文章提交注意事项:
请在发布文章时用HTML代码加上至少一条新闻来源的链接;原创性消息,可加入相关信息(如涉及公司的网址)的链接。有任何问题,邮件至:he.fang#zhiding.cn
注意:收到邮件乱码的用户请修改客户端的默认字体编码,从"简体中文(GB2312)"修改为"Unicode(UTF-8)"。
solidot新版网站常见问题,请点击这里查看。
CA 和浏览器开发商计划停止将 WHOIS 用于 TLS 域名验证。CA/Browser Forum 允许 CA 向 WHOIS 记录中列出的电子邮件发送邮件,当接收者点击链接后其申请的证书将会自动获得批准。安全公司 watchTowr 的研究人员演示了攻击者如何滥用该规则欺诈性的获取他们不拥有的域名证书。这一安全漏洞是因为缺乏统一规则判断声称提供官方 WHOIS 记录的网站的有效性。研究人员通过部署假的 WHOIS 服务器和假的 IP 记录实现了漏洞利用。Google 因此提议停止将 WHOIS 用于域名验证。
乌克兰国家安全机构 National Security and Defence Council 宣布在政府官员、军方人员和关键工作人员使用的官方设备上禁止使用 Telegram,担心俄罗斯可能通过 Telegram 监视信息和用户。乌克兰的最新限制仅限于官方设备,不适用个人设备。Telegram 在乌克兰和俄罗斯都被广泛使用,是双方重要的信息来源,但乌克兰安全官员多次对战时使用 Telegram 表达了担忧。Telegram 总部位于迪拜,创始人是出生于俄罗斯的 Pavel Durov。
德国联邦信息安全局(Federal Office for Information Security)表示,十分之一受 CrowdStrike 事件影响的组织正在抛弃旧的安全解决方案,其中 4% 已经放弃,另外 6% 即将放弃。联邦信息安全局没有澄清它所指的旧安全方案是否就是 CrowdStrike 公司的 Falcon 产品。这一结果来自对 311 家受影响德国机构的调查。23% 的被调查组织表示他们首先是从社交媒体而不是 CrowdStrike 公司了解此事的,48% 的组织被迫短时间停止运营,它们的平均下线时间是 10 小时。除了影响业务连续性外,40% 的组织表示它们与客户的关系受到了此事件的损害。66% 被调查组织表示已改进或将改进应急方案。
黑客组织 NullBulge 入侵了迪士尼企业内部通信使用的工具 Slack,窃取并公开了数千 Slack 频道的数据,包括代码和未发布项目信息。NullBulge 泄露了愈 1 TB 数据,这一入侵发生在 7 月,迪士尼 8 月表示正对此展开调查。路透社现在报道,迪士尼计划停止将 Slack 作为整个公司的协作工具,部分团队已经切换到其他协作工具,预计今年晚些时候完成过渡。
FBI 局长 Christopher Wray 周三披露该机构上周接管了一个中国黑客组织控制的僵尸网络,该僵尸网络由数十万台联网设备如摄像头、录像机、NAS 存储设备和路由器构成。该组织被称为 Flax Typhoon,瞄准了美国及海外的关键基础设施,针对了美国企业和媒体机构到大学和政府机构。该僵尸网络利用了恶意程序 Mirai 感染容易入侵的联网设备。FBI 发现了一个包含愈 120 万条被感染设备记录的数据库,其中美国设备数量超过 38.5 万台。
安全公司 Doctor Web 报告,它监测到 197 个国家/地区用户的近 130 万 Android 机顶盒被植入后门 Android.Vo1d。木马作者使用了 vo1d 这一名字命名组件的原因可能是试图将其伪装成系统程序 /system/bin/vold,它也由此文件名称而得名。Android.Vo1d 感染的机顶盒型号分别为运行 Android 7.1.2 的 R4,运行 Android 12.1 的 TV BOX,以及 Android 10.1 的 KJ-SMART4KVIP。攻击者选择电视机顶盒作为目标的一个可能原因是此类设备通常操作系统是陈旧的版本,没有修复漏洞,并且厂家不再提供更新。研究人员不清楚机顶盒后门感染的源头。一种可能的媒介可能是中介恶意软件利用操作系统漏洞获取了 root 权限,另一种可能是使用了具有 root 访问权限的非官方固件版本。
德国 Tor 节点运营者于 8 月 16 日再次遭当地警方的突击搜查。第一次搜查是在 2017 年。德国警方可能仍然认为搜查节点运营者有助于去匿名化个别 Tor 用户的身份。运营者表示警方基本上是空手而归,他们准备挑战搜查令以确保类似的事件不会再次发生。但此类行动也令节点运营者感到不安,考虑停止运营出口节点。Tor 出口节点是构成 Tor 回路的三个中继的最后一跳,连接了Tor 匿名网络与开放互联网,出口节点运营者面临最大的风险。
微软周二对一个正被利用 0day 漏洞发出警告,攻击者正利用该漏洞回滚特定 Windows 版本的安全补丁。该漏洞编号为 CVE-2024-43491,严重等级 9.8/10。这是一种降级攻击,主要影响 2015 年发布的 Windows 10 v1507,更高版本的 Windows 10 不受影响。微软建议用户按次序安装 SSU KB5043936 和 9 月例行安全更新 KB5043083。
美国网络安全公司 CrowdStrike 今年 7 月因为有问题的更新导致了全世界的 Windows 主机蓝屏死机,有逾 800 万台 PC 受到影响,是过去十年最严重的安全事故。达美航空CEO Ed Bastian 上个月表示,该公司因此次事故损失了 5 亿美元。CrowdStrike CFO Burt Podbere 在花旗的会议上表示,尚未有客户正式提起诉讼,称公司致力于将客户关注的焦点从法律威胁转移到业务讨论上。他承认不知道这一切会如何收场,他希望随着时间的推移,法律威胁将会逐渐消失。
广泛使用的双因素验证硬件令牌 YubiKey 5 存在加密漏洞,攻击者短时间物理接触该设备后能对其进行克隆。该加密漏洞被称为侧信道,存在于其使用的一个微控制器中,而该微控制器被大量身份验证设备使用。研究人员确认 YubiKey 5 系列所有型号都能被克隆,不过没有测试其它使用该微控制器的设备。YubiKey 5 使用的微控制器是英飞凌(Infineon)制造的 SLE78,以及后续型号 Optiga Trust M 和 Optiga TPM。研究人员怀疑所有使用这三种微控制器的设备都存在相同的漏洞。5 月释出的 YubiKey 5 v5.7 新固件修复了该漏洞,它使用定制的加密库取代了英飞凌的加密库。但 YubiKey 5 本身是无法更新固件的,这意味着所有运行旧版本固件的 YubiKey 5 将会永久性存在该漏洞。
美国油服巨头 Halliburton 周二证实上个月遭到了网络攻击,表示未经授权的第三方访问并删除了其系统中的数据。上个月的攻击影响了 Halliburton 休斯顿园区和部分全球网络的业务运营。总部位于休斯顿的 Halliburton 是全球最大的油服公司之一,为全球主要能源公司提供钻井服务和设备,有近 48,000 名员工。该公司表示正在评估被删除信息的性质和范围,但认为不太可能产生重大影响。它没有透露更多信息,包括是否被黑客联系商讨支付赎金之类。
安全公司 ESET 报告在自由软件 IM 客户端 Pidgin 的官方插件库发现恶意程序。被称为 ScreenShareOTR 的插件伪装成支持 Off-The-Record (OTR)协议的屏幕共享工具,但实际上会悄悄安装恶意程序 DarkGate。该恶意程序只感染 Windows 操作系统。安全研究人员建议安装了该插件的用户立即卸载并用杀毒软件完整扫描系统。Pidgin 维护者 Gary Kramlich 表示他们没有跟踪一个插件的安装次数。为防止类似事件再次发生,Pidgin 宣布从现在起将只接受采用 OSI 批准开源许可证的第三方插件。
黑客正利用升泰科技一款已停产停止支持的网络安全探头的 0day 安装恶意程序 Mirai 组建僵尸网络。Akamai 称,攻击者利用的是 AVM1203 上一个有 5 年历史的漏洞 CVE-2024-7029,该漏洞很容易利用,能被用于执行恶意代码。AVM1203 已停售和停止支持,因此不会有补丁去修复该漏洞。攻击者正利用漏洞安装 Mirai 的一个变种。鉴于该探头已停止支持,因此修复该漏洞的最佳方法是更换探头。
韩国黑客组织 APT-C-60 利用了 Windows 版 WPS Office 的一个 0day 在目标设备上安装后门 SpyGlace。WPS 是金山开发的办公软件,在全球有逾 5 亿活跃用户。黑客利用的 0day 被称为 CVE-2024-7262,影响版本从 12.2.0.13110(2023 年 8 月)到 12.1.0.16412(2024 年 3 月)。金山在 3 月悄悄修复了漏洞,但没有向客户披露该漏洞正被活跃利用,促使安全公司 ESET 就该漏洞公布了一份详细报告。CVE-2024-7262 与软件如何处理自定义协议处理器的方式相关,其中 ksoqing:// 允许文档中嵌入的特制 URL 执行外部应用。APT-C-60 创建了 MHTML 文件,嵌入了隐藏在诱饵图像下的恶意超链接,引诱受害者点击图像触发漏洞。金山修复 CVE-2024-7262 的补丁并不完整,ESET 研究人员发现了第二个任意代码执行的高危漏洞 CVE-2024-7263。金山在 5 月修复了新的漏洞。为修复这两个漏洞 WPS 用户需要尽可能快的升级到 v12.2.0.17119 及以上版本。
Google Chrome 浏览器今年至今修复了 10 个 0day。其中第 10 个是安全研究员 TheDog 报告的 CVE-2024-7965,是编译器后端在选择要生成的 JIT 编译指令时的一个 bug 导致的,位于 V8 JS 引擎中,远程攻击者可通过特制 HTML 页面利用堆损坏。第九个 0day 是 CVE-2024-7971。Google 证实 CVE-2024-7971 和 CVE-2024-7965 两个漏洞正被利用,但没有披露更多信息。
法国安全服务公司 Quarkslab 的研究员 Philippe Teuwen 发现,复旦微电子集团制造的非接触式读卡器芯片使用了相同的密钥,允许在数分钟内克隆 RFID 智能卡,打开世界各地的房门。复旦微电子在 2020 年发布了用于门锁钥匙、小额支付、会员卡的 FM11RF08S,它使用了被称为“静态加密随机数(static encrypted nonce)”的方法,研究人员设计了一种攻击方法,如果 FM11RF08S 密钥在至少三张卡上重复使用,就能破解它。进一步研究发现,FM11RF08S 存在一个硬件后门——也就是所有卡使用的相同密钥。Teuwen 发现上一代的 FM11RF08 存在相似的后门但使用了不同的密钥,该密钥被发现被 FM11RF08、FM11RF32、FM1208-10,以及 NXP 和 Infineon 的部分卡使用。Quarkslab 督促世界各地的酒店检查其房卡使用的芯片,评估安全风险。
赛门铁克研究人员报告了一种使用罕见技术的后门 Backdoor.Msupedge。它通过 DNS 流量与 C&C(指令控制)服务器通信。它的 DNS 隧道工具是基于公开代码的 dnscat2 工具。Msupedge 还通过 C&C 服务器(ctl.msedeapi[.]net))域名解析到 IP 地址作为指令。解析后的 IP 地址的第三个八位组是一个开关语句,后门的行为将根据该八位组减去 7 的值而进行改变。攻击者可能是通过最近修复的 PHP 高危漏洞 CVE-2024-4577 入侵系统的,漏洞的危险评分 9.8/10,影响 Windows 系统上安装的所有版本的 PHP,成功利用漏洞允许远程执行代码。
根据知情人士的消息,美国油服巨头 Halliburton 遭到网络攻击,影响休斯顿园区和部分全球网络的业务运营。Halliburton 据没有证实也没有否认网络攻击,只是表示公司部分系统发现问题,正在评估原因和潜在影响。知情人士称,Halliburton 要求部分员工不要连上内网。总部位于休斯顿的 Halliburton 是全球最大的油服公司之一,为全球主要能源公司提供钻井服务和设备,有近 48,000 名员工。
自称 ZeroSevenGroup 的组织在黑客论坛声称入侵了丰田在美国的一家子公司,它免费分享了其窃取的 240 GB 数据,内容包括联系人、财务、客户、计划、员工、照片、数据库、网络基础设施、电子邮件等。该组织称使用开源工具 ADRecon 提取了包括凭证在内的网络基础设施信息。丰田随后证实其网络遭黑客入侵,但没有披露入侵是何时发生以及如何发生的细节。
微软在上周的例行安全更新中修复了一个 0day 漏洞 CVE-2024-38193,它位于 AFD.sys 中,属于释放后使用漏洞。微软警告攻击者利用该漏洞能获得系统权限,运行不受信任的代码。软件巨人当时没有披露谁在利用该漏洞。本周一,向微软报告该漏洞的组织 Gen 的研究人员披露,朝鲜黑客组织 Lazarus 在利用该漏洞安装 rootkit。研究人员称,攻击者针对的是从事加密货币工程或在航空航天领域工作的目标,旨在入侵其雇主的网络,以及窃取加密货币。Lazarus 利用该漏洞安装了 FudModule——它属于被称为 rootkit 的恶意程序。微软知道该漏洞之后花了半年时间才修复。黑客利用该漏洞的时间显然远长于半年。