行业动态 美国 选举系统

美国参议院于上周四通过了一项预算案,将拨款 2.5 亿美元加强大选安全。民主党参议院克里斯•孔斯表示,这笔资金将可以帮助州政府升级选举系统,从而应对诸如俄罗斯等外国势力的干预。在 2016 年的大选中,川普的上任被怀疑是俄罗斯干涉美国大选的结果。

http://h5ip.cn/3Bxd


融资并购 终端安全

惠普上周四宣布收购终端安全公司 Bromium,具体收购价格并未透露。Bromium 利用虚拟化技术对垃圾邮件、浏览器攻击等其他攻击方式进行阻断,并且在之前已经持续为惠普的反恶意软件输出自己的能力。

http://h5ip.cn/XlvV

融资并购 代码安全

代码安全公司 Cycode 近日宣布获得种子轮融资 460 万美元。Cycode 提供对源代码进行管控、探测以及响应的平台,用于解决现代企业因在网络端储存各类源代码而可能发生的代码泄露以及知识产权问题。Cycode 表示市面上暂时没有与其对标的产品。

http://1t.click/awHS

融资并购 网络安全保险 自动化评估

加州网络安全保险公司 Pleasaton 宣布获得种子轮融资 330 万美元。公司的产品 Cowbell Factor 为用户提供持续的自动化网络安全评估,根据组织的安全态势以及资金状况对潜在的威胁和资金影响进行计算。Pleasaton 暂时的目标客户为保险公司,帮助这些保险公司更好地对他们自身的客户进行评估。

http://1t.click/awK5

报告调研 在线交互安全 应用指南

近日,安全牛联合四家业内领先的安全厂商通付盾、瑞数信息、威胁猎人、芯盾时代进行研究分析,并形成发布了《在线交互安全应用指南》报告,旨在对在线交互过程中主要用到的防护技术进行阐述,同时就不同场景的需求,进行解决方案的讲解,并对未来的趋势和看法进行了分享。

一周安全头条(20190922-0929)

安全研究 MITRE 通用缺陷列表 (CWE)

9 月 17 日,MITRE 公布《通用缺陷列表 (CWE) Top 25 最危险软件错误》草稿,并在新闻发布中解释称,这是一份关于可致严重软件漏洞的最普遍、最关键缺陷的列表。该 Top 25 列表是可供软件开发人员、测试员、客户、项目经理、安全研究员和教育者探索软件通用威胁的社区资源。MITRE 软件保障主管 Drew Buttner 表示,他们想采用一种更客观且基于现实世界的方法。2019 Top 25 列表包含从 2017 到 2018 的缺陷,反映 CWE 团队修正数千个错误映射的 CVE 条目的努力。MITRE 计划在 2020 列表中评估未来一年的映射。Buttner 指出,今年的 Top 25 列表是自 2011 年以来首度推出,但 MITRE 未来的目标是每年都推出一个新列表。

一周安全头条(20190922-0929)

安全研究 恶意攻击 财富 500 强 云账户

近日,企业安全公司 Proofpoint 研究人员表示,黑客已经渗透了大约 60%的美国顶尖公司的云计算网络,几乎所有行业都涉及到了。安全人员表示,在 2019 年上半年,检测到超过 1500 万次未经授权试图进入美国财富 500 强公司云计算网络的登录尝试,其中 40 万次成功了。在分析了 1000 多个云部署中约 2000 万个用户帐户后,研究发现 92% 的《财富》500 强受访公司都曾成为网络攻击的目标。60% 的公司允许攻击者进入他们的云计算网络,6% 的公司允许攻击者未经授权登录到高管账户。且攻击者针对所有领域,在教育,食品和饮料领域攻击最普遍,医疗保健和金融服务等受监管的行业情况较好。

安全研究 特洛伊木马 安卓

自 5 月以来,一种名为 xHelper 的新型特洛伊木马被观察到传播到越来越多的 Android 设备,过去四个月内已发现超过 32,000 部智能手机和平板电脑被感染。黑客使用的工具是特洛伊木马下载程序,在设备后台默默下载其他更危险的恶意软件,包括但不限于劫持木马、银行木马和勒索软件。发现它的 malwarebytes 实验室的研究人员称它为 android/trojan.dropper.xhelper,最初被标记为一个通用的特洛伊木马下载程序,但仅仅在几个月的时间里就爬进了安全供应商的十大最易检测的移动恶意软件的行列。xHelper 还可以伪装成 JAR 归档的 DEX (Dalvik 可执行文件) 文件进行传播,其中包含编译的 Android 应用程序代码。这种感染新 Android 设备的方法非常独特,因为传统的移动木马程序都是使用恶意的 APK (Android 包),这些 APK 随后会被放入 Assets 文件夹中,然后安装在受感染的智能手机或平板电脑上并执行。

http://uee.me/bJkJY

安全研究 电源管理机制 CPU 漏洞 密钥窃取

近日,清华大学计算机系教授汪东升团队发现了 ARM 和 Intel 等处理器电源管理机制存在严重安全漏洞——“骑士”。这意味着普通人的支付密码等随时存在被泄露的风险。据悉,通过“骑士”漏洞,黑客可以突破原有安全区限制,获取智能设备核心秘钥,直接运行非法程序。团队成员吕勇强介绍,与其他漏洞需要借助外部链接或者其他软件,才能够对电子设备进行攻击不同,此次发现的漏洞,从本质上讲,黑客不需要借助任何外部程序或者链接,就可以直接获取用户的安全密钥。

http://uee.me/bJfuQ

网络犯罪 DDoS 攻击 动态发现 (WS-Discovery) 协议

9 月 18 日,阿卡迈 DDoS 缓解服务 Prolexic 的研究人员公布了今年 8 月底某客户遭遇的 35 Gbps 攻击细节。相比史上最大 DDoS 攻击的 1 Tbps,该攻击看起来似乎不太起眼。但攻击者采用了相对较新的技术,可以将攻击放大 15,000%。据悉,该新型攻击利用了 Web 服务动态发现 (WS-Discovery) 协议实现中的漏洞。WS-Discovery 使同一网络上的设备能够相互通信,并可引导网络中所有设备携自身信息 ping 某个位置或地址。该协议本是在局域网上内部使用的,并不适用于公开互联网这种喧嚣混乱的地方。但阿卡迈估测,暴露在互联网上的约 80 万台设备可以接收 WS-Discovery 指令。也就是说,发送一条类似点名请求的 “探测” 指令,你就能产生数据泉涌并将巨大的数据流指向目标。

恶意攻击 伊朗 俄罗斯 关键基础设施 网络战

伊朗当地时间 9 月 22 日晚,德黑兰再度遭遇了一次大规模袭击,整个伊朗的网络系统遭遇了不明来源的大规模攻击,其中重点攻击目标在于伊朗的石油和金融设施,对此毫无准备的伊朗,受到了惨重损失。在短时间之内,其金融和石油设施迅速瘫痪,一切正常交易都无法进行下去。好在德黑兰方面及时向俄罗斯请求援助,俄罗斯派遣了大量网络战专家远程指挥伊朗网络安全部门反击,才度过了这一劫。根据伊朗高层不愿透露姓名的官员表示,目前俄罗斯已经确定攻击来源正是美国中央情报局。

http://uee.me/bJmzB

网络犯罪 YouTube 网络钓鱼

近日,大量 YouTube 创作者账户遭黑客攻击,汽车评论社区创作者受影响最为严重。据悉,已有多个用户报告称收到电子邮件,或包含多个 YouTube 创作者网址的链接。黑客通过电子邮件引导用户访问钓鱼网站,获取账户凭证并更改其频道网址,将热门频道重新分配给新用户,令原账户所有者及其追随者产生账户已被删除的假象。

http://rrd.me/exBy2

一周安全头条(20190922-0929)

网络犯罪 葡萄牙 敏感信息交易

葡萄牙警方最近对一名当地黑客发起高达 154 项罪名的起诉,他们认为该男子与一个名为 Football Leaks 的网站有关。该网站从 2015 年开始,发布各种有关球员和俱乐部的敏感信息,包括合同、转会费等内部文件。对该名男子的起诉包括非法接入以及敲诈未遂。

http://h5ip.cn/11Js

网络犯罪 俄罗斯黑客 美国金融机构 用户数据泄露

俄罗斯黑客 Andrei Tyurin 近日因攻击多个美国金融机构与公司认罪。Andrei 去年被格鲁吉亚政府引渡到美国。Andrei 在 2014 年到 2015 年年中,涉嫌多起针对美国金融机构、经纪公司、金融新闻出版商以及多家其他公司的攻击,总计盗窃超过 1 亿名用户的信息;其中,对于摩根大通的攻击造成了 8,000 万用户的个人信息泄露。Andrei 对其的多项指控都表示认罪,将面临 30 年的监禁。

http://1t.click/auV9

漏洞补丁 vBulletin 利用脚本 远程代码执行

近日,网络攻击者正在大规模利用由一个匿名者所披露的漏洞,它可让 vBulletin 服务器被非法接管。vBulletin 是互联网上最流行的网站评论应用之一,而现在它正遭受严重的安全威胁,所有 vBulletin 服务器管理员应尽快安装好 vBulletin 开发者于周三上午发布的补丁。周一,一位匿名人士发布了一份 18 行漏洞利用脚本,相当于正式对外披露这一漏洞。该漏洞可让未经身份验证的攻击者对版本 5.0.0 到 5.5.4 版本的 vBulletin 服务器远程执行恶意代码。目前来看,该漏利用方式简单,以至于一些批评人士将其描述为后门。

http://uee.me/bJmfB

漏洞补丁 IOS 越狱

近日,一名安全研究人员在 Twitter 上表示,新发布的一个 iOS 漏洞,可能导致数亿个 iOS 设备遭遇永久性、不可阻挡的越狱。此次漏洞波及范围从 iPhone 4S 开始到 iPhone 8、iPhone X 的所有 iPhone,以及其他使用同款 A 系列处理器的 iPad、iPod touch 等 iOS 设备,而且该漏洞存在于硬件之上,无法通过软件来修复。研究人员,把这一漏洞命名为“checkm8”,读作 checkmate,也就是国际象棋术语中的 “将死”。axi0mX 表示,这是是一个 bootrom 漏洞,可以让黑客深度访问 iOS 设备,而苹果无法通过未来的软件更新来阻止或修补这一漏洞。据悉,这将是近年来 iPhone 黑客界最大的进展之一。

漏洞补丁 苹果手机 第三方键盘应用

在 iOS 13 发布不久以后,苹果表示发现了一个在更新中未修复的漏洞,该漏洞会使得第三方的键盘应用获取完整权限——即使用户在弹窗时选择了“否”,从而获得用户所有的键入内容。但是,苹果自带的键盘系统不受影响。苹果表示,他们正在努力修复这一漏洞,并建议在漏洞修复前减少使用第三方键盘应用。

http://1t.click/azmx

漏洞补丁 思科

近日,思科发布了一个补丁,并督促自己的用户进行更新以修复该漏洞。该漏洞影响了思科 800 系列的工业路由器以及 1000 系列的智能电网路由器。攻击者可以通过该漏洞,以低权限账号的形式获得高级权限,因此在 CVSS 给出了 9.9 分的严重度评分。然而,思科自身对这个漏洞的评级仅到“严重”,因为攻击者只能利用该漏洞影响到访客用例。尽管思科已经发布补丁修复了该漏洞,但是同时表示杜绝这个漏洞的最好方式就是禁用访客功能。

http://1t.click/azmK

恶意软件 网页病毒 无文件攻击

近日,微软向用户发出警告,一种名为“Nodersok”或者又称为“Divergent”的恶意软件,通过恶意在线广告,在网站挂马攻击用户。该病毒已经在全球范围内影响了上千台电脑,受感染机器会被攻击者利用作为代理称为攻击跳板,也可能会被利用成为欺诈的手段。由于该病毒为无文件恶意软件,运用的都是合法的进程、工具作为攻击手段,因此很难被病毒防御攻击所发现。

http://1t.click/azmt

漏洞补丁 微软 IE 浏览器

微软本周一发布了一个紧急安全补丁,对 IE 进行了升级以修复其中的一个严重漏洞。该漏洞可以通过恶意网页或者邮件引发远程代码执行,换而言之,用户可能在使用 IE 浏览器上网时,就遭到攻击者的恶意劫持。由于该漏洞打破了微软正常的漏洞发布日程,建议 IE 用户尽快对系统进行升级。

漏洞补丁 苹果 iOS 13

近日,就在几天前刚刚发布的 iOS 13 尽管带来了一系列的改进其中包括广受欢迎的全系统暗黑系统,但 Reddit 上的一些用户还发现了一个重要的安全漏洞。据用户 Thanamite 和 createdbyeric 披露,当用户将信用卡添加到他们的账户时,意外发现保存到他们个人资料中的信息并不是自己的而是来自一个完全陌生的人的,信息包括姓名、账单地址以及信用卡号码的最后四位数字。在发现这一漏洞后,用户 createdbyeric 联系了苹果,苹果迅速将问题升级到更高级别并承认问题的严重性。

数据泄露 普通话水平测试查询 代码安全

近日,程序员圈子里突然被陕西普通话等级查询网刷屏,原因是这个网站竟然把所有考生数据直接写在源代码里,任何人查看源代码后都可以直接查看数据。数据包括考生的照片、身份证号、准考证号、院校以及其他信息,这无疑会造成大量考生的隐私信息被直接泄露。有网友经过查证后发现即便是这些简单的静态代码都不是程序员自己写的,而是复制 2009 年百度知道示例代码。这些示例代码由百度知道用户 wrr717 在回答用户提问时编写的,可以实现按照不同的查询内容跳转到不同页面。而负责开发陕西省普通话水平测试查询系统的程序员直接复制这段代码,然后把用户数据写入页面里进行跳转等。

一周安全头条(20190922-0929)

数据泄露 Thinkful 在线教育

据报道,在线教育平台 Thinkful 发生数据泄露事件,约 4000 万用户帐户被曝光,曝光数据包含政府颁发的 ID、社会安全号、财务信息。事件发生后,Thinkful 立即通知受影响用户,要求其重置密码,此外还采取了一系列措施增强系统安全性,并展开全面调查。截至目前,暂不清楚此次事件发生的时间、原因及受影响用户数量。

http://rrd.me/exBqE

相关阅读

一周安全头条(20190915-09211)

Tips:点击蓝色字体可了解详情**

一周安全头条(20190922-0929)

来源链接:mp.weixin.qq.com