(10/21--10/27)
#01
网络攻击
多款云存储平台存在安全漏洞,影响超2200万用户
因非法使用用户数据,这家社交巨头被罚23.8亿元
#02
恶意程序
攻击者正滥用Gophish传播远程访问木马程序
苹果、特斯拉均受影响,新型漏洞迫使GPU无限循环,直至系统崩溃
#03
数据安全
三星设备曝出高危零日漏洞,已被公开利用
微软运用欺骗性策略大规模打击网络钓鱼活动
黑客公布被盗数据,思科已将DevHub门户网站下线
#04
国际视野
ESET合作公司遭入侵,向以色列发送数据擦除程序
近年之最!联合健康Change Healthcare泄露1亿人数据,损失近25亿美元
美国新规,管控向中国、俄罗斯等六个敌对国家传输数据
多款云存储平台存在安全漏洞,影响超2200万用户
据苏黎世联邦理工学院研究人员Jonas Hofmann和Kien Tuong Turong的发现,端到端加密(E2EE)云存储平台存在一系列安全问题,可能会使用户数据暴露给恶意行为者。在通过密码学分析后,研究人员揭示了Sync、pCloud、Icedrive、Seafile和Tresorit服务的问题,这些服务共同被超过2200万人使用。
该分析基于一个攻击者控制恶意服务器的威胁模型,该服务器可以随意读取、修改和注入数据,这对国家级行为者和复杂的黑客来说是现实的。其中不少问题是由于平台违背了用户隐私保护条款,这是数据泄露的前提。
苏黎世联邦理工学院的研究人员在上述五种产品中发现了严重的漏洞,包括允许恶意行为者注入文件、篡改数据或访问用户文件的实现。
以下是发现的问题的概述:
Sync的漏洞包括未认证的密钥材料,允许攻击者注入他们自己的加密密钥并危及数据;文件共享中缺乏公钥认证进一步使攻击者能够解密共享文件;共享链接将密码暴露给服务器,破坏了保密性。此外,攻击者可以在不被检测到的情况下重命名或移动文件,甚至可以将文件夹注入用户存储,使其看起来像是用户上传的。
pCloud的主要问题源于未认证的密钥材料,允许攻击者覆盖私钥并强制使用攻击者控制的密钥进行加密;公钥也未认证,使攻击者能够访问加密文件。此外,攻击者可以注入文件,操纵元数据如文件大小,并由于块过程中缺乏认证,重新排序或删除块。
Icedrive使用未认证的CBC加密,使其容易受到文件篡改的攻击,允许攻击者修改文件内容。文件名也可以被截断或更改。块过程缺乏认证,意味着攻击者可以重新排序或删除文件块,危及文件完整性。
Seafile容易受到协议降级的影响,使密码暴力破解变得更容易。它使用未认证的CBC加密允许文件篡改,未认证的块处理允许攻击者操纵文件块。文件名和位置也不安全,服务器可以将文件或文件夹注入用户存储。
Tresorit的公钥认证依赖于服务器控制的证书,攻击者可以替换这些证书以访问共享文件。元数据也容易受到篡改,允许攻击者更改文件创建详细信息并误导用户。
在检查的五个组中,Tresorit的表现相对较好,因为发现的问题不直接暴露文件内容或允许轻松的数据操纵。
对于研究人员报告的问题,Sync表示,我们的安全团队上周了解到这些问题,自那时以来我们已经迅速采取行动来解决它们。我们还联系了研究团队分享发现并合作进行下一步。
报告中提到的潜在数据泄露问题已经解决,我们现在正在快速跟踪解决剩余潜在问题的修复程序。正如研究论文所述,这些漏洞存在于服务器受到妥协的前提下。没有证据表明这些漏洞已被利用或文件数据已被访问。
端到端加密的承诺是,你不需要信任任何人,甚至我们。这个概念是我们加密模型的核心,也是我们所做的核心。
Tresorit表示,苏黎世联邦理工学院的世界级研究团队研究了端到端加密云存储系统面临的十类攻击的可能性,包括保密性破坏和文件注入漏洞。研究结果证实,Tresorit的设计和密码学选择使我们的系统基本上不受这些攻击的影响。
在Tresorit,安全是我们的首要任务,我们致力于持续改进,利用这些见解进一步加强我们的平台。这项研究不仅帮助我们进化,还指导更广泛的行业朝着更安全的解决方案发展沿。
因非法使用用户数据,这家社交巨头被罚23.8亿元
近日, 爱尔兰数据保护委员会(DPC)结束了对 LinkedIn 为行为分析和定向广告而处理个人数据的调查,并于本周四(10月24日)公布了调查结果。调查结果显示,该平台违反了多项 GDPR 原则,这促使 DPC 实施了经济制裁和运营变革。于是爱尔兰数据保护委员会(DPC)决议对 LinkedIn 处以 3.1 亿欧元(约23.8亿人民币)的罚款,该事件引发了人们对公司如何处理用户数据的广泛关注。
此前,LinkedIn 就被指控非法处理用户数据。这些指控源于一个关注隐私的非营利组织 La Quadrature Du Net 最初向法国数据保护局提出的投诉。鉴于 LinkedIn 的主要机构设在爱尔兰,法国数据保护局将此案移交给了爱尔兰数据保护局。调查显示,LinkedIn 依赖特定法律依据进行数据处理的做法不符合 GDPR 的要求。主要违规行为包括不遵守第 6 条和第 5(1)(a)条,这两条都是 GDPR 的基本要素。
第 6 条概述了处理个人数据的合法理由,包括同意、合法利益和合同必要性。然而,LinkedIn 的处理方法被认为既不合法也不公平,尤其是在行为分析和定向广告方面.
本案的核心是 LinkedIn 在处理第三方数据时未能获得有效同意。根据 GDPR,同意必须是自由给予的、知情的和具体的。DPC 裁定,LinkedIn 的同意机制不符合这些标准,因此其数据收集行为不合法。
此外,LinkedIn 还试图根据第 6(1)(f)条中的 “合法利益 ”条款为其行为辩护。该条款允许公司在未经同意的情况下处理个人数据,只要这种处理是为了合法的商业目的。然而,DPC 认定 LinkedIn 的利益并没有超过其用户的基本权利和自由,尤其是在隐私和数据保护方面。
DPC 的最终决定导致了几项重大处罚。除了 3.1 亿欧元的罚款外,LinkedIn 还受到了正式谴责,并被勒令使其数据处理活动符合 GDPR 的要求。DPC 的决定还包括违反第 13 条和第 14 条的透明度规定,这两条涉及公司必须向数据主体提供有关数据处理的信息。
行为分析包括分析用户活动提供的数据或从用户活动中推断出的数据,以个性化用户的在线体验,通常用于广告。LinkedIn 使用这种技术提供针对用户行为的广告。虽然这种做法看似无害,但却涉及重大的隐私问题,因为用户可能并不完全清楚收集了多少数据或如何使用这些数据。
另一方面,定向广告是指根据个人行为或个人信息向其展示的广告。LinkedIn 等公司使用算法来决定哪些广告最适合每个用户。然而,如果用户没有被适当告知他们的数据是如何被用于这些目的的,他们就会失去同意或选择退出的能力。
#02 恶意程序
攻击者正滥用Gophish传播远程访问木马程序
据The Hacker News消息,名为Gophish 的开源网络钓鱼工具包正被攻击者用来制作DarkCrystal RAT(又名 DCRat)和PowerRAT 远程访问木马,目标针对俄国用户。
Gophish 允许组织通过利用简易的模板来测试其网络钓鱼防御措施,并启动基于电子邮件的跟踪活动。但攻击者利用Gophish制作网络钓鱼邮件,并伪装成Yandex Disk 链接(“disk-yandex[.]ru“),以及伪装成 VK 的 HTML 网页,VK 是俄罗斯最主要使用的社交网络。
感染链
据观察,攻击者根据所使用的初始访问载体推送包含DCRat 或 PowerRAT恶意木马的Microsoft Word 文档或嵌入 JavaScript 的 HTML。当受害者打开 maldoc 并启用宏时,就会执行一个恶意 Visual Basic (VB) 来提取 HTML 应用程序 (HTA) 文件("UserCache.ini.hta")和 PowerShell 加载器("UserCache.ini")。该宏负责配置 Windows 注册表项,以便每次用户在设备上登录其帐户时都会自动启动 HTA 文件。
HTA 会删除一个负责执行 PowerShell 加载程序的 JavaScript 文件(“UserCacheHelper.lnk.js”)。JavaScript 使用名为“cscript.exe”的合法 Windows 二进制文件执行。
研究人员称,伪装成 INI 文件的 PowerShell 加载程序脚本包含PowerRAT 的 base64 编码数据块有效载荷 ,该数据块在受害者的机器内存中解码和执行。
除了执行系统侦察外,该恶意软件还会收集驱动器序列号并连接到位于俄罗斯的远程服务器以接收进一步的指示。如果未从服务器收到响应,PowerRAT 将配备解码和执行嵌入式 PowerShell 脚本的功能。到目前为止,分析的样本中没有一个包含 Base64 编码的字符串,表明该恶意软件正在积极开发中。
与此类似,采用嵌入恶意 JavaScript 的 HTML 文件的替代感染链会触发一个多步骤过程,从而导致部署 DCRat 恶意软件。
DCRat 是一种模块化的恶意软件 ,可以窃取敏感数据、捕获屏幕截图和击键,提供对受感染系统的远程控制访问,并导致其他文件的下载和执行。
除了俄罗斯,在临近的乌克兰、白俄罗斯、哈萨克斯坦、乌兹别克斯坦和阿塞拜疆也监测到了恶意活动,显示整个俄语片区使用者都是攻击者的针对目标。
苹果、特斯拉均受影响,新型漏洞迫使GPU无限循环,直至系统崩溃
近日,Imperva 研究人员发现了一个名为 ShadyShader 的漏洞。该漏洞允许攻击者反复冻结苹果设备的 GPU,最终可能导致系统崩溃。
研究人员认为,主要问题在于现代 GPU 如何检测和停止无限循环,即如果不终止就会无休止运行的指令序列。虽然 GPU 能够熟练地检测并阻止明显的循环,但研究人员展示了一种方法,即制作一个嵌套循环,并在未被发现的情况下执行。
Imperva 公司的安全研究员罗恩-马萨斯(Ron Masas)尝试制作了一个简单的着色器代码,该代码只迭代大量循环,迫使 GPU 执行大量计算。这种代码可以添加到网站上,使用户系统崩溃。它还可以通过信息、电子邮件和带有恶意链接的 QR 码扫描器发送。如果用户点击链接,浏览器就会加载带有恶意着色器的 WebGL 内容,设备就会进入数字迷宫。这些操作往往都无需用户许可,因为在执行许多常见任务时,GPU 访问都是悄无声息地进行的。
马萨斯表示,驱动程序无法识别着色器不必要地垄断了资源。这使 GPU 不堪重负,无法再管理其他任务,最终导致系统崩溃。
苹果的显示管理服务(macOS 上的 WindowServer 或 iOS 上的 SpringBoard)会等待 GPU 完成任务。当受到 ShadyShader 的攻击时,这个负责管理屏幕的服务就无法获得任何更新,整个系统就会变得很迟钝。
苹果设备内置的计时器可以监控关键进程,确保它们不会耗时过长。120 秒后,该计时器会触发内核恐慌,迫使系统崩溃并重启。在 iPhone 和 iPad 上,计时器的反应速度更快,只需 30 秒。
研究人员指出:在我们的测试中,Macbook 会在 1-2 分钟内完全重启,而 iOS 设备则会在显示锁屏之前的 3-6 分钟内保持无响应状态,在大多数情况下都不会完全重启。
#03 数据安全
三星设备曝出高危零日漏洞,已被公开利用
谷歌威胁分析小组(TAG)警告称,三星存在一个零日漏洞,被追踪为 CVE-2024-44068(CVSS 得分为 8.1),且该漏洞已被发现存在被利用的情况。
攻击者可利用该漏洞在安卓设备上提升权限。专家称该漏洞存在于三星移动处理器中,且已与其他漏洞连锁,可在易受攻击的设备上实现任意代码执行。
今年 10 月,三星已正式发布安全更新,解决了这一漏洞。其集团发布的公告中写道:移动处理器中的‘自由使用’(Use-After-Free)会导致权限升级。公司并未证实该漏洞在野外被积极利用。
受到该漏洞影响的版本包括:Exynos 9820、9825、980、990、850 和 W920。
该漏洞最早是由谷歌设备与服务安全研究部门的研究人员金星宇(Xingyu Jin)和谷歌威胁分析小组的克莱门特-莱西金(Clement Lecigene)发现的。
谷歌 TAG 发现该漏洞的事实表明,商业间谍软件供应商可能已经利用该漏洞瞄准了三星设备。谷歌零项目发布的公告警告说,零日漏洞是权限提升链的一部分。行为者能够在有权限的进程中执行任意代码。该漏洞还将进程名称重命名为 “[email protected]”,可能是出于反取证目的。
谷歌研究人员在报告中解释说,该漏洞存在于一个为 JPEG 解码和图像缩放等媒体功能提供硬件加速的驱动程序中。
通过IOCTL M2M1SHOT_IOC_PROCESS交互,为JPEG解码和图像缩放等媒体功能提供硬件加速的驱动程序可能会将用户空间页面映射到 I/O 页面,执行固件命令并删除映射的 I/O 页面。
该漏洞通过取消映射 PFNMAP 页来工作,从而导致‘释放后使用’漏洞,即 I/O 虚拟页可能映射到已释放的物理内存。然后,漏洞利用代码使用特定的固件命令复制数据,可能会覆盖页表中的页中间目录(PMD)条目。这可以通过向页表发送垃圾邮件、操纵内核内存和利用释放的页面来导致内核空间镜像攻击 (KSMA)。
微软运用欺骗性策略大规模打击网络钓鱼活动
微软正在利用欺骗性策略来打击网络钓鱼行为者,方法是通过访问 Azure 生成外形逼真的蜜罐租户,引诱网络犯罪分子进入以收集有关他们的情报。
利用收集到的数据,微软可以绘制恶意基础设施地图,深入了解复杂的网络钓鱼操作,大规模破坏网络钓鱼活动,识别网络犯罪分子,并显著降低其活动速度。
在 BSides Exeter 会议上,Microsoft 首席安全软件工程师 Ross Bevington 描述了这种策略及其对网络钓鱼活动的破坏性影响,他称自己为 Microsoft 的“欺骗主管”。
Bevington 在现已退役的 code.microsoft.com 上创建了一个“混合高交互蜜罐”,以收集有关行为者的威胁情报,这些行为者既有技能较低的网络犯罪分子,也有针对Microsoft基础设施的民族国家团体。
目前,Bevington 和他的团队通过利用欺骗技术来打击网络钓鱼,该技术使用整个 Microsoft 租户环境作为蜜罐,具有自定义域名、数千个用户帐户以及内部通信和文件共享等活动。
公司或研究人员通常会设置一个蜜罐,等待威胁者发现并采取行动。除了将攻击者从真实环境中转移出来,“巢穴 ”还可以收集入侵系统所用方法的情报,然后将其应用于合法网络。
虽然 Bevington 的概念大致相同,但其不同之处在于,它将游戏带到攻击者面前,而不是等待威胁者找到入侵的方法。
这位研究人员在 BSides Exeter 的演讲中说,主动方法包括访问 Defender 识别出的活动钓鱼网站,并输入蜜罐租户的凭据。
由于凭据不受双因素身份验证的保护,而且租户中充斥着逼真的信息,攻击者很容易进入,并开始浪费时间寻找陷阱的迹象。
微软表示,它每天监控大约 2.5 万个钓鱼网站,向其中约 20% 的网站提供蜜罐凭据;其余网站则被验证码或其他反僵尸机制拦截。
一旦攻击者登录到假冒的租户(5% 的情况下会发生),它就会打开详细的日志记录,跟踪他们的每一个动作,从而了解威胁行为者的战术、技术和程序。
收集到的情报包括 IP 地址、浏览器、位置、行为模式、是否使用 VPN 或 VPS 以及他们依赖的网络钓鱼工具包。此外,当攻击者试图与环境中的虚假账户进行交互时,微软会尽可能减慢响应速度。
一直以来,微软都在收集可操作的数据,这些数据可供其他安全团队用来创建更复杂的配置文件和更好的防御措施。
Bevington 提到,他们以这种方式收集的 IP 地址中,只有不到 10% 可以与其他已知威胁数据库中的数据相关联。
这种方法有助于收集足够的情报,将攻击归因于有经济动机的团体,甚至是国家支持的行为者,如俄罗斯午夜暴雪(Nobelium)威胁组织。
尽管利用“欺骗”的方式来保护资产的这种原理并不新鲜,许多公司也依靠蜜罐来检测入侵,甚至追踪黑客,但微软找到了一种利用其资源来大规模追捕威胁行为者的方法。
黑客公布被盗数据,思科已将DevHub门户网站下线
ESET合作公司遭入侵,向以色列发送数据擦除程序
据BleepingComputer消息,有黑客入侵了 ESET 在以色列的独家合作公司,并向以色列企业发送网络钓鱼电子邮件,其中暗藏数据擦除器以进行系统破坏性攻击。
据观察,这一钓鱼活动从10月8日开始,这些邮件带有ESET 徽标且从合法的 eset.co.il 域发送,表明以色列分部的电子邮件服务器在攻击中遭到破坏,ESET 告诉 BleepingComputer,他们位于以色列的分销商由Comsecure 运营。
这些电子邮件显示来自ESET 高级威胁防御团队,警告收件企业由政府支持的攻击者正试图以他们的设备为目标。为了帮助保护设备,ESET 提供了一个名为“ESET Unleashed”的更高级防病毒工具来抵御威胁。
从网络钓鱼电子邮件标头中,BleepingComputer 已确认该电子邮件来自合法的邮件服务器 eset.co.il,并通过了 SPF、DKIM 和 DMARC 身份验证测试。为了进一步增加攻击的合法性,下载链接托管在 eset.co.il 域的 URL 上,目前已被禁用。
分析显示钓鱼邮件通过了身份验证检查
下载的ZIP 存档包含4个由 ESET 的合法代码签名证书进行数字签名的 DLL 文件和1个未签名的 Setup.exe。这4个 DLL 是作为 ESET 防病毒软件的一部分分发的合法文件。但是Setup.exe 实为恶意数据擦除程序。
包含数据擦除器的 ESET Unleashed 文档
BleepingComputer 尝试在虚拟机上测试擦除器,但可执行文件会自动崩溃。网络安全专家凯文-博蒙特(Kevin Beaumont)则在实体 PC 上成功运行了该擦除器,他发现,该恶意程序使用了多种技术来规避安全检测,并调用了各种恶意程序。
目前尚不清楚有多少以色列企业成为此网络钓鱼活动的目标,也不知道 ESET 的以色列分销商 Comsecure 是如何被入侵的。
虽然这次攻击没有被归咎于任何特定的黑客或组织,但数据擦除器长期以来一直是攻击以色列的流行工具。2017年,一个有反以色列和亲巴勒斯坦背景的数据擦除器IsraBye在对以色列组织的攻击中被发现;2023 年,以色列企业遭受了一波BiBi 擦除器攻击,包括教育和技术部门。
近年之最!联合健康Change Healthcare泄露1亿人数据,损失近25亿美元
美国新规,管控向中国、俄罗斯等六个敌对国家传输数据
消息由湖南省网络空间安全协会整理编辑,涉及版权请联系删除,如有转载请标明出处。
编辑:周鸣宇
一审:陈孝兰
终审:邓庭波
END
湖南省网络空间安全协会
0731-84597382
长按识别二维码关注我们
等保测评 | 培训认证
会议举办 | 行业交流
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...