月度归档二月 2019

NVIDIA修补了GPU显示驱动程序中的安全问题

NVIDIA发布了NVIDIA GPU显示驱动程序软件的安全更新修补可能导致代码执行,权限升级,拒绝服务或Windows和Linux计算机上的信息泄露等安全问题。

虽然所有这些软件缺陷都需要本地用户访问并且无法远程利用,但攻击者可以通过在运行易受攻击的NVIDIA GPU显示驱动程序的系统上通过各种方式远程植入恶意工具来利用它们。

这些问题与CVSSv3的基本分数从2.2到8.8不等有关,其中5个问题风险评估值已达到8.8(所有这些问题都会影响NVIDIA公司的Windows GPU显示驱动程序)。

通过触发导致拒绝服务状态的CVE,潜在的攻击者可以使易受攻击的计算机无法使用,同时利用未修补的代码执行漏洞,他们可以在受感染的计算机上运行命令或代码。

潜在攻击者还可以通过利用导致信息泄露的问题,收集有关运行过时版NVIDIA GPU显示驱动程序的系统的有价值信息。

下面列出了NVIDIA在其2019年2月安全更新中修复的软件缺陷,以及为每个安全更新分配的完整描述和CVSS V3基本分数。

CVE Description CVSS V3 Base Score
CVE‑2019‑5665 NVIDIA Windows GPU Display driver contains a vulnerability in the 3D vision component in which the stereo service software, when opening a file, does not check for hard links. This behavior may lead to code execution, denial of service or escalation of privileges. 8.8
CVE‑2019‑5666 NVIDIA Windows GPU Display Driver contains a vulnerability in the kernel mode layer (nvlddmkm.sys) create context command DDI DxgkDdiCreateContext in which the product uses untrusted input when calculating or using an array index, but the product does not validate or incorrectly validates the index to ensure the index references a valid position within the array, which may lead to denial of service or escalation of privileges. 8.8
CVE‑2019‑5667 NVIDIA Windows GPU Display Driver contains a vulnerability in the kernel mode layer (nvlddmkm.sys) handler for DxgkDdiSetRootPageTable in which the application dereferences a pointer that it expects to be valid, but is NULL, which may lead to code execution, denial of service or escalation of privileges. 8.8
CVE‑2019‑5668 NVIDIA Windows GPU Display Driver contains a vulnerability in the kernel mode layer (nvlddmkm.sys) handler for DxgkDdiSubmitCommandVirtual in which the application dereferences a pointer that it expects to be valid, but is NULL, which may lead to denial of service or escalation of privileges. 8.8
CVE‑2019‑5669 NVIDIA Windows GPU Display Driver contains a vulnerability in the kernel mode layer handler for DxgkDdiEscape in which the software uses a sequential operation to read from or write to a buffer, but it uses an incorrect length value that causes it to access memory that is outside of the bounds of the buffer, which may lead to denial of service or escalation of privileges. 8.8
CVE‑2019‑5670 NVIDIA Windows GPU Display Driver contains a vulnerability in the kernel mode layer handler for DxgkDdiEscape in which the software uses a sequential operation to read from or write to a buffer, but it uses an incorrect length value that causes it to access memory that is outside of the bounds of the buffer which may lead to denial of service, escalation of privileges, code execution or information disclosure. 7.8
CVE‑2019‑5671 NVIDIA Windows GPU Display Driver contains a vulnerability in the kernel mode layer (nvlddmkm.sys) handler for DxgkDdiEscape in which the software does not release a resource after its effective lifetime has ended, which may lead to denial of service. 6.5
CVE‑2018‑6260 NVIDIA graphics driver contains a vulnerability that may allow access to application data processed on the GPU through a side channel exposed by the GPU performance counters. Local user access is required. This vulnerability is not a network or remote attack vector. 2.2

 

据NVIDIA称:

NVIDIA风险评估基于各种已安装系统的平均风险,可能并不代表您本地安装的真正风险。NVIDIA建议咨询安全或IT专业人员,以评估特定配置的风险。

在  NVIDIA GPU的显示驱动程序- 2019年2月安全公告中还有关于NVIDIA在其2019年2月安全更新补丁的安全问题的软件产品的完整列表。

建议所有用户通过应用NVIDIA驱动程序下载页面上提供的安全更新尽快更新其驱动程序。

 

原文链接

WinRAR 被曝严重安全漏洞 5亿用户受影响

在享誉全球成为必备装机软件的同时,过去19年以来WinRAR也深受各种严重安全漏洞的负面影响。根据安全公司Check Point研究人员的细节,在WinRAR的UNACEV2 .dll代码库中发现严重安全漏洞,而该库自2005年以来就一直没有被主动使用过。WinRAR在打开“booby-trapped”(诡雷代码)文件之后允许技术娴熟的攻击者执行“任意恶意代码”。

简单来说,该漏洞允许安全专家绕过权限提升就能运行WinRAR,而且可以直接将恶意文件放进Windows系统的启动文件夹中。这就意味着当用户下次重新开机的时候,这些恶意文件就能自动运行,可以“完全控制”受害者的计算机。安全专家表示,全球有超过5亿用户受到WinRAR漏洞影响。

 

 

Check Point表示WinRAR不再支持ACE存档格式(就是该漏洞的攻击文件),而且在上个月同时也删除了UNACEV2.dll文件。目前WinRAR发布了最新的测试版5.70 Beta 1,已经修复了这个问题。

不过值得注意的是,如果现在访问WinRAR的官方,点击下载的依然是5.61版本。而该版本目前尚未修复这个漏洞。因此你经常使用这款压缩软件,推荐通过本文下方的链接下载Beta版本。

 

原文链接

赛门铁克:挖矿攻击和勒索软件攻击逐渐降低,表单劫持成为2018年的顶级威胁

赛门铁克新一年的审查报告显示,表单劫持攻击是2018年发展最快的威胁,使用LotL策略的攻击者数量大大增加,以PowerShell脚本为例,使用率增长了10倍。

赛门铁克的2019年互联网安全威胁报告还显示,挖矿攻击数量增加了四倍,但随着加密货币价值的下降而进入螺旋式下降,攻击者转而采用其他方式从受损目标中获利。其他高级统计数据包括供应链攻击增加78%,恶意PowerShell脚本增加了一倍,几乎一半的恶意电子邮件附件都是Office文件。

 

表单劫持在2018年期间成为头号威胁

在2018年期间,攻击者每月能够入侵4,800多个网站,使用注入的JavaScript代码窃取电子商务网站客户的借记卡和信用卡等付款信息。

最引人注目的形式劫持攻击是针对英国航空公司和Ticketmaster的,但赛门铁克表示,使用这一技术的网络犯罪分子,通过在线门户网站接受客户付款的小型在线零售商那里获得了大量非法收入。

赛门铁克在2018年阻止了超过370万次劫持事件,仅在最后两个月就有超过100万次罢工。肇事活动始于2018年,5月活动异常激增(仅当月就有556,000次尝试),随后半年活动总体呈上升趋势。

2018年期间劫持攻击数量的增长的原因一部分原因是因为加密货币的价值不断下降,使得以前使用受到破坏的网站进行加密劫持的黑客在2018年期间转向窃取信用卡以获得数千万美元的更高利润率。

正如赛门铁克在报告中详细写的那样,鉴于每张被盗卡在地下市场出售价格高达45美元,如果黑客能够为他们设法妥协的每个网站窃取大约10张卡,他们就可以每月收入大约220万美元。

 

供应链攻击和LotL攻击也在逐步增长

在2018年期间,供应链攻击的数量也在增长,增加了大约78%。此外,”living-off-the-Land (LotL) “攻击是现在攻击者的行动方式,帮助他们在进行复杂攻击时不被注意。

Office文件作为攻击的方式也逐步增长,恶意者使用包含特制宏的Microsoft Office文档,这些宏旨在运行PowerShell脚本,这些脚本将在受害者的计算机上下载并启动恶意负载。在恶意软件活动期间,Office文件本身越来越多,恶意电子邮件从使用URL传递恶意软件转移到包含宏下载程序的Office文件的目标。更确切地说,恶意Office文档占“恶意电子邮件附件的48%。

赛门铁克每月会阻止115,000个恶意PowerShell脚本,但这个数量不到PowerShell总体使用量的百分之一。因此说明了为什么LotL技术已成为许多目标攻击者的首选策略。

 

挖矿攻击和勒索软件下降趋势为螺旋式

随着所有加密货币贬值之后,挖矿攻击的威胁在逐渐降低,虽然赛门铁克“在2018年阻止了6900万次加密劫持事件,但是,2018年1月至12月期间,挖矿攻击事件下降了52%。”

勒索软件攻击次数也有所下降,同比下降约20%,尽管与2017年相比,企业也成为攻击目标并且遭受的攻击次数增加了12%。

移动勒索软件虽然蓬勃发展,但与2017年相比,感染次数增加了约30%,尽管整体上移动恶意软件感染的数量有所减少。在移动勒索软件中有63%来自美国,13%来自中国和10%来自德国。

 

原文链接

 

 

500px网站1480万个人信息泄露

        照片共享网站500px表示,其用户的1,480万用户的个人信息受到2018年7月发生的安全漏洞的影响。该网站表示正在通知其所有用户并重置其登录凭据。

        通过Petapixelpe该公司的团队在2月8日发现了“系统的安全问题”,他们发现有人在2018年7月5日左右突破了他们的系统。用户输入平台的部分用户数据:用户姓名,用户名,电子邮件地址,密码的散列版本以及用户输入日期,性别和位置(如果他们输入了该信息)。该公司还表示“没有迹象表明未经授权访问”用户帐户,并补充说信用卡号等信息未存储在公司服务器上,因此无法访问。

        500px表示已经修复了漏洞,并且只有2018年7月5日之前的网站用户受到影响。该公司正在向所有受影响的用户发送通知,告知他们重置密码。该公司还指出,它已向警方发出警告,并聘请了一家私营安保公司来调查此问题。它将在为期一年的升级其网络基础设施的过程即将结束,这将有助于未来的安全性。

 

原文链接

小米电动滑板车有漏洞,可无需身份验证远程访问

        安全研究公司Zimperium报道,由于该设备的蓝牙模块存在缺陷,因此,可能会让黑客远程控制该滑板车,比如导致滑板车突然加速或突然刹车。

        通过黑客攻击,Zimperium能对使用小米M365滑板车的路人,强制它加速和制动,而无需物理访问滑板车。研究人员可以发出命令来操纵距离最远100米(328英尺)的任何踏板车。

        恶意黑客可以利用安全漏洞进行大量攻击。可以使用拒绝服务(DoS)攻击来远程锁定任何M365踏板车,同时可以使用恶意软件攻击来安装可以完全控制踏板车的新固件。黑客也可以瞄准个别骑手,并使踏板车突然刹车或加速。

        Zimperium研究人员已经掌握用于安装能够加速电动滑板车的恶意固件的PoC,但考虑到用户的人身安全不会放出。不过, Zimperium在github上发布了该电动车的锁定应用

        Zimperium已经向小米报告了这个问题,小米表示公司内部在早些时候已经得知该漏洞的存在,并且正在积极寻求解决方案,目前还未能修复该漏洞。

 

原文链接

WordPress插件漏洞允许任何用户接管网站

使用WordPress管理其网站的用户,在其中一个插件中查找近期曝光的漏洞。WebARX的安全研究人员最近发现了Simple Social Buttons的一个缺陷,这个插件可以让网站管理员将社交分享按钮(例如Facebook和Twitter的按钮)嵌入文章,评论栏目和网站的其他位置。

该漏洞允许任何可以在网站上创建新帐户的用户,利用该插件来访问管理员通常允许的设置。这可能会让恶意用户使用正确的工具接管网站。

漏洞描述

由于缺少权限检查而导致的应用程序设计流程不正确导致WordPress安装中的权限升级和未经授权的操作,允许非管理员用户,甚至订阅者用户类型从wp_options 表中修改WordPress安装选项。

根据开发人员的说法,WPBrigade简单社交按钮已下载超过500,000次,而WordPress声称它已被安装在超过40,000个网站上。这意味着在平台上构建的许多网站很有可能受到影响。管理用户上周向开发人员报告了这个问题,它很快就在第二天更新了。为了保持安全,请将插件更新到的最新版本,即版本2.0.22。

 

原文链接

安全专家警告:黑客正在测试感染Mac的新方法

        安全公司趋势科技公布了一种黑客正在测试一种感染 Mac 的新方法。其能够绕过macOS 的Gatekeeper 安全特性,以便将包含恶意软件的EXE文件部署到受害者的计算机上。这是安全企业在分析Little Snitch时所发现的,Little Snitch是一个易于作为防ddos的防火墙应用程序。研究人员认为,黑客仍在研究恶意软件及其使用方式。

        需要提出的是,Mac用户无法安装EXE文件,这是Windows使用的可执行格式。如果macOS用户尝试安装EXE文件,他们将收到错误。黑客似乎已经找到了解决这个问题的方法(特别是Gatekeeper功能)将EXE文件打包在DMG文件中,后者是Mac上应用程序的格式。

        根据该公司的一份新报告,趋势科技研究人员在野外发现了其中一种恶意软件。恶意文件能够绕过Gatekeeper,因为它只检查和验证本机macOS文件。在Little Snitch Setup.dmg安装程序中找到了可执行文件,该安装程序经过分析后发现包含EXE格式的可执行文件。

        在他们的研究过程中,安全专家发现大多数感染存在于英国,澳大利亚,亚美尼亚,卢森堡,南非和美国。由于EXE文件无法在macOS上运行,因此黑客将其与Mono捆绑在一起,Mono是一个免费框架,可让Mac用户运行Windows可执行文件。

        恶意软件收集了大量有关受感染系统的数据,包括安装的其他应用程序和型号名称等内容。最终,研究人员报告说,这种恶意软件专门针对macOS用户而设计,实际上,尝试在Windows上运行恶意软件反而会发送错误。建议用户避免从未经验证的来源下载软件和其他文件,并在Mac上运行多层保护。

 

原文链接

 

【物联网安全】暴露在互联网上的数千个RDM制冷系统

        Safety Detective的专家发现了数以千计的由Resource Data Management (RDM)制造的制冷系统可能受到远程攻击。由于Resource Data Management(RDM)制造的温度控制系统存在弱口令,因为它们使用的都是默认的密码未能实现其他安全措施。易受攻击的系统来自多个行业的组织,包括医疗保健提供商和超市连锁店,如Marks&Spencer,Ocado和Way-On。

        专家们通过查询发现,有7400多台设备暴露在网络上 Shodan搜索引擎,大多数都来自于俄罗斯、马来西亚、巴西、英国、台湾、澳大利亚、以色列、德国、荷兰和冰岛等国家。

        温度控制系统可以通过端口9000、8080、8100或80上的HTTP访问。 攻击者可以轻松访问易受攻击的实例,因为它们使用已知的默认用户名和密码组合。 在许多情况下,无需身份验证就可以访问Web界面。

        Safety Detective发布的分析说:“它们都有一个默认的用户名和”1234“作为默认密码,系统管理员很少更改。” “报告中的所有截图都不需要输入用户名和密码,但据我们所知,几乎所有设备都使用默认密码。”

        专家指出,许多系统可以通过简单的谷歌搜索很容易地找到,他们解释说,该公司的办公室秘书很快就发现了德国的一家冷却工厂和英国的一家医院。

        未经授权的攻击者通过访问暴露的制冷系统,可以更改用户和警报设置。 如果可以随意操作制冷系统,可能造成很大损害,尤其是在处理使用制冷系统储存血液和药物的医院。

        安全专家向RDM报告了它的发现,但是供应商最初淡化了报告。 RDM后来承认存在风险,但强调指出,专家报告的问题是由用户和安装人员错误安装造成的。

        “为了澄清RDM中的情况,我们将确认安装程序必须在安装时更改默认密码。 RDM对系统的位置和安装人员没有任何控制。 我们在文档中明确指出,在安装系统时必须更改默认密码。 它类似于一个现成的路由器,具有默认的用户名和密码admin:admin,“RDM发言人回答说。

        “我们还会指出,我们没有远程连接到许多系统,即使可以远程升级我们的软件,但未经所有者同意,我们无法做到这一点。 我们将告知用户我们有新功能的软件,但最终由他们来请求升级,可以通过USB本地或由安装人员/维护人员远程完成,“

 

原文链接

Hontel – Telnet 蜜罐

        HonTel是Telnet服务的蜜罐。它是一个Python v2.x应用程序,模拟chroot环境中的服务。最初它被设计为在Ubuntu环境中运行,它也可以很容易地适应在任何Linux环境中运行。下载Hontel

文档:

        配置HonTel环境和运行应用程序需要一定的Linux管理知识。可以在deploy.txt文件中“逐步”找到整个部署过程。可以在hontel.py内部找到并修改配置设置。例如,身份验证凭据可以从默认root:123456值更改为某些任意值(选项AUTH_USERNAME和AUTH_PASSWORD),自定义欢迎消息可以更改为默认(选项WELCOME),自定义主机名(选项FAKE_HOSTNAME),体系结构(选项FAKE_ARCHITECTURE),日志文件的位置(在chroot内部)环境)包含所有telnet命令(选项LOG_PATH),连接用户删除下载的二进制文件的位置(选SAMPLES_DIR)等。

 

注意:一些僵尸网络倾向于从受感染的主机中删除文件(例如/ bin / bash),以便加强自身免受来自其他(concurent)僵尸网络的清理和安装尝试。在这种情况下,必须重新安装重新整个chroot环境,或者应该从先前存储的备份(推荐)恢复chroot目录所在的主机目录(例如/srv/chroot/)。

原文链接