.5(中危)到 7.8(高危)不等。他是在四月底报告了漏洞,但直到 Notepad++ 发布最新版本 v8.5.6 漏洞仍然没有修复,因此根据披露政策公开了漏洞和 PoC。
根据 Interisle Consulting Group 的研究,美国国家顶级域名 .US 被广泛用于钓鱼攻击。研究人员分析了 2022 年 5 月 1 日至 2023 年 4 月 30 日期间的 600 万份钓鱼攻击报告,发现了 30,000 个 .US 钓鱼域名。其它主要国家的域名很少像 .US 那样广泛用于钓鱼。.US 由美国商务部的国家电信资讯管理局(NTIA)监管,但 NTIA 将其外包给了最大的域名注册商 GoDaddy。NTIA 要求 GoDaddy 采取措施确保域名注册者居住在美国或在美国有组织机构。GoDaddy 显然在这方面有欠缺。
梭子鱼网络在 5 月 20 日披露其 Email Security Gateway(ESG) 发现了一个 0day——远程命令注入漏洞 CVE-2023-2868。而这个 0day 从去年 10 月起被活跃利用了 8 个月,被攻击者利用安装恶意程序窃取敏感数据。梭子鱼在六月初发布了不同寻常的声明,建议客户直接替换受影响的设备。现在我们知道了原因:修复的设备又重新感染了恶意程序。安全公司 Mandiant 发表报告称,黑客组织 UNC4841 早就做好了反制漏洞修补的准备。从去年 10 月开始 UNC4841 选择性的感染了部分梭子鱼客户,数量大约在 400-500 左右。在梭子鱼发布补丁堵上漏洞之后,UNC4841 再次选择性的对部分高价值目标释出了 DepthCharge、SkipJack 和 FoxTrot/FoxGlove 三种恶意程序。其中 DepthCharge 被认为最复杂,它设计在 ESG 清除掉恶意程序之后重新感染,方法是在备份配置中隐藏恶意代码。
美国国家光学天文台(NOIRLab)在 8 月 1 日遭到网络攻击,迫使它临时关闭了位于夏威夷的双子北座望远镜和位于智利的双子南座望远镜。NOIRLab 上周四发表声明称正与网络安全专家合作,以尽可能快的恢复望远镜运行。NOIRLab 称调查还在进行之中,因此没有披露更多攻击细节。在攻击发生前,美国国家反情报和安全中心曾就此发出警告。
一位未透露名字的黑客入侵了间谍软件公司 WebDetetive,删除了其间谍软件监视的设备信息,阻止其客户继续收集数据。黑客在一份声明中称,间谍软件用户不会再从其目标获得任何新数据,因为 #fuckstalkerware。黑客称 WebDetetive 监视的设备有逾 7.6 万台,应用服务器上有逾 1.5 GB 的数据被删除。黑客还从入侵中窃取到了 WebDetetive 客户的信息,包括 IP 地址和针对的目标设备。
在 8 月份的 Windows Certificate Trust List 更新中,微软禁用了 VeriSign Class 3 Public Primary Certification Authority – G5,结果导致应用如 QuickBooks 和 Avatax 无法启动,让系统管理员不知所措,因为导致了问题微软在三天后回滚了更新。该 CA 原属于赛门铁克,因在 2015 年错误签发了 google.com 证书以及后续发现有大量错误签发行为而不再被信任。赛门铁克在 2017 年将其 CA 业务出售给了 VeriSign。微软称,VeriSign Class 3 Public Primary Certification Authority – G5 在 2019 年起就不再被信任,该 CA 当时被设为 NotBefore,也就是 NotBefore 日期后签发的证书不再被信任,但之前签发的证书仍然被信任。在 8 月的证书信任更新中,微软将该 CA 设为 Disable,也就是被禁用。但此举导致了部分客户遭遇问题,微软随后回滚了更新。