文章提交注意事项:
请在发布文章时用HTML代码加上至少一条新闻来源的链接;原创性消息,可加入相关信息(如涉及公司的网址)的链接。有任何问题,邮件至:he.fang#zhiding.cn
注意:收到邮件乱码的用户请修改客户端的默认字体编码,从"简体中文(GB2312)"修改为"Unicode(UTF-8)"。
solidot新版网站常见问题,请点击这里查看。
在 macOS 12.0.1 Monterey 中,苹果修复了一个进程注入漏洞 CVE-2021-30873。漏洞影响所有基于 macOS AppKit 的应用,研究人员利用该漏洞逃逸沙盒,root 提权,并绕过 SIP 文件系统限制。进程注入是指一个进程在另一个进程中执行代码的能力,在 Windows 中它被利用躲避反病毒扫描器的检测,在 macOS 中由于两个应用权限不同它的影响会更大。
比利时鲁汶大学的安全研究人员 Lennert Wouters 将在拉斯维加斯举行的 Black Hat 安全会议上介绍如何使用 25 美元的设备入侵 Starlink 宽带卫星星座的终端。Wouters 已经将工具开源发布在 GitHub 上。他的黑客工具是名叫 modchip 的定制电路板,使用现成的元件,成本约 25 美元,连接到 Starlink 天线上后能发动故障注入攻击,短暂的短路系统,绕过安全保护,进入被锁定的部分。Wouters 去年向 SpaceX 报告了漏洞,该公司也释出了一个更新增加了入侵的难度,但除非更换主芯片,问题并没有根本上解决。SpaceX 已经就此发表了一则声明(PDF),强调该漏洞无法远程利用必须物理访问终端,不会直接影响到 Starlink 卫星。
用于渗透测试、安全审计和网络安全研究的发行版 Kali Linux 释出了 2022.3。主要新变化包括:改进虚拟机支持;新的网络分析工具 BruteShark,开源应用漏洞关联和安全协调工具 DefectDojo,漏洞利用框架 phpsploit,针对 Lync/S4B/OWA/O365 的密码喷射攻击工具SprayingToolkit,shellfire;Linux Kernel 5.18.5;改进 ARM 支持;等等。
丹麦 711 连锁店周一因网络攻全部关闭。该公司声明称网络攻击导致它无法使用收银台。它没有透露网络攻击的细节,不清楚是否是一起勒索软件攻击。一位自称丹麦 711 连锁店员工的用户在 Reddit 上发帖(已删除)称,攻击导致了结账系统停止工作, 711 全国连锁店都使用相同的系统,因此所有连锁店都只能停业。
HardenedVault 写道 "2017年的晚些时候,一名匿名黑客建议HardenedLinux可以尝试把语料库和特定的代码路径形成具备概率性的关联,经过HardenedLinux
maintiner的内部讨论认为syzkaller作为通用框架对于大规模QA的生产环境仍有大量的改进空间,假设GCP的工程师也是如此思路的话,那的确可以完成更全面的QA工程化。2018年,HardenedLinux的maintainer尝试使用eBPF在函数入口和出口收集一些函数接口中的结构体及其数值,即便这些数据目前尚未对执行流产生任何影响(因为在函数入口),并把它称为
内核状态。完成了PoC原型后并与Syzkaller社区进行讨论,经过讨论和一些更细粒度的测试后发现这个方法本身不合适被用于QA工程师的日常工作,直到2020年,终于完成了通用型模糊测试工具的设计和实现,这个项目被正式命名为Harbian-QA,这也是VaultFuzzer的前身。后来在一个关于可控并发测试议题的讨论中,内容涉及一些和状态相关的内容,在讨论中,Vegard
Nossum提出了一种方法,即对结构及成员进行hash来收集数据访问情况,并且在不到24小时内发布他为此开发的GCC
plugin的PoC原型。这个方法其实和2020年
Harbian-QA发布的Clang/LLVM以instrumentation的实现内容很相似,但只收集访问结构体及其成员名的hash,Vegard
Nossum似乎是为了这个触发并发错误开发的,和 Harbian-QA设计目标有所不同。近期的一篇论文"GREBE: Unveiling Exploitation Potential for Linux
Kernel Bugs"中,GREBE声称他们开发了一种“内核对象驱动”的模糊测试方法,经过HardenedVault团队分析后发现其和Harbian-QA以及Vegard的方案的相似度极高,Vault Labs联系了HardenedLinux曾经的全职maintainer确认GREBE论文作者之一Dongliang
Mu不仅长期关注Harbian-QA的进展,甚至曾经就Harbian-QA内容寻求HardenedLinux 的帮助,而Dongliang
Mu亦活跃于syzkaller社区,可能也读过Vegard的PoC。遗憾的是,GREBE在更换完这些术语和解释后,声称其设计是自行完成的一种新型内核fuzzer,GREBE论文花了大量篇幅来描述其他Fuzzer无法满足其应用场景的原因,整篇论文即没有引用Harbian-QA也没有引用Vegard的PoC,虽然我们不大清楚现代学术界是怎么运作的,但以常识判断这种”copy+paste+replace"并且不给出引用显然是有悖于柏拉图时代的学院派。希望RR坚信的HardenedVault应该保持“We’re
neither academia bitch nor industry leech.“并不是红药丸的选择,不是吗?"
针对阿尔巴尼亚政府的网络攻击在 7 月中旬导致政府网站和公共服务中断数小时。俄罗斯被认为是最可能的攻击嫌疑人,但安全公司 Mandiant 本周公布的研究报告认为伊朗才是攻击发起者。自由伊朗世界峰会计划于 7 月 23 日到 24 日在阿尔巴尼亚的 Albania 举行,而这一攻击发生在会议前的 7 月 17 日。随后峰会在开始前一天因所谓的恐怖主义威胁而推迟。研究人员称,攻击者部署了 Roadsweep 家族的勒索软件,可能利用了一个先前未知的后门 Chimneysweep,以及 Zeroclear 删除程序的新变种。伊朗此前主要在中东地区特别是以色列从事网络黑客活动。但针对阿尔巴尼亚的网络攻击不是为了窃取数据,而是为了破坏,影响到阿尔巴尼亚人的日常生活,是为了迫使阿尔巴尼亚政府回应。
Gitlab 被发现有一项禁止使用 Microsoft Windows 的公司政策。微软旗下的 GitHub 是 Gitlab 最主要的竞争对手。Gitlab 表示它允许员工使用 Linux 和苹果 macOS,而禁止使用 Windows 的理由是它是份额最高的桌面系统,因此也是间谍软件、病毒和勒索软件的最主要目标。Windows 家庭版的安全性难以保障,因此不符合公司安全准则。苹果的电脑是首选,如果熟悉 Linux 也可选择戴尔公司的 Linux 笔记本电脑。
HardenedVault 写道 "2018的币热间接或者直接的导致Security Chain中止,但其涉及到的技术并未停止进化,随着web3(x?)的崛起一些技术再次派上的用场,HardenedVault(赛博堡垒)以安全为视角对下一代数据中心和Web3进行了一些讨论,文章谈到了从数据中心到云计算的“计算”维度,对极端去中心化(BTC/XMR) vs. 邦联化在效率方面的折中进行了分析以及对于下一代数据中心安全和Web3的关系以及技术上的挑战进行了探讨。互联网的未来,Web3的终极形态以及下一代数据中心都是令人兴奋的议题,但其中的挑战也是不言而喻的,这些挑战几乎涉及到所有的基础架构安全领域,包括硬件,固件,操作系统,密码通讯协议等。黑客和密码朋克社区再一次踏上远征,最终的结果依然会是无数个体选择的涌现,个体的力量的大小取决于能承受多少”真相“,而这又回到了个体面对人生时红蓝药丸的选择:真实的荒漠还是虚幻的荣耀。真实的荒漠,就以这个作为这篇以赛博堡垒视角讨论下一代数据中心的结尾,之前有不少反馈问我们对Web3的看法,如果直接让读者去读Security
Chain的白皮书可能会劝退大部分人,况且Security
Chain毕竟早已是历史,这篇文章希望能在技术和哲学之间有一个平衡,祝老派黑客和密码朋克继续在世俗的世界中去实现那神圣的愿景。"
安全公司 Volexity 的研究人员发现了针对 Gmail 的新攻击,能绕过密码和 2FA 阅读所有邮件。朝鲜黑客组织 SharpTongue(与 Kimsuky APT 组织有关联)部署了名为 SHARPEXT 的恶意程序能从基于 Chromium 的浏览器(包括 Chrome、Edge 和韩国的 Whale)中窃取 Gmail 和 AOL 的电邮。Kimsuky 自 2012 年起开始活跃,被认为从事情报收集工作,主要攻击目标位于美国、日本和韩国。SharpTongue 的攻击目标与之类似,它的恶意程序 SHARPEXT 能绕过密码和 2FA,通过 VB 脚本在浏览器上秘密安装扩展,在用户阅读邮件时抓取邮件数据。恶意程序运行在 Windows 系统上,使用 Firefox 等非 Chromium 浏览器可避开攻击。
过去十年生活在基辅过去几个月因战争逃到波兰的美国安全研究员 Jeremiah Fowler 随机调查了暴露在网上 100 个俄罗斯数据库,发现其中 92 个遭到了松散黑客组织匿名者的破坏。黑客使用了类似 MeowBot 的脚本,将文件夹重命名为诸如 putin_stop_this_war、stop war, no war, HackedByUkraine 等名字,并删除文件的内容。匿名者声称入侵了逾 2500 个俄罗斯和白俄网站,泄露了大量数据,这些数据可能需要数年时间才能完成评估。安全公司 Cyberint 的研究员 Shmuel Gihon 称泄露的数据是如此之多,他们现在不知道如何处理。黑客攻击的直接结果是俄罗斯的网络安全防御系统比以前认为的要薄弱得多。匿名者组织还为乌克兰提供渗透测试服务,在俄罗斯利用前发现漏洞。
Blockade Australia 的澳大利亚气候活动人士 Greg Rolles 被禁止使用加密应用,被要求让警察检查他的电脑和手机,告诉警方密码。Blockade Australia 的活动人士曾在今年早些时候在新南威尔斯针对港口和货运火车举行抗议。警方以未经授权的抗议和扰乱交通为由逮捕了逾 30 人,作为保释条件他们被施加了非常严格的技术限制,他们不能使用 Signal、Telegram 或 WhatsApp 等加密应用,只能用一部手机。法律专家认为这些措施非同寻常、过于极端。加密禁令也过于模糊,电子前哨澳大利亚的一位发言人指出,加密无处不在,是现代通信技术安全的基础。
留给系统管理员打上新披露漏洞修复补丁的时间比以前认为的要短得多。安全公司 Palo Alto 发布的事故响应报告(Incident Response Report)称,黑客一直在监视安全公司的新漏洞披露报告,通常在 CVE 公布 15 分钟后就开始扫描漏洞,在数小时内就能观察到首次漏洞利用尝试。Palo Alto 以 2022 年 5 月 4 日披露的 F5 BIG-IP 远程执行漏洞 CVE-2022-1388 为例,在 CVE 公布 10 小时内就记录到了 2552 次扫描和漏洞利用尝试。这场攻防大战每年留给任意一方的时间都越来越短。Palo Alto 的报告称 ,2022 年上半年利用最多的漏洞是 ProxyShell 占 55%,其次是阿里巴巴发现的 Log4Shell 占 14%,SonicWall 7%,ProxyLogon 5%。
由欧洲刑警组织、荷兰国家警察局以及多家网络安全和 IT 公司于 2016 年联合发起的 No More Ransom 项目至今帮助逾 150 万勒索软件受害者不需要支付赎金就成功解密文件,挽回损失约 15 亿美元。No More Ransom 项目支持包括简体和繁体中文在内的逾三十种语言,到目前为止提供了 165 个勒索软件变种的 136 个免费解密工具。
卡巴斯基的研究人员报告了一种隐藏在主板 UEFI 镜像难以根除的恶意程序 CosmicStrand,该恶意程序的早期版本被奇虎 360 的研究人员称为谍影木马。该恶意程序的开发者被认为使用汉语。奇虎的研究人员在 2017 年报告,谍影木马会感染 UEFI 兼容模式的 BIOS 引导模块,UEFI+GPT 模式不受影响,恶意代码可能是由编程器刷入主板 BIOS,通过电商渠道贩卖流通。卡巴斯基发现的 CosmicStrand 感染了华硕和技嘉的主板,攻击者通过一个修改版的 CSMCORE DXE 驱动注入到固件中,受害者分布在中国、伊朗、越南和俄罗斯。
澳大利亚公司 Atlassian 开发的企业维基软件 Confluence 被发现有硬编码密码,更糟糕的是密码还被泄露了。存在硬编码的应用是 Questions for Confluence,它在安装时会创建名叫 disabledsystemuser 的账号,旨在帮助管理员在应用和 Confluence 云服务之间转移数据。Atlassian 承认未经授权的远程攻击者在知道硬编码密码之后可登陆 Confluence 访问用户组能访问的任何页面。受影响的版本是 Questions for Confluence versions 2.7.x 和 3.0.x。用户可搜索是否存在 User: disabledsystemuser,Username: disabledsystemuser 和 Email: [email protected]。
台湾艺人和赛车手林志颖周五上午 10 时 51 分行经桃园市芦竹区中正桥往桃园方向时,因不明原因自撞电线杆后,整台车起火燃烧。林志颖和儿子受伤送医。桃园市政府消防局表示,救护人员到场时林志颖并未受困,初步了解伤势无生命危险,目前在林口长庚医院接受治疗。目前尚无汽车是否启用自动驾驶等消息。
Google Threat Analysis Group (TAG)的安全工程师 Billy Leonard 发现俄罗斯 APT 组织 Turla 的黑客使用支持乌克兰的开发者所开发的工具 StopWar Android app 创造了假的 Cyber Azov DDoS 工具。俄罗斯黑客在应用的下载页面呼吁人们联合起来帮助阻挡俄罗斯的入侵,下载该 Android 应用对俄罗斯网站发动 DDoS 攻击。但该工具并不能真的发动 DDoS 攻击,它只向目标网站发送一次 GET 请求。
加拿大多伦多大学公民实验室报告,以色列公司 NSO Group 的 Pegasus 间谍软件被用于攻击泰国抗议者。泰国在 2020 年爆发过一轮反对军政府的抗议行动,抗议者史无前例的呼吁改革君主制。而根据泰国法律,批评君主制是非法的。公民实验室报告对泰国抗议者的间谍软件攻击发生在 2020 年 10 月和 2021 年 11 月之间。苹果公司在 2021 年 11 月 23 日开始向受攻击的泰国用户发出警告。收到通知的用户联络了公民实验室,实验室的调查发现至少有 30 名抗议者感染了 Pegasus,其中包括这场民主运动中的关键人物。受害者中有许多曾多次遭到逮捕或拘禁,或被起诉大不敬罪名。
安全研究人员报告,恶意程序正以工业系统为感染目标将工控设备变成僵尸网络的一部分。工控设备存在大量密码丢失的情况,比如工程师在离开公司后未留下密码而接替者很晚才知道。研究人员发现了一种针对 PLC--DirectLogic 06 工控设备的密码恢复工具,它利用了现已经修复的漏洞恢复密码。但除了恢复密码它还会安装名为 Sality 的恶意程序,将工控设备变成僵尸网络的一部分,每半秒检查一次感染工作站的剪切板寻找加密货币钱包地址相关的数据,发现之后用黑客自己的钱包替换。