文章提交注意事项:
请在发布文章时用HTML代码加上至少一条新闻来源的链接;原创性消息,可加入相关信息(如涉及公司的网址)的链接。有任何问题,邮件至:he.fang#zhiding.cn
注意:收到邮件乱码的用户请修改客户端的默认字体编码,从"简体中文(GB2312)"修改为"Unicode(UTF-8)"。
solidot新版网站常见问题,请点击这里查看。
Google Project Zero 的安全研究人员称,Linux 开发者修复安全漏洞的速度最快,比 Google 快多了。研究人员调查了 2019 年 1 月到 12 月之间所报告 bug 的修复时间。开源程序员修复 Linux 问题的平均时间为 25 天,而 Linux 开发者修复安全漏洞的时间从 2019 年的 32 天减少到了 2021 年的 15 天。相比之下,苹果需要 69 天,Google 需要 44 天,Mozilla 46 天,微软 83 天,甲骨文 109 天,开源组织和企业如 Apache、Canonical、Github 和 Kubernetes 所需时间为 44 天。总体上修复安全漏洞的平均时间为 52 天,比三年前的 80 天是巨大进步。
沙特女权活动人士 Loujain al-Hathloul 帮助领导发起了结束对女司机禁令的运动,她以危害国家安全的理由被沙特关押了三年,2021 年 2 月释放,被禁止离境。在释放后不久她收到了 Google 的警告,称其 Gmail 邮箱成为国家支持黑客的渗透目标。她担心自己的 iPhone 也被入侵了,因此联络了加拿大多伦多大学的公民实验室(Citizen Lab)请研究人员帮忙寻找证据。在六个月的挖掘之后,实验室的研究员 Bill Marczak 获得了惊人的发现:植入到手机的间谍软件的 bug 导致它留下了恶意图像文件的副本,间谍软件没有在窃取目标信息之后删除文件。这一发现是苹果去年 11 月对以色列公司 NSO 提起诉讼的基础。NSO 的间谍软件不需要用户点击,此类零点击恶意程序通常会在感染目标之后删除自己,因此研究人员找不到恶意程序样本进行调查。但 Marczak 和他的团队发现间谍软件出现了故障,留下了可以研究的样本。研究人员发现间谍软件通过不可见的短信向目标发送图像文件,图像文件诱骗 iPhone 允许它访问完整的内存,绕过安全防御,允许它安装间谍软件窃取用户信息。除了 NSO 外,安全研究人员还发现第二家以色列公司 QuaDream 也利用了相同 iPhone 漏洞。
安全公司 Proofpoint 的研究人员披露了一个活跃至少五年的黑客组织,该组织被称为 TA2541,使用的技术比较粗糙,主要针对航空、航天、运输、制造和国防等领域的机构。研究人员指出,TA2541 的顽强和持久弥补了其技术上的不足。自研究人员从 2017 年跟踪该组织以来,它对数以千计的组织发动了攻击。TA2541 使用 Google Drive 或 Microsoft OneDrive 等网盘托管恶意程序,它过去几年使用的十多种恶意程序家族要么是地下黑客论坛出售的要么是免费的。其中包括 AsyncRAT、NetWire、WSH RAT 和 Parallax 病毒家族。
乌克兰国防部和银行网站周二遭到 DDoS 攻击,导致这些网站和服务无法访问。乌克兰军方的 Facebook 账号表示正致力于恢复网站服务。乌克兰最大的商业银行 PrivatBank 因 DDoS 攻击导致用户无法访问 App 查看余额,不过攻击没有影响到客户储存在银行里的资金。乌克兰国家储备银行 Oschadbank 的网上银行也因攻击下线。攻击者的身份目前不清楚,但鉴于乌克兰和俄罗斯之间的政治紧张关系,以及俄罗斯已对乌克兰发动了多次网上攻击,最新的攻击普遍被认为来自俄罗斯,旨在破坏乌克兰的政治和经济稳定。
微软和北卡州立大学的研究人员发现,数千名 JS 开发者使用了域名过期的邮箱,这将使得他们在 NPM(Node Package Manager) 上的项目很容易被劫持。研究人员分析了上传到 NPM 包管理器上的 1,630,101 个库的元数据。NPM 是最大的软件包仓库。研究人员发现有 2818 个项目维护者的账户仍在使用域名过期的电邮地址,而部分过期的域名正在 GoDaddy 等网站出售。研究人员认为,攻击者可购买相关域名,在电邮服务器上注册这些维护者的地址,然后重置维护者的账户密码接管 NPM 包。
越狱 iOS 设备替代应用商店 Cydia 的前成员 Jay Freeman 在以太坊 L2 扩展解决方案 Optimism 中发现了一个高危漏洞,允许攻击者无限制的复制以太坊代币。他在 2 月 2 日向 Optimism 报告了漏洞,在其修复之后予以披露。他将在 2 月 18 日举行的 ETHDenver 会议上发表演讲谈论这一漏洞。 在 bug 迅速修复之后,Optimism 向这位白帽黑客奖励了 200 万美元。这是至今最高的单笔 Bug 赏金之一。
RedLine 恶意程序被攻击者伪装成 Windows 11 升级安装程序提供给 Windows 10 用户。Windows 11 提高了硬件需求,很多 Windows 10 系统无法通过官方渠道升级到新操作系统,这就给攻击者创造了机会。RedLine 恶意程序能窃取密码、浏览器 cookies、信用卡以及加密货币钱包。惠普的研究人员称,攻击者通过 windows-upgraded.com 之类的域名传播恶意程序,网站外观模仿了微软官网,用户点击 Download Now 按钮之后会下载 1.5 MB 大小名字叫 Windows11InstallationAssistant.zip 的 ZIP 压缩文件。
无论设备多安全,用户总是其中最薄弱的一环。在实际中攻击者可简单通过口头威胁或法庭传票要求用户交出秘密。绝大多数安全方案都设计强调数据的保密性,而不是让用户可以否认设备上存在秘密数据。著名黑客黄欣国(Andrew 'bunnie' Huan)宣布了一种让用户可以否认秘密存在的机制 Plausibly Deniable DataBase (PDDB)。PDDB 使用的设备被称为 Precursor,在攻击者能无限制访问设备,能对存储器的数据进行快照,能反复的侵入性检查,PDDB 允许用户否认秘密存在。用户需要在性能和可否认之间做选择,秘密数据占据的比例很小时对性能的影响甚微,如 100 MB 容量占 8 MB。但如果 100 MB 占 80 MB 时性能影响会比较显著。
安全公司 Sansec 报告有大约 500 家电商网站被黑客植入了信用卡窃取程序,在访客试图在网站上购买商品时窃取敏感的支付信息。安全研究人员称,所有遭到入侵的网站都会加载托管在域名 naturalfreshmall[.]com 上的恶意脚本,它会弹出假的支付页面,所有支付信息会发送到该网站。黑客组合利用了一个 SQL 注入漏洞和 Quickview 插件的一个 PHP 对象注入攻击在网站服务器上直接执行恶意代码。遭到入侵的网站运行的版本是 Magento 1,该版本在 2020 年 6 月停止支持。相关网站最好升级到最新版本,或者安装 OpenMage 项目提供的 Magento 1 开源补丁。
Google 称默认启用双因素认证减少了一半的账号入侵。Google 是从去年底开始对 1.5 亿有“合适配置”的用户账号默认启用 2FA。所谓“合适配置”是指用户已经有账号的恢复信息,如手机号码或额外的电邮。Google 表示将会在 2022 年继续推广 2FA,并从 3 月起让用户选择加入一个账户级的安全浏览选项,不让用户访问已知的恶意网站。Google 还承诺在美国中期选举前加强对政客的保护。
安全桌面操作系统 Qubes OS 释出了 4.1 版本。Qubes OS 使用一组被称为 Qubes 的虚拟机将不同功能隔离开来,每一个应用程序都运行在各自的沙盒中,确保一个程序有安全漏洞不会影响到其它程序。Qubes OS 使用了 Xen 虚拟层(hypervisor)和 Qubes 隔离系统不同部分,其中 Xen Dom0 是系统中虚拟层之外权限最高的部分,提供了管理接口还充当了所有 Qubes 的显示管理器,如果有人能访问它那么就能在整个系统中为所欲为了,Qubes OS 4.1 的一大变化就是将显示处理部分分离为一个独立的 GUI domain。4.1 版本的另一个变动是新的 Qrexec 策略系统,等等。
为了应对勒索软件等恶意程序,微软计划改变 MS Office 办公软件处理宏的方式:如果文件使用的宏命令是从网上下载的,宏将会默认完全禁用。目前的 Office 版本会对包含宏的文件弹出警告横幅,用户可通过点击启用,但新版本的横幅不再能启用宏。从 2022 年 4 月起,这一改变将首先提供给 Office v2203 用户预览,6 月起推广到订阅版本 Microsoft 365 Office,最后是目前支持的独立版本 Office 2021、2019、2016 和 2013。如果用户仍然想要启用网上下载文件中的宏,他们可以打开文件的属性,点击 unblock 按钮。
旗下包括《华尔街日报》和《纽约邮报》等媒体的新闻集团周五透露遭到了黑客入侵。入侵最早可以追溯到 2020 年 2 月,初步调查显示黑客是通过供应链实施入侵的,也就是通过新闻集团使用的第三方云服务入侵该公司。有数十名员工受到攻击的影响,黑客可能访问了他们的电子邮件和 Google Docs,其中包括发表文章的原稿。新闻集团是在今年 1 月 20 日发现了入侵,该公司表示客户和财务数据未受影响,公司运营也没有中断。
过去几周,监视朝鲜网络的人士注意到该国与外界的连接时断时续,个别天朝鲜对外网站几乎全部下线,至少一个中心路由器在攻击下瘫痪。朝鲜恰好在这个时间点多次发射了导弹,因此有人怀疑对朝鲜网络的攻击可能来自于政府背景的黑客组织或网络战部队。《连线》报道,真正的幕后攻击者其实是一名无任何政府背景的美国黑客。朝鲜黑客组织此前对安全研究人员发动了一系列网络攻击窃取黑客工具和软件漏洞相关的情报,这位名叫 P4x 的黑客在一年前成为其中的一名受害者。他设法阻止了朝鲜黑客窃取有价值的情报,注意到美国政府对此类攻击没有任何明显的回应,因此决定自己动手。他提供了屏幕录像证明自己正在对朝鲜网络发动攻击。他在朝鲜的网络中发现了多个已知但未修复的漏洞,允许他使用脚本对服务器和路由器发动拒绝服务攻击。
HardenedVault 写道 "2022年1月25日,赛博堡垒(HardenedVault)创始人 Shawn Chang在第九界安天网络安全冬训营研讨会上分享了《开放基础架构安全防护:对抗复杂性》(视频)的议题,主要围绕基础架构的定义、用实际案例分析了高级防护的趋势、威胁建模过程中遇到的常见问题及打造开放的体系基础架构安全过程中关键性的组件等方面进行了介绍。2021年的公开披露信息来看,高级威胁有之前未见的两大趋势,规模化构建专注底层的攻击链条和更加精湛的攻击技术,Kaspersky针对2022年APT(高级可持续威胁)的趋势预测中直接指出了底层攻击的“热度”回归,"Bootkit is a new norm"沉积了数年之后再次进入主流视野。"
去年 12 月研究人员发现了据信是第一种由专业网络犯罪组织用 Rust 语言开发的勒索软件 ALPHV/BlackCat。相比 C 或 C++ 语言 Rust 是一种更安全的编程语言,用 Rust 开发的程序更难找到常见的编程漏洞,如果有更多网络犯罪组织切换到 Rust 语言,将会加大安全公司发现勒索软件漏洞的难度。Krebs on Security
援引消息来源报道,ALPHV/BlackCat 的一名开发者网名叫 Binrs,曾在俄语自我介绍有六年的 Rust 开发经验。
最新版本的 Android 恶意程序 BRATA 能在窃取数据之后将设备恢复到出厂设置,抹掉设备上的所有数据掩盖其活动痕迹。BRATA 在 2019 年最早被发现时属于一种 Android RAT(远程访问工具),主要针对巴西用户。安全公司 Cleafy 在 2021 年 12 月报告 BRATA 开始在欧洲等地出现,并增加了更多功能,它发展成为窃取电子银行登录凭证的恶意程序。其最新版本针对了英国、波兰、意大利、西班牙、中国和拉美的电子银行用户,每个变种针对了不同的银行,都使用了类似的混淆技术以躲避安全软件的检测。它会寻找设备上安全程序的痕迹,会在执行渗透前删除安全工具。
新勒索软件 DeadBolt 正在瞄准世界各地的 QNAP NAS 设备。攻击者声称利用了一个 0day 漏洞,承诺如果 QNAP 愿意支付价值 18.5 万美元的 5 比特币,他们将披露 0day 漏洞的细节。如果有人愿意支付价值 185 万美元的 50 比特币他们将披露 0day 漏洞细节并提供能解密所有加密文件的主密钥。受影响的 QNAP 设备会看到所有文件被加密,文件扩展名为 .deadbolt。设备登录页面会显示勒索信息,要求受害者支付价值约 1100 美元的 0.03 比特币。
安全公司 Qualys 的研究人员在类 Unix 系统权限管理工具 Polkit 中发现了一个 root 提权漏洞,允许非特权用户获得系统的 root 权限。该漏洞被命名为 PwnKit,已存在了 12 年之久。从 2009 年起,Polkit 包含了一个内存破坏(memory-corruption)漏洞,利用漏洞比较简单,甚至部分账号能百分之百实现。已在存有漏洞的系统获得立足点的攻击者可以滥用该漏洞确保恶意负荷或指令能以系统最高权限执行。安全研究人员是在去年 11 月发现该漏洞的,在主要 Linux 发行版修复漏洞之后将其披露。Qualys 没有公布漏洞利用概念验证代码,但发布了一则漏洞利用视频。