国内外简报industry briefing

2019年第9周国内外信息安全简报

恒安嘉新

本周共收集整理国内外安全信息10例,具体如下:

1. 新发现的 thunderclap 漏洞允许黑客使用 Thunderbolt/USB-C 外设攻击 PC

3月1日早些时候由剑桥大学计算机科学与技术系、莱斯大学和斯坦福国际研究所的一组研究人员公布一个新漏洞Thunderclap,影响所有主要平台,包括MacOS和Windows。该漏洞会影响所有使用Thunderbolt接口的设备,并允许黑客通过插入数据线来黑入PC。目前,抵御这个漏洞的最佳方法是确保禁用所有Thunderbolt端口,并且不要共享硬件,如充电器,因为它们可能会被更改为目标设备。保持安全的最佳做法是确保不要让笔记本电脑无人看管。(详情链接

2. 百度百科、搜狗百科外链跳转色情网站,过期域名被黑产利用

2019年2月28日晚上,有爆料称用户在百度搜索部分小学或者幼儿园词条,搜索结果优先给出了百度百科的链接,点击进去之后却发现页面最后的参考链接“广州上学网”竟然被指向色情网站……在笔者一番查询之后发现,中招的不只是百度百科,连搜狗百科也同样未能幸免。(详情链接

3. 违规收集儿童隐私,“抖音国际版”TikTok 在美受重罚

2019年2月27日,美国联邦贸易委员会(FTC)发布一条针对抖音海外版TikTok的处罚,由于其违反了儿童在线隐私保护法案(COPPA),在未经过父母同意的情况下,违规收集13岁以下用户的姓名、电子邮件以及其他个人信息。目前TikTok运营方已经同意支付这张罚单以解决这项指控。隐私问题早已成为全球性网络安全难题,而其中儿童隐私的保护往往是比较容易被忽略的。大部分人自己的隐私意识尚且有待提升,何谈去保护自己孩子的隐私,儿童隐私问题在我国也是一个亟待解决的难点,或许美国儿童在线隐私保护法案存在一些值得我们学习的地方。(详情链接

4. 英伟达修复GPU显示驱动中的漏洞

近日,英伟达发布了Windows和Linux中GPU显示驱动的安全补丁,共修复8个可能导致代码执行、提权、DoS或信息披露的安全问题。若要利用这些安全问题,需要本地访问,但是攻击者也可以通过远程植入恶意工具的方式实现远程利用。所幸目前尚未有实际漏洞利用案例。英伟达在2月份的安全公告中详细列出了漏洞编号、描述以及严重程度。用户可尽快访问官网获取更新。(详情链接

5. 首个完整利用WinRAR漏洞传播的恶意样本出现

2019年2月20日,安全厂商checkpoint披露了一个存在于WinRAR中用于ace文件解析的DLL模块中的绝对路径穿越漏洞,可导致远程代码执行。2019年2月22日,在该漏洞被披露后短短一天多时间后,360威胁情报中心便截获了首个利用WinRAR漏洞(CVE-2018-20250)传播木马程序的恶意ACE文件。该恶意压缩文件被命名为ModifiedVersion3.rar,并通过邮件发送,当受害者在本地计算机上通过WinRAR解压该文件后便会触发漏洞,漏洞利用成功后会将内置的木马程序写入到用户计算机的全局启动项目录中,任意用户重启系统都会执行该木马程序从而导致电脑被控制。(详情链接

6. 疑似国内某天气APP上传用户所有WiFi账号和网络信息

近日,推特一名网友发布消息称墨迹天气app上传用户所有的wifi账号,根据数据被抓包显示,该APP上传了用户的WiFi账号和相关网络信息,并进行足迹和画像记录,隐私跟踪。同事还指出其背后另有大企业接口,并非独立事件。当前墨迹天气官方尚未给出任何回应。(详情链接

7. APT黑客利用Windows平台,攻击哥伦比亚政府机构和企业

最近的研究发现,APT黑客组织APT-C-36针对windows平台来攻击哥伦比亚的政府机构和企业网络。研究人员认为,这些威胁行动者利用武器化文件开展行动,以金融部门、石油工业、专业制造业等机构为目标。自2018年4月以来,APT团队一直使用带有密码保护的RAR附件的鱼叉式钓鱼邮件来规避安全检测系统。研究人员总共标记了29个诱饵文件,62个木马样本和多个相关恶意域。(详情链接

8. 白宫出台针对恐怖分子流动的战略,生物识别技术是关键

美国白宫于2月20日发布了《打击恐怖分子流动的国家战略》(National Strategy to Combat Terrorist Travel),该战略计划靠身份验证和生物识别身份系统来探测和阻止恐怖分子的流动。 该战略称,政府将为州、地方和部落提供恐怖主义人员的身份和流动数据,以及识别恐怖分子的工具和技术。相关信息来自最新的身份管理系统、可疑人员流动数据以及人员的生物特征和案底数据。(详情链接

9. 脸书、谷歌等或因有害信息面临英政府数十亿美元罚款

英国政府计划打击社交媒体公司。如果这些公司不清除平台上被认为有害的内容,将被处以数十亿美元的罚款。在接受Business Insider采访时,英国数字部长詹姆斯(Margot James)表示,新的独立技术监管机构将获得惩罚包括Facebook和谷歌等公司的权力,如果发现这些公司不能妥善保护用户的话。英国政府的部长正计划建立一个强大的独立于政府的新技术监管机构。它将确定什么构成有害内容,并对未能迅速采取措施消除不适当内容的公司进行处罚。(详情链接

10. 漏洞暴露数千台恶意软件C&C服务器的位置

渗透测试工具Cobalt Strike中存在一个漏洞,被专家分析之后发现了数千台恶意软件C&C服务器的位置。Cobalt Strike面世超过十年。由于这个工具简单、高效,过去五年间,一些网络犯罪分子也开始使用这个工具,用来host其C&C服务器并部署恶意软件。据专家表示,Cobalt Strike的服务器在HTTP响应中意外添加了扩展空间。利用这个空间,可以探测到利用Cobalt Strike部署恶意软件的C&C服务器之间的通信信息,进而发掘这些服务器的IP地址。通过这些地址可以进一步发现恶意软件的分发情况。(详情链接