文章提交注意事项:
请在发布文章时用HTML代码加上至少一条新闻来源的链接;原创性消息,可加入相关信息(如涉及公司的网址)的链接。有任何问题,邮件至:he.fang#zhiding.cn
注意:收到邮件乱码的用户请修改客户端的默认字体编码,从"简体中文(GB2312)"修改为"Unicode(UTF-8)"。
solidot新版网站常见问题,请点击这里查看。
联想更新了 25 款笔记本电脑的固件,修复允许攻击者禁用 UEFI Secure Boot 然后安装恶意固件植入永久性后门的漏洞,受影响的笔记本型号包括 ThinkPads、Yoga Slims 和 IdeaPads。UEFI 位于主板的闪存芯片上,它是安全链的首个环节,它被感染了恶意代码是很难检测和移除,它会在系统一次次重新安装之后仍然存在。安全公司 ESET 的研究人员报告了三个漏洞 CVE-2022-3430、CVE-2022-3431 和 CVE-2022-3432。
希腊政府表示将立法禁止销售间谍软件。在这之前,总理 Kyriakos Mitsotakis 的政府被指使用 Cytrox 公司开发的间谍软件 Predator 对数十名知名政治家、记者和商人进行监控。Mitsotakis 周一称这一指控是“最不可信的谎言”,他表示希腊将成为首个制定立法,明确禁止在国内销售此类软件的国家。社会主义反对派领导人 Nikos Androulakis 在今年七月向最高检察官提起诉讼,指控有人尝试用间谍软件入侵其手机。Mitsotakis 否认对黑客攻击知情,表示永远不会批准此类行动。
微软本周二释出了 11 月的例行安全更新,修复了 6 个正被利用的 0day。其中两个 CVE-2022-41040 和 CVE-2022-41082 位于 Exchange 服务器中,属于高危漏洞,黑客组合利用这两个漏洞能在服务器上执行恶意代码。漏洞被统称为 ProxyNotShell,Shodan 搜索显示在漏洞公开之际有大约 22 万个服务器存在该漏洞,微软上个月称使用简体中文的黑客正在利用该漏洞。第三个 0day 是 Windows 高危漏洞 CVE-2022-41128,能被攻击者远程执行恶意代码,它是 Google 的 Threat Analysis Group 安全研究人员发现的。另外两个 0day 属于提权漏洞,其中 CVE-2022-41073 位于微软的打印后台服务中,CVE-2022-41125 位于 Windows CNG Key Isolation Service 中。最后一个 0day CVE-2022-41091 允许黑客创建恶意文件躲避 Mark of the Web。微软本月的安全更新共修复了 68 个漏洞,11 个为高危漏洞。
HardenedVault 写道 "中国,德国和美国的政府部门在关键基础设施供应链安全的推进的方式还是有所不同,美国自从EO
14028以来都是以技术指南为中心,这为企业在技术评估和操作层面提供了参考。欧洲设定了最低的技术要求作为强制性合规,但考虑到其他的合规比如GDPR基于风险合规的因素,企业不达到行业最佳实践的水平下实际上会带来更高的合规风险。中国的策略不同于美国和欧洲,关键信息基础设施安全保护要求中包含了技术范围和目标,具体的实际操作层面应该有其他的技术指南进行参考。在全球高级威胁防护的大趋势下,基础架构及平台固件属于整体防御中核心的环节之一,从上面的公开信息来看也是未来合规的一部分,CISO应该在繁杂的应用安全和边界安全中抽身花一点时间去考虑如何应对未来的各国合规要求,一些不依赖合规驱动的行业比如crypto
custody/exchange则需要基于下一代数据中心安全方案这类更激进的策略去面对现在和未来的风险和威胁。"
Python 软件包仓库 PyPI 的自动化风险检测平台发现了数十个新发布的恶意软件包。攻击者拷贝了现有的合法软件包,然后注入恶意的 __import__ 声明,试图植入恶意程序 W4SP Stealer。拷贝合法软件包的好处是因为 PyPI 软件包的登录页是根据 setup.py 和 README.md 生成的,除非仔细检查,恶意软件包的登录页乍一看会被认为是合法的。攻击者使用了有意思的策略防止开发者在阅读代码时发现注入的恶意声明,方法是在代码中留了大量的空格,在编辑器的显示窗口上你需要拉到最右边才可能发现恶意注入。正常声明和恶意声明之间留了 318 个空格。
匿名读者 写道 "智利时间十月 29 日早晨 6:14,阿塔卡马亚毫米波干涉阵望远镜遭受严重网络攻击。阿塔卡马大型毫米波/亚毫米波干涉阵望远镜(ALMA)是世界上规模最大,海拔最高,最灵敏的毫米波/亚毫米波干涉阵,位于智利的阿塔卡马沙漠。ALMA 也是目前国际上投入最多的地面望远镜,由 66 个观测天线组成。攻击造成 ALMA 停止科学观测,位于智利的网站全部下线。攻击并为造成天线或观测数据库受损,且目前网络威胁已得到控制。但 ALMA 仍未恢复正常运行。"
备受瞩目的 OpenSSL 3 漏洞补丁释出,漏洞等级从之前被认为与 Heartbleed 漏洞相当的“高危”降为“高”。最新释出的 OpenSSL version 3.0.7 修复了两个缓冲溢出漏洞 CVE-2022-37786 和 CVE-2022-3602,两个漏洞影响所有 OpenSSL 3.x 系列版本,但不太可能导致远程代码执行。包括 Fedora 在内的 Linux 发行版因该漏洞而推迟发布。在所有 OpenSSL 版本中,OpenSSL 1.1.1 仍然处于长期支持阶段,OpenSSL 3.x 的普及度还不高。
北非的一家小零售商,北美的一家电信供应商,两个不同宗教组织。它们有什么共同点?它们都运行着有配置问题的微软服务器,被用于放大 DDoS 攻击。DDoS 放大攻击非常受网络罪犯的欢迎,它可以大幅减少发动攻击所需的计算资源。最早的放大攻击是利用错误配置的 DNS 服务器,能将攻击流量放大 54 倍。最新的这起放大攻击利用的是衍生自微软的 Connectionless Lightweight Directory Access Protocol(CLDAP)协议,使用 UDP 数据包。DDoS 攻击者从 2017 年开始利用该协议将攻击流量放大 56-70 倍。当时暴露在公网中有 CLDAP 服务器有数万台。安全研究人员跟踪了其中 4 台服务器,发现最具破坏性的一台属于身份未知的宗教组织,从 7 月到 9 月,它四次产生的攻击流量超过 10Gbps,一次接近 17Gbps。
内部文件泄露了伊朗是如何跟踪和控制抗议者的手机的。伊朗使用名叫 SIAM 的蜂窝网络计算机系统,为手机运营商提供了一系列远程命令去改变、破坏和监视客户如何使用其手机。这些工具可以减缓网络连接速度,破解呼叫加密、跟踪个人或大群体的移动,提供了详细的元数据揭示谁何时何地和谁通话。SIAM 的内部文件来自于手机运营商 Ariantel,由一位自称入侵了 Ariantel 公司的黑客提供,鉴于目前正在发生的抗议活动,这位黑客认为公开文件符合公众利益。
VMware 修补了一个影响其 VMware Cloud Foundation 和 NSX Manager 产品的高危漏洞,该漏洞允许未经授权的黑客以最高的系统权限执行恶意代码。该漏洞编号为 CVE-2021-39144,危险等级 9.8/10,存在于 Cloud Foundation 个 NSX Manager 依赖的 XStream 开源库中,因为危险是如此之高,VMware 不同寻常的为不再支持的版本发布了补丁。该漏洞是由 Source Incite 的安全研究员 Sina Kheirkhah 和 Steven Seeley 发现的,他们同时发布了漏洞利用的 POC 代码。
Google 释出了紧急更新修复了一个正被利用的 Chrome 桌面浏览器 0day。该高危漏洞编号为 CVE-2022-3723,位于 Chrome V8 Javascript 引擎中,属于类型混淆漏洞。Avast 的安全研究人员向 Google 报告了这一漏洞。Google 没有披露漏洞细节,它建议用户立即更新到版本 107.0.5304.87/88。它要等待大部分用户都更新之后才会披露细节。这是今年内 Google 修复的第 7 个 0day——前 6 个是 2 月 14 日的 CVE-2022-0609、3 月 25 日的 CVE-2022-1096、4 月 14 日的 CVE-2022-1364、7 月 4 日的 CVE-2022-2294 、8 月 17 日的 CVE-2022-2856 和 9 月 2 日的 CVE-2022-3075。
UC Irvine 的三位研究人员在 arXiv 上发表了一篇预印本,描述了一种扩散致命病原体的新颖攻击。为了防止致命病原体泄露,生物实验室或传染病控制医院会要求使用名为负压室(Negative Pressure Room 或 简写 NPR)的设备,其内部维持负压,将微生物控制在 NPR 内部。实验室或医院会使用差压传感器(DPS)去监视和控制 NPR 的负压。研究人员报告,他们可以利用流行音乐在 DPS 中制造共振导致其读数超标,使其负压变成正压,导致潜在致命的病原体从 NPR 设备中泄露出来。研究人员在一个未具名的生物研究机构演示了他们的攻击。
澳洲保险公司 Medibank 证实在最近发生的勒索软件攻击中黑客访问了所有客户的个人信息和部分索赔数据,其中包含了它的所有国际学生客户。Medibank 是澳大利亚最大的私营健康保险公司之一,有逾 370 万客户。10 月 12 日它检测到了勒索软件攻击并立即关闭了部分系统。它最初发表声明称黑客在加密系统前就被阻止了,没有证据表明客户数据被盗。但在数天之后勒索软件黑帮联络该公司,表示窃取了 200 GB 的数据并提供了 100 个文件样本作为证据。在随后的调查中 Medibank 发现所有客户个人数据都被访问了。
伊朗原子能机构周日指控黑客组织入侵了一家子公司的网络,访问了电邮系统。同一天一个匿名黑客组织宣称对攻击负责,要求伊朗释放最近因为抗议而逮捕的政治犯。这个自称 Black Reward 的黑客组织称它泄露了 50GB 的内部电邮、合同和与位于 Bushehr 的核电站相关的施工计划。它通过其 Telegram 频道上分享了文件。暂时还不清楚其中是否包含机密材料。
卡塔尔世界杯将于 2022 年 11 月 20 日至 12 月 19 日举行,期间前往卡塔尔的人都需要下载安装两个应用—— Ehteraz 和 Hayya,Ehteraz 是 covid-19 追踪应用,Hayya 是世界杯官方应用,用于跟踪比赛门票和访问免费地铁。Ehteraz 和 Hayya 都被指存在安全隐私问题,被认为是间谍软件。Ehteraz 要求访问读取、删除或更改手机所有内容的权限,连接 WiFi 和蓝牙、覆盖其他应用和防止手机进入睡眠模式的权限。Hayya 索要的权限没有那么多,但也要求几乎不受限制的分享个人信息,以及定位和防止睡眠等权限。
赛门铁克的研究人员披露黑客组织 Winnti 入侵香港政府机构的网络长达一年时间。黑客使用了 Spyder Loader 后门的不同变种攻击目标,在感染的早期阶段 Spyder Loader 会加载 AES 加密的数据块创造下一阶段的有效负荷 wlbsctrl.dll。攻击者渗透之后还会部署窃取密码的恶意程序 Mimikatz 以更深入挖掘受害者的网络。研究人员认为攻击者的主要目标是收集情报。
访问密钥在 GitHub 暴露近五年后丰田对数据泄露发出警告。丰田 T-Connect 是官方连接应用,允许丰田车主将手机与车载信息娱乐系统连接起来,获得电话、音乐、导航、通知集成、驾驶数据、发动机状态、油耗等数据。丰田近期发现 T-Connect 的部分源代码被错误在 GitHub 公开,其中包含有管理客户电邮等信息的服务器访问密钥,未经授权的第三方可以利用访问密钥获取用户的信息。访问密钥暴露的时间是从 2017 年 12 月到 2022 年 9 月 15 日,丰田公司建议在此期间注册 T-Connect 的客户对自称来自丰田的钓鱼邮件保持警惕。丰田在 9 月 17 日修改了密钥,表示客户的姓名、信用卡数据和电话号码没有泄露,因为它们没有储存在该服务器上。丰田表示它没有检测到数据被盗用,但不能排除可能性。
美国第四大医院系统 CommonSpirit Health 周二表示遭遇 IT 安全问题,部分系统下线。它没有披露更多细节。但知情人士确认它遭遇的是勒索软件攻击。CommonSpirit 在美国拥有逾 140 家医院,此次勒索软件攻击导致了该公司旗下医院推迟手术,暂停患者护理,以及在全国重新安排医生预约。
卡巴斯基安全研究人员发现通过流行 YouTube 中文频道传播的恶意 Tor 浏览器。该频道的订阅者逾 18 万,相关视频的浏览量超过 6.4 万次,视频是在 2022 年 1 月上传的,卡巴斯基的调查显示最早的受害者是在 2022 年 3 月出现的。安全研究人员将此次攻击命名为 OnionPoison,恶意版本的 Tor 浏览器为 torbrowser-install-win64-11.0.3_zh-cn.exe,没有数字签名,安装程序用 Visual Studio 2003–7.10 SDK 编译,其隐私设置比原版更弱,捆绑了恶意组件 freebl3.dll,原版也有该文件但恶意版已完全不同,浏览器禁用了更新以防止恶意版的 freebl3.dll 被覆盖。freebl3.dll 会向 C2 服务器发送请求,C2 会判断 IP 地址位置,如果在某个特定区域则会下载后续恶意负荷 cloud.dll 去收集更多信息。收集的信息包括安装软件、运行进程、Tor 浏览器历史、Google Chrome 和 Edge 浏览器历史,微信和 QQ ID,Wi-Fi 网络的 SSID 和 MAC,等等。