文章提交注意事项:
请在发布文章时用HTML代码加上至少一条新闻来源的链接;原创性消息,可加入相关信息(如涉及公司的网址)的链接。有任何问题,邮件至:he.fang#zhiding.cn
注意:收到邮件乱码的用户请修改客户端的默认字体编码,从"简体中文(GB2312)"修改为"Unicode(UTF-8)"。
solidot新版网站常见问题,请点击这里查看。
过去 50 天乌克兰对俄罗斯士兵执行了 8000 多次面部扫描,然后根据结果联络了数百名家属。乌克兰使用的是美国公司 Clearview AI 的面部识别软件。Clearview AI 向乌克兰免费提供了它的服务,它的数据库有十分之一的数据来自于俄罗斯最大的社交网络。
思科披露了一个高危等级 10/10 的漏洞 CVE-2022-20695,影响其 Wi-Fi 管理软件 Wireless LAN Controller (WLC)。思科称,漏洞是因为
密码检查算法的不正确实现导致的,攻击者可以通过构造凭证利用漏洞登陆受影响的设备。受影响的思科设备需要尽快更新到最新版本。
微软 Detection and Response Team (DART) 和 Threat Intelligence Center(MTIC) 的研究人员披露了黑客组织 Hafnium 如何利用 Windows 任务调度程序植入持久性后门的方法。任务调度程序通常被 IT 管理员用于自动化琐碎的任务如更新程序、整理文件系统和启动特定应用。黑客滥用该功能创建隐藏任务,让被入侵的设备在重启之后仍然能远程访问:一旦重启,隐藏任务会与 Hafnium 的指令服务器重新建立后门连接。为了隐藏该任务,恶意程序通过令牌盗窃获得 SYSTEM 级权限,删除任务的安全描述项注册表值,在 GUI 和任务调度中将会看不到该任务,只有手动检查注册表才能发现隐藏任务。
2 月 24 日在俄罗斯攻击乌克兰的同一时间,Viasat 公司位于欧洲和乌克兰的卫星终端突然离线,德国数千风力涡轮机失去了用于远程控制和管理的卫星网络。本周 Viasat 提供了这起安全事故的更多细节。攻击者利用了 VPN 访问了该公司的 KA-SAT 卫星网络,通过搜索其内网找到了管理和运营的特定网络,同一时间向用户的调制解调器发送破坏指令覆写 Flash 存储器。根据上传到 VirusTotal 的样本,擦除器恶意软件是通过恶意固件更新推送给用户的。换句话说这本质上是又一起供应链攻击事故。
GitLab 修复了一个高危漏洞,该漏洞影响 GitLab Community Edition (CE) 和 Enterprise Edition (EE),允许远程攻击者使用硬编码密码控制用户账号。硬编码密码 123qweQWE!@#000000000 是意外加入到代码中,GitLab 督促用户立即升级到最新的 14.9.2、14.8.5 或 14.7.7 版本以防止潜在的攻击。它还重置了部分用户的密码,表示尚未发现有证据显示攻击者利用该漏洞控制用户账号,此举旨在防患未然。
苹果周四释出了补丁修复了两个 0day 漏洞。漏洞是由一名未公开名字的研究人员发现的:第一个漏洞 CVE-2022-22675 位于 macOS Monterey 和 iOS 或 iPadOS 中,与越界写(out-of-bounds write)问题有关,允许黑客使用内核权限执行恶意代码;第二个漏洞 CVE-2022-22674 也是与越界写问题有关,会导致内核内存泄露。苹果表示这两个漏洞可能正被利用。CVE-2022-22674 和 CVE-2022-22675 是苹果今年修复的第 4 和第 5 个 0day 漏洞。
黑客被发现入侵 WordPress 网站植入恶意脚本,利用网站访客对多个乌克兰域名发动 DDoS 攻击。被攻击的网站包括乌克兰政府机构、智库、International Legion of Defense of Ukraine 的招募网站等。当用户访问被植入恶意脚本的网站,浏览器会加载脚本对被攻击域名发出 HTTP GET 请求,并发连接数一次最多 1000 次。DDoS 攻击发生在后台,用户察觉不到,最多感觉到浏览器访问缓慢。安全研究员 Andrii Savchenko 称有数百个 WordPress 网站植入了这一恶意脚本。
匿名者黑客组织(Anonymous)声称窃取并泄露了雀巢的大量数据。雀巢予以否认,称数据实际上是几周前自己泄露的。Anonymous 本周声称从这家全球食品和饮料集团窃取并泄露了 10GB 的数据。Anonymous 表示,它在惩罚雀巢,因为它不愿撤出俄罗斯。Anonymous 称,这些数据包括内部电子邮件、密码和雀巢的客户信息,数据于周二发布到网络上。根据雀巢发言人的说法,这完全是谎言。“最近关于雀巢遭到网络攻击以及随后的数据泄露的说法是没有根据的。”这位发言人解释说,网上流传的大量数据实际上是该公司今年早些时候犯下的一个错误的产物:“这与二月份的一个事件有关,因为无心之失,一些随机且主要是公开可用的 B2B 测试数据短时间内可以在线访问。”公司发言人解释说,这些数据,其中一些已公开,另一些尚未公开,意外地在互联网上公开了数周。该发言人表示:“一些主要公开的数据(例如,公司名称和公司地址以及一些企业电子邮件地址)在有限的时间(几周)内错误地在网络上公开。我们的安全团队当时检测到了这个问题,并进行了适当的审查。这些数据是为 B2B 测试网站准备的,目的是为了进行一些功能检查。”
英国警方逮捕了与 Lapsus$ 黑客组织有关联的 7 名嫌疑人。他们的年龄在 16 到 21 岁,现已经释放,警方表示调查还在继续。在这之前,一名住在英国牛津的少年被怀疑是 Lapsus$ 的主谋。这位名叫 WhiteDoxbin 的少年曾购买了一个专门曝光和分享个人身份信息的网站 Doxbin,但因为管理不善最终将网站转让给了原拥有者,但在放弃前他通过 Telegram 公开了整个 Doxbin 网站数据集,作为报复 Doxbin 社区公开了 WhiteDoxbin 的个人信息,包括家庭地址、社会媒体照片,其父母的信息。警方没有确认这位少年是否在被捕名单之中。Lapsus$ 的活动都是在 Telegram 频道进行,几乎没有掩盖其痕迹。
Lapsus$ 组织最近成功入侵了多家知名企业,其中包括英伟达和微软。安全研究人员在调查后认为,住在英国牛津与母亲生活在一起的 17 岁少年是 Lapsus$ 的主谋。Lapsus$ 窃取到了部分微软产品源代码,但源代码的下载并没有完成,黑客在完成下载前就在其 Telegram 频道披露了消息,让微软有机会终止下载。LAPSUS$ 的活动至少是从 2021 年 11 月开始,一名核心成员使用了化名 Oklaqq 和 WhiteDoxbin 在 Reddit 上招募企业内部人士,以一周最高付费 2 万美元进行收买。LAPSUS$ 没有建立暗网网站,其运作完全是通过其 Telegram 频道。WhiteDoxbin 曾收购了一个专门曝光个人身份信息的网站 Doxbin,但因为管理不善最终将网站亏损转让给了原拥有者,但在放弃前他通过 Telegram 公开了整个 Doxbin 网站数据集,作为报复 Doxbin 用户公开了 WhiteDoxbin 的个人信息,包括从他家外面拍摄的视频。Doxbin 用户透露 WhiteDoxbin 通过买卖 0day 漏洞发家,积累了超过 300BTC,价值约 1400 万美元。由于他的年龄只有 17 岁,尚未受到正式指控,媒体没有公开他的名字,但去了他的家询问了他的母亲。其母表示对其活动不知情,表示家庭受到骚扰,拒绝让儿子接受采访,称正在联络警方。Lapsus$ 的另一名成员被认为是住在巴西的少年。
安全公司 Avast 的研究人员发表报告《Operation Dragon Castling》,称攻击者利用金山办公软件 WPS Office 的漏洞,攻击东南亚尤其是台湾香港菲律宾的博彩公司。鉴于攻击者的娴熟技术和使用的先进工具,研究人员怀疑是某个 APT 组织在搜集情报或获取经济利益。攻击者使用的策略包括向目标公司的支持团队发送邮件,要求他们检查软件的 bug,邮件附带了一个感染了病毒的安装程序。攻击者使用的另一种方法是假的 WPS 更新程序 wpsupdate.exe,该更新程序从属于金山的域名 update.wps[.]cn 下载,但域名对应的 IP 地址 103.140.187.16 不属于金山公司所有。研究人员猜测是它是攻击者使用的假更新服务器。该更新程序会通过侧加载(sideloading)安装两个恶意程序建立后门控制被感染计算机。
Lapsus$ 黑客组织宣称入侵了微软内部的 Azure DevOps 服务器,窃取到 Bing、Cortana 等微软内部项目的源代码。Lapsus$ 随后公开了一个解压后有 37GB 大小的压缩文件,包括了 Bing 90% 的源代码,Bing Maps 和 Cortana 项目 45% 的源代码。研究过泄密文件的安全研究人员认为它们是真实的内部源代码。泄露源代码不涉及微软的桌面软件如 Windows、Windows Server 和 Microsoft Office。微软表示正对此事展开调查。Lapsus$ 最近完成了多次高调的入侵行动,攻击了多家知名企业,其中包括英伟达,暂时不清楚它是如何入侵的,有安全研究人员怀疑它收买了相关企业的内部人士。
FIDO 联盟董事会成员包括 Amazon、Google、PayPal、RSA、Apple 和微软(以及 Intel 和 Arm)。该组织将其使命描述为减少世界“对密码的过度依赖”。FIDO 发布了一份白皮书,阐述了愿景,即解决困扰无密码功能可用性的问题,这些问题阻碍了推广。
这份白皮书是概念性而非技术性的,经过多年的投资,在将 FIDO2 和 WebAuthn 无密码标准集成到Windows、Android、iOS 等系统中后,现在取决于下一步的成功。FIDO 正寻找让无密码方案难以前进的核心问题。结论是一切都要归结为切换或添加设备的程序。例如如果设置新手机的过程过于复杂,又没有简单的方法可以登录你所有的应用程序和帐户,或者你必须使用密码重新建立对这些帐户的所有权,那么大多数用户都会觉得改变现状太麻烦了。
无密码 FIDO 标准依赖设备的生物识别扫描仪或者主 PIN 码在本地验证身份,无需将数据通过互联网传输到网络服务器进行验证。FIDO 认为,最终解决新设备问题的关键概念是让操作系统实现“FIDO 凭据”管理器,类似于内置的密码管理器。这种机制不会直接存储密码,而是存储可以在设备之间同步并由设备的生物识别或者密码锁保护的加密密钥。在去年夏天全球开发者大会上,苹果宣布了自己的 FIDO 版本,这是一项被称为“Passkeys in iCloud Keychain”的 iCloud 功能,苹果称这是“对后密码世界的贡献。
FIDO 的白皮书还包含了另一个部分,是对其规范的拟议补充,允许现有的设备(如笔记本电脑)充当硬件令牌,类似于独立的蓝牙身份验证加密狗,通过蓝牙提供物理身份验证。这个想法实际上仍然是防御网络钓鱼,因为蓝牙是一种基于邻近的协议,可以作为一种有用的工具,根据需要开发出不同版本的、真正的无密码方案,这些方案都无需保留备份密码。Google 产品经理 Christiaan Brand 专注于身份和安全以及在FIDO项目上的合作,他表示,密码式的计划在逻辑上遵循智能手机或多设备无密码未来的图景。Brand表示:“老实说,我们一直牢记‘让我们超越密码’这个宏伟愿景的最终状态,只有每个人口袋里都有手机,它才能实现。”对 FIDO 而言,当务之急是转变帐户的安全范式,使网络钓鱼成为过去。当被问及情况是否真的如此时,密码的丧钟是否真的最终敲响,Brand 变得严肃起来,但他毫不犹豫地回答:“我觉得一切都在聚拢。”
这份白皮书是概念性而非技术性的,经过多年的投资,在将 FIDO2 和 WebAuthn 无密码标准集成到Windows、Android、iOS 等系统中后,现在取决于下一步的成功。FIDO 正寻找让无密码方案难以前进的核心问题。结论是一切都要归结为切换或添加设备的程序。例如如果设置新手机的过程过于复杂,又没有简单的方法可以登录你所有的应用程序和帐户,或者你必须使用密码重新建立对这些帐户的所有权,那么大多数用户都会觉得改变现状太麻烦了。
无密码 FIDO 标准依赖设备的生物识别扫描仪或者主 PIN 码在本地验证身份,无需将数据通过互联网传输到网络服务器进行验证。FIDO 认为,最终解决新设备问题的关键概念是让操作系统实现“FIDO 凭据”管理器,类似于内置的密码管理器。这种机制不会直接存储密码,而是存储可以在设备之间同步并由设备的生物识别或者密码锁保护的加密密钥。在去年夏天全球开发者大会上,苹果宣布了自己的 FIDO 版本,这是一项被称为“Passkeys in iCloud Keychain”的 iCloud 功能,苹果称这是“对后密码世界的贡献。
FIDO 的白皮书还包含了另一个部分,是对其规范的拟议补充,允许现有的设备(如笔记本电脑)充当硬件令牌,类似于独立的蓝牙身份验证加密狗,通过蓝牙提供物理身份验证。这个想法实际上仍然是防御网络钓鱼,因为蓝牙是一种基于邻近的协议,可以作为一种有用的工具,根据需要开发出不同版本的、真正的无密码方案,这些方案都无需保留备份密码。Google 产品经理 Christiaan Brand 专注于身份和安全以及在FIDO项目上的合作,他表示,密码式的计划在逻辑上遵循智能手机或多设备无密码未来的图景。Brand表示:“老实说,我们一直牢记‘让我们超越密码’这个宏伟愿景的最终状态,只有每个人口袋里都有手机,它才能实现。”对 FIDO 而言,当务之急是转变帐户的安全范式,使网络钓鱼成为过去。当被问及情况是否真的如此时,密码的丧钟是否真的最终敲响,Brand 变得严肃起来,但他毫不犹豫地回答:“我觉得一切都在聚拢。”
过去几年发生了多起加油站油泵被入侵,数百甚至数万加仑的汽油被盗的安全事件。油泵和家用路由器一样存在安全隐患。卡巴斯基研究人员在 2018 年发现部分油泵使用的嵌入式控制器让它容易被黑客控制。控制器单元运行基于 Linux 的系统,安装了一个迷你 httpd 服务器。控制器是加油站的核心,它们很多都年代久远,是在十多年前安装到加油系统中的,而且与互联网相连。研究人员认为,一名技术精湛的黑客能从世界任何地方进入加油系统。
一位 NPM 包维护者为抗议俄罗斯入侵乌克兰而故意搞破坏,制造了最新一起供应链攻击安全事故,凸显了代码中的依赖传递会对安全产生巨大影响。RIAEvangelist 维护的 node-ipc 非常受欢迎,周下载量超过一百万。维护者创建了名为 peacenotwar 的模块表达抗议,该模块几乎无人下载,但他随后将 peacenotwar 作为 node-ipc 的依赖推送给了下游用户,受影响版本为 [email protected] 和 [email protected],目前这两个版本都已经废弃。
广泛使用的加密库 OpenSSL 发现了一个可远程利用的高危漏洞。计算模平方根的 BN_mod_sqrt() 包含 bug 会导致无限循环,它能用于发动拒绝服务攻击。OpenSSL 项目释出了 OpenSSL 3.0.2 和 1.1.1n 修复了漏洞。该漏洞是由 Google 安全研究员 Tavis Ormandy 在 2 月 24 日报告的,Google 的 David Benjamin 和 OpenSSL 项目的 Tomáš Mráz
开发了补丁。