国内外简报industry briefing

2019年第10周国内外信息安全简报

恒安嘉新

本周共收集整理国内外安全信息10例,具体如下:

1. macOS 被曝内核存在高危漏洞

macOS 的内核 XNU 在某些情况下允许写时复制(copy-on-write,COW)行为,COW 是一种本质上没有缺陷的资源管理技术,它有一个重要的作用是可以保护复制的内存以防后续通过源程序修改,避免源进程被利用双读。但是在 macOS 这里 COW 似乎出了问题。macOS 允许普通用户挂载文件系统镜像,而如果修改用户已挂载文件系统镜像,该行为并不会被通知给虚拟管理子系统。也就是说攻击者可以在不发出通知的情况下改变磁盘文件虚拟管理子系统。(详情链接

2. 为证明理念向开源转变,微软公布了Windows 计算器代码!

微软本周在GitHub上以MIT许可证发布了使用最多的应用程序之一——Windows 计算器的源代码。微软表示,学习计算器的代码是了解通用Windows平台、XAML和Azure Pipelines等最新Microsoft工具的好方法。(详情链接

3. 震惊!ji32k7au4a83居然是最常见且最易被盗的密码?

国际网络安全研究所的网络安全和白帽黑客专家表示,最近的一项调查显示,“ji32k7au4a83”字符组合是使用最多的密码之一,但也是最脆弱的密码之一。因为这个密码使用了汉语“注音符号”的拼音系统。其实,组合的字符‘ji3’,‘2k7’,‘au4’,‘a83’对应的汉字为“我的密碼”。(详情链接

4. 智能“不可破解”的汽车报警器漏洞影响300万车主

Viper——在英国被称为Clifford——和Pandora的汽车报警系统最近成为Pen Test Partners研究人员关注的焦点。上周五,网络安全研究人员公布了这些所谓的智能警报的安全状况,它们与供应商的说法严重不符。研究人员在产品API中发现了不安全的直接对象引用(IDORs),可篡改车辆参数、重置用户凭证、劫持帐户等等。(详情链接

5. 连续两年,政府工作报告强调要整治侵犯公民个人信息问题

3月5日,十三届全国人大二次会议开幕,国务院总理李克强作政府工作报告。报告中再次指出要整治侵犯公民个人信息等突出问题,坚决守护好人民群众的平安生活。3月5日,政府工作报告“2019年政府工作任务”中,明确表示要“加强国家安全能力建设。完善立体化社会治安防控体系,深入推进扫黑除恶专项斗争,依法惩治盗抢骗黄赌毒等违法犯罪活动,打击非法集资、传销等经济犯罪,整治侵犯公民个人信息等突出问题,坚决守护人民群众的平安生活”。(详情链接

6. 所有Intel处理器面临的新攻击Spoiler确认在软件层面无解

美国和德国的计算机科学家发表了一篇论文,披露了针对英特尔处理器的新攻击 SPOILER。研究者在 Intel 内存子系统私有实现中发现了地址推测的一个漏洞,它会泄漏内存布局信息,让翻转比特的 Rowhammer 攻击更容易执行。研究者表示所有 Intel 核心 CPU 都存在漏洞;他们也测试了 ARM 与 AMD CPU,但没有发现类似问题。由于这是一种体系结构设计上的问题,所以如果没有在底层硬件进行重新设计,那么该漏洞目前来看无法轻易修复甚至缓解。(详情链接

7. 思科呼吁Nexus交换机用户关闭POAP功能以提高安全性

在昨日发布的安全警报中,思科建议Nexus交换机用户禁用名为PowerOn Auto Provisioning(POAP)的功能。该功能通过检查本地配置脚本来工作。如果脚本已被删除,则交换机已重置为出厂设置,或者是第一次启动时,POAP守护程序将连接到预设的服务器列表以下载初始配置文件。要执行此操作,交换机必须首先从本地DHCP服务器获取IP地址,POAP配置设置也可以通过DHCP响应传递。本地网络上存在攻击者的话可能会向Nexus交换机发送格式错误的DHCP响应,以劫持其POAP设置并欺骗交换机从攻击者的服务器下载和执行配置脚本。这个“错误”不允许黑客通过直接利用来接管设备,但它对于已经在内部网络上破坏了系统并希望升级其对其他设备的访问权限的攻击者非常有帮助。(详情链接

8. 微软安全报告显示去年网络钓鱼攻击有所增加

微软发布了一份新的安全报告,显示了去年网络钓鱼攻击数量增加。该报告着重于2018年1月至12月发生的攻击。报告还显示,同一时期发生与恶意软件相关的攻击有所减少。根据报告显示,2018年网络钓鱼攻击增加了250%,而恶意软件攻击减少了34%。微软注意到,攻击者在同一活动中使用多个攻击点,在发送电子邮件和托管网络钓鱼表单时在URL、域和服务器之间切换。微软还看到攻击者越来越多地使用被入侵的帐户,来进一步分发组织内外的恶意电子邮件。报告还显示,在2018年,爱尔兰、日本、美国和中国的加密货币开采率最低,加密货币开采率在2018年整体下降了36%。(详情链接

9. 2018年移动软件攻击数量近乎翻倍

卡巴斯基实验室最近发布报告称,2018年针对移动应用的恶意攻击数量激增,攻击事件达到 一亿一千六百五十万次,与2017年的6640万次相比,多了将近一倍。但是,被检测到的还有恶意软件的安装包则只有532万个左右。除了直接通过恶意软件对移动应用发起攻击,攻击者还会选择垃圾短信、DNS劫持等其他手段发起攻击。移动应用攻击者最喜欢的技术和目标分别是Dropper、通过移动设备窃取银行账户、恶意广告应用等。2018年全年的数据显示,银行木马和dropper木马的数量与类型都有所增长。新增的移动银行木马数量超过15万,新增的移动勒索木马数量超过6万。其中Trojan.AndroidOS.Triada.dl 和Trojan.AndroidOS.Dvmap.a这两种木马最为危险,但所幸传播不广。(详情链接

10. IBM:访客管理系统存在漏洞,黑客可潜入敏感区域

IBM安全研究人员发现,在最流行的5大访客管理系统中有19个漏洞,黑客可以利用漏洞窃取相关数据,甚至可以潜入办公大楼敏感、禁止区域。IBM检查了五大流行系统,分别是Lobby Track Desktop、eVisitorPass(最近将品牌换成了Threshold Security)、EasyLobby Solo、Passport和The Receptionist,它们分别有7个、5个、4个、2个和1个漏洞。入侵者可以利用漏洞下载访客日志,掌握姓名、驾照、社保数据及手机号等信息;利用有的漏洞甚至可以进入底层操作系统,连线之后就能跳到其它应用和网络。更糟糕的是,入侵者甚至可以获得默认管理证书,完全控制应用,比如编辑访客数据库。(详情链接