文章提交注意事项:
请在发布文章时用HTML代码加上至少一条新闻来源的链接;原创性消息,可加入相关信息(如涉及公司的网址)的链接。有任何问题,邮件至:he.fang#zhiding.cn
注意:收到邮件乱码的用户请修改客户端的默认字体编码,从"简体中文(GB2312)"修改为"Unicode(UTF-8)"。
solidot新版网站常见问题,请点击这里查看。
欧洲电信标准协会在 1995 年创建了 TETRA(陆地集群无线电)标准,它不是开源标准,而是使用了私有的加密算法,因此外部专家难以验证其安全性。安全公司 Midnight Blue 的研究人员从 eBay 上购买了 TETRA 无线电设备,他们在无线电接口上发现了一个漏洞,实现了在主应用处理器上执行任意代码,他们最终找到了方法逆向工程 TETRA 的加密算法,发现了被称为 TETRA:BURST 的一系列漏洞,细节将在即将举行的 Black Hat 安全会议上公开。后门存在于被称为 TEA1 的加密算法中,不是所有用户都使用该算法,它是批准出口的 TETRA 标准的一部分。研究人员还发现了其它漏洞,能用于实现通信信息的历史解密和去匿名化。该后门被认为是故意植入的,但欧洲电信标准协会不愿意使用后门这一名字,只是表示它是为满足出口控制的加密强度而设计的。该漏洞容易破解,普通计算机能在 1 分钟内破译加密无线电。TETRA 无线电的客户包括欧洲警方和紧急服务部门,非洲军事武装,世界各地关键基础设施的培训操作人员,等等。
2021 年 PC 主板和显卡制造商技嘉遭勒索软件组织 RansomEXX 入侵,多达 112GB 的机密数据被盗,其中包含了来自供应链合作伙伴 AMD、英特尔和 AMI 等的信息。安全公司 Eclypsium 的研究人员分析了泄露的 AMI 固件,识别出了多个存在了多年的高危漏洞,允许本地或远程攻击者利用漏洞访问名为 Redfish 远程管理接口,在数据中心的每一台服务器上执行任意代码。AMI 在今年 4 月释出了补丁修复漏洞。而在漏洞修复前,这些固件漏洞能给予黑客超级用户身份,可以安装任意恶意程序。
Shawn the R0ck 写道:本文详细的总结了数字军火行业的历史以及现状,数字军火涉及0-day和N-day漏洞和漏洞利用的生态,作者介绍了在行业全盛时期的情况,快速衰败的原因和进入平稳期后的形态,这篇文章不仅可以让公众有机会了解数字军火行业,更重要的是可以给安全工程师,安全分析师,CISO(首席安全官)和其他机构决策者一个参考,在赛博世界中,武器化漏洞利用是攻击者的破局之道,而对于防御的一方来说只有理解了武器化漏洞利用和数字军火行业才能更好的打造属于自身的赛博堡垒,0ldsk00l黑客们经历的“Hacking for fun and profit”早在斯诺登大爷那会儿就一去不返,伴随而来的是不可避免的”This is cyber, sir!”时代下的网络战,这些历史或多或少都在这篇文章中有所提及,不论什么时代性的背景,我们都应该谦卑,这样至少在面对The Desert of the Real时降低看花眼的概率。
著名黑客凯文·米特尼克(Kevin Mitnick)于 7 月 16 日因胰腺癌去世,年仅 59 岁。米特尼克出生于洛杉矶,他在 1990 年代参与盗窃大量文件入侵不同公司计算机网络等一系列犯罪行为,被称为当时的头号黑客通缉犯。2000 年出狱之后改头换面,成为安全顾问、演说家和畅销书作者。他与人合作完成了四部书,其中三部与计算机安全相关,还有一部是个人自传——《The Art of Deception: Controlling the Human Element of Securit》、《The Art of Intrusion: The Real Stories Behind the Exploits of Hackers, Intruders & Deceivers》、《Ghost in the Wires: My Adventures as the World's Most Wanted Hacker》和《The Art of Invisibility》。
Shawn the R0ck 写道:数字军火行业涉足未公开(0-day)的和已经公开(N-day)的漏洞以及相关的漏洞利用,数字军火是一种无形的武器,这种武器的构造和形态难以被普通人理解,即使是从业信息安全多年的安全工程师,安全分析师和CISO(安全首席官)也经常把诸多概念混淆,什么是 bug?什么是 exploitable bug?什么是漏洞?什么是漏洞利用?什么是漏洞利用平面?什么是漏洞利用方法?他们的关系是什么?早在 HardenedLinux 还有全职 maintainer 的阶段(2015-2020),我们就致力于基于开放的方法论对抗数字军火,到2021年成立了 HardenedVault 后逐步的把基础架构领域的各个环节工程化,在 Vault Labs 看来,攻击和防御双方信息是极度不对称的,我们行走了三分之一个地球,不论到哪里,如果你说你是从事数字军火领域的那一定很多人乐意跟你做生意,反之,如果你富有激情的讲解系统安全的防御,即你是打造盾牌的那一位,不好意思,你或许会遇到有人不屑一顾的表情就像在说“Fuc* off 去你大爷浪费我时间!”一样,另外,我们收到的反馈中,不乏有对于极端威胁模型的困惑,大部分人基于各种动机和原因认为面对 The Desert of the Real 是没有意义的或者压根认为真实的荒漠不存在,这正是当我们看到 Maor 的文章后非常兴奋的原因,毕竟再遇到有人问相同的问题直接让他们去读 Maor 的那两篇文章即可,这个策略一定会奏效于那些坚持探索真相的人,不论他们是否从事信息安全工作。
大大小小的机构开始手忙脚乱的修复正被利用的多个高危漏洞。Adobe 和 Citrix 先后披露了多个 0day。Adobe ColdFusion 的一个评分 9.8/10 的漏洞 CVE-2023-38203 正和另一个漏洞 CVE-2023-29298 被黑客组合利用。Adobe 在 7 月 11 日释出了补丁,但补丁并不完整,只需要略改下 POC 就能被重新利用,Adobe 表示它在开发更完整的补丁。更糟糕的是在 Adobe 释出补丁前安全公司 Project Discovery 披露了 ColdFusion 的一个漏洞 CVE-2023-38203,安全研究员以为漏洞已经修复了但实际上没有。CVE-2023-38203 和 CVE-2023-38203 都是正被利用的 0day。上周释出补丁修复的漏洞 CVE-2023-29300 被发现正被黑客利用。这些漏洞的评分都是 9.8/10。Citrix 本周修复的漏洞 CVE-2023-3519 其评分也是 9.8/10,也正被黑客利用。
安全研究人员跟踪了 Twitter 上有关信息安全的讨论,发现过去几个月此类的讨论推文大幅减少。研究人员是从 2021 年 7 月 12 日开始跟踪信息安全主题的原创推文(非转推),平均每天的推文数量在 1,272 则左右,工作日较多,周末较少。马斯克(Elon Musk)是在 2022 年 10 月 27 日完成对 Twitter 的收购,之后裁掉了大批员工,不过信息安全的推文数量短期内没有出现太大的波动。但从今年 4 月底 5 月初开始,情况突变。过去三周,信息安全的原创推文数量从马斯克收购前的平均每天 1,272 则减少到了每天 333 则,暴降 74%。如果去掉自动发布 CVE 声明的机器人账号,过去两周每天只有 66 则,暴降 87%。很多信息安全的研究人员都转到了一个专门的 Mastodon 实例 infosec.exchange。
基于云端的 IT 管理公司 JumpCloud 披露遭政府支持黑客入侵。攻击始于 6 月 22 日,起源于钓鱼攻击。攻击者获得了公司内网的部分访问权限。虽然调查人员目前没有发现有任何客户受到影响的证据,但该公司表示轮换了账号凭证,重构系统,并采取其它防御措施。调查人员发现,攻击极具针对性,只限于特定用户。该公司没有透露目标客户的名字。JumpCloud 被逾 20 万机构使用,付费客户约 5000,其中包括 Cars.com、GoFundMe、Grab、ClassPass、Uplight、Beyond Finance 和 Foursquare 等。
美国军方邮件域名的后缀是.mil,而马里的国家域名是 .ml,美国军方人员经常在发送邮件时因拼写错误而将高度敏感的邮件发送到 .ml 域名。Johannes Zuurbier 是一名荷兰的互联网创业者,他与马里政府签署了长达十年的国家域名管理合同。这份合同即将到期,而马里是俄罗斯的亲密盟友,当合同过期之后,马里当局将会接收到这些发送错误的邮件。Zuurbier 一直试图让美国政府严肃对待这一问题,他控制了逾 11 万封此类邮件,每天收到近千封。他警告美国,这一真实存在的风险可能会被美国的对手利用。
All-In-One Security(AIOS)是一款安装量逾百万的 WordPress 安全插件,三周前它被发现记录明文密码并将其存储在管理员可访问数据库中后释出了安全更新。开发者表示,用户登陆使用 AIOS 的网站后明文密码会被记录,该 bug 是在 5 月释出的 v5.1.9 中引入的,上周释出的 v5.2.0 修复了 bug 并从数据库里删除了相关数据。拥有最高全新的管理员可以访问明文密码。以明文形式储存密码是安全大忌。储存密码可接受的做法是使用哈希加密,因此即使密码数据库被恶意者窃取,他们通常会很难在短时间内暴力破解。
Shawn the R0ck 写道:数字军火涉及利用计算机技术和网络渗透技术来制造和销售用于攻击和侵入计算机、网络和软件等信息系统的工具、程序和服务。这些工具和服务也包括漏洞利用工具、远控软件、木马病毒、网络钓鱼和黑客攻击技术等,目标是窃取敏感信息、控制或破坏目标系统。数字军火的使用者可能包括政府军事和情报机构、犯罪团伙和黑客组织等。0-day漏洞利用是数字军火行业的重要部分,您可以参考Maor Shwartz的文章以获取更多关于0-day行业和数字军火行业的趋势的信息。像Drebin这样的团队,他们在全球各地的数字军火领域都有同行。HardenedVault在之前发布的VED技术白皮书后,收到了一些反馈。为了进一步沟通和解答,HardenedVault决定发布一份关于漏洞利用方法的测试镜像。HardenedVault使用CVE-2021-22555进行测试是因为其公开的PoC/exploit中同时涵盖了主流和非主流的攻击方法,具体来说,基于CVE-2021-22555编写了3种不同利用方法的漏洞利用,VED的防御目标并不是具体的某个漏洞,而是漏洞利用方法(攻击模式)。这个测试镜像中的针对CVE-2021-22555的三个漏洞利用使用以下漏洞利用方法实现提权和容器逃逸,比如绕过包含SMAP,SMEP,KASLR等防御机制和利用堆喷等漏洞利用方法,此测试镜像目的是通过理解三个漏洞利用所包含的攻击方法,进而对针对Linux系统的0-day/N-day作出更恰当的风险评估和威胁模型。
思科 Talos 安全团队发表了两篇博文,披露恶意应用在利用开源工具伪造签名时间戳,而这些恶意应用主要针对中文用户。从 Windows 10 v1607 开始,微软更新了驱动签名政策,不再允许未递交到 Developer Portal 签名的新内核模式驱动,但为了保持向后兼容,使用 2015 年 7 月 29 日之前颁发的最终实体证书签名的驱动程序将继续允许将链式链与受支持的交叉签名 CA 进行关联。这个例外制造了一个漏洞,允许新编译的驱动程序使用 2015 年 7 月 29 日之前颁发或过期的未撤销证书签名。有两个开源工具 HookSignTool 和 FuckCertVerifyTimeValidity 都允许伪造签名日期。主要针对中文用户的恶意程序利用这些开源工具使用窃取的证书进行签名,其中之一是 RedDriver。RedDriver 是一种基于驱动程序的浏览器劫持程序,使用 Windows Filtering Platform (WFP) 拦截浏览器流量,它利用 HookSignTool 伪造签名时间戳,它有一个硬编码的中文浏览器进程名单,针对的明显是中文用户,名单中包含了中国流行的浏览器,如 360 浏览器和 QQ 浏览器。
美国称中国黑客入侵了多名政府官员的电邮账号,其中包括商务部长 Gina Raimondo。微软证实黑客利用了其云电邮服务的一个漏洞访问了多名政府雇员的电邮账号。微软将黑客组织称为 Storm-0558,称黑客入侵了大约 25 个电邮账号。这不是一次大规模入侵,黑客只针对性的访问每个政府组织的几个账号。攻击始于 5 月,美国政府是在 6 月中旬发现入侵并通知了微软。
北大安全研究员 Ruihan Li 发现了一个被成为 StackRot 的内核漏洞,负责管理虚拟内存区的 maple tree 可在没有正确获得 MM 写锁的情况下进行节点替换操作,导致释放后使用问题。非特权本地用户可利用该漏洞提权。漏洞影响 Linux v6.1-6.4,没有证据表明该漏洞正被利用。Li 表示,StackRot 位于内核内存子系统中,影响所有内核配置,触发需要的功能非常少,但利用富有挑战性。该漏洞是在 6 月 15 日披露的,7 月 1 日释出的稳定版内核 v6.1.37、6.3.11 和 6.4.1 修复了漏洞,POC 以及其它技术细节预计将在本月底公开。
安全研究人员在一个广泛使用的 WordPress 插件中发现了一个正被利用的漏洞。该高危漏洞 CVE-2023-3460 的危险等级为 9.8/10。漏洞存在于用于精简用户注册和登陆流程的 Ultimate Member 插件中,它被逾 20 万 WordPress 网站使用。漏洞允许黑客在目标网站提权,潜在导致未经授权访问和控制受影响网站。对该漏洞的利用至少从六月初就开始了,部分网站报告了可疑活动,如创建了未授权的管理员账号。
黑客组织 Anonymous Sudan 声称入侵了微软服务器窃取了包含有逾 3000 万客户账号凭证的数据库。微软对此说法予以否认。Anonymous Sudan 以发动 DDoS 攻击闻名,它被认为与亲俄的 Killnet 等组织有关联。微软上个月承认其服务 Azure、Outlook 和 OneDrive 等发生的短暂宕机是遭到了 Anonymous Sudan 的 DDoS 攻击。Anonymous Sudan 正以 5 万美元的价格出售窃取的微软客户数据库,但微软发言人表示没有证据表明其客户数据遭到泄露。
世界最大的半导体制造商台积电成为勒索软件黑帮 LockBit 最新一位的受害者,该组织勒索 7000 万美元以交换不泄露窃取的数据。LockBit 是通过台积电的供应商 Kinmax Technologies 窃取到该公司的数据。Kinmax 是一家从事网络、云计算、存储、安全和数据库管理的 IT 服务商。对 Kinmax 的入侵发生在 6 月 29 日。台积电已经证实了此次攻击,表示网络入侵导致了与服务器初始设置和配置相关的信息泄露,没有任何客户信息泄露。它已经采取行动终止了与 Kinmax 的数据交换。
一所美国高中将所有学生的密码都重置为 Ch@ngeme!,让每个学生都有机会黑入任何同学的账号。伊利诺伊州 Oak Park and River Forest (OPRF)高中通知学生家长,在安全评估期间,供应商失误重置了所有学生的密码,使学生无法登陆其 Google 账号。为了解决这个问题,他们将所有学生的密码重设为 Ch@ngeme!,学生将可以再次访问他们的 Google 账号,学校在邮件中警告家长,“我们强烈建议您的孩子将密码改为自己的唯一密码。”
GCC 等程序使用的核心算术库 GMP 项目本月中旬披露,它的服务器遭到了来自数百个微软 IP 的攻击。项目主要开发者 Torbjorn Granlund 称,攻击针对的是 GMP 库,使用了数千个相同的请求,这些请求是精心挑选的,目的是让服务器过载。作为紧急响应,GMP 服务器防火墙屏蔽了所有微软 IP 访问。微软 GitHub 威胁捕获、运营和响应总监 Mike Blacker 很快识别了罪魁祸首:一个 GitHub Actions Workflow。一位 GitHub 用户更新了 FFmpeg-Builds 项目的一个脚本,从 https://gmplib.org 上提取内容,该构建被配置在 100 种不同类型的计算机/架构上运行并行同时测试。他认为这位用户的活动看起来并没有恶意目的。Granlund 表示在屏蔽了 100 个微软 IP 段后一周,仍然有来自相同 IP 地址的密集流量,但在防火墙屏蔽之后服务器不再受到影响。他对 Github/微软认为自己不需要承担任何责任表达了不满。
《Super Mario 3: Mario Forever》是经典任天堂游戏的免费重制版,保留了超级马里奥系列的游戏机制,更新了图像和音频。它非常受欢迎,下载量多达数百万次。安全公司 Cyble 的研究人员发现,攻击者正利用一个木马版的安装程序传播恶意程序。木马版本主要通过游戏论坛、社交媒体和恶意广告传播,它包含了一个合法版的游戏拷贝,以及两个恶意负荷 java.exe 和 atom.exe,其中 java.exe 是门罗币的挖矿程序,atom.exe 是 SupremeBot 挖矿客户端。SupremeBot 还会通过指令控制服务器下载额外的负荷 wime.exe——一个开源的信息窃取程序 Umbral Stealer,从被感染的设备上窃取数据,包括浏览器上储存的密码、cookies、加密货币钱包,Discord、Minecraft、Roblox 和 Telegram 的凭证。