solidot新版网站常见问题,请点击这里查看。

Lapsus$ 黑客泄露 37GB 的微软产品源代码

Lapsus$ 黑客组织宣称入侵了微软内部的 Azure DevOps 服务器,窃取到 Bing、Cortana 等微软内部项目的源代码。Lapsus$ 随后公开了一个解压后有 37GB 大小的压缩文件,包括了 Bing 90% 的源代码,Bing Maps 和 Cortana 项目 45% 的源代码。研究过泄密文件的安全研究人员认为它们是真实的内部源代码。泄露源代码不涉及微软的桌面软件如 Windows、Windows Server 和 Microsoft Office。微软表示正对此事展开调查。Lapsus$ 最近完成了多次高调的入侵行动,攻击了多家知名企业,其中包括英伟达,暂时不清楚它是如何入侵的,有安全研究人员怀疑它收买了相关企业的内部人士。

安全: 如何消除世界对密码的需求

FIDO 联盟董事会成员包括 Amazon、Google、PayPal、RSA、Apple 和微软(以及 Intel 和 Arm)。该组织将其使命描述为减少世界“对密码的过度依赖”。FIDO 发布了一份白皮书,阐述了愿景,即解决困扰无密码功能可用性的问题,这些问题阻碍了推广。

这份白皮书是概念性而非技术性的,经过多年的投资,在将 FIDO2 和 WebAuthn 无密码标准集成到Windows、Android、iOS 等系统中后,现在取决于下一步的成功。FIDO 正寻找让无密码方案难以前进的核心问题。结论是一切都要归结为切换或添加设备的程序。例如如果设置新手机的过程过于复杂,又没有简单的方法可以登录你所有的应用程序和帐户,或者你必须使用密码重新建立对这些帐户的所有权,那么大多数用户都会觉得改变现状太麻烦了。

无密码 FIDO 标准依赖设备的生物识别扫描仪或者主 PIN 码在本地验证身份,无需将数据通过互联网传输到网络服务器进行验证。FIDO 认为,最终解决新设备问题的关键概念是让操作系统实现“FIDO 凭据”管理器,类似于内置的密码管理器。这种机制不会直接存储密码,而是存储可以在设备之间同步并由设备的生物识别或者密码锁保护的加密密钥。在去年夏天全球开发者大会上,苹果宣布了自己的 FIDO 版本,这是一项被称为“Passkeys in iCloud Keychain”的 iCloud 功能,苹果称这是“对后密码世界的贡献。

FIDO 的白皮书还包含了另一个部分,是对其规范的拟议补充,允许现有的设备(如笔记本电脑)充当硬件令牌,类似于独立的蓝牙身份验证加密狗,通过蓝牙提供物理身份验证。这个想法实际上仍然是防御网络钓鱼,因为蓝牙是一种基于邻近的协议,可以作为一种有用的工具,根据需要开发出不同版本的、真正的无密码方案,这些方案都无需保留备份密码。Google 产品经理 Christiaan Brand 专注于身份和安全以及在FIDO项目上的合作,他表示,密码式的计划在逻辑上遵循智能手机或多设备无密码未来的图景。Brand表示:“老实说,我们一直牢记‘让我们超越密码’这个宏伟愿景的最终状态,只有每个人口袋里都有手机,它才能实现。”对 FIDO 而言,当务之急是转变帐户的安全范式,使网络钓鱼成为过去。当被问及情况是否真的如此时,密码的丧钟是否真的最终敲响,Brand 变得严肃起来,但他毫不犹豫地回答:“我觉得一切都在聚拢。”

安全: 油泵和常见路由器一样存在安全隐患

过去几年发生了多起加油站油泵被入侵,数百甚至数万加仑的汽油被盗的安全事件。油泵和家用路由器一样存在安全隐患。卡巴斯基研究人员在 2018 年发现部分油泵使用的嵌入式控制器让它容易被黑客控制。控制器单元运行基于 Linux 的系统,安装了一个迷你 httpd 服务器。控制器是加油站的核心,它们很多都年代久远,是在十多年前安装到加油系统中的,而且与互联网相连。研究人员认为,一名技术精湛的黑客能从世界任何地方进入加油系统。

安全: 维护者抗议俄罗斯破坏 NPM 包

一位 NPM 包维护者为抗议俄罗斯入侵乌克兰而故意搞破坏,制造了最新一起供应链攻击安全事故,凸显了代码中的依赖传递会对安全产生巨大影响。RIAEvangelist 维护的 node-ipc 非常受欢迎,周下载量超过一百万。维护者创建了名为 peacenotwar 的模块表达抗议,该模块几乎无人下载,但他随后将 peacenotwar 作为 node-ipc 的依赖推送给了下游用户,受影响版本为 [email protected][email protected],目前这两个版本都已经废弃。

安全: OpenSSL/LibreSSL 发现一个可远程利用的漏洞

广泛使用的加密库 OpenSSL 发现了一个可远程利用的高危漏洞。计算模平方根的 BN_mod_sqrt() 包含 bug 会导致无限循环,它能用于发动拒绝服务攻击。OpenSSL 项目释出了 OpenSSL 3.0.2 和 1.1.1n 修复了漏洞。该漏洞是由 Google 安全研究员 Tavis Ormandy 在 2 月 24 日报告的,Google 的 David Benjamin 和 OpenSSL 项目的 Tomáš Mráz 开发了补丁。

安全: 美国如何帮助乌克兰加强网络战防御

2015 年乌克兰电网因网络攻击导致基辅等地区断电数小时,此后美国一直在帮助乌克兰加强网络防御。去年 10 月 和 11 月,美国派遣了更多人去帮助乌克兰保护基础设施,其中部分人员为美国陆军 Cyber Command 的士兵。此次加派人员是为了应对即将爆发的战争。美国人担心俄罗斯在战争前夕会秘密在乌克兰网络中植入休眠的恶意程序,战争爆发的同一时间激活和发动毁灭性的网络攻击。美国的这一行动有助于解释为什么乌克兰的网络基础设施至今安然无恙。乌克兰和美国官员将这一行动描述为防御性的。由美国士兵和平民组成的网络任务小组在乌克兰铁路局发现并清除了一种设计抹掉数据的恶意程序,它能通过指令删除关键文件瘫痪整个计算机网络。在战争爆发后的十天内,乌克兰有近百万平民是通过铁路网逃到安全地带。在乌克兰网络遭到 DDoS 攻击之后,美国团队在数小时内安排并部署了 Fortinet 公司的软件。

安全: 美国引渡两位勒索软件黑帮的嫌疑犯

美国周三和周四先后引渡了两位勒索软件黑帮的嫌疑犯。22 岁的乌克兰人 Yaroslav Vasinskyi 是在去年 8 月入境波兰时被捕的,本周三引渡到美国,他所受到的指控最长刑期高达 115 年,他被认为要对去年 7 月针对美国远程管理公司 Kaseya 的供应链攻击负主要责任,这次攻击感染了 800 到 1,500 家依赖于 Kaseya 软件的机构,Vasinskyi 合作的勒索软件组织 Sodinokibi/REvil 要求受害者支付 7000 万美元的赎金。34 岁的加拿大魁北克居民 Sebastien Vachon-Desjardin 周四引渡到美国,他是在去年 1 月被捕的,被控通过参与 NetWalker 勒索软件活动获得了超过 2700 万美元。加州大学旧金山分校是 NetWalker 的受害者之一,它为解密数据支付 114 万美元赎金。

安全: 新方法放大 DDoS 攻击 40 亿倍

研究人员警告,网络犯罪分子正在利用一种新方法将 DDoS 攻击流量放大 40 亿倍。DDoS 放大攻击非常受网络罪犯的欢迎,它可以大幅减少发动攻击所需的计算资源。最早的放大攻击是利用错误配置的 DNS 服务器,能将攻击流量放大 54 倍,较新的放大攻击方法包括利用 Network Time Protocol 服务器(放大约 556 倍)、Plex 媒体服务器( 5 倍)、Microsoft RDP (86 倍)、Connectionless Lightweight Directory Access Protocol ( 50 倍)等。此前最大的 DDoS 放大攻击是 memcached,能将流量放大最高 5.1 万倍。最新的攻击利用的是错误配置的 Mitel,它能放大 40 亿倍的原因之一是大幅延长攻击时间。一个欺骗性的数据包可以诱发持续时间长达 14 小时的 DDoS 攻击,数据包放大率达到了创纪录的 4,294,967,296:1。

安全: 中小企业的安全风险

360 集团创始人周鸿祎表示,在万物互联时代,中小微企业是供应链攻击的“跳板”,极有可能成为国家数字安全的缺口。周鸿祎说,中小微企业是国家经济的“毛细血管”,既是税收和就业的“半壁江山”,也是产业供应链体系的重要一环。然而,中小微企业数字安全基础薄弱、重视不足,如果在数字化的同时没有补足安全短板,黑客组织就能以中小微企业为跳板,针对大型企业、政府和关键信息基础设施发起供应链攻击,造成重大安全事件。温州一家超市今年年初就受到勒索病毒攻击——黑客向其索要 0.042 枚比特币(总价值约 12000 元)作为赎金,且支付赎金后黑客并未恢复超市数据,严重影响正常运转。

安全: Linux 内核发现易于利用的 dirty pipe 漏洞

Web 托管公司 IONOS 的 Max Kellermann 在多次收到客户投诉日志服务器上的日志文件损坏之后展开了调查,发现 Linux 内核存在一个高危漏洞,与数年前曝出的 DirtyCow 提权漏洞类似,但更容易利用。他将该漏洞命名为 dirty pipe。dirty pipe 存在于 Linux 5.8 之后的版本中,是未初始化变量导致的,它允许任何人向任意文件写入数据,即使文件是 O_RDONLY 或不可改变。它能被用于向任意进程注入代码。Linux 5.16.11、5.15.25 和 5.10.102 修复了该漏洞。

安全: 乌克兰网络战

Google 官方博客介绍了乌克兰相关的网络战。Google 称它的安全团队 Threat Analysis Group (TAG)过去十二个月向乌克兰用户发出了数百次政府支持黑客攻击警告,通知用户他们成为政府黑客的攻击目标。过去两周 TAG 监测到了已知黑客组织发起的钓鱼和间谍活动。与俄罗斯情报总局有关联的黑客组织 FancyBear/APT28 对乌克兰媒体 ukr.net 的用户发起了钓鱼攻击;白俄黑客组织 Ghostwriter/UNC1151 对波兰乌克兰的政府和军方组织发起了钓鱼攻击;Mustang Panda/Temp.Hex 对欧洲组织发起钓鱼攻击,攻击者发送的附件使用了 Situation at the EU borders with Ukraine.zip 之类的名字;乌克兰政府网站和 Liveuamap 等遭到 DDoS 攻击。

安全: 研究人员让亚马逊 Alexa 自己黑自己

英国皇家霍洛威大学和意大利卡利亚里大学的研究人员发现可利用亚马逊智能音箱 Amazon Echo 自己的扬声器发出语音命令,迫使其打开门,拨打电话和进行未经授权的购买,以及控制其它智能电器。研究人员发现,在唤醒词之后紧跟着一个可执行的命令,Amazon Echo 就会执行它,执行敏感命令需要口头确认,但只要在发出命令 6 秒后加上 yes 就能绕过。这一攻击被研究人员称为 Alexa vs. Alexa(或 AvA)。研究报告发表在预印本网站 arxiv 上。亚马逊已经释出了补丁修复了漏洞。

安全: 加固 Windows Defender

微软 Windows 操作系统自带的安全软件 Windows Defender 对绝大部分人而言在安全保障方面已经足够强了。安全软件不存在完美的解决方案,无论安装了免费的还是付费的杀毒软件,用户的计算机仍然会感染病毒。人是安全防御中最薄弱的一环,无论多安全多昂贵的系统人这一关突破了那么整个系统也就畅通无阻了。Windows Defender 虽然简单,但只要加固一下它能比得上任何安全软件。加固的方法包括创建本地组策略设置、启用微软的加强版实时保护 Microsoft Advanced Protection Service (MAPS)等等。

安全: Firefox 释出紧急更新修复两个正被利用的 0day

Mozilla 释出紧急更新 Firefox 97.0.2,修复了两个正被利用的 0day 漏洞,Firefox 用户应尽可能快的升级。其中一个漏洞是 CVE-2022-26485,为 XSLT 参数处理中的释放后使用(Use-after-free)漏洞,正被攻击者用于远程代码执行;第二个漏洞是 CVE-2022-26486,为 WebGPU IPC 框架中的释放后使用漏洞,被用于沙盒逃逸。释放后使用漏洞是指一个应用程序本应释出其占用的内存供其它应用程序使用,但因为 bug 导致该应用程序仍然继续使用或占用内存。

安全: 美国政府严重警告固件安全是“单点故障”的高风险区域

HardenedVault 写道 "美国政府发出最高级呼吁人们注意固件供应链中的主要弱点,并警告说,操作系统下方的这一层会带来毁灭性风险,美国国土安全部(DHS)和商务部领导层发布的一份新的联合草案报告称,固件为恶意攻击者颠覆现代计算的核心提供了一个庞大且不断扩大的攻击面固件层保护经常被忽视,但它是设备中的单点故障,是攻击者可以大规模破坏设备的最隐蔽的方法之一。“攻击者可以破坏操作系统和虚拟机管理程序的可见性,绕过大多数安全系统,于攻击时在网络和设备中长时间隐藏和持久化,并造成不可挽回的损害。”这两个机构在对美国部署的关键IT基础设施的供应链进行了为期一年的评估后表示固件也可以成为一个有利可图的目标,攻击成本相对较低。在过去几年中,黑客越来越多地针对固件发起毁灭性攻击。这份长达87页的报告(PDF)是为支持拜登关于保护美国供应链的行政命令而发布的,该报告警告说,固件在计算堆栈中的特权地位为隐形攻击者提供了主要优势。尽管它在电子设备中发挥着至关重要的作用,但这些机构坚持认为,固件安全“传统上并不是制造商或用户的高度优先事项,并不总是得到很好的保护。”在评估过程中,这些机构发现网卡,Wi-Fi适配器和USB集线器等项目上的固件通常没有使用公钥或私钥正确签名。平台级系统安全是一个异常复杂的体系,既要保证每个层级在设计和实现过程中考虑安全和其他因素(比如性能,兼容性)的平衡,又必须尽可能的探索出所有的攻击路径并且给出最极端场景下的威胁模型,在这场与复杂性长期博弈涉足多个技术层面和产业生态层面,赛博堡垒的白皮书中对技术层面有一些基本描述,要完整的防护一个单一计算节点,需要从Linux主机加固,Linux内核安全防护固件安全,芯片安全特性开箱,可信计算/机密计算等多方面组合才能完成,即使在此基础上,把高级威胁防护的计算节点通过分布式邦联化/去中心化的方式扩展到整个网络还需要密码学的支撑。只有在以上前提满足的情况下,才能应对来自操作系统以下层级的已知和未知的威胁。"

安全: Google Play 官方市场发现窃取敏感数据的远程访问木马

去年五月曝光的一种恶意应用被发现重新进入了 Google Play 官方应用市场。被称为 TeaBot 和 Anatsa 的恶意应用是一种远程访问木马,允许攻击者远程浏览被感染设备的屏幕,与设备执行操作,它主要设计窃取数十种银行类应用的敏感数据。安全公司 Cleafy 本周报告,TeaBot 重返 Google Play 市场,通过二维码扫描应用 QR Code & Barcode Scanner 传播,在下架前恶意应用的下载量超过了一万此。研究人员称,新版本的 TeaBot 增加了对保险、加密钱包和加密货币交易所等应用的攻击,它针对的应用数量从此前的 60 款增加到了 400 多款,它支持的语言加入了俄语、斯洛伐克语和汉语。

安全: 堡垒靶场:sshd辅助CVE-2021-26708(Linux内核)漏洞利用提权

HardenedVault 写道 "Alexander Popov 于2021年发表了一篇文章 Four Bytes of Power: Exploiting CVE-2021-26708 在 Linux 内核中使用四字节覆盖漏洞来执行权限提升,这篇文章详细的分析和记录了提升root权限的漏洞利用全过程,根据公开信息可以看出,如果创建了多个特权进程,并且同时释放了cred指针(或者特权进程的创建时间比释放的cred指针晚一点),那么其中一个进程的cred可以位于释放的地址,这使得权限提升成为可能,sshd 则是可以满足需要的特权进程,赛博堡垒借助sshd简化了整个漏洞利用的过程,可以轻松绕过现有Linux内核主线的防御机制,报告中也谈到了防御特性的优先级问题,虽然已经2022年,但Linux主线内核在数据污染攻击的面前依然非常脆弱,PaX/GRsecurity和VED都可以轻松防护此类攻击并且让攻击者难以绕过防护机制,根据赛博堡垒客户的反馈,平台安全级别的诸多威胁中,大多数带有花哨名称安全产品(例如:EDR/ XDR,HIDS等)的可绕过级别只能保持"L1:I can win",安全产品容易被攻陷对于生产环境来说并不是一件值得骄傲的事情,不是吗?"

安全: 赛门铁克发现先进黑客工具

赛门铁克研究人员发表报告《Daxin: Stealthy Backdoor Designed for Attacks Against Hardened Networks》,他们发现了一种复杂先进的后门工具 Daxin,至少有十年历史。Daxin 设计作为一种 Windows 内核驱动,实现了先进的通信功能,具有高度的保密性,在感染计算机后它允许攻击者读写任意文件。它能监视特定模式的传入 TCP 流量,当特定模式检测到后,Daxin 能切断合法的接收方接管连接。除了劫持合法 TCP/IP 连接外,Daxin 能在被感染计算机上部署额外的恶意组件,能在多台被感染的计算机上创建加密通信通道。它最早发现的样本创建时间是 2013 年,已具有了最近变种的所有先进功能,这意味着该工具在 2013 年已经发展成熟。

安全: 亲乌克兰成员泄露 Conti 勒索软件组织聊天记录

在俄罗斯入侵乌克兰之后,Conti 勒索软件组织的领导人在其官网上发布了一条激进的亲俄信息,之后一名据信来自乌克兰的成员泄露了内部聊天记录。亲俄声明似乎以错误的方式影响了 Conti 的乌克兰成员,其中一人侵入了内部的 Jabber/XMPP 服务器。多名记者和安全研究人员收到了以电子邮件发来的内部日志。Recorded Future 的威胁情报分析师 Dmitry Smilyanets 过去曾与 Conti 组织有过交流,他证实了泄露的对话的真实性。泄露的数据包含 339 个 JSON 文件,每个文件包含一整天的日志。2021 年 1 月 29 日至 2022 年 2 月 27 日的对话已被泄露,可在此处在线阅读,这些信息由安全公司 IntelligenceX 提供。

安全: 备份不再能有效阻止勒索软件攻击

备份不再能有效阻止勒索软件攻击,因为勒索软件组织日益采用两种甚至三种以上的勒索手段。对 IT 安全决策者的调查发现,83% 的成功勒索攻击使用了替代勒索方法:使用窃取的数据勒索客户(38%),向暗网泄露数据(35%),通知客户他们的数据被入侵了(32%),只有 17% 的攻击只要求赎金以换取解密密钥。备份能最小化数据被加密带来的影响,但无法阻止勒索软件组织使用窃取的数据进行二次甚至三次勒索。但问题是即使支付了赎金,遭到窃取的数据仍然可能会泄露。调查发现 18% 的受害者在支付赎金之后数据仍然泄露,这一比例甚至高于拒绝支付赎金的受害者(16%)。
上一页31323334353637383940下一页