国内外简报industry briefing

国内外信息安全简报2018年第十六周

恒安嘉新

本周共收集整理国内外安全信息10例,具体如下:

1.Linux Beep曝提权漏洞,黑客可窥探用户敏感文件

安全研究人员近日指出,Dediban 和 Ubuntu(开源GNU/Linux操作系统) 发行版中预装的 Beep 软件包存在漏洞 CVE-2018-0492,允许攻击者探测设备中的敏感文件,包括 Root 用户的文件。此外,该漏洞还允许本地提权,进而完全访问设备。该漏洞目前已在 Debian 和Ubuntu 较新的版本中得到修复。安全研究人员发现,Beep 软件包中存在竞态条件,允许攻击者提权,获取 root 权限,但不允许攻击者远程入侵 Linux 系统,由于 CVE-2018-0492 是一个提权漏洞,能完全访问系统,可让攻击者利用被感染的用户账号进行深度入侵,引发严重的后果。(详情链接

2.黑客正在收集你的设备数据!警惕虚假的Flash、Chrome 和 FireFox更新

FireEye 发布报告称追踪到一起特别的网络攻击活动,该活动过去几个月一直利用被感染的网站传播虚假的软件更新,以便在受害者设备上安装 NetSupport Manager 远程访问工具(RAT),获取设备信息。NetSupport Manager 是一款商用 RAT,管理员可通过这款 RAT 远程访问客户端计算机。但是,研究人员发现恶意攻击者却在滥用这款 RAT,将其悄悄安装在受害者的电脑上,从而未经授权访问设备。恶意攻击者滥用被感染的网站传播虚假的 Adobe Flash、Chrome 和 FireFox,一旦用户接受更新,便会下载恶意 JavaScript 文件。(详情链接

3.谷歌公布最新Fuchsia操作系统说明文档:安卓或被淘汰

谷歌公司终于公布了其 Fuchsia 操作系统迄今为止最为完整的说明文档,旨在供开发人员以及修复人员闲暇时进行阅读了解,这份名为《The Book》的文档正式揭开 Fuchsia 操作系统的神秘面纱。此前,用户要获取这款操作系统相关的细节信息,需要通过各类渠道。两周前,美国法院正式宣布谷歌公司在 Android 开发过程中存在侵犯甲骨文 Java 版权的行为。法院下令,要求谷歌方面向数据库巨头交付90亿美元的罚款,谷歌公司尚未就此事是否会影响到 Android 的未来作出明确表态。即使这份说明文档表明谷歌公司对 Fuchsia 的重视程度,也仍无法断言 Android 是否终究会被淘汰。(详情链接

4.412挂马病毒来袭,腾讯称已袭击50余款App且仍在扩散

腾讯御见威胁情报中心监测发现,包括某知名播放器、某知名视频客户端、某大师客户端在内的新闻页被挂马,会在用户不知情的情况下植入木马程序。目前,木马被内嵌在50余款常用软件中进行传播,且攻击仍未结束。截至今晚9点,腾讯电脑管家已拦截超过20万次病毒下载。专家建议用户尽快修补CVE-2016-0189漏洞拦截此次挂马攻击。(详情链接

5.全美警局已普遍拥有破解 iPhone 的能力

来自 Motherboard 的报道称,目前全美范围内的当地警署以及联邦机构都可以很轻易的获取到解锁 iPhone 的专用工具,绕过加密手段轻松解锁嫌疑人的 iPhone,即使设备更新至最新版的操作系统也没有问题。尽管执法机关在公开场合表示仍在寻找破解安装最新的 iOS 系统的较新的 iPhone 的方法,但这显然不是事实。约翰霍普金斯信息安全学院的助理教授和密码专家 Matthew Green 向 Motherboard 透露,目前看来,即使州或者当地警署也能在各种情况下访问这些数据。这与 FBI 表示的无法访问这些 iPhone 的说法大相径庭。执法机关使用的是一种被称作 GrayKey 的解密工具,据称可以在数小时内解锁 4 位 iPhone 密码,不过 6 位密码可能需要花上两三天时间。GrayKey 是由一家称作 Grayshift 的初创公司开发的,其创始人 Braden Thomas 是前苹果安全工程师,据称其在苹果五个专利中都有署名。(详情链接

6.部分中国电信光猫被用于Mirai僵尸网络扫描活动,攻击目标为巴西

趋势科技在本周三发文称,他们的网络监控系统在最近检测到了一起似乎是来自Mirai僵尸网络的大规模扫描活动。具体来讲,在3月31日下午1点到4月3日上午10点期间,共有3423个位于我国境内的IP地址被发现参与了这场扫描活动。其针对的目标是位于巴西的联网设备,这主要包括光调制解调器(光猫)、路由器和网络摄像头。趋势科技表示,这种扫描行为与Mirai僵尸网络的扫描机制极为相似。其感染链涉及不断在互联网上搜索潜在的不安全联网设备,然后使用默认登录凭证进行劫持尝试。稍有不同的是,在此次扫描活动中,攻击者使用了一些新的用户名和密码组合。(详情链接

7.博士黑客贩卖500万条公民信息 湖北警方抓获8人团伙

北京某高校博士马某,利用在科技公司工作机会,用黑客技术破解数据库非法盗取公民个人信息。此后,8人团伙利用咨询公司幌子在网上以每条1分至5分贩卖公民信息牟利,数量高达500余万条,60个G的容量。4月12日,记者从长阳警方获悉,经过半年多的缜密侦查,一个长期散居在北京几个市区的侵犯公民个人信息的犯罪团伙被长阳警方一网打尽,8名犯罪嫌疑人全部归案,涉案金额20余万元。落网的犯罪嫌疑人中有博士、硕士研究生2名。目前,4名主要犯罪嫌疑人已被依法起诉。(详情链接

8.数千网站遭入侵试图诱骗访问者安装假的更新

Malwarebytes 的安全研究人员报告,过去几个月攻击者入侵了运行 WordPress、Joomla 和 SquareSpace 等内容管理系统的网站,然后利用复杂的策略试图诱骗访问者安装假的更新。攻击者利用了这些网站没有及时打补丁修复已知的漏洞,然后在用户访问时候展示看似真实的信息(如图所示),诱骗用户安装浏览器 Firefox、Chrome, 或 Flash 的更新。为了躲避检测,假的更新通知每个 IP 只展示一次,它还会利用 JavaScript 文件检查访问者是否在里访问网站,然后才会传递恶意程序,恶意程序使用了操作系统信任的合法证书签名,让恶意更新看起来是真的。(详情链接

9.微软正式停止支持Win10一周年更新

在“周二更新补丁日”,微软今天宣布停止支持 Windows 10 version 1607,也就是 Windows 10一周年更新 14393 版本,包括 Windows 10 家庭版和 Windows 10 专业版用户。如果你还停留在 Win10 一周年更新上,那么此后将不会收到微软推送的月度安全补丁和更新等。(详情链接

10.超 15 亿敏感文件被曝光 快检查你的信息安全

据 digital shadows 报道,在三个月的时间内有超过 15 亿个敏感文件被公开在网上,其中包括专利申请、工资单、纳税申报单、患者名单、版权申请和源代码等。这些文件并不是被黑客违法曝光的,而是由配置错误的云存储、文件交换协议和文件共享服务导致的。此次被曝光数据量高达 12,000 TB,这些数据在公开的 Amazon S3 Bucket、Rsync、SMB、FTP 服务器、配置错误的网站或网络附加存储(NAS)驱动器上就可以轻易获得。其中来源于 Amazon S3 Bucket 的占了 7%,SMB 占了 33%,Rsync 占了 28%,FTP 占 26%。更加震惊的是,这些数据中有一些高度敏感的信息,例如安全审计报告、网络基础架构详细信息,甚至是渗透测试报告!Digital Shadows 称:“对这些被公开的文件进行分析表明,组织和个人在无意中暴露了大量的信息,这些数据会使具有恶意的攻击者受益,包括间谍和经济罪犯。”不论是个人还是组织,都应该尽快检查自己的信息安全状况。”(详情链接