文章提交注意事项:
请在发布文章时用HTML代码加上至少一条新闻来源的链接;原创性消息,可加入相关信息(如涉及公司的网址)的链接。有任何问题,邮件至:he.fang#zhiding.cn
注意:收到邮件乱码的用户请修改客户端的默认字体编码,从"简体中文(GB2312)"修改为"Unicode(UTF-8)"。
solidot新版网站常见问题,请点击这里查看。
微软取消了多个 Microsoft 硬件开发者账号,原因是这些账号通过 Windows Hardware Developer Program 认证程序递交的驱动在获得签名之后被用于包括勒索软件在内的网络攻击。微软称,安全公司 SentinelOne、Mandiant 和 Sophos 在 10 月 19 日报告了这些活动,随后的调查发现 Microsoft Partner Center 的多个开发者账号参与了递交恶意驱动获得微软签名的活动。安全研究人员称,他们发现了一种新的工具包,包含了名为 STONESTOP (加载器) 和 POORTRY(内核模式驱动)的组件被用于网络攻击,其中 POORTRY 有微软签名。
俄罗斯安全公司卡巴斯基披露了一种冒充勒索软件但实际上旨在破坏数据的恶意程序 CryWiper——名字来自于恶意程序破坏文件使用的扩展名 .cry。该恶意程序的攻击目标是俄罗斯法庭和市长办公室,但更多细节未知。卡巴斯基称,CryWiper 不破坏任何 .exe、.dll、.lnk、.sys 或 .msi 扩展的文件,也放过了重要的系统文件夹,它的破坏目标是数据库、档案和用户文件。目前只知道的是 CryWiper 专门攻击俄罗斯目标。卡巴斯基称,CryWiper 是用 C++ 编写的,用 MinGW-w64 和 GCC 编译器编译,这有点不同寻常,大部分 C++ 恶意程序是用微软的 Visual Studio 编译。恶意程序应该是在非 Windows 系统上开发的。
Android OEM 厂商使用平台证书或平台密钥给操作系统和核心应用签名,如果恶意程序使用了相同密钥签名,那么它们将被分配到高权限的 android.uid.system 用户 ID,拥有系统级访问权限。Google Android 安全团队的 Łukasz Siewierski 报告多个恶意应用样本使用了 10 个平台证书,这些证书属于 OEM 厂商如三星、LG、锐伟科技和联发科。Google 已经通知了所有受影响的厂商,并建议它们轮换平台证书,调查证书是如何泄露的。
过去十多年内存安全漏洞占到了所有产品漏洞的 65% 以上,但从 2019 到 2022 年 Android 中内存安全漏洞的比例从 76% 降至了 35%,2022 年是第一年内存安全漏洞不再占到 Android 漏洞的半数以上。Google 的 Jeffrey Vander Stoep 表示,虽然相关性不能代表因果性,但内存安全漏洞的减少与采用 Rust 语言有关。 Android 12 开始支持 Rust 作为 C/C++ 的内存安全替代语言。在 Android 13 中,所有新增原生代码(C/C++/Rust) 中有 21% 是 Rust 编写的,Android 开源项目 AOSP 中有大约 150 万行 Rust 代码,到目前为止 Rust 代码中没有发现任何内存安全漏洞。Google 并不预计这个数字会永远保存为零,但相对于 Rust 的代码行数,Rust 实现了其预期的目的,即防止最常见的内存安全漏洞。
11 月 8 日,加拿大 Calgary 大学教授 Joel Reardon 和 UC 伯克利的 Serge Egelman 在 Mozliia 的邮件列表上报告,他们发现 TrustCor CA 与间谍软件开发商 Measurement Systems 和 Packet Forensics 存在千丝万缕的关系,其中后者是一家美国军方的承包商。虽然没有发现 TrustCor 签发了有问题的证书,两位研究人员对这一关联性表达了担忧。TrustCor 的高管 Rachel McPherson 在邮件列表上做出了回应,否认与 Measurement Systems 或 Packet Forensics 有任何业务往来或任何关联,但其回应未能令人满意。Mozilla Firefox 和 Microsoft Edge 宣布将停止信任 TrustCor 签发的新证书,其他浏览器开发商预计将会很快跟进。
提供密码管理服务的 LastPass 披露了最新的安全事故。LastPass 称它最近在第三方云储存服务监测到异常活动,它立即启动了调查。初步结论是这次事故与今年八月的安全事故有关联。在今年 8 月黑客通过一个入侵的开发者账号获得了对部分开发环境的访问权限,窃取了部分源代码和私有技术信息。LastPass 称正在判断最新事故的影响范围,它表示客户的密码仍然是安全的,它利用了行业标准的 Zero Knowledge 零知识架构确保它也不知道客户的主密码。
最近申请破产的 FTX 交易平台前 CEO Sam Bankman-Fried(SBF) 接受了加密货币视频博主 Tiffany Fong 的两次电话采访。第一次采访是在 11 月 6 日,11 月 29 日发布。在采访中他被问道了一些尖锐的问题,如 FTX 的系统是否存在后门,允许 SBF 在不惊动其他人的情况下执行命令改变公司财务记录。SBF 对此表示惊讶,称他完全不懂编程,从未打开过 FTX 的任何代码。SBF 广泛参与了政治活动,曾向美国民主党捐款,他表示其实他给民主党和共和党的捐款金额基本相同,只是给共和党的捐款没有摆在明处。对于公司倒闭及围绕他的丑闻,SBF 称他每天醒来都会花几小时反思。
Google Project Zero 安全团队想要消灭 0day,它采用的一种方法是公开督促企业加快修复漏洞,其中包括 Google 自己。在最新的官方博客中,它批评了 Android 和 Pixel 团队。今年 6 月,Project Zero 研究员 Maddie Stone 报告了一个位于 ARM GPU 驱动中正被利用的提权漏洞,另一位研究员 Jann Horn 接下来三周在驱动中发现了多个相关漏洞,这些漏洞允许攻击者获得系统的完整访问权限,绕过 Android 的权限模型。他们向 ARM 报告了漏洞,ARM 在 7 月和 8 月修复了漏洞并公布相关源代码,然而 Android 至今没有给用户打上补丁。这一次掉链子的是 Google 和 Android OEM。高通使用了自己的 GPU,但 Google 的 Tensor SoC 使用了 ARM GPU,三星和联发科也都使用了 ARM GPU,这意味着受影响的设备数量多达数百万部。Google 接受采访时表示它正在测试补丁,将会在未来几周释出。
逾 540 万 Twitter 账号信息在一个黑客论坛免费共享。今年早些时候黑客以 3 万美元的价格兜售这批数据。黑客利用的漏洞是在 2022 年 1 月 1 日 HackerOne 用户“zhirinovskiy”报告的, Twitter 的 Android 客户端的身份验证环节存在漏洞,允许攻击者获取目标账号相关的电话号码和/或电子邮件地址。Twitter 确认了这一漏洞,奖励了 zhirinovskiy 5,040 美元奖金。但在修复前,可能有多位黑客利用了该漏洞窃取了数据。
Google 释出了紧急更新修复了一个正被利用的 Chrome 桌面浏览器 0day,这是今年 Chrome 的第 8 个 0day。该高危漏洞编号为 CVE-2022-4135,为 GPU 中的一个堆溢出漏洞,由 Google Threat Analysis Group 的 Clement Lecigne 在 11 月 22 日发现。在大部分用户完成更新前 Google 没有披露漏洞细节,它建议桌面用户立即更新到新版本 107.0.5304.122 。Google Chrome 今年发现的前 7 个 0day 是 2 月 14 日的 CVE-2022-0609、3 月 25 日的 CVE-2022-1096、4 月 14 日的 CVE-2022-1364、7 月 4 日的 CVE-2022-2294 、8 月 17 日的 CVE-2022-2856、9 月 2 日的 CVE-2022-3075,10 月 28 日的 CVE-2022-3723。
NordPass 公布了 2022 年最常用密码名单,以及破解密码所需的时间。最常用密码相比过去几年差异并不大:password、123456、123456789、guest、qwerty、12345678、111111、12345、col123456 和 123123。对于不重要的密码,大部分人都会选择容易记忆的数字或短语。破解大部分常用密码只需要不到一秒钟,少数可能需要 10 秒或更长时间,比如 col123456。NordPass 还公布了与密码趋势相关的统计:在奥斯卡奖颁奖季节使用 Oscars 作为密码的频率会大幅增加,在流行电影电视剧放映期间同名密码也会大增,比如 batman、euphoria 和 encanto。
微软将于 2023 年 1 月 10 日停止对 Windows 8.1 的支持,且不提供扩展支持包。对 Windows 8.1 用户而言,选择只有两个:购买新 Windows PC,或者付费升级到 Windows 10 或 11。1 月 10 日之后,微软将停止向 Windows 8.1 提供安全补丁,意味着用户将会面临更大的安全风险。如果 Windows 8.1 想要升级,鉴于 Windows 11 提高了硬件需求,大部分 Windows 8.1 PC 可能满足不了升级条件,只剩下升级到 Windows 10 这一选项。微软将会一直支持 Windows 10 到 2025 年 10 月 14 日。
2020 年 5 月,一家公司感染了新勒索软件 Zeppelin,更糟糕的是备份数据也被加密了。在两周之后,老板准备屈服按要求支付赎金。这时候他们收到了一个意想不到的电话,一位 FBI 特工告诉他们不要支付赎金,可以联络一家网络安全咨询公司 Unit 221B,他们能破解密码。这家公司的创始人 Lance James 在 Zeppelin 的加密程序中发现了多个漏洞,允许他使用大约 100 台云端服务器在几个小时内暴力破解密钥。Unit 221B 不愿意声张他们的破解能力,因为如果被 Zeppelin 作者知道的话,漏洞会被堵上,破解也就失效了。Unit 221B 帮助数十名受害者避免支付赎金,而结果是 Zeppelin 勒索软件黑帮逐渐停止了活动。现在他们能公开自己的破解方法了。
Elastic Security Labs 发布了其报告《2022 Global Threat Report》,只有 6.2% 的恶意程序是针对 macOS 设备,而针对 Windows 和 Linux 的恶意程序分别占 54.4% 和 39.4%。其中令人意外的是近半数 macOS 恶意程序来自一个应用 MacKeeper,讽刺的是该应用自称零努力就能保护 Mac 干净且安全。但因为该应用拥有广泛的权限,能访问进程和文件,攻击者能滥用它,保护系统安全的应用变成了一种安全风险。MacKeeper 还被指对新手而言难以卸载,很多用户还将其标记为恶意杀毒软件。
赛门铁克的安全研究人员报告黑客组织 Billbug aka Thrip aka Lotus Blossom 使用多种恶意程序入侵一家 CA 机构。CA 机构签发的证书对浏览器和操作系统至关重要,用于证明特定应用和服务器的身份。如果黑客获得了对 CA 机构基础设施的控制权,它可以给自己的恶意程序签名,更容易绕过终端防护。此外还可以冒充信任的网站或拦截加密数据。在入侵该 CA 机构过程中,黑客使用了后门程序如 Hannotog 和 Sagerunex,以及大量合法软件如 AdFind、Winmail、WinRAR、Ping、Tracert、Route、NBTscan、Certutil 和 Port Scanner。
Googe 向一位发现 Pixel 锁屏绕过漏洞的研究人员奖励了七万美元。这个漏洞被称为 CVE-2022-20465,被描述为本地提权漏洞,允许任何人在能访问设备的情况下无需密码解锁 Google Pixel 智能手机。匈牙利研究人员 David Schutz 是无意中发现该漏洞的,他旅行回到家,Pixel 6 只剩下 1% 的电,自动关机时他正在写短信,他赶紧给手机充电重启手机,手机要求输入 Pin 码,但他一时间忘记了...在解锁手机过程中他发现任何接触到 Pixel 手机的人都可以换上自己的 SIM 卡,输入预设恢复代码,绕过操作系统的锁屏保护。他向 Google 报告了漏洞,Google 在本月初释出的安全更新中修复了该漏洞。
澳大利亚内政部长 Clare O’Neil 周日表示政府考虑将向勒索软件黑客支付赎金列为非法行为。澳大利亚最大健康保险公司 Medibank 上个月遭到了勒索软件的攻击,攻击者窃取了近千万用户数据,并按照每位用户数据一美元的价格勒索千万美元。澳大利亚政府官员表示黑客属于俄罗斯的一个有组织犯罪团伙。澳执法机构 Australian Federal Police (AFP)和情报机构 Australian Signals Directorate 之间将设立一个联合组织专门致力于打击网络犯罪。总理 Anthony Albanese 此前表示将竭尽所能限制 Medibank 黑客攻击的影响。
这两个缓解措施均是可被绕过的,VED 目前的版本是基于 LKRG 实现的,检查的完整性与性能的平衡是需要考虑的。更加严密的 msg 是可能的,但是 kprobe 的检查点数量,计算量需要多的多。另外则是虽然这两个缓解措施均可被绕过,但是叠加两者,由于其中的检查是相互交叉的,比方说完整性检查包含的 struct msg_msgseg *next, size_t m_ts,和越界检查。这使得漏洞利用需要依赖于原代码路径来实现堆喷,和更依赖同类型的 object 之间的污染,使得 msg 的漏洞利用困难程度上升。当然这些专门的绕过对资深的内核黑客来说不会是多大的问题。VED 也在探索更加完整并且平衡性能损耗的方案。" 查看全文
微软认为俄罗斯军方情报部门是上个月针对波兰和乌克兰运输物流部门的勒索软件攻击的幕后发起者。发起网络攻击的黑客组织被称为 Sandworm,而微软则将其命名为 Iridium,被认为是最有才华和最具有破坏性的黑客组织之一,被普遍认为得到了俄罗斯军事情报总局的支持。Sandworm 与 2017 年的 NotPetya 网络攻击有关,这次网络攻击在全球造成了百亿美元的损失。Sandworm 还与对乌克兰电网的物理攻击有关。微软上个月称,波兰和乌克兰运输物流部门遭到此前未知的勒索软件 Prestige 的攻击。本周四微软在对该勒索软件的分析取证之后表示,Prestige 与 Iridium 有关联。
澳洲保险公司 Medibank 上个月证实在最近发生的勒索软件攻击中黑客访问了所有客户的个人信息和部分索赔数据,其中包含了它的所有国际学生客户。Medibank 是澳大利亚最大的私营健康保险公司之一。黑客本周四在暗网发表声明,要求以每位客户一美元的费用支付赎金,共有 970 万用户受到影响,赎金将接近 1 千万美元。Medibank CEO David Koczkar 诅咒黑客的行动是可耻的,同时再次向客户道歉,该公司拒绝支付赎金。