文章提交注意事项:
请在发布文章时用HTML代码加上至少一条新闻来源的链接;原创性消息,可加入相关信息(如涉及公司的网址)的链接。有任何问题,邮件至:he.fang#zhiding.cn
注意:收到邮件乱码的用户请修改客户端的默认字体编码,从"简体中文(GB2312)"修改为"Unicode(UTF-8)"。
solidot新版网站常见问题,请点击这里查看。
法国政府的失业登记和救助机构的网站 Pôle emploi 被入侵,有一千万用户受到影响。被暴露的信息包括全名和社会安全号码,电邮地址、电话号码、密码和银行数据等不受影响。造成 Pôle emploi 被入侵的罪魁祸首被认为与 MOVEit 有关。MOVEit 是一个广泛使用的文件传输程序,今年早些时候 MOVEit 曝出的一个高危漏洞导致其客户遭遇数据大规模被盗。MOVEit 的漏洞允许 SQL 注入,通过输入特制字符串,攻击者可以诱骗 Web 应用返回敏感数据,赋予管理系统权限等。安全公司披露攻击者在利用漏洞疯狂抓取数据,而攻击者与勒索软件组织 Clop 有关。但目前 Clop 尚未证实是否是该组织入侵了 Pôle emploi。
Shawn the R0ck 写道:现代网络安全运营中心主要依赖于两个关键要素:基于agent的安全解决方案,在台式机、笔记本和服务器操作系统上运行;以及威胁分析系统,通常称为安全信息与事件管理(SIEM)系统或扩展检测与响应(XDR)系统充当安全大脑的角色。然而,网络安全行业面临两个主要挑战。首先,大多数安全解决方案未能在操作系统(OS)及OS以下层面提供全面的威胁检测,导致这一关键领域容易受到攻击。安全大脑本身或者周边的安全产品被攻陷并不是一件有趣的事情,安全领域最尴尬之处莫过于次。其次,威胁分析系统通常缺乏与最佳安全实践相一致的强大保护措施,这可能无意中导致安全漏洞。针对这些挑战,HardenedVault开发了一种基于开源SIEM/XDR工具Wazuh的解决方案,以展示HardenedVault可以如何解决这些问题。该工具与VED无缝集成,扩展了对Linux内核运行时的监控维度,实时监控漏洞提权、容器逃逸和rootkit,同时提供了其他安全措施,如CIS合规性,为已识别的威胁提供了强大的解决方案。VED能够将SIEM/XDR的监控维度扩展到Linux内核运行时,以应对特权升级、容器逃逸和Rootkits等安全威胁,这是一个强大的增强功能。通过整合这一功能,VED可以为内核中潜在的安全威胁提供全面的可见性和检测能力。这确保了主动防御,并增强了系统的整体安全状态,从而保护系统免受复杂的攻击和未经授权的访问尝试。目前,HardenedVault在AWS上提供了Hardened SIEM/XDR,方便集成和部署。对于那些有兴趣在自建机房环境中实施类似解决方案的用户,HardenedVault将乐意提供帮助。
Tor 项目宣布了设计抵御 DoS 攻击的工作量防御机制(Proof-of-Work Defense)。工作量证明 PoW 是一种动态的反应机制,在正常工作条件下保持休眠。当 onion 服务面临压力时,PoW 将提示传入的客户端连接连续执行复杂操作,onion 服务将根据客户端的工作量水平进行连接优先排序。此举旨在将 DoS 攻击的成本增加到难以维持的水平,优先考虑合法流量,抑制攻击流量。onion 服务因为优先考虑客户的隐私混淆 IP 地址而容易遭到 DoS 攻击,传统的基于 IP 的速率限制无效,因此 Tor 项目设计了一种工作量证明机制,在不影响客户隐私的同时遏制 DoS 攻击。如果攻击者向 onion 服务发送大量连接请求,PoW 防御会启动增加访问 .onion 网站所需的计算量。增加的计算量对绝大部分设备是可控的,所耗费时间从 5 毫秒到 30 毫秒。攻击流量增加,工作量就会增加,最多需要 1 分钟的工作量。整个过程对用户是不可见的。
松散的黑客组织 Lapsus$ 的两名成员:18 岁的 Arion Kurtaj 和另一名 17 岁少年被控入侵了多家知名公司,窃取数据并以威胁泄露数据为由进行勒索。 Arion Kurtaj 被认为是 Lapsus$ 的领导人之一,他去年两次因为 Lapsus$ 相关黑客活动而被捕。他被控入侵了金融科技公司 Revolut、拼车服务商 Uber 和游戏开发商 Rockstar Games。在保释期间,他使用化名 teapotuberhacker 泄露了正在开发中的《侠盗猎车 6( Grand Theft Auto 6)》游戏视频。他通过黑客活动窃取了逾 300 个 BTC,绝大部分钱都花在赌博或被其他黑客盗走了。
WinRAR 上周修复了一个高危漏洞 CVE-2023-40477,该漏洞允许远程攻击者通过引诱受害者打开一个特制的 RAR 压缩文件去执行任意代码。安全公司 Group IB 周三公开了该漏洞的更多细节。该漏洞从今年四月起就开始被利用,攻击者通过证券交易论坛引诱受害者打开含有恶意代码的压缩文件,利用漏洞攻击者可以伪造文件扩展,在伪造的 .jpg 或 .txt 等文件格式中隐藏恶意脚本。当受害者打开文件,攻击者可以远程执行代码,安装 DarkMe、GuLoader 和 Remcos RAT 等系列恶意软件,然后从经纪帐户中提取出资金。Group-IB 称它跟踪到了至少 130 名受害者,但经济损失和受害者总数尚不清楚。
WinRAR 修复了一个高危漏洞 CVE-2023-40477,该漏洞允许远程攻击者通过引诱受害者打开一个特制的 RAR 压缩文件去执行任意代码。该漏洞需要欺骗用户因此危险等级评分略低为 7.8/10。该漏洞是 Zero Day Initiative 的 研究员 goodbyeselene 发现的,2023 年 6 月 8 日报告给开发商 RARLAB,漏洞存在于恢复卷处理过程中,是未能正确验证用户提供的数据导致的。RARLAB 在 8 月 2 日释出 WinRAR v6.23 修复了该漏洞。WinRAR 用户需要尽可能快的升级。WinRAR v6.23 还修复了另一个会导致错误文件初始化的漏洞。
DEF CON 安全会议的主会场因炸弹威胁而大规模疏散人群。消防人员和警方对大楼进行了彻底搜寻但没有找到可疑物品。主办方取消了当晚的庆祝活动,令与会者大失所望。DEF CON 安全会议于 8 月 10 日举行,13 日结束。主办方表示他们收到了可疑包裹的报告,被要求从大楼里撤离。炸弹威胁被认为是一次恶作剧,但恶作剧者毁掉了所有人的夜晚。有报道称,今年的 DEF CON 会议吸引了逾 3 万人参加,相比下 Black Hat 安全会议只有大约 2 万人。
去年二月,俄罗斯入侵乌克兰占领了人类历史上最严重核灾难发生地切尔诺贝利。随后传感器显示当地的辐射值提高了。乌克兰核监管机构认为,这可能是由于重型军用车辆搅动了仍然受到 1986 年事故污染的土壤造成的。这一解释被广泛接受。但一组环境学家发表论文认为搅动土壤不可能造成辐射值提高,认为真正的原因是电子战武器造成的干扰。现在一位网络安全专家 Ruben Santamarta 在分析了数据模式后认为辐射值提高很可能是网络攻击造成的,黑客远程或能直接访问服务器的人纂改了数据。如果数据真的被操纵,这可能会破坏对辐射监测系统的信任,改变数据公开发表的方法。辐射监测系统的数据是接近实时公布的,如果数据能被纂改,那么攻击者能在数据被验证前引发公众恐慌。
2008 年 8 月初,几位 MIT 学生准备在拉斯维加斯举行的黑客大会 Defcon 上谈论他们找到方法免费搭乘波士顿的地铁系统。但波士顿地铁管理机构 MBTA 提起了诉讼并获得了限制令,禁止他们发表演讲。演讲被取消,但学生们制作的幻灯片在与会者中间广泛传播并发布在网上。2021 年夏天 15 岁高中生 Matty Harris 和 Zachary Bertocchi 在搭乘波士顿地铁时谈论了此事,他们好奇是否能重复 MIT 学生的工作,实现免费搭乘地铁。他们一开始认为不可能,因为此事被广泛报道,波士顿地铁应该早就修复了问题。他们发现,波士顿地铁并没有修复问题。他们在今年举行的 Defcon 黑客大会上谈论了他们的研究结果,这一次没人起诉他们。两名高中生和他们的黑客朋友 Noah Gibson 和 Scott Campbell 扩展了 MIT 学生的工作。MIT 学生当时针对的是磁卡,而 MBTA 已经淘汰了磁卡采用了 RFID 非接触式智能卡 CharlieCard。他们对卡进行了逆向工程,能对卡片任意充值,甚至能提供可以无限免费乘车的 MBTA 员工卡。这几位青少年称,MBTA 邀请他们前往其总部,并礼貌的请求他们隐藏部分技术细节,增加其他黑客复制的难度。
Shawn the R0ck 写道:我们很高兴地介绍 VED-eBPF,这是一种创新的概念验证实现,展示了 eBPF(扩展伯克利数据包过滤器)技术在为 Linux 系统提供强大的内核安全监控和漏洞检测方面的能力。VED-eBPF 利用 eBPF 的功能,提供对内核漏洞和 Rootkit 的运行时分析和检测。开源版本使用 AGPLv3 许可证发布。
使用 eBPF 增强内核安全 eBPF 是一种内核中的虚拟机,可以在内核中执行代码,无需修改内核源代码。通过 VED-eBPF,我们利用 eBPF 的潜力来跟踪安全敏感的内核行为并检测可能表示恶意活动的异常情况。
VED-eBPF 的关键特性:
控制流完整性(wCFI):VED-eBPF 包含 wCFI,专注于检测控制流劫持攻击。通过跟踪内核调用栈,VED-eBPF 生成一个有效调用位置的位图,并根据此位图验证返回地址。任何无效的返回地址(表示堆栈已被破坏)都会触发安全事件进行进一步分析。
特权提升检测(PSD):VED-eBPF 集成了 PSD,用于检测未经授权的特权提升。通过监视内核中的凭证结构的变化,VED-eBPF 在特定函数调用之前和之后比较凭证,以识别任何未经授权的修改。当检测到非法特权提升时,会生成一个安全事件进行分析。
VED-eBPF 的工作原理 VED-eBPF 将 eBPF 程序附加到相关的内核函数,实现执行流程的跟踪和安全事件的提取。然后,这些事件将通过 perf 缓冲区提交到用户空间进行进一步分析,确保实时检测潜在威胁。
加入我们,探索 eBPF 的安全能力 我们邀请所有对利用 eBPF 进行安全缓解感兴趣的安全爱好者、研究人员和开发人员一起探索 VED-eBPF。通过利用 eBPF 的跟踪能力和 perf 缓冲区,VED-eBPF 展示了如何实时提取和分析关键的安全事件,以识别新出现的内核威胁。
使用 eBPF 增强内核安全 eBPF 是一种内核中的虚拟机,可以在内核中执行代码,无需修改内核源代码。通过 VED-eBPF,我们利用 eBPF 的潜力来跟踪安全敏感的内核行为并检测可能表示恶意活动的异常情况。
VED-eBPF 的关键特性:
控制流完整性(wCFI):VED-eBPF 包含 wCFI,专注于检测控制流劫持攻击。通过跟踪内核调用栈,VED-eBPF 生成一个有效调用位置的位图,并根据此位图验证返回地址。任何无效的返回地址(表示堆栈已被破坏)都会触发安全事件进行进一步分析。
特权提升检测(PSD):VED-eBPF 集成了 PSD,用于检测未经授权的特权提升。通过监视内核中的凭证结构的变化,VED-eBPF 在特定函数调用之前和之后比较凭证,以识别任何未经授权的修改。当检测到非法特权提升时,会生成一个安全事件进行分析。
VED-eBPF 的工作原理 VED-eBPF 将 eBPF 程序附加到相关的内核函数,实现执行流程的跟踪和安全事件的提取。然后,这些事件将通过 perf 缓冲区提交到用户空间进行进一步分析,确保实时检测潜在威胁。
加入我们,探索 eBPF 的安全能力 我们邀请所有对利用 eBPF 进行安全缓解感兴趣的安全爱好者、研究人员和开发人员一起探索 VED-eBPF。通过利用 eBPF 的跟踪能力和 perf 缓冲区,VED-eBPF 展示了如何实时提取和分析关键的安全事件,以识别新出现的内核威胁。
加拿大多伦多大学公民实验室的研究人员分析了腾讯旗下的搜狗输入法。该输入法月活用户逾 4.5 亿,是中国最流行的中文输入法,占据了七成市场份额,讯飞排名第二,百度输入法第三。研究人员分析了搜狗输入法的 Windows、Android 和 iOS 版本,发现搜狗使用了一个自己开发的加密系统 EncryptWall 加密敏感数据,而该加密系统存在 CBC 密文填塞(Padding Oracle)漏洞,允许网络监听者获得加密网络传输的明文,包括用户输入的内容。研究人员向搜狗报告了漏洞,搜狗开发者释出了新版本修复了漏洞。该输入法的用户需要尽快升级到新版本——Windows v13.7、Android v11.26 和 iOS v11.25。
Google 研究员 Daniel Moghimi 披露了针对英特尔服务器芯片的 Downfall 漏洞。该漏洞允许攻击者窃取共享同一台计算机上的用户的敏感数据,如密码、加密密钥和私人数据如电邮、消息或银行信息。编号为 CVE-2022-40982 的漏洞影响从 Skylake 到 Tiger Lake(6 代到 11 代酷睿)的所有英特尔处理器。即使用户的个人电脑不使用英特尔芯片,鉴于英特尔占据了七成服务器处理器市场,你仍然会受到影响。简单来说,每一个网民都受到影响。CVE-2022-40982 是一个瞬态执行旁道漏洞,利用优化处理器内存的 Gather 指令泄露预测执行期间内部矢量寄存器文件内容。攻击者能利用它提取 Software Guard eXtensions (SGX)保护的数据,SGX 目前只被英特尔服务器芯片支持。英特尔从去年 8 月获悉了该漏洞,目前已经释出了缓解该漏洞的微码更新。
通过记录按键的声音,以及训练一个深度学习模型,三名英国研究员称能以九成以上的准确率识别远程按键声音对应的字母。他们在论文《A Practical Deep Learning-Based Acoustic Side Channel Attack on Keyboards》中称,无处不在的机器学习、麦克风和视频通话,让键盘面临比以往任何时候更大的安全风险。在咖啡店和图书馆等安静公共场所使用笔记本电脑键盘更容易受到这一旁道攻击的影响。大多数笔记本电脑都使用统一的非模块化键盘,有着相似的声学特征。这项研究使用的是苹果 2021 年款 MacBook Pro 笔记本电脑,分别使用 iPhone 13 mini 和通过 Zoom 使用内置麦克风记录按键的声音。两项测试的按键识别准确率都高于 93%。研究人员称用指纹或其它生物识别工具而不是输入密码能抵御此类攻击。
在黑客今年 6 月入侵服务器并删除上面的数据之后,波兰间谍软件开发商 LetMeSpy 宣布将于八月底停止运营。LetMeSpy 开发 Android 手机监控应用,设计不会显示在受害者的屏幕上,因此难以发现和删除。当 LetMeSpy 应用植入到受害者手机上时,它会持续收集消息、通话记录和实时位置数据。非盈利透明组织 DDoSecrets 获得的数据显示,LetMeSpy 被用于从全世界逾 1.3 万部 Android 手机上窃取数据。这一数字比该公司自称控制逾 23.5 万部手机要少得多。
黑客使用假的 Android 聊天应用 SafeChat 窃取敏感用户数据,其中包括通话记录,短信和 GPS 定位。SafeChat 包含了间谍软件 Coverlm 的一个变种,能窃取流行消息应用如 Telegram、Signal、WhatsApp、Viber 和 Facebook Messenger 的数据。安全研究人员认为印度 APT 组织 Bahamut 是这一行动的幕后发起者。攻击者主要是通过 WhatsApp 发送钓鱼消息,直接向受害者发送恶意负荷。
安全公司趋势科技的研究人员发现了一种被称为 CherryBlos 的 Android 恶意程序,能使用光学字符识别窃取手机屏幕上显示的凭证。恶意程序主要通过第三方传播的 Android apps 传播。研究人员发现恶意程序的开发者也在 Google Play 官方市场发布了相同的应用,但并不含有恶意负荷。一旦安装,当用户打开币安等合法加密货币应用,CherryBlos 的覆盖窗口会模拟这些应用,在提款时将受害者接受资金的钱包地址替换成攻击者控制的钱包地址。当合法应用显示密码口令时,恶意程序会截图然后使用光学字符识别将图像翻译成文本格式,然后攻击者可以窃取账号的资金。
Google 安全博客回顾了 2022 年的 0day 漏洞:2022 年发现了 41 个正被利用的 0day,低于 2021 年的 69 但高于 2015 年以来的其它年份。Google 称 Android 生态系统的一大问题是补丁更新不及时,OEM 厂商不能及时向用户推送安全更新,导致的结果是已知的 N-days 漏洞和 0day 漏洞的严重性相差无几,不需要 0day 攻击者使用 N-days 漏洞就能实现成功入侵。举例来说,ARM Mali GPU 的一个漏洞 CVE-2022-38181 是在 2022 年 7 月报告的,ARM 在 10 月释出了新版驱动修复了漏洞,到了 11 月安全研究人员发现了漏洞利用。而 Android 系统直到 2023 年 4 月才修复漏洞。三星浏览器的漏洞利用存在类似现象。
俄罗斯政府以叛国罪判处网络安全公司 Group-IB CEO Ilya Sachkov 14 年徒刑。Group-IB 是俄罗斯最大的网络安全公司之一,Sachkov 是其联合创始人,他已关押近两年。Sachkov 在 2003 年创办了 Group-IB,因曝光和破坏一系列大规模网络犯罪活动而名声大振,他在 2021 年 9 月以叛国罪名遭到逮捕,但政府拒绝透露指控细节,他则拒绝认罪。Group-IB 几年前将其总部搬到了新加坡,到今年 4 月退出了俄罗斯市场。该公司在一份声明中表示,其创始人在关押前几个月被拒绝了与外界通信的权利——不能打电话也不能写信,朋友家人也无法访问。Group-IB 称其创始人被剥夺了公正审判的机会——所有案件材料都保密,所有听证会都秘密举行。在他被捕之后,彭博社曾报道称他向美国提供了与 Fancy Bear 相关的情报,该行动旨在影响 2016 年美国大选。
美国证券交易委员会(SEC)实施了新规则,要求上市公司在被认为重大的网络安全事件发现四天内予以披露。所谓重大事件是指上市公司股东在做出投资决策时认为重大的事件。SEC 还要求外国私人发行人(foreign private issuers)在发生网络攻击后提供同等程度的披露。新的规则将在 12 月或《联邦公报(Federal Register)》上发表 30 天后生效,小型公司给予额外 180 天的推迟执行。特殊情况下,如果美国司法部长认为立即披露网络安全事件会对国家安全或公共安全构成重大风险,那么也可以推迟披露。
Google Project Zero 安全团队的 Tavis Ormandy 披露了 AMD Zen 2 架构处理器的 Zenbleed 漏洞(CVE-2023-20593)。该漏洞影响基于 Zen 2 的消费级、工作站和服务器处理器。漏洞允许攻击者从 CPU 寄存器窃取数据。现代处理器利用预测执行机制通过预测下一步的任务加速操作,Zen 2 处理器无法从特定类型的预测错误中正确恢复, Zenbleed 能利用该漏洞窃取敏感数据。它会导致 CPU 以每秒最高 30 KB 的速度泄露数据,其中包括加密密钥、root 和用户密码等敏感信息。该漏洞能被远程利用,恶意网站可通过加载 JS 触发。好消息是目前还没有观察到漏洞利用,但随着 Zenbleed 的披露情况可能会发生改变。修复该漏洞的微码已经释出,未更新的 Linux 用户需要尽快更新。