adv

solidot此次改版内容包括服务器更新、编程语言、网站后台管理的优化、页面和操作流程的优化等。
安全
ai(3896)
发表于2020年04月08日 12时36分 星期三
来自
微软以未披露的价格从 Mike O’Connor 手中收购了 Corp.com 域名。今年二月,O’Connor 以起售价 170 万美元拍卖 Corp.com 域名,引发了安全方面的担忧,原因是命名空间冲突——即内网使用的域名在外网能被正常解析。基于 Windows 的企业内网通过 Active Directory 进行集中式目录管理服务,其中一项叫 DNS name devolution 的功能允许内网机器通过简写访问其他机器或服务器上的资源。举例来说,一共享硬盘的完整名称是 drive1.internalnetwork.example.com,内网设备可输入 drive1 即可访问该硬盘,不用输入完整名称。Corp.com 的问题在于 Windows 早期版本的默认或示例 Active Directory 路径是 corp,很多企业没有修改就直接采用了这个设置。在机器普遍为台式机的时代,这么做没什么问题。但在企业普遍使用笔记本电脑的时代,这就产生了安全方面的问题,因为雇员可能会在外网使用公司的笔记本电脑。在连接外网的情况下,笔记本上的部分资源可能会尝试访问内网的 corp 域名,而 Windows 的 DNS name devolution 工作方式会导致它寻求访问 Corp.com 上的资源。谁控制了 Corp.com 域名就可以被动拦截许多企业计算机的私密通信。收购该域名的微软表示这可以更好的保护客户。
安全
WinterIsComing(31822)
发表于2020年04月07日 22时33分 星期二
来自
奇虎 360 安全博客披露,政府支持的黑客组织 DarkHotel 利用深信服 SSL VPN 服务器 0day 漏洞入侵了中国政府机构。有 200 多台深信服服务器遭到入侵,一百多台位于政府机构的网络内。攻击者入侵服务器之后,劫持了用户的更新程序,用嵌入后面的版本替换了合法版本。后门版本的 SangforUD.exe 使用了伪装成深信服的签名。位于意大利、英国、巴基斯坦、吉尔吉斯斯坦、印尼、泰国、阿联酋、亚美尼亚、朝鲜等地的中国海外机构遭到攻击。四月初,攻击扩大到了北京和上海的政府机构。
安全
WinterIsComing(31822)
发表于2020年04月07日 13时43分 星期二
来自
深信服发表声明,证实其 VPN 设备存在漏洞,攻击者正利用漏洞欺骗设备下载恶意的更新包。深信服称,它的 SSL VPN 设备 Windows 客户端升级模块签名验证机制存在缺陷。攻击者如果利用其它已知漏洞或弱密码控制设备之后可以纂改升级配置文件,将升级包下载指向攻击者控制的恶意文件和对应文件 MD5。当客户端检测到更新启动下载之后它会下载恶意的更新包,执行安装在设备上植入木马。深信服称受影响的版本为 M6.3R1 和 M6.1。
安全
WinterIsComing(31822)
发表于2020年04月02日 17时26分 星期四
来自
安全研究人员发现了至少五种 COVID-19 主题的恶意程序,其中四种设计是去破坏被感染的计算机,删除文件或覆写主引导记录,还有一种可能只是测试或恶作剧。第一种能覆写主引导的新冠恶意程序是 MalwareHunterTeam 发现的,名字就叫 COVID-19.exe;第二种则伪装成勒索软件,但其主要功能是窃取密码。MalwareHunterTeam 还报告了数据删除的新冠主题恶意程序,其中一种使用中文文件名,可能设计针对中文用户,还不清楚这种恶意程序是否广泛传播或只是测试。
安全
WinterIsComing(31822)
发表于2020年04月01日 18时13分 星期三
来自
安全研究员报告,流行的路由器发行版 OpenWRT 容易受到远程代码执行攻击,原因是它的更新是通过未加密渠道传输的,其数字签名验证很容易绕过。OpenWRT 被广泛用于路由器和其它嵌入式系统,安全研究员 Guido Vranken 发现它的更新和安装文件是通过 HTTP 连接传输的,容易受到中间人攻击,攻击者可以用恶意更新文件去替换合法更新文件。除此之外,它的数字签名检查和验证也很容易绕过,验证函数 checksum_hex2bin 存在 bug,在输入字符串前加空格可绕过检查,该 bug 是在 2017 年 2 月引入的。组合这两个弱点攻击者可以向设备发送恶意更新并自动安装。OpenWRT 维护者已经释出了更新部分修复了问题。
安全
WinterIsComing(31822)
发表于2020年04月01日 14时23分 星期三
来自
万豪发表声明,表示再次发生了客户信息泄露事故。万豪称,它在 2 月底发现了两名雇员的登陆凭证被用于访问了大量客户信息。这一活动始于 2020 年 1 月中旬,它迅速禁用相关登陆凭证,立即展开了调查。调查还在继续,目前所知有大约 520 万客户的信息泄露,泄露的信息包括了姓名、地址、电邮地址和电话号码等联络信息,账号和积分余额,以及企业、性别和生日等个人信息,客房偏好等。它没有发现账号密码或 PIN 码,支付卡信息、身份证或驾照等敏感信息泄露。万豪曾在 2018 年报告它旗下的喜达屋酒店预订系统遭到非法访问,非法访问的时间长达四年之久,多达五亿客户的信息泄露。
安全
WinterIsComing(31822)
发表于2020年03月27日 17时18分 星期五
来自
Google 报告,它在 2019 年向用户发出了大约 4 万次国家支持黑客攻击的警告。受到攻击的账号所有者主要为政府官员、记者、异议人士和地缘竞争对手。这一数字比 2018 年下降了约四分之一,部分原因是新的安全保护措施,而黑客则更有针对性的选择攻击对象。收到超过一千次警告的国家包括了美国、印度、巴基斯坦、韩国和日本。发动攻击的黑客被认为主要来自伊朗和朝鲜以及俄罗斯。Google 特地举了俄罗斯黑客组织 Sandworm 的例子,Sandworm 被认为发动了至今影响最严重的攻击,包括攻击乌克兰的电力设施,导致了两次严重断电事故。
安全
WinterIsComing(31822)
发表于2020年03月26日 20时23分 星期四
来自
最大的暗网托管商 Daniel's Hosting 再次被黑,数据库被删除,托管的 7600 个网站全部下线。它上一次被黑发生在 2018 年 11 月,这一次发生在 3 月 10 日,站长 Daniel Winzen 在一份声明中称,攻击者访问了服务的后端,删除了所有托管相关的数据库,攻击者随后还删除了 Winzen 的数据库账号,创建了一个新的账号。Winzen 是在第二天发现入侵的,但为时已晚。他的服务设计没有备份——如果有备份的话托管商可能会收到法庭的传票,如果其托管的某个网站遭到调查的话——意味着数据无法恢复。Winzen 表示他不知道黑客是如何入侵的,表示现在忙其它项目,没时间调查。
安全
WinterIsComing(31822)
发表于2020年03月26日 16时58分 星期四
来自
Github pages 可能遭遇中间人攻击。中国 IP 访问会显示一个无效的证书,域名所有者使用了一个腾讯的邮箱“346608453@qq.com”,Github 显然不可能会用腾讯邮箱。使用境外 IP 访问则返回了 DigiCert 签发的有效证书,使用的名字都是 GitHub。目前不清楚中间人攻击范围有多大。
安全
WinterIsComing(31822)
发表于2020年03月25日 21时38分 星期三
来自
Google Play 应用商店虽然会预先对应用进行安全扫描,但还有部分恶意应用能逃避检测上架供用户下载。安全公司 Check Point 的研究人员发现了 56 个应用包含有恶意程序 Tekya,其中 24 个应用是面向儿童的。Tekya 用于生成欺诈性点击。Google 在收到举办之后移除了所有 56 个应用。这些应用被下载了大约 170 万次。杀毒软件公司 Dr.Web 报告了另一个未被发现的恶意应用,它被下载了 70 多万次,包含了恶意程序 Android.Circle.1,具有广告软件和欺诈性点击功能。
安全
WinterIsComing(31822)
发表于2020年03月24日 13时12分 星期二
来自
微软警告黑客正在利用一个 Windows 0day 漏洞去执行恶意代码。漏洞存在于 Adobe Type Manager Library 中,这个 DLL 文件被应用广泛用于管理和渲染 Adobe Systems 的字体。它由两个代码执行漏洞构成,可以通过不正确处理 Adobe Type 1 Postscript 格式的恶意主字型触发。攻击者诱骗目标打开恶意文档或在 Windows 预览面板浏览文件来利用该漏洞。在补丁释出前,微软建议用户禁用 Windows Explorer 的 Preview Pane 和 Details Pane,或禁用 WebClient 服务,重命名 ATMFD.DLL。采用这些权益方法可能会导致其它问题。
安全
WinterIsComing(31822)
发表于2020年03月24日 12时16分 星期二
来自
路透社援引知情人士的消息报道,本月初精英黑客试图侵入世界卫生组织(WHO)。WHO 信息安全官员 Flavio Aggio 表示,黑客的身份尚不清楚,而且没有成功侵入。但是他警告说,在 WHO 及其伙伴忙着控制新冠疫情之际,这些黑客侵入企图升高。黑石法律集团律师、网络安全专家Alexander Urbelis 率先披露有黑客侵入 WHO。Urbelis 表示,他掌握到 3 月 13 日左右,他一直关注的一群黑客激活了一个模仿 WHO 内部电子邮件系统的恶意网站。Aggio 证实,Urbelis 发现的这个网站被用来试图窃取多个工作人员的密码。
安全
WinterIsComing(31822)
发表于2020年03月23日 21时27分 星期一
来自
对于黑客在暗网出售 5.38 亿微博用户信息,新浪微博的回应是,泄漏的手机号是 2019 年通过通讯录上传接口被暴力匹配的,其余公开信息都是网上抓来的,并表示这起数据泄露不涉及身份证、密码,对微博服务没有影响。社交 app 多有通过通讯录匹配好友的功能。攻击者可以伪造本地通讯录来获得手机号到微博用户账号的关联。比如先伪造通讯录有 xxxx00001 到 xxxx010000 手机号匹配好友,再伪造 xxxx010001 到 xxxx020000 手机号匹配好友,不断列举,就能关联出微博 id 到手机号的关系。新浪微博表示已经上报给司法机关,称部分用户使用了和其他平台相同账号密码,可能导致其微博账号面临被盗的风险。但黑客出售的信息包括了性别、位置等非公开信息,这些信息无法通过 API 匹配通讯录返回。这些微博用户数据究竟来自何处引发了很多担忧
安全
WinterIsComing(31822)
发表于2020年03月23日 19时57分 星期一
来自
安全研究人员报告,台湾合勤(Zyxel)和利凌(LILIN)所生产 DVR 设备的高危漏洞正被攻击者利用去组建僵尸网络发动分布式拒绝服务攻击。奇虎 360 的研究人员称,从 2019 年 8 月 30 日起,多个攻击团伙使用 LILIN DVR 0-day 漏洞传播 Chalubo,FBot,Moobot 僵尸网络。LILIN 0-day 漏洞主要包括:硬编码登陆账号密码,命令注入漏洞和任意文件读取漏洞。奇虎在 2020 年 1 月 19 日联络了 LILIN,2 月 13 日 LILIN 释出了新版固件修复了漏洞。Palo Alto Networks 的研究人员报告合勤 NAS 设备预认证命令注入漏洞被利用安装 Mirai 变种 Mukashi。合勤的漏洞非常容易利用,其漏洞安全评分为 9.8/10。
安全
WinterIsComing(31822)
发表于2020年03月21日 21时37分 星期六
来自
因新冠疫情和旅行限制,Pwn2Own 黑客挑战赛春季版首次在虚拟环境中进行。参赛队伍提前向组织者发送漏洞利用代码,然后在所有参赛者在场的情况下组织者直播执行利用代码。在两天的比赛中,有六支团队设法入侵了 Windows、macOS、Ubuntu、Safari、Adobe Reader、Oracle VirtualBox,所有漏洞都立即报告给了相关企业。其中安全研究员 Amat Cama 和 Richard Zhu 组建的 Team Fluoroacetate 得到了九分赢得了比赛。大部分被利用的都是本地提权漏洞。
安全
WinterIsComing(31822)
发表于2020年03月19日 22时41分 星期四
来自
安全公司 Lookout 的研究人员披露间谍应用正在利用新冠疫情。其中一个应用叫 corona live 1.1,是合法应用 corona live 的木马版本,它内置了商业间谍软件 SpyMax,允许攻击者控制感染的设备。对该应用的分析显示,其开发还处于早期阶段,它有一个硬编码的控制服务器地址。在检查控制服务器域名时,研究人员发现它正被大约 29 个应用使用,所有这些应用都利用商业间谍软件监视终端用户。Lookout 还没有判断该应用是如何传播的,有多少设备被感染。
安全
WinterIsComing(31822)
发表于2020年03月16日 15时45分 星期一
来自
WordPress 作为最流行的博客平台,有着丰富的扩展和主题生态系统。然而主题和扩展也经常成为 WordPress 网站的安全隐患,原因是网站管理人员在安装扩展或主题之后就不再更新。当扩展或主题发现安全漏洞释出补丁后,很多 WordPress 网站被发现没有及时更新。现在,开发者正在为主题和扩展加入自动更新功能,一旦推送给用户,网站管理者将可以在管理面板配置主题和扩展的自动更新。WordPress core 早在 2013 年发布的 v3.7 起就引入了安全补丁自动更新机制。
安全
WinterIsComing(31822)
发表于2020年03月13日 14时30分 星期五
来自
本周早些时候,微软披露了 Server Message Block (SMB)v3.1.1 协议中的一个漏洞 CVE-2020-0796,允许攻击者在目标服务器和终端用户计算机上远程执行代码。SMB 服务被用于在本地和互联网上共享文件、打印机和其它资源,漏洞影响 Windows 10 v1903 和 1909,以及 Windows Server v 1903 和 1909。漏洞涉及到一个内核驱动的整数溢出和下溢,攻击者可利用特质恶意包去触发整数溢出或下溢。微软现在释出了紧急补丁 KB4551762 修复该漏洞。
安全
WinterIsComing(31822)
发表于2020年03月12日 14时08分 星期四
来自
微软发布安全公告,Server Message Block (SMB)v3.1.1 中的一个漏洞允许攻击者在服务器和终端用户计算机上执行代码。SMB 服务被用于在局域网本地和互联网上共享文件、打印机和其它资源。漏洞编号 CVE-2020-0796,影响 Windows 10 v1903 和 1909,以及 Windows Server v 1903 和 1909。微软尚未提供补丁,也没有透露它将何时释出补丁。微软发言人表示暂时无新信息与外界分享。微软表示,该漏洞可通过禁用压缩防止其被用于攻击 SMBv3 服务器,用户可通过 PowerShell 输入指令“Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force”关闭压缩。这并不能保护连接恶意 SMB 服务的客户端或服务器,但这一攻击将不会像蠕虫一样扩散。微软还推荐屏蔽用于发送 SMB 流量的端口 445。
安全
WinterIsComing(31822)
发表于2020年03月12日 11时00分 星期四
来自
杀毒软件通常以最高的系统权限运行,因此杀毒软件中的漏洞很容易影响到整个系统。捷克杀毒软件 Avast 的主进程是 AvastSvc.exe,运行权限 SYSTEM,它通过加载底层杀毒引擎去分析不能信任的数据。它的 JS 引擎被发现未沙盒化,它的任何漏洞都是高危的,很容易被远程攻击者利用。Google 安全研究员 Tavis Ormandy 在 GitHub 上公布了他的发现。他已经报告给了 Avast,但该公司至今还没有释出补丁修复,Avast 目前的应对之策是在修复前禁用了 JS 扫描功能。