国内外简报industry briefing

国内外信息安全简报2018年第十一周

恒安嘉新

本周共收集整理国内外安全信息10例,具体如下:

1.     研究人员发现4G LTE网络协议漏洞

近期,四名美国大学的研究人员发现了 4G LTE 协议中的问题,利用这个漏洞可以进行虚假信息的编造,还可以监听用户和地址追踪。在5G正在部署的当下阶段,我们也应当注意本次发现的 4G 问题:漏洞是出现在 LTE 协议之中,这意味着该漏洞可能会波及到整个行业。(详情链接

2.     spectre 变种出现可以从intel sgx中提取数据

本周,俄亥俄州立大学的六名科学家发现了一种新的攻击手段,名为SgxSpectre。研究人员表示,这种攻击可以从Intel SGX中获取数据。英特尔Software Guard eXtensions(SGX)是英特尔处理器的功能,可让应用程序创建所谓的enclaves。这个enclaves是CPU处理内存的硬件隔离部分,应用程序可以运行处理极其敏感细节的操作,例如加密密钥,密码,用户数据等。(详情链接

3.     Exim 中一个漏洞影响全球半数邮件服务器

在邮件服务器上运行的邮件传输代理软件 Exim 中出现了一个远程代码执行漏洞(CVE-2018-6789),使得邮件服务器面临安全风险。据调查显示,全球有 56% 的邮件服务器运行 Exim,都可能受到影响。

这个漏洞认证前远程代码执行漏洞,由 Exim 64 位编码功能中的缓冲区溢出而导致。攻击者可以利用这个漏洞,在服务器认证之前就执行远程恶意代码,影响之前所有发布过的 Exim 版本。(详情链接

4.     Nike 网站漏洞暴露敏感的服务器数据

2017 年年底,18 岁的研究人员 Corben Leo 发现 Nike 官网存在一个漏洞,使用几行代码就能利用这个漏洞,获取密码等服务器数据,甚至进一步访问该公司的隐私系统。该漏洞基于带外 XML 外部实体(OOB-XXE)漏洞,利用耐克网站解析基于 XML 的文件的方式,允许研究人员直接在服务器上读取文件。人们普遍认为 OOB-XXE 漏洞复杂且难以执行,但可用于深入访问服务器获。一旦获取到服务器文件,就可能执行远程代码或者转向其他连接的服务器或数据库。这很可能导致系统中的敏感信息泄露。(详情链接

5.     别贪小便宜,40多款廉价安卓手机预装银行恶意软件

就现在的情况来说,一款智能手机的成本已经相当透明,拿国内的手机市场来看,尽管不少手机都主打性价比,但相同定位的手机之间其实相差并不大,也就是说智能手机的成本已经压缩到近乎极限。真有那种“超级便宜”的手机,一种是乐视所谓的“硬件免费”(结局你也看到了),另一种很可能就是本文将要说的“陷进系列”。

俄罗斯杀毒软件公司Dr.Web称,目前在售的超过40款廉价Android智能手机感染了Triada.231银行木马,并且公布了详细的手机型号清单。Triada是一款在2016年初发现的非常强大的Android银行木马程序,它可以为root设备,然后感染Zygote,这是一个核心的Android操作系统进程,在不擦除整个设备并重新安装操作系统的情况下几乎无法删除。(详情链接

6.     被盗的 Apple ID 在“ 暗网 ”黑市上售价为 15 美元

国外网站对秘密的“暗网”黑市进行了调查,结果发现,对于网络犯罪者来说,想要购买一个人的完整在线身份只需要花费不到 1200 美元。在这些在线身份中,Apple ID 苹果账户的售价为 15.39 美元。与其他账户相比,Apple ID 的售价还是很高的。拥有 Apple ID 后,可以访问 Apple Music,以及 iCloud 等。暗网将 Apple ID 列为“娱乐登陆信息”,Netflix 的账户为 8.32 美元,Twitch 账户的价格为 2.08 美元,Ticketmaster 账户的价格为 2.07 美元。(详情链接

7.     黑客黑掉监控摄像机并公布荷兰女子手球队裸体视频

虽然黑客入侵导致受害者裸照外泄之类丑闻主要涉及名人的iCloud帐户遭到黑客入侵,但类似事件发生在荷兰,并针对女子手球队。据当地新闻媒体报道,黑客设法入侵了桑拿浴室更衣室的监控摄像机系统,并于去年12月在成人网站上发布录像。虽然在更衣室里使用摄像系统有些奇怪,但是桑拿所有者Erik van Ingen Schenau说,该公司在2015年遭受了黑客袭击,当时黑客设法渗入网络并窃取了监控录像,录像视频中出现裸体的七名手球运动员。黑客联系了桑拿工作人员,并威胁说如果监控摄像机没有关闭,就在网上发布被盗视频。(详情链接

8.     恶意软件 ComboJack 可监控 Windows 剪贴板,以替换加密货币钱包地址获利

Palo Alto Networks 的安全研究人员发现了一种名为 ComboJack 的恶意软件,它能够检测用户何时将加密货币地址复制到了 Windows 剪贴板,并随后通过恶意代码将剪贴板中的地址替换为攻击者的钱包地址,达到窃取加密货币的目的。

ComboJack 攻击不仅支持多种加密货币(其中包括 比特币、莱特币、门罗币和以太坊),还可以针对其他数字支付系统,如 Qiwi、Yandex Money 和 WebMoney(美元和卢布支付)。(详情链接

9.     AWS存储桶泄露50.4 GB数据,金融巨头受影响

云安全厂商 UpGuard 公司网络风险小组发现一批由于 Amazon Web Services(简称AWS)S3存储桶未受保护而泄露的50.4 GB数据。经证实,此AWS存储桶属于云商务智能(简称BI)与分析厂商 Birst 公司。(详情链接

10.  将近5万家网站被感染挖矿劫持脚本 其中八成是Coinhive

自Bad Packets Report的安全研究专家Troy Mursch指出,全球范围内将近5万家网站悄然被挖矿劫持版本感染。依靠开源搜索引擎PublicWWW的扫描,Mursch发现至少存在48,953家受感染网站,其中至少7368家网站基于WordPress。(详情链接