国内外简报industry briefing

2019年第5周国内外信息安全简报

恒安嘉新

本周共收集整理国内外安全信息10例,具体如下:

1.     Exchange 2010版本以上现域内提权漏洞

1月22日,国外安全研究员dirkjanm发布了通过CVE-2018-8581的SSRF漏洞获取域控权限的攻击方式并且附带了POC,目前微软官方还没有推送出最新的补丁来防止该攻击方式,并且微软针对CVE-2018-8581的补丁也不能防御该攻击方式来获取域控权限,本次受影响的版本包括Exchange 2010-2016版本。请用户及时采取应对措施,避免可能造成的损失。(详情链接

2.     美国议员质疑:中国制造的地铁可能被用来监控美国

在《华盛顿邮报》报道了2019年年初中国中车集团有限公司(CRRC)有获得华盛顿地铁项目的可能性后,四人致信了WMATA的CEO,希望WMATA禁止外国企业参与基础交通设施的建设。议员们担心,中国制造的地铁列车可能被用于中国政府监视美国公民,甚至会在某些必要时刻破坏当地交通。(详情链接

3.     PHP PEAR网站遭黑客入侵,官方软件安装包被篡改

上周,PEAR的维护人员发现有人用核心PEAR文件系统中的修改版本替换了原来的PHP PEAR包管理器(go-pear.phar),于是他们关闭了PEAR的官方网站(PEAR-PHP.net)。尽管PEAR开发人员仍在分析恶意包,但根据他们2019年1月19日发布的一份安全声明,因被黑客入侵,网站被恶意代码感染的安装文件至少已存在半年。(详情链接

4.     MySQL设计Bug允许恶意服务器从客户端窃取文件

客户端主机和MySQL服务器之间的文件传输交互中的设计缺陷允许运行恶意MySQL服务器的攻击者访问连接的客户端具有读取访问权限的任何数据。不法分子可以利用此问题从配置不当的web服务器(允许连接到不受信任的服务器)或数据库管理应用程序检索敏感信息。(详情链接

5.     美国国土安全部为防止DNS劫持攻击发布紧急指令

美国国土安全部发布了一项紧急指令,要求所有运营.gov域名或代理商管理域名的美国代理机构审核其DNS记录和服务器,以验证他们是否解析到正确的IP地址。他们还要求运营商及代理机构加强与DNS帐户和密码相关的安全性。(详情链接

6.     急需更新的应用程序榜单揭晓!

据外媒报道,全球超过一半(55%)的个人电脑应用程序存在版本过时问题,这使得个人电脑用户的数据容易受到安全威胁。vast发布的《2019年个人电脑趋势报告》(PC Trends Report 2019)显示,用户不执行安全补丁,并仍使用过时的应用程序版本,使得他们容易受到黑客攻击。急需更新并最常被忽略的应用程序的前三名为Adobe Shockwave(96%)、VLCMedia Player(94%)和Skype(94%)。(详情链接

7.     三菱电机为联网汽车开发网络防御技术

据外媒报道,三菱电机(Mitsubishi Electric)开发了一种多层防御技术,通过增强联网汽车头部单元的防御能力,保护联网车辆免受网络攻击。随着联网汽车的日益普及,具有通讯功能的车辆可连接互联网或智能手机等移动设备,网络安全的重要性与日俱增,联网车辆很可能会受到网络攻击,甚至恶意远程控制。多层防御技术将有助于建立更安全的车辆联网系统。(详情链接

8.     注意!你还在下载免费安卓VPN应用吗?这些风险一定要了解

近日,Privacy Central对谷歌Play store中最受欢迎的150款Android免费VPN应用进行了测试,这些应用程序共被安装了2.6亿次。虽然这些VPN很热门,但是Privacy Central得出的测试结果并不乐观。Privacy Central对加密技术、浏览器漏洞、下载恶意软件等问题进行了测试。令人担忧的是,超过四分之一的VPN应用程序泄露了域名系统(DNS)信息。四个应用程序泄露了WebRTC(浏览器实时通信协议)数据;两个泄露了DNS、互联网协议地址和WebRTC数据。(详情链接

9.     微软必应(Bing)在中国重新恢复访问

据消息称,微软必应(Bing)24日无法在中国访问,不是因为审查制度,而是因为一次意外的技术失误。一名微软发言人向ZDNet证实,目前微软必应搜索引擎在中国已经恢复访问。值得注意的是,微软必应出现故障之际,美国和中国之间的关系正处于日益紧张的时期。本月初,美国提出两党法案,意图禁止将技术出售给华为和中兴;1月23日,美国又正式提出将引渡华为首席财务官孟晚舟。(详情链接

10.  四部委强力整治App个人信息收集乱象,违规者或将吊销营业执照

1月25日,“App违法违规收集使用个人信息专项治理”新闻发布会在北京举行。针对当前乱象,中央网信办联合工信部、公安部、市场监管总局,释放多个重要信号。有业内人士指出,本次专项治理的规模之大、范围之广,创下近年之最。(详情链接