文章提交注意事项:
请在发布文章时用HTML代码加上至少一条新闻来源的链接;原创性消息,可加入相关信息(如涉及公司的网址)的链接。有任何问题,邮件至:he.fang#zhiding.cn
注意:收到邮件乱码的用户请修改客户端的默认字体编码,从"简体中文(GB2312)"修改为"Unicode(UTF-8)"。
solidot新版网站常见问题,请点击这里查看。
攻击者泄露了微星固件签名密钥,逾 200 款微星产品受到影响。勒索软件组织 Money Message 上个月声称从微星窃取到了源代码,总容量约 528 GB,它要求微星支付 400 万美元赎金,否则将泄露窃取的数据。目前泄露的数据包括了微星固件镜像签名密钥和英特尔 BootGuard 密钥,前者影响 57 款产品,后者影响 166 款产品。英特尔 BootGuard 是一种处理器安全保障机制,防止运行非系统制造商发布的固件镜像。这些密钥的泄露将允许攻击者将恶意固件伪装成合法固件。
美国得州达拉斯市政官员周三证实遭到了勒索软件攻击,攻击导致了大量服务中断,其中包括 911 的调度系统。居民仍然能拨打 911 报警电话,但由于调度系统下线接线员只能给响应的警官用手写下指令。警察局的网站也下线中。勒索软件黑帮 Royal 宣布对此负责,它威胁称如果达拉斯市不满足赎金要求,将公开窃取的数据。暂时不清楚 Royal 窃取了哪些数据。Royal 黑帮最早是于 2022 年初首次现身。
每一种流行物都可能会被网络罪犯利用去引诱人们去下载恶意程序。过去几个月最火爆的莫过于 AI 聊天机器人 ChatGPT。社交巨人 Meta 发表研究报告称,自 3 月以来它发现约 10 个恶意程序家族和逾千个恶意程序链接利用了 ChatGPT 的名气。网络罪犯以提供 ChatGPT 的名义传播恶意程序,部分情况下恶意程序还真的包含了 ChatGPT。安全专家称,ChatGPT 是新的加密货币。
乌克兰网络警察逮捕了一名 36 岁的 Netishyn 市居民,这名男子以 500-2000 美元不等的价格出售来自不同国家的逾三亿人的个人数据和敏感信息。这些信息包括护照、纳税人号码、出生证明、驾照和银行账户等。他是 Telegram 上私密群组和频道的管理员,在里面出售乌克兰和欧盟公民的数据。有俄罗斯公民从其手中购买了被盗的数据。执法人员扣押了他的手机、几十个硬盘、SIM卡、电脑设备和服务器设备。
微软介绍了它对不同形式黑客组织的新命名学,来自同一个国家的政府黑客组织都被冠相同的姓,不同的组织给予不同的名字。举例来说,微软给来自中国的黑客组织起了一个“台风(Typhoon)”的姓,伊朗姓沙尘暴,俄罗斯姓暴风雪(Blizzard),朝鲜姓雨夹雪(Sleet)...中国黑客组织 APT41 以前被称为 BARIUM,现在叫 Brass Typhoon;俄罗斯黑客组织 UNC530 以前叫 ACTINIUM,现在叫 Aqua Blizzard,等等。微软的新命名学没有涉及到美国或以色列的政府支持黑客组织。
curl 作者 Daniel Stenberg 说,Windows 10 和 11 自带的 curl 工具包含了一个低危漏洞,该漏洞已经修复了,微软也释出了补丁,但补丁释出前部分用户自行删除了存在漏洞的版本,导致无法更新,他表示 curl 项目对此不负任何责任,有问题找微软。
Windows 10 和 11 操作系统包含的 curl 工具位于 System32 系统文件夹下,这里面的程序是不能随便删除或替换的。2022 年 12 月 curl 项目报告了一个释放后使用(Use-After-Free)的低危漏洞 CVE-2022-43552,但美国国家漏洞数据库可能是为了督促用户尽快更新而提高了该漏洞的危险等级,将其列为中危漏洞。导致的结果是 2022 年 12 月 21 日之后的某个时间安全扫描工具开始就系统中包含存在漏洞的工具对用户发出警告。这让部分用户恐慌了。他们删除或替换了 C:\Windows\System32\curl.exe。微软在 4 月 11 日的例行安全更新中修复了该漏洞释出了补丁 KB5025221,但那些自行删除系统文件的用户发现 Windows 更新程序拒绝更新。Stenberg 表示 curl 项目对此无能为力。
瑞典 VPN 服务商 Mullvad 称警方带着搜查令搜查了其办公室,但在被告知它不储存客户数据后就离开了。这是该公司成立 14 年以来首次收到搜查令。公司 CEO 表示不知道警方在搜寻什么。Mullvad VPN 执行了最小化用户信息储存的政策,只记录了支付信息和对应的用户 ID,在确认客户付款之后它不保存任何付款者的信息,它也不记录用户登陆 VPN 的原始 IP 地址。
加拿大魁北克大学的研究人员在预印本网站 arXiv 上发表论文,分析了 ChatGPT 所生成代码的安全性。研究人员表示结果令他们倍感担忧。ChatGPT 生成的部分代码甚至达不到最低安全标志,而当你问它时它还知道代码是不安全的。研究人员让 ChatGPT 使用 C、C++、Python 和 Java 四种语言生成了 21 个程序和脚本。研究人员称,ChatGPT 似乎知道它生成的代码是不安全的,但就是不说,除非你问它。ChatGPT 拒绝生成攻击性代码,但却会生成有漏洞的代码,这在道德上是不一致的。
VoiP 软件提供商 3CX 上月底遭遇了一次供应链攻击,攻击者篡改了 3CX 的桌面应用,植入了恶意代码,对 3CX 客户发动了供应链攻击。据安全公司 Mandiant 的分析,3CX 自己也是一次供应链攻击的受害者。这起事件是一次双重供应链攻击。Mandiant 将两起事件都归于朝鲜黑客组织 UNC4736。黑客大约在 2021 年入侵了提供交易软件的 Trading Technologies 公司,篡改了 X_Trader 软件的安装程序,植入了 VEILEDSIGNAL 后门。2023 年一名 3CX 员工下载了被植入后门的 X_Trader 软件,攻击者在感染了员工电脑之后渗透进入企业网络,最终篡改了 3CX 的桌面应用。
利用一部诺基亚 3310 手机,没有多少技术经验的小偷可以在 15 秒内盗走一辆丰田陆地巡洋舰。这种新型的汽车盗窃案正在美国各地扩散,导致的一个结果是诺基亚 3310 手机的价格飙升到了 3000-4000 美元。这种攻击技术可用于盗窃豪车如玛莎拉蒂和雷克萨斯。研究人员将其称为 CAN (controller area network 或控制器区域网络)注入攻击,其工作原理是发送伪造的汽车智能钥匙接收器信息,核心原因是汽车没有对信息进行验证。丰田发言人在一份声明中表示正与执法部门和专家合作解决该问题。
自称 Doomed 的黑客接受《连线》采访,披露通过 SIM swapping 的方法劫持了保守派名人 Matt Walsh 的 Twitter 账号,发布一系列帖子去挑起争议和制造混乱。SIM swapping 是美国最近几年非常流行的社交工程方法,通过欺骗移动运营商的雇员将受害者的手机号码转到黑客控制的SIM 卡。Walsh 主持了以其名字命名的 Daily Wire 播客,曾形容自己是“神权法西斯主义者(theocratic fascist)”,认为动漫是“邪恶的”,热衷煽动对 LGBTQ 社区的攻击,称 16 岁女孩“生育能力最强(most fertile)”。Doomed 还劫持了 Walsh 的微软和 Google 账号,他表示自己的动机是无聊找乐趣。在报道发表之后,Twitter 以传播黑客泄露材料的理由永久封杀了该报道的记者 Dell Cameron(这位记者有 Mastodon 账号 [email protected])。
Shawn the R0ck 写道:
私钥一直是安全保护的核心目标。由于密钥槽的限制,大多数加密货币硬件钱包使用 MCU 芯片(如 STM32F205RE)进行实现,以便能使用secure element存储和支持更广泛的加密货币种类,然而,那些对保护私钥有更高安全要求的人通常会对 Java 卡感兴趣,因为Java Card基本上是具有加密算法硬件实现的智能卡。私钥或对称密钥无法从中提取。用户只能从 Java 卡获得加密操作的结果,另外一点是已经使用通信参数初始化但尚未加载应用程序(applet)的 Java 卡是可由用户编程的,而且有一些以 Java 卡 applet 形式实现的各种功能的自由开源软件项目。即使Java Card作为HSM(硬件安全模块)的安全性高于常见加密货币硬件钱包的实现,但依然有安全风险,HardenedVault介绍了两个典型的漏洞,这些漏洞位于更底层的JCRE(Java Card运行时环境),虽然不会导致私钥被泄露,但会导致应用程序陷入无法恢复的错误。一旦出现这种问题,卡中的私钥就可能会丢失。智能卡作为 HSM 的实现比基于 MCU 的解决方案(几乎所有硬件钱包都采用了这种方案)更加安全,但仍存在某些安全风险。甚至获得 EAL 5+ 认证的硬件钱包也有被攻击的记录。因此,在系统安全方面,我们仍需要坚持纵深防御的策略。另一方面,透明度很重要,开源是确保 HSM 的整个运行环境能够得到适当审计的唯一途径。对于 Java 卡,我们希望未来能够拥有一个自由开源且可更新的 JCRE。或者某种功能上类似于 Java 卡但可以用 C 语言编程的 HSM(对不起,我们不想使用 Rust,因为我们已经有了现代的缓解和检测器,Rust 对此来说有些生锈了,不是吗?),甚至可以直接使用通用计算(如可信计算、运行时保护、攻击面缩小等)实现。
上个月一架澳大利亚军方的 MRH-90 Taipan 直升机在例行的反恐海上演习中失去动力坠落,直升机迫降在海滩上,有两名士兵在事故中受轻伤。MRH-90 是老旧的欧制直升机,即将退役,被美制黑鹰取代。在调查期间军方停飞了所有 47 架 MRH-90 直升机。据匿名军方消息来源称,事故原因被认为是直升机未能打上重要软件补丁。软件补丁将防止飞行员对发动机热启动——也就是发动机关闭再重启动,MRH-90 的设计不允许这么做,它的安全程序要求在飞行结束时引擎空转直至关闭。防止热启动的软件补丁早就存在许多年,但很多 MRH-90 并没有打上补丁。
Google Chrome 释出紧急更新修复了一个正被利用的 0day。编号为 CVE-2023-2033 的漏洞是 Google 旗下 Threat Analysis Group (TAG)的安全研究员 Clément Lecigne 报告的,存在于浏览器使用的 JS 引擎 V8 中,属于类型混淆漏洞。类型混淆允许错误类型的数据访问内存,允许对内存非法读写。Google 称攻击者可通过创建 HTML 页面去利用漏洞。该漏洞被归类为高危级。
数据存储巨头西部数据本月初证实它在 3 月 26 日遭到入侵,但没有透露更多信息。现在参与发动此次攻击的一名黑客公开接受采访,披露了更多相关信息。黑客称他们从西部数据窃取到了大约 10 TB 数据,正在与西数谈判至少八位数的赎金。作为证据,黑客分享了一份使用西数证书签名的文件,证明他们现在能冒充西数给文件签名。黑客还分享了西数高管未公开的电话号码,以及一张高管们开电话会议的截图——其中一位参与者是西数的首席信息安全官。黑客表示他们入侵的目的是获利,因此没有用勒索软件加密西数的文件,如果西数拒绝或不理睬他们的要求,他们将会公开西数的数据。
微软周二释出了四月例行安全更新,修复了 Windows 操作系统和其它软件的 100 个漏洞,其中包括一个正被利用的 0day 漏洞。苹果也几乎同一时间释出了一组更新,修复了 2 个正被用于攻击 iPhones、iPads 和 Macs 的 0day 漏洞。微软修复的 0day 编号为 CVE-2023-28252,位于 Windows Common Log System File System (CLFS) 驱动中,微软在两个月前修复了同一个组件中的一个类似 0day 漏洞。安全专家猜测是因为之前的补丁没有完全堵上漏洞,攻击者能找到方法绕过。该漏洞正被用于部署 Nokoyawa 勒索软件。
多伦多大学公民实验室和微软发表研究报告,披露了以色列间谍软件公司 QuaDream 利用零点击漏洞入侵 iPhone。该公司使用 Reign 的名字销售间谍软件,类似另一家以色列间谍软件公司 NSO Group 的 Pegasus,QuaDream 也利用了零点击漏洞。研究人员发现攻击者利用零点击漏洞在 iOS 14.4 和 14.4.2 等版本上部署了 QuaDream 的间谍软件。该漏洞被称为 ENDOFDAYS,通过向受害者发送看不见的 iCloud 日历邀请利用。QuaDream 的政府客户包括新加坡、沙特、墨西哥和加纳,研究人员的扫描在保加利亚、捷克、匈牙利、加纳、以色列、墨西哥、罗马尼亚、新加坡、阿联酋和乌兹别克斯坦发现了 QuaDream 的系统。受害者包括记者、政治反对派人士和一名 NGO 工作人员。
在一个勒索软件黑帮声称盗窃到源代码之后,微星承认遭到网络攻击数据被盗,但该公司没有提供更多细节。微星在一份声明中呼吁用户不要从第三方网站下载它的固件/BIOS 更新,只从它的官方网站下载。这一声明显示微星担心黑客会传播恶意版本的固件。此前自称 Money Message 的新勒索软件组织声称从微星窃取到了源代码,其中包括 BIOS 框架。Money Message 要求微星支付 400 万美元赎金,否则将会在下周泄露窃取的数据。
数据存储巨头西部数据证实它在 3 月 26 日遭到入侵,黑客从其系统中盗取了数据。西部数据没有披露更多细节,但根据它发表的声明此次攻击可能与勒索软件有关。西部数据表示它正采取措施确保业务正常运营,恢复受影响的基础设施和服务,正与安全公司合作展开调查,并通报了执法部门。西数 NAS 服务 My Cloud 的用户则报告他们无法访问云端的媒体库。
VoIP 软件服务商 3CX 遭朝鲜黑客组织 Lazarus Group 入侵,黑客通过恶意版本 3CX 应用对其客户发动了供应链攻击。安全公司卡巴斯基报告,部分使用 3CX 的加密货币公司被精准植入了后门 Gopuram。Gopuram 是一种模块化的后门,可用于操作 Windows 注册表和服务,执行文件时间戳信息修改以逃避检测,注入恶意负荷到已运行进程,使用开源的 Kernel Driver Utility 加载未签名 Windows 驱动等等。卡巴斯基称,攻击者在不到 10 台被感染的机器上植入了 Gopuram,他们观察到攻击者对加密货币公司有着特殊的兴趣。