文章提交注意事项:
请在发布文章时用HTML代码加上至少一条新闻来源的链接;原创性消息,可加入相关信息(如涉及公司的网址)的链接。有任何问题,邮件至:he.fang#zhiding.cn
注意:收到邮件乱码的用户请修改客户端的默认字体编码,从"简体中文(GB2312)"修改为"Unicode(UTF-8)"。
solidot新版网站常见问题,请点击这里查看。
韩国黑客组织 APT-C-60 利用了 Windows 版 WPS Office 的一个 0day 在目标设备上安装后门 SpyGlace。WPS 是金山开发的办公软件,在全球有逾 5 亿活跃用户。黑客利用的 0day 被称为 CVE-2024-7262,影响版本从 12.2.0.13110(2023 年 8 月)到 12.1.0.16412(2024 年 3 月)。金山在 3 月悄悄修复了漏洞,但没有向客户披露该漏洞正被活跃利用,促使安全公司 ESET 就该漏洞公布了一份详细报告。CVE-2024-7262 与软件如何处理自定义协议处理器的方式相关,其中 ksoqing:// 允许文档中嵌入的特制 URL 执行外部应用。APT-C-60 创建了 MHTML 文件,嵌入了隐藏在诱饵图像下的恶意超链接,引诱受害者点击图像触发漏洞。金山修复 CVE-2024-7262 的补丁并不完整,ESET 研究人员发现了第二个任意代码执行的高危漏洞 CVE-2024-7263。金山在 5 月修复了新的漏洞。为修复这两个漏洞 WPS 用户需要尽可能快的升级到 v12.2.0.17119 及以上版本。
Google Chrome 浏览器今年至今修复了 10 个 0day。其中第 10 个是安全研究员 TheDog 报告的 CVE-2024-7965,是编译器后端在选择要生成的 JIT 编译指令时的一个 bug 导致的,位于 V8 JS 引擎中,远程攻击者可通过特制 HTML 页面利用堆损坏。第九个 0day 是 CVE-2024-7971。Google 证实 CVE-2024-7971 和 CVE-2024-7965 两个漏洞正被利用,但没有披露更多信息。
法国安全服务公司 Quarkslab 的研究员 Philippe Teuwen 发现,复旦微电子集团制造的非接触式读卡器芯片使用了相同的密钥,允许在数分钟内克隆 RFID 智能卡,打开世界各地的房门。复旦微电子在 2020 年发布了用于门锁钥匙、小额支付、会员卡的 FM11RF08S,它使用了被称为“静态加密随机数(static encrypted nonce)”的方法,研究人员设计了一种攻击方法,如果 FM11RF08S 密钥在至少三张卡上重复使用,就能破解它。进一步研究发现,FM11RF08S 存在一个硬件后门——也就是所有卡使用的相同密钥。Teuwen 发现上一代的 FM11RF08 存在相似的后门但使用了不同的密钥,该密钥被发现被 FM11RF08、FM11RF32、FM1208-10,以及 NXP 和 Infineon 的部分卡使用。Quarkslab 督促世界各地的酒店检查其房卡使用的芯片,评估安全风险。
赛门铁克研究人员报告了一种使用罕见技术的后门 Backdoor.Msupedge。它通过 DNS 流量与 C&C(指令控制)服务器通信。它的 DNS 隧道工具是基于公开代码的 dnscat2 工具。Msupedge 还通过 C&C 服务器(ctl.msedeapi[.]net))域名解析到 IP 地址作为指令。解析后的 IP 地址的第三个八位组是一个开关语句,后门的行为将根据该八位组减去 7 的值而进行改变。攻击者可能是通过最近修复的 PHP 高危漏洞 CVE-2024-4577 入侵系统的,漏洞的危险评分 9.8/10,影响 Windows 系统上安装的所有版本的 PHP,成功利用漏洞允许远程执行代码。
根据知情人士的消息,美国油服巨头 Halliburton 遭到网络攻击,影响休斯顿园区和部分全球网络的业务运营。Halliburton 据没有证实也没有否认网络攻击,只是表示公司部分系统发现问题,正在评估原因和潜在影响。知情人士称,Halliburton 要求部分员工不要连上内网。总部位于休斯顿的 Halliburton 是全球最大的油服公司之一,为全球主要能源公司提供钻井服务和设备,有近 48,000 名员工。
自称 ZeroSevenGroup 的组织在黑客论坛声称入侵了丰田在美国的一家子公司,它免费分享了其窃取的 240 GB 数据,内容包括联系人、财务、客户、计划、员工、照片、数据库、网络基础设施、电子邮件等。该组织称使用开源工具 ADRecon 提取了包括凭证在内的网络基础设施信息。丰田随后证实其网络遭黑客入侵,但没有披露入侵是何时发生以及如何发生的细节。
微软在上周的例行安全更新中修复了一个 0day 漏洞 CVE-2024-38193,它位于 AFD.sys 中,属于释放后使用漏洞。微软警告攻击者利用该漏洞能获得系统权限,运行不受信任的代码。软件巨人当时没有披露谁在利用该漏洞。本周一,向微软报告该漏洞的组织 Gen 的研究人员披露,朝鲜黑客组织 Lazarus 在利用该漏洞安装 rootkit。研究人员称,攻击者针对的是从事加密货币工程或在航空航天领域工作的目标,旨在入侵其雇主的网络,以及窃取加密货币。Lazarus 利用该漏洞安装了 FudModule——它属于被称为 rootkit 的恶意程序。微软知道该漏洞之后花了半年时间才修复。黑客利用该漏洞的时间显然远长于半年。
Shawn the R0ck 写道:“
Tetrel Security 公开了一个 SLPD-Lite 漏洞(CVE-2024-41660)的细节,slpd-lite 是 OpenBMC 的组件之一,此漏洞因为由 OpenBMC(部分OEM厂商实现)网络安全产生了严重的影响,因为它允许攻击者在易受攻击的系统上远程执行任意代码。
OpenBMC 是一个为服务器开发标准基板管理控制器(BMC)的标准实现框架。BMC允许对服务器硬件进行远程管理,广泛部署在服务器硬件中,提供监控、日志记录功能以及带外恢复和维护工具。由于BMC通常具有高度特权,因此将BMC网络接口隔离到一个独立的管理网络是安全最佳实践。
Tetrel在审查OpenBMC源代码时发现了slpd-lite子组件中的两个内存损坏漏洞。在典型部署中,成功利用这些漏洞将允许具有对BMC管理网络访问权限的攻击者完全攻陷BMC。
第一个漏洞涉及堆中分配的数据的越界读取,可能泄露信息给攻击者。第二个漏洞允许攻击者在堆中分配的数据结构范围之外进行写入。结合这两个漏洞,可以直接实现远程漏洞利用。Tetrel公开了漏洞成因,和相关技术细节,包括代码片段和漏洞的潜在利用方式。同时,还提供了有关如何确认堆损坏可能性的重现步骤,以及在Ubuntu 22.04.04 LTS上测试漏洞的过程。
如果你的数据中心使用了集成spld-lite的OEM厂商提供的BMC(无论是否基于OpenBMC),务必尽快升级。HardenedVault的OpenBMC实现由于spld-lite并没有集成,所以不受影响。”
OpenBMC 是一个为服务器开发标准基板管理控制器(BMC)的标准实现框架。BMC允许对服务器硬件进行远程管理,广泛部署在服务器硬件中,提供监控、日志记录功能以及带外恢复和维护工具。由于BMC通常具有高度特权,因此将BMC网络接口隔离到一个独立的管理网络是安全最佳实践。
Tetrel在审查OpenBMC源代码时发现了slpd-lite子组件中的两个内存损坏漏洞。在典型部署中,成功利用这些漏洞将允许具有对BMC管理网络访问权限的攻击者完全攻陷BMC。
第一个漏洞涉及堆中分配的数据的越界读取,可能泄露信息给攻击者。第二个漏洞允许攻击者在堆中分配的数据结构范围之外进行写入。结合这两个漏洞,可以直接实现远程漏洞利用。Tetrel公开了漏洞成因,和相关技术细节,包括代码片段和漏洞的潜在利用方式。同时,还提供了有关如何确认堆损坏可能性的重现步骤,以及在Ubuntu 22.04.04 LTS上测试漏洞的过程。
如果你的数据中心使用了集成spld-lite的OEM厂商提供的BMC(无论是否基于OpenBMC),务必尽快升级。HardenedVault的OpenBMC实现由于spld-lite并没有集成,所以不受影响。”
俄罗斯安全公司卡巴斯基的研究人员报告,中国黑客上个月被发现入侵俄罗斯政府机构和 IT 公司的计算机。它将这一行动命名为 EastWind。攻击者首先发送含有恶意外链附件的钓鱼邮件,先是通过云储存服务 Dropbox 获取指令下载恶意程序,之后改用了俄罗斯流行的社交网络 LiveJournal 和问答网站 Quora。它在目标设备上安装了远程访问木马 GrewApach、PlugY 后门、新版本的 CloudSorcerer 后门。其中 PlugY 后门此前未知,研究人员还在分析中,它被怀疑是基于 DRBControl 后门代码开发的。
透明行动组织 Distributed of Denial of Secrets (DDoSecrets) 的一位联合创始人曾是暗网毒枭。Thomas White 是丝绸之路 2.0 的管理员,因持有儿童色情材料而被起诉,根据警方公布的聊天记录,他曾设想建立儿童色情网站以及为恋童癖开设网站,他被判入狱五年零四个月。在服刑五年之后,他公开接受采访,表达了对丝绸之路创始人 Ross Ulbricht 的同情,认为对其的刑期过于严重。 DDoSecrets 填补了 Wikileaks 的空白,是目前最大发布泄密数据的平台。它的另一位联合创始人是 Emma Best。
现代和起亚去年二月向数百万辆汽车提供免费软件更新,以应对 TikTok 上病毒式传播的“起亚挑战(Kia Challenge)”视频。现代和起亚汽车被盗非常容易,2015-2019 年款的现代和起亚汽车缺乏电子防盗控制系统以阻止盗车贼闯入和绕过点火装置,其它厂商同期车型该功能几乎是标配。现代及其子公司起亚释出的软件更新,将警报声长度从 30 秒延长到 1 分钟,且需要车钥匙插入点火开关才能启动汽车。在一年半之后,现代和起亚被盗率大幅下降。2020 年出到 2023 年上半年,现代和起亚车型盗窃案增加了 1000% 以上。如今根据新数据,相比未升级的同型号同年份车型,升级软件的车型整车盗窃保险索赔降低了 64%。现代公司的发言人表示,有 61% 符合条件的车型升级了软件,逾 200 万辆汽车获得了软件更新。
即使奶农也避免不了遭遇网络攻击。瑞士 Hagendorn 一位奶农的计算机系统遭到了勒索软件攻击,黑客索要 1 万美元的赎金。这台计算机连接了挤奶机器,接收奶牛健康相关的重要信息。由于计算机被锁定,奶农没有收到紧急情况信息。这位奶牛有身孕,胎儿在子宫内死亡了,这一紧急情况未及时发现,等到发现时为时已晚。奶牛最终死亡。兽医费用和购买新计算机,奶农总共花掉了 6400 欧元,黑客当然也是一无所获。
新加坡学校发给学生使用的 iPad 和 Chromebook 设备运行了移动设备管理应用 Mobile Guardian,该应用遭到了黑客入侵,导致了一部分设备被取消注册,上面的数据被远程清除。Mobile Guardian 表示没有证据表明黑客访问了用户数据。这是该公司今年内第二次被黑客入侵。新加坡教育部表示已将 Mobile Guardian 从设备上全部移除。初步检查显示,新加坡 26 所中学约 1.3 万名学生储存在个人学习电子配备的资料遭人远程删除。截至本周三,新加坡教育部表示云端备份的信息已经全部恢复。教育部发言人表示,当局与学校密切合作,并优先恢复将在今年参加全国考试的学生的设备。教育部也增派工程师到学校,帮助受影响的学生恢复设备正常使用。当局预计在下周末前,能修复完其余受影响的设备。
通过 HTTP 更新软件容易遭到中间人攻击。Volexity 公司的安全研究员披露,黑客组织 StormBamboo aka Evasive Panda、Daggerfly 和 StormCloud 入侵一家 ISP,对目标组织发动了 DNS 中毒攻击,纂改了与 HTTP 自动软件更新相关的特定域名的 DNS 查询响应,导致软件在检查更新时安装了恶意程序而不是预期的更新。Volexity 通知了相关 ISP 阻止了中间人攻击。研究人员报告,黑客在入侵目标组织之后,安装了恶意的 Google Chrome 扩展 ReloadText,收集和窃取了浏览器 cookie 和邮件数据。
根据 Zscaler ThreatLabz 的一份报告,一家财富 50 强企业今年初向勒索软件组织 Dark Angels 支付了创纪录的 7500 万美元赎金。此前已知金额最高的赎金是保险公司 CNA 向 Evil Corp 组织支付的 4000 万美元赎金。报告没有披露是哪家公司,但根据财富 50 强和攻击时间可以推断是制药巨头 Cencora。Cencora 在今年 2 月遭到了网络攻击,但没有一个组织宣布对此负责,这可能意味着该公司已经支付了赎金,Cencora 在财富 50 强企业中排名第 10。Dark Angels 专门瞄准少数高价值的目标以获取高额赎金,而不是同时针对多家公司获取多笔金额较小的赎金。它通常一次只攻击一个大公司,运作模式与大多数勒索软件组织不相同。
微软安全研究员督促 VMware ESXi hypervisor 用户立即采取行动,因为勒索软件组织正利用漏洞获得完整管理权限。ESXi 是 Type 1 hypervisor,aka 裸机 hypervisor,它本身就是操作系统,不是运行在 Windows 或 Linux 之上,相反客户操作系统则是运行在 ESXi 上,因此完整控制 ESXi 将赋予攻击者巨大的破坏能力。黑客利用的漏洞被称为 CVE-2024-37085,允许在目标服务器上获得有限系统权限的攻击者获得对 ESXi 的完全管理控制权。包括 Storm-0506、Storm-1175、Octo Tempest 和 Manatee Tempest 在内的勒索软件组织正在利用该漏洞。微软已将该漏洞报告给了 VMware,VMware 母公司 Broadcom 已经修复了该漏洞。安全研究员发现,如果你已经属于域管理员组(domain admin),那么只需要创建一个新的域组 ESX Admins,那么任何分配给该组的用户就会自动提权为 ESXi 不受限制的管理员,无需身份验证。
洛杉矶威尔郡大道(Wilshire)警局发出警告,一部分盗贼正利用干扰设备干扰 Wi-Fi 安全摄像头,在闯入室内前使摄像头停止工作。警方称这些盗贼相当专业,分工明确,有专门放哨的人,他们会从二楼闯入,抢劫珠宝和名牌皮包等高价值但体积小巧的物品。警方建议居民继续使用苹果 Air Tags 去标记汽车或钱包等贵重物品,以及与 Wi-Fi 提供商讨论如何硬接线防盗警报系统。警方还建议居民在外出度假时不要通过社交媒体广而告之。
2007 年,中国研究员 icelord 在 CSDN 发表了一篇博文,介绍了 BIOS Rootkit 的一种简单实现。2011 年,被称为 Mebromi 的 BIOS Rootkit 实现走到了现实生活里。2012 年行业联盟宣布采用 Secure Boot 去抵御 BIOS 恶意程序。Secure Boot 基于 BIOS 继任者 UEFI,它使用公钥加密阻止加载任何未使用预批准数字签名签名的代码。固件安全供应商 Binarily 上周发布的报告显示,戴尔、宏碁、富士通、技嘉、惠普、英特尔、联想和超微销售的数百款 PC 使用了 2022 年泄露的测试平台密钥(PK)保护其 UEFI Secure Boot 实现。加密密钥的泄露意味着 Secure Boot 所提供的安全保护被破坏了。泄露密钥由 AMI 创建,主要提供给客户测试用,但测试密钥却不知何故进入了产品中,而且在这些公司的 PC 产品中共享。Binarly 创始人兼 CEO Alex Matrosov 指出,想象一下,一栋公寓楼所有住客都有相同的前门锁和钥匙。如果有人丢失钥匙,整栋楼都会出问题。更糟的情况是,其它建筑物也使用了相同的锁和钥匙。总共有 215 款 PC 受到影响,你可以检查下自己使用的 PC 型号是否名单中。
微软在 2014 年完全终止了对 Windows XP 的支持,10 年后一台没有保护的 XP 系统联网的话会发生什么?它被恶意程序入侵的速度有多快?在几小时内 Malwarebytes 观察到了八种不同的病毒/木马,一个 DNS 改变器,一个新的用户账号,他甚至还打开了 Internet Explorer。Windows XP 相比今天的主流操作系统明显缺乏安全保障,但仍然有很多人使用它。根据 Statcounter 的统计,在中国 XP 占到了所有 Windows 版本的 1.48%,如果有一亿台 Windows 机器的话,那么运行 XP 的机器仍然数以百万计。
在因 CrowdStrike 问题更新导致全世界大约 850 万台 PC 蓝屏死机一周之后,该公司 CEO George Kurtz 表示 97% 运行该公司安全软件的系统恢复了上线。这意味着还有大约 25 万台 PC 受到影响。微软副总裁 John Cable 表示,有逾五千名支持工程师昼夜不停的工作帮助清理 CrowdStrike 更新导致的混乱,他表示微软考虑修改安全软件使用的内核访问权限,只要能不违反欧盟监管机构的规定。包括 CrowdStrike 在内的绝大多数安全软件都有内核访问权限,具有系统软硬件的完整访问能力,但这也意味着如果出错将会造成巨大破坏。macOS 限制了第三方内核扩展,因此 CrowdStrike 的问题没有影响到 macOS 系统。