欢迎光临
我们一直在努力

9月18日每日安全热点 – 两名伊朗国民被控针对美国进行网络盗窃

Ysck阅读(3)

漏洞 Vulnerability
CVE-2020-1472:Zerologon漏洞微软补丁分析
CVE-2020-9496:通过对不可信数据进行反序列化,实现在APACHE OFBIZ XMLRPC进行RCE
安全事件 Security Incident
两名伊朗国民被控针对美国,欧洲和中东的计算机系统进行网络盗窃运动
安全报告 Security Report
季风行动 – 蔓灵花(APT-C-08)组织大规模钓鱼攻击活动披露
提菩行动:来自南亚APT组织“魔罗桫”的报复性定向攻击
苦象组织近期网络攻击活动及泄露武器分析

Lua v5.4.0及之前版本lsys_load()栈溢出漏洞

Ysck阅读(3)

 

漏洞描述:

Lua是一种轻量小巧的脚本语言,用标准C语言编写并以源代码形式开放。

Lua v5.4.0 及之前版本 lsys_load()函数加载动态链接库时没有正确处理文件名的长度,造成栈溢出漏洞,可造成拒绝服务问题。

 

影响版本:

Lua <= v5.4.0

 

漏洞复现:

$ git clone https://github.com/lua/lua.git
$ make
$ ./lua ./Stack_overflow_lsys_load.lua
AddressSanitizer:DEADLYSIGNAL
=================================================================
==90451==ERROR: AddressSanitizer: stack-overflow on address 0x7ffc56ae1e38 (pc 0x7f84c442acf7 bp 0x7ffc573773f0 sp 0x7ffc56ae1e40 T0)
    #0 0x7f84c442acf6  (/lib64/ld-linux-x86-64.so.2+0x7cf6)
    #1 0x7f84c442cd4d  (/lib64/ld-linux-x86-64.so.2+0x9d4d)
    #2 0x7f84c44379c3  (/lib64/ld-linux-x86-64.so.2+0x149c3)
    #3 0x7f84c31d148e in _dl_catch_exception (/lib/x86_64-linux-gnu/libc.so.6+0x15c48e)
    #4 0x7f84c44372c5  (/lib64/ld-linux-x86-64.so.2+0x142c5)
    #5 0x7f84c34a9255  (/lib/x86_64-linux-gnu/libdl.so.2+0x1255)
    #6 0x7f84c31d148e in _dl_catch_exception (/lib/x86_64-linux-gnu/libc.so.6+0x15c48e)
    #7 0x7f84c31d151e in _dl_catch_error (/lib/x86_64-linux-gnu/libc.so.6+0x15c51e)
    #8 0x7f84c34a9a24  (/lib/x86_64-linux-gnu/libdl.so.2+0x1a24)
    #9 0x7f84c34a92e5 in dlopen (/lib/x86_64-linux-gnu/libdl.so.2+0x12e5)
    #10 0x7f84c36c9a33  (/usr/lib/x86_64-linux-gnu/libasan.so.5+0x8ea33)
    #11 0x56529c0e5908 in lsys_load /home/test/Lua/Test_lua/lua/loadlib.c:134
    #12 0x56529c0e5908 in lookforfunc /home/test/Lua/Test_lua/lua/loadlib.c:391
    #13 0x56529c0e5a14 in ll_loadlib /home/test/Lua/Test_lua/lua/loadlib.c:412
    #14 0x56529c09025c in luaD_call /home/test/Lua/Test_lua/lua/ldo.c:481
    #15 0x56529c0b8824 in luaV_execute /home/test/Lua/Test_lua/lua/lvm.c:1614
    #16 0x56529c0b8824 in luaV_execute /home/test/Lua/Test_lua/lua/lvm.c:1614
    #17 0x56529c090605 in luaD_callnoyield /home/test/Lua/Test_lua/lua/ldo.c:525
    #18 0x56529c08dc51 in luaD_rawrunprotected /home/test/Lua/Test_lua/lua/ldo.c:148
    #19 0x56529c0911e0 in luaD_pcall /home/test/Lua/Test_lua/lua/ldo.c:749
    #20 0x56529c086f8f in lua_pcallk /home/test/Lua/Test_lua/lua/lapi.c:1031
    #21 0x56529c08042a in docall /home/test/Lua/Test_lua/lua/lua.c:139
    #22 0x56529c08179d in handle_script /home/test/Lua/Test_lua/lua/lua.c:228
    #23 0x56529c08179d in pmain /home/test/Lua/Test_lua/lua/lua.c:603
    #24 0x56529c09025c in luaD_call /home/test/Lua/Test_lua/lua/ldo.c:481
    #25 0x56529c090605 in luaD_callnoyield /home/test/Lua/Test_lua/lua/ldo.c:525
    #26 0x56529c08dc51 in luaD_rawrunprotected /home/test/Lua/Test_lua/lua/ldo.c:148
    #27 0x56529c0911e0 in luaD_pcall /home/test/Lua/Test_lua/lua/ldo.c:749
    #28 0x56529c086f8f in lua_pcallk /home/test/Lua/Test_lua/lua/lapi.c:1031
    #29 0x56529c07fbda in main /home/test/Lua/Test_lua/lua/lua.c:629
    #30 0x7f84c309909a in __libc_start_main (/lib/x86_64-linux-gnu/libc.so.6+0x2409a)
    #31 0x56529c080239 in _start (/home/test/Lua/Test_lua/lua/lua+0x18239)
SUMMARY: AddressSanitizer: stack-overflow (/lib64/ld-linux-x86-64.so.2+0x7cf6) 
==90451==ABORTING

 

漏洞分析:

漏洞发生在package.loadlib函数中,当用package.loadlib加载一个名字很长的动态链接库时,造成栈溢出:

 static void *lsys_load (lua_State *L, const char *path, int seeglb) {
    void *lib = dlopen(path, RTLD_NOW | (seeglb ? RTLD_GLOBAL : RTLD_LOCAL));  ---->crash
    if (lib == NULL) lua_pushstring(L, dlerror());
    return lib;
}

修复建议:

在加载动态链接库时限制动态链接库的长度。

漏洞演示:

https://www.bilibili.com/video/BV1s5411b7NT

快报!Cerberus银行木马的源代码惊现于地下论坛

Ysck阅读(2)

 

前言

Cerberus是一款臭名昭著的银行木马,而它的开发者在经历了最后一次源代码拍卖失败之后,竟然直接将该恶意软件的源代码发布在了地下黑客论坛上。

 

拍卖失败,怒发源码!

在今年的七月份,臭名昭著的Cerberus Android银行木马程序其背后的开发人员对外以五万美元的起拍价拍卖Cerberus银行木马项目的源代码,不过当时参与拍卖的买家本来可以以十万美元的最终价格成交的,鬼知道最终因为什么原因导致了“流标”?

整个Cerberus银行木马项目包括组件的源代码(恶意APK文件、后台管理面板和C2服务器端源码)、安装指南、安装脚本工具、具有活动许可证的客户列表以及客户和潜在买家的联系方式。
卡巴斯基研究人员德米特里·加洛夫在卡巴斯基NEXT2020演讲时曾对外宣布,这款银行木马的源代码将以Cerberus v2的名义免费分发。

Cerberus是一款“勒索软件即服务”项目,于2019年8月份首次出现在公众眼前。实际上,Cerberus是一个从零开始开发的针对Android设备的远程访问工具(RAT),而且它没有借鉴其他任何恶意软件的源代码。

在Cerberus的源代码开始拍卖之前,Cerberus Android银行木马程序的维护人员所提供的BOT组件每年租金高达12000美元,同时他们还提供了4000美元/3个月和7000美元/6个月的恶意软件使用许可证。

 

Cerberus分析

Threat Fabric是第一个对Cerberus Android银行木马程序进行分析的安全研究人员,根据他透露的信息,Cerberus Android银行木马程序实现了跟其他Android RAT工具类似的功能,并且Cerberus允许威胁攻击者实现对受感染设备的完整控制权。

除此之外,Cerberus恶意软件还实现了银行木马的功能,比如说覆盖攻击、SMS短信拦截功能和通讯录列表访问功能等等。Cerberus恶意软件支持的功能如下列表所示:

  1. 屏幕截图;
  2. 音频录制;
  3. 记录键盘击键数据;
  4. 发送、接收和删除SMS短信消息;
  5. 窃取设备中通讯录联系人信息;
  6. 呼叫转移;
  7. 收集设备信息;
  8. 跟踪设备地理位置;
  9. 窃取目标用户账号凭证;
  10. 禁用播放保护功能;
  11. 下载其他应用程序和Payload;
  12. 从受感染设备中删除应用程序;
  13. 推送通知;
  14. 锁定设备屏幕;

在今年的七月份,来自AVAST的研究人员在Google Play应用商店中发现了一个货币转换器(应用程序),这个应用程序当时已经有超过一万名用户下载安装了,而这款应用程序的主要功能就是传播Cerberus银行木马。

卡巴斯基的安全研究人员表示:“尽管Cerberus的俄语开发人员在今年四月曾为该项目指定了一个新的愿景,但由于开发团队的不幸解散,今年的七月底便开始了对Cerberus银行木马源代码的拍卖。由于各种因素还不明确,Cerberus银行木马的开发人员后来决定在一个俄语地下黑客论坛上发布了高级用户的Cerberus项目源代码。”

地下黑客论坛以及社区中恶意软件和银行木马源代码的可用性对广大用户构成了严重的威胁。网络犯罪分子可以用这些源代码来定制开发他们自己的恶意软件版本并在野外转播。卡巴斯基的研究人员也证实了,Cerberus源代码在地下黑客论坛泄露之后,欧洲地区和俄罗斯的感染用户数量立即增长了不少。

跟此前其他与Cerberus相关的网络威胁活动不同的是,此次事件中受影响的主要是俄罗斯地区的移动设备用户,但网络犯罪分子同时也在使用Cerberus来对除俄罗斯地区以外的用户进行攻击。
Cerberus Android特洛伊木马的维护者决定出售源代码,因为他们的团队分裂了,而且他们也没有时间提供全天候的技术支持。

安全研究专家还表示:“我们将继续对此次源码泄露事件进行调查,并对泄露的Cerberus项目源代码进行深入分析。除此之外,我们还会对Cerberus木马活动进行跟踪。与此同时,广大用户可以采取最佳安全防御解决方案来保护自己移动设备和银行账号的安全。”

专家警告称:“针对教育机构的DDoS攻击呈激增趋势”

Ysck阅读(2)

 

前言

近期,有网络安全专家警告称,针对教育机构和学术研究机构的分布式拒绝服务攻击(DDoS)将呈激增趋势。

 

事件分析

由于今年新型冠状病毒的出现和广泛传播,在线学习和直播课程的普及率正在不断提高,而网络犯罪分子肯定也不会错失此次“良机”。正如网络安全研究专家们观察到的那样,全球范围内的威胁攻击者们正在对世界各地的教育机构以及学术研究机构发起大规模的分布式拒绝服务攻击(DDoS)。

分布式拒绝服务攻击(DDoS)将给各大教育机构带来非常严重的影响,因为目前很多教育机构的大部分业务都托管在线上平台,比如说在线课程和直播课程等等,一旦遭受分布式拒绝服务攻击(DDoS),这些服务都将临时下线。

目前,来自Check Point的网络安全专家们正在对全球范围内的一系列针对教育机构的网络攻击事件进行研究和调查,而调查的重点将放在网络犯罪分子们所使用的技术以及原始动机之上。
在此次大规模攻击活动中,大多数受到攻击的目标都是位于美国境内的教育机构。在今年七月至八月期间,针对教育机构和学术研究机构的网络攻击活动次数平均每周增长30%,跟今年五月份和六月份相比,攻击次数从468次增加到了608次。

下图显示的是今年攻击活动的变化趋势图:

网络安全专家推测,一般来说,分布式拒绝服务攻击(DDoS)活动的激增都是由黑客活动主义者驱动和部署的。但有的时候来说,这种干扰的背后,也有可能是因为有很多学生在尝试使用在线免费获取到的专用工具。

CheckPoint的研究人员在其发表的分析报告中写道:“我们通过研究发现,针对教育机构的网络攻击活动之所以突然呈激增趋势,其中的主要增长来自于分布式拒绝服务攻击(DDoS)活动(一种恶意网络攻击,其主要目的是使互联网上的目标用户无法使用目标在线服务、网络资源或主机)。DoS/DDoS攻击呈上升趋势,是各大教育机构在线服务临时关闭的主要原因。无论是黑客活动者为了引起人们对某个事件的关注而实施的攻击,还是试图非法获取数据或资金的网络欺诈活动者,还是地缘政治事件的结果,DDoS攻击都是一种极具破坏性的网络武器。实际上,除了教育机构和学术研究机构之外,其他各行各业的组织和机构每天同样会面临这样的攻击。”

 

无独有偶,遭殃的并非只有美国地区教育机构

在此之前,安全研究人员曾报道过美国佛罗里达州一名青少年黑客的案例,他当时在网络直播课程开播的前三天,对美国最大的学区发动了大规模分布式拒绝服务攻击(DDoS),并导致学区所有线上服务临时中断。

除了北美地区之外,欧洲地区也出现了类似的情况,在今年七月至八月期间,欧洲地区的学术研究机构平均每周经历的攻击次数从638次增加到了793次,平均增长了24%。在亚洲地区,网络安全研究专家同样观察到了拒绝服务攻击(DoS)、远程代码执行和信息披露等多种攻击活动。

CheckPoint的研究人员在其发表的分析报告中还补充说到:“跟前两个月相比,七月至八月期间学术部门中的每个组织平均每周需要面对的网络攻击活动次数从1322次增加到了1598次,增长了21%。但是对于亚洲地区的学术部门来说,网络攻击次数的总体增长率只有3.5%。”除此之外,Check Point的分析人员还表示,今年美国地区的多家教育机构甚至还是勒索软件攻击的受害者,这可真是命运多舛。

当然了,跟往常一样,研究人员此次也给出了提升终端安全性的最佳实践方案,具体请参考下图:

美国退伍军人事务部数据泄露 波及4.6万名退伍军人

Ysck阅读(6)

第36期

你好呀~欢迎来到“资讯充电站”!小安就是本站站长。今天第36期如约和大家见面了!如果您是第一次光顾,可以先阅读站内公告了解我们哦。

【站内公告】
本站主要发布时下最火热最新鲜的网安资讯,不同于正儿八经的权威消息。本站的资讯内容可能会更富趣味性、讨论性,工作劳累之余给大家来点趣闻,唠唠嗑,也可以一起充电涨姿势~目前每周营业周二、周四两天。

欢迎各位新老顾客前来拜访,在文章底部时常交流、疯狂讨论,都是小安欢迎哒~如果对本小站的内容还有更多建议,也欢迎底部提出建议哦!

美国退伍军人事务部数据泄露 波及4.6万名退伍军人

近日,美国退伍军人事务部(VA)发生数据泄露事件,导致超过46,000名退伍军人的个人信息曝光。在昨天发布的一份数据泄露通知中,退伍军人事务部表示,黑客侵入了他们的系统,使用未经授权的账号登录了一个为退伍军人支付医疗费用的系统,转移了其中原本要给社区医疗服务人员的资金。

为了避免再次出现未经授权的访问事件,VA已经关闭了对其系统的访问,预计等到VA信息技术办公室完成彻底的调查之后才能恢复。虽然退伍军人事务部没有对泄露信息内容做出声明,但由于被入侵系统的性质,这些信息可能包含退伍军人的姓名、地址、社会安全号码、电话和医疗信息。

退伍军人管理局金融服务中心(FSC)正在联系所有受影响的退伍军人和他们的近亲,提醒他们数据泄露之后可能面临的风险。所有社会安全号码被曝光的受害者都将得到免费的信用监控服务。

在2006年,退伍军人事务部曾发生过一次更大规模的数据泄露事件。一名匿名黑客窃取了一台笔记本电脑和外接硬盘驱动,其中包含2600万老兵的个人信息记录。

 

没钱可以摇自己的头 但不能摇别人的钱包

杭州市高新区(滨江)是浙江省有名的富庶地带,坐拥52家上市企业,总数位居浙江省各区县首位。 “逐水草而居”是游牧民族世代以来积累出的生存经验,潜伏在高新(薪)企业周围、哪儿钱多往哪去则是网络罪犯的生存心得。

每一个企业赚钱的时刻,都有一些不相干的人心动。当这些人行动起来时,公安机关也加入了群聊。不久前,滨江区公安接到该区域内某知名民营企业的报案,企业负责人称,他们公司的官网遭到了恶意攻击,陷入瘫痪,受此影响,日常业务也无法正常运转。对方不仅搅黄了他们的生意,还为此烂摊收费1个比特币(约合人民币5万元)。

接到报案之后,侦查机关迅速展开排查,轻松将嫌疑人锁定为钟某。钟某曾私人研习并自学过计算机,由于欠下不少外债,便决定利用手头本领敲诈一番这些有钱的企业。这样一来,既能转移还钱的焦虑,又解决了还钱的问题。

但,社会总能教会你做人。钟某一个人研习计算机的时候不会想到,将来有一天会有两个部门的人一起钻研如何给他定罪。由于钟某此次行为同时涉及到敲诈勒索、破坏计算机信息系统等多个罪名,而不同罪名在侦查取证方向有很大差异,本着更有力地打击侵犯企业的网络犯罪案件的决心,滨江区检察院与公安机关决定联合研判,全面取证。最终,钟某被法院判处有期徒刑五年零六个月。

 

Magento商店遭受了近5年来最大的黑客攻击

Adobe Magento是一个流行的电子商务平台,它允许网站快速创建一个在线商店来销售其产品并接受信用卡。正因为如此,Magento经常成为黑客的攻击目标,他们会安装JavaScript脚本来窃取客户的信用卡。

上周末,信用卡回收防范公司“乐观安全”(Sansec)发现,在过去四天里,有1940家magine ento商店遭到黑客攻击。这次攻击始于周五,当时有10家商店被一种信用卡浏览脚本感染,此前在其他攻击中从未见过这种脚本。上周六,攻击升级,共有1,058个网站遭到攻击,周日又有603个,今天又有233个。

乐观安全的创始人表示,这是他们自2015年开始监控电子商务商店以来遇到的最大规模的自动Magento攻击,之前的记录出现在去年7月,当时有962家商店在一天内被黑。

9月17日每日安全热点 – Adobe发布针对Media Encoder的安全更新

Ysck阅读(7)

漏洞 Vulnerability
CVE-2020-16875: Microsoft Exchange远程代码执行漏洞通告
CVE-2020-13948: Apache Superset 远程代码执行
安全研究 Security Research
Hyper-V DoS 漏洞分析(CVE-2020-0890 )
图解内存匿名反向映射reverse mapping
PSV-2020-0211-Netgear-R8300-UPnP栈溢出漏洞分析
安全事件 Security Incident

“流氓” App 们哭了!苹果推送 iOS 14正式版 ,谁动了你的隐私一目了然

Ysck阅读(6)

不知道大家和中国宏阔黑客联盟编辑有没有一样的想法,每天都有无数个瞬间,觉得自己被“监视”了。

这个偷窥者不是别人,就是自己的手机。

当我上班摸鱼的时候在某宝上闲逛时,中午打开另一款软件的时候,它一定会推送我刚才浏览过的东西,无奈又只能接受。

但搞安全的童鞋可能知道,这些无意间的隐私泄露其实暗藏风险,你的工作,收入,住址……这些隐私的泄露,不仅决定你看到的广告,还决定了你购物时网站显示的价格,甚至会被打包售出赚钱。

所以,无论是苹果还是安卓都在加大隐私保护的力度。

手机 App 再也不能背着你干坏事了

前几天,苹果 iOS14 就传出要推出新的隐私政策,其中,最值得关注的两个更新,是关于 IDFA(Identifier for Advertising,广告识别符)和剪切板,因为它们将深刻影响各大 App 的商业模式。

也正是因为如此,一众 App 们都慌了。尤其是广告商老大哥 Facebook,在广告商们的一致声讨下,苹果已经宣布将 IDFA 的更新推迟到明年年初了。

苹果今日凌晨推送了 iOS 14 和 iPadOS 14 正式版更新。

iOS 14 更新了 iPhone 的核心使用体验,对小组件、App 资源库、通话和 Siri界 面、信息、地图、指南、轻 App、隐私等方面进行了改进。

在隐私安全方面的更新主要集中在 Safari 浏览器和应用商店中,对用户的一大利处是手机里的 App 再不能背着你干坏事了。

具体来看。

iOS 14 加入了一项「指示器」特性——当任何应用启用了摄像头或麦克风,你都能在屏幕顶部右上角,看到一个闪烁的绿点,这就是提醒用户:现在有应用在使用摄像头。此时下拉通知栏,就看到当前正在使用摄像头或麦克风的 App。

比如,如果有 App 正在使用用户的摄像机,那么就会有绿灯亮起;

如果 App 正在使用麦克风,则黄灯亮起;如果 APP 正在调取用户剪贴板上的内容,用户屏幕上则是出现文字提示条;

如果有 App 申请你的照片权限,你可以只授权特定的照片或相册,而不是全部授权。

在这之前,如果授权应用调用照片,就只能要么全部开放,要么全部不开放。

也就是说,哪些应用在频繁获取你的信息,谁动了你的隐私,就一目了然了。

按照苹果高管 Craig Federighi 的说法,苹果之所以会想到这个功能,其实源于一封用户反馈邮件:

客户在电子邮件告诉我说,他觉得有应用在后台偷偷听自己说话。因为他讲到某个东西后,手机就弹出来了一则和他谈论东西相关的广告。尽管我知道不可能发生那种事,但仍然觉得有必要提供一个指示器。

此外,在 iOS 14 上,苹果现在还给出了一个“模糊定位”的功能,只允许应用获得你的大概位置,而非确切位置。

这样一来,APP 开发者将无法通过位置信息获取用户更多隐私了。

没有人喜欢主动出卖隐私,也不会有人觉得数据被私自调用是合情合理的事情,一旦这些后台行为的调用逐渐清晰和明朗化,系统也愿意给出更多限制性手段后,守住自己的私密数据,大概就不会成为一个难题了。

苹果此举也算是开了一个好头。

IDFA 是否开放权限怎么就动了广告商们的“奶酪”?

看到这里,相信很多人都有一个疑问,为什么苹果要暂缓更新 IDFA 功能,这个功能真的动了广告商们的奶酪吗?

先来科普下 IDFA 。

IDFA 全称是 Identifier For Advertising,一个跟 device 相关的唯一标识符,可以用来打通不同 App 之间的广告。

比如你在某宝里搜索了某个商品之后,你在用浏览器去浏览网页的时候,那个网页的广告就会给你展示相应的那个商品的广告。当然你可以重置你的 IDFA,使别人不能再追踪到你的行为。

事实上,早在 iOS 10 中,苹果就推出了限制广告追踪(LAT), 允许用户通过以下路径关闭该标识符:  

在“设置→隐私→广告追踪”里重置 IDFA 的值,或限制此 ID 的使用。

一波操作后,IDFA 会被置为0000000-00000-000000-0000,从而无法被追踪。只不过,以前这条隐私设置路径过去隐藏得比较深,而 iOS 14 的想法是想将这一功能放大。

看到这里我们会想,如果 99% 用户选择“不追踪” ,不就变成了“无痕浏览“吗?

果真如此吗?

其实不然,因为即使关闭了广告客户标识符(IDFA), 你的数据还是会保存在正在使用的 App 中。App中的广告内容还是会显示,且基于你的喜好进行投放,只不过无法传递给其他 App了。

站在用户的角度,这绝对是一件大快人心的事情,但广告商们却认为苹果是在搞垄断。而苹果这一做法也被很多媒体解读为断了 App 们的后路。

为什么呢?

因为 IDFA 看起来只是苹果为每台苹果设备设置的一串代号,但它对应的是一个庞大的“程序化广告”市场——Google、Facebook、阿里巴巴、腾讯、字节跳动等公司做的都是这种生意。

2019 年,Facebook 的广告收入达到 707 亿美元(约合 4824 亿元人民币)。同一年,阿里巴巴的广告业务收入超过 1000 亿元,百度和腾讯的广告收入也分别达到 781 亿元和 684 亿元。

如果苹果开放了这一功能,那么,也就意味着开发者就只能得到一串无效字符,这直接意味着每个应用将无法监测其广告投放效果。

广告商们当然不乐意。

8 月 26 日,Facebook 警告广告商,苹果即将推出的反追踪工具可能会导致 Audience Network 收入下降 50% 以上,原因是该应用将会被删除广告中的个性化内容。

而在《》一文中,作者提到,Facebook 使用 IDFA 的广告点击率约为 0.69%,普通广告点击率约为0.16% 。经计算,因失去 IDFA 损失的 20 亿美元 Audience Network 广告营收,只占 Facebook 广告年收入 700 亿美元的 2.8%。

也就是说,失去广告客户标识符给 Facebook 广告营收造成的影响连 3% 都不到。

但广告商们是不会放过任何一个可能影响自己生意的外在因素,而苹果显然也不会冒风险失去应用开发者们。

所以,在广告商们的一致反对声音下,苹果妥协了,将这一功能的更新时间推迟到了明年年初。

虽然,延迟关闭 IDFA 给了广告商们一个缓冲的机会,但该来的还是要来,广告商们一方面要思考如何去应对,更重要的是要意识到他们面临的隐私问题绝不止这一个。

因为我们更希望是否开放隐私这一项,我们可以自己说了算。

参考来源:

【1】https://mp.weixin.qq.com/s/7UvEEXMLl642jU9DL-uQRA

【2】https://www.singular.net/blog/ios14-idfa-limit-ad-tracking-skadnetwork-wwdc-privacy-update/

【3】https://www.mparticle.com/blog/how-to-find-your-mobile-device-identifiers

【4】https://www.mparticle.com/blog/ios-14-privacy-updates

【5】https://www.toutiao.com/a6872527036691415556/

中国宏阔黑客联盟原创文章,未经授权禁止转载。转载注明中国宏盟

CVE-2020-16875:Microsoft Exchange远程代码执行漏洞通告

Ysck阅读(7)

 

0x01 更新概览

2020年09月16日,360CERT监测发现 metasploit github 仓库更新了该漏洞利用的 PR(pull request),可造成 任意命令执行 。本次更新标识该漏洞的利用工具公开,并可能在短时间内出现攻击态势。

利用此漏洞需至少需要一个基础的Exchange用户账户;由于Exchange服务以System权限运行,触发该漏洞亦可获得系统最高权限。

具体更新详情可参考: 参考链接 。

 

0x02 漏洞简述

2020年09月09日,360CERT监测发现 Microsoft Exchange 发布了 Exchange 命令执行漏洞 的风险通告,该漏洞编号为 CVE-2020-16875 ,漏洞等级: 严重 ,漏洞评分: 9.1 。

远程攻击者通过 构造特殊的cmdlet参数 ,可造成 任意命令执行 的影响。

对此,360CERT建议广大用户及时将 Exchange 升级到最新版本。与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。

 

0x03 风险等级

360CERT对该漏洞的评定结果如下

评定方式 等级
威胁等级 严重
影响面 广泛
360CERT评分 9.1

 

0x04 漏洞详情

CVE-2020-16875: 命令执行漏洞

由于对cmdlet参数的验证不正确,Microsoft Exchange服务器中存在一个远程执行代码漏洞。成功利用此漏洞的攻击者可以在系统用户的上下文中运行任意代码。利用此漏洞需要拥有以某个Exchange角色进行身份验证的用户权限。

 

0x05 影响版本

  • microsoft:exchange_server_2016: cu16/cu17
  • microsoft:exchange_server_2019: cu5/cu6

 

0x06 修复建议

通用修补建议

通过如下链接自行寻找符合操作系统版本的漏洞补丁,并进行补丁下载安装。

CVE-2020-16875 | Microsoft Exchange远程代码执行漏洞

 

0x07 时间线

2020-09-08 微软发布漏洞通告

2020-09-09 360CERT发布通告

2020-09-11 srcincite发布PoC

2020-09-16 360CERT监测发现metasploit仓库增加EXP PR

2020-09-16 360CERT发布更新

 

0x08 参考链接

  1. CVE-2020-16875 | Microsoft Exchange远程代码执行漏洞
  2. Microsoft Exchange Server DlpUtils AddTenantDlpPolicy Remote Code Execution Vulnerability
  3. Add Microsoft Exchange Server DLP Policy RCE (CVE-2020-16875) by wvu-r7 · Pull Request #14126 · rapid7/metasploit-framework

9月16日每日安全热点 – US CERT警告伊朗APT组织利用多个VPN漏洞

Ysck阅读(7)

漏洞 Vulnerability
CVE-2020-1472:NetLogon特权提升漏洞通告
CVE-2020-15598:ModSecurity v3 DoS漏洞
CVE-2020-14390:Linux kernel slab-out-of-bounds漏洞
安全工具 Security Tools
ActiveDirectoryEnumeration – 通过LDAP枚举AD的工具
安全资讯 Security Information
2020年Gartner十大安全项目发布
US CERT警告伊朗APT组织利用多个VPN漏洞
半夜潜入诈骗团伙内部,才明白为什么兼职刷单总被骗钱
安全研究 Security Research
Potato家族本地提权分析
DeFi 项目 bZx-iToken 盗币事件分析

两男子冒充黑客专找“杀猪盘”受害者,上演“骗中骗”获刑

Ysck阅读(10)

第35期

你好呀~欢迎来到“资讯充电站”!小安就是本站站长。今天第35期如约和大家见面了!如果您是第一次光顾,可以先阅读站内公告了解我们哦。

【站内公告】
本站主要发布时下最火热最新鲜的网安资讯,不同于正儿八经的权威消息。本站的资讯内容可能会更富趣味性、讨论性,工作劳累之余给大家来点趣闻,唠唠嗑,也可以一起充电涨姿势~目前每周营业周二、周四两天。

欢迎各位新老顾客前来拜访,在文章底部时常交流、疯狂讨论,都是小安欢迎哒~如果对本小站的内容还有更多建议,也欢迎底部提出建议哦!

两男子冒充黑客专找“杀猪盘”受害者,上演“骗中骗”获刑

今年1月,一名名为李芳的受害者加了赵佳的微信,对方常在朋友圈炫耀炒外汇赚钱,并指导她下载外汇App”,充值炒汇。不久,李芳的账户余额显示已增至90多万元,但无法提现。

3月初,她接到一个电话,对方自称黑客,说那个外汇App”是诈骗平台,他朋友的爸爸也遇到同样情况,他通过黑客技术把钱提出来了。

你是李芳女士吗?别往那个平台充钱了,那是诈骗平台,我是黑客,能帮你追回被骗的投资”,殊不知,李芳在被平台诈骗之后,又遭遇一场骗局。

对方准确说出李芳的身份信息、电话,称是用黑客技术在平台看到的,并表示可以帮她提现,但要收20%手续费,平台显示提现审核通过后付10%,到账再付10%

李芳信以为真,向对方转账8万元。没多久,黑客告诉她已帮她提现80万,但到账要24小时。李芳登录平台,发现提现要求确实通过了,但第二天钱没有到账,对方也联系不上,连平台都没法打开,才发现被骗。

经查,黑客是两名90后,一个叫何明,是外卖员;一人叫吴江,无业,与诈骗平台并非同一伙人。2017年,何明了解过诈骗平台的套路,结识一些贩卖诈骗平台链接的人,通过这种后台链接可以看到投资人注册名、身份证号、电话、绑定银行卡,以及投资额、盈亏等信息,还可以将提现审核状态改为通过(实际不能提现)。

今年2月起,何明、吴江联系后台链接中大额充值但无法提现的被害人,谎称可帮助把被骗款项提现,从4名被害人处骗得手续费”15万余元。

目前,诈骗案被告人何明(化名)被处有期徒刑三年三个月,吴江(化名)被处有期徒刑三年二个月。

(以上文章中涉及姓名均为化名 )

 

当你观看色情网站时,Malàsmoke可能感染您的电脑

在过去的几个月中,一个名为Malàsmoke的网络犯罪组织一直瞄准色情网站,它在成人主题网站上放置恶意广告,分发恶意软件攻击用户。

据来自Malwarebytes的研究人员称,该团伙实际上在滥用所有成人广告网络,但在上一次竞选中,他们首次成为顶级发行商。

xHamster是最受欢迎的成人视频门户之一,每月有数十亿的访问者,这次,网络犯罪集团设法在xHamster上放置了恶意广告

恶意广告使用JavaScript代码将用户从色情网站重定向到拥有CVE-2019-0752  (Internet Explorer)和  CVE-2018-15982  (Flash Player)漏洞的恶意网站  。

“然后,我们在顶级网站xhamster . com上看到了迄今为​​止最大规模的广告活动,该广告来自我们追踪了一年多的恶意广告商。这个威胁行为者实际上已经滥用了所有成人广告网络,但这可能是他们第一次成为顶级发布商。” 来自Malwarebytes的分析。

近年来,由于浏览器安全性的提高,利用漏洞利用工具包的攻击有所下降,其中大多数已删除了Flash和IE支持。

专家指出,重定向机制比其他恶意广告活动中使用的机制更复杂。威胁执行者实施了一些客户端指纹识别和连接检查,以避免使用VPN和代理,这样,它们仅将合法IP地址作为目标。

“Malàsmoke 可能是我们今年以来最持久的恶意广告活动。与其他威胁行为者不同,该小组表明,它可以快速切换广告网络以保持业务不中断。” Malwarebytes总结到,研究人员还为此活动发表了危害指标(IoC)。

 

滥用Windows 10主题能窃取Windows帐户密码

Windows允许用户创建包含自定义颜色、声音、鼠标指针和操作系统将使用的壁纸的自定义主题。用户根据需要在不同主题之间切换,以改变操作系统的外观。

上周末,安全研究员吉米•贝恩(Jimmy Bayne)透露,特别制作的Windows主题可以用于执行“哈希传递”攻击。在传递哈希攻击中,攻击者获取发送的凭据,然后试图解密密码以访问访问者的登录名和密码。

Bayne发现的新方法中,攻击者可以创建一个特定的.theme文件,并更改桌面壁纸设置,以使用远程认证所需的资源。

当窗口试图访问需要远程身份验证的资源时,它将自动尝试通过向帐户发送已登录的NTLM哈希和登录名来登录共享。

然后,攻击者可以获取凭据,并使用特殊的脚本解密密码。

Bayne 补充道,其已将这些发现披露给微软安全响应中心(MSRC)。可惜由于这是一项“设计特性”,该 bug 并未得到修复。为了防止恶意的主题文件,Bayne建议您阻止或重新关联。