嘶吼
客观看,有序防,拒绝漏洞PUA
这个夏天,注定不平凡。
01
老洞?新洞?
能被利用就是“漏”洞
首先,让我们看看最近哪些系统最受关注
近期热点漏洞分类统计
企业管理系统类“高居榜首”
果然得“集权”者得“天下”,
拥有大量管理权限和人员信息的资产
果然最受“青睐”,占比高达61%。
对这类系统,切记:
不要“暴露”!
不要“裸奔”!
不要把管理员账号
“刻在”您心爱的桌面上!
业务生产系统类“屈居第二”
最“要面子”的网络资产,
不接受反驳,占比高达21%。
对这类系统,我们要坚持:
该上的防护必须上!
该关的端口马上关!
别把后台推到前台,
别拿漏洞不当“干粮”!
安全产品类需要格外重视
安全资产首先要保证自身安全性。
对这类产品,一定要:
收紧管理入口
看好账户口令
能单独开辟一个管理区域
那就再好不过了~
物联网设备类需要提高警惕
最容易忽视但绝不容忽视的网络资产
攻防江湖当中的“后起之秀”
一句话:做好隔离,千万别浪🌊
排名榜首的企业管理系统类,
到底又涉及哪些系统呢?
让我们一起展开👀:
可以看到各类ERP和OA系统占比最多,
针对这类资产,
漏洞修复要及时,
防护策略提前做。
总结一句话:
守护供应链安全,两高一弱要不得!
02
遇到漏洞不要慌
先开策略再升级
漏洞的防护和扫描,
原理还不太一样。
不同的漏洞攻击,
只要提取到共性的手法特征,
一条规则就可以防护多种漏洞,
所谓一力降十会,万变不离其宗。
尤其是现在的防护产品,
既有规则匹配,又有算法检测,
还有风险模型。
检测手段多样,
能预先防御大部分漏洞攻击。
所以遇到漏洞不要慌张,
首先,确保防护策略完整覆盖,
然后,及时关注规则升级动态。
以RayWAF为例,
来感受下最近的规则更新动态:
可以看到,近期的热点漏洞当中,
70%利用通用规则即可实现检测防护,
其余30%可以采用更精细化的规则进行检测,
btw,我们的规则库已在第一时间更新同步~
03
RayWAF在手
0day防护就有
在漏洞攻击当中,0day漏洞通常会因为:
公开时间短、影响范围大、检测手段缺失、防护效果未知……令大家谈0day色变
其实,在实际的安全防护部署当中,
我们可以通过合理规划安全策略,
有序应对0day攻击。
仍以RayWAF为例,
让我们概括一些实用技巧:
(1)梳理防护资产,摸清家底
采用自学习加主动探测的方式梳理防护资产
一方面用于针对性指导安全策略的设定,
另一方面当高危漏洞爆发时,
可以快速评估风险影响范围,
合理制定应急方案。
(2)梳理安全策略,加固防护
业务的连续性与安全性需掌握好平衡点,
尤其要做好“战时”与“平时”的灵活调整。
实战化阶段,需要确保网络武器、后门攻击、
OA漏洞、S2漏洞等高风险防护规则已开启。
此外,针对关键业务资产及同等重要资产,
还可以建立自学习白名单模块
以实现更严格的防护。
(3)规则自动升级,及时补防
启用规则库在线升级功能
或安排专人跟进升级工作,
确保及时获取规则更新情况,
实现一点捕获、全网快速同步
的及时加固效果。
(4)自定义规则库,灵活响应
针对突发的高危漏洞,在规则尚未发布之前,
还可利用自定义检测规则快速补全防护能力,
为问题资产打好虚拟补丁,实现灵活响应。
(5)业务一键下线,快速止损
对于短时间较难确认的问题风险,
还可以通过一键下线功能,
来保护对应的业务资产。
在防护策略齐备之前,
先从逻辑上临时限制该业务的访问,
达到快速止损的效果,
待防护建立后再恢复上线。
赛程尚未过半,
仍需复盘再战。
基于邮箱的域名欺骗攻击(利用解析器绕过访问控制)
0x01 前言
每年blackhat总是会有一些新奇的攻击思路值得大家学习,在2024年blackhat的议题中发现一篇很有意思的文章,作者提出了一套基于邮箱的欺骗攻击思路,利用RFC标准中对SMTP协议中邮箱地址的特性,提供一系列绕过技巧,我们从中挑选一些实用性较高的思路分享。
0x02 邮箱欺骗
1)邮箱地址注释
在RFC2822规范中规定了邮件数据格式标准,其中3.2.3章节提到可以对消息头中的内容进行注释,邮件地址属于消息头的一部分,也支持注释,注释符是单括号。
在上面表格中的邮箱地址是属于添加了注释的邮件地址,本质上都是代表[email protected]。可以使用python的smtplib库复现了邮件发送过程中的注释功能,如下所示。
#发送邮件def send_mail(html,mails_to,title='xxxxxxx'): ret=True mails_to_old=mails_to mails_to=','.join(mails_to) try: my_sender='[email protected]' # 邮件内容 msg=MIMEText(html,'html','utf-8') # 括号里的对应发件人邮箱昵称、发件人邮箱账号 msg['From']=formataddr(["xxx",my_sender]) # 括号里的对应收件人邮箱昵称、收件人邮箱账号 msg['To'] =formataddr(["xxx",mails_to]) # 邮件的主题 msg['Subject']=title # 邮件服务器的SMTP地址 server=smtplib.SMTP_SSL("smtp.target.cn", 465) # 登录服务器,括号中对应的是发件人邮箱账号、邮箱密码 server.login(my_sender, 'yourpassword') # 发送邮件,括号中对应的是发件人邮箱账号、收件人邮箱账号、发送邮件 server.sendmail(my_sender,mails_to_old,msg.as_string()) # 关闭连接 server.quit() # 如果 try 中的语句没有执行,则会执行下面的 ret=False except Exception as e: print('发送邮件错误',e) ret=False return ret
if __name__ == '__main__': send_mail("xxxxxxx", ["zhangsan@([email protected])webray.com.cn"])
那么这样的邮件欺骗的攻击行为有什么用处呢?
恶意邮箱注册(低危)
攻击者只有一个邮件收件箱,但是通过引入不同的注释符在同一个网站注册多个账号。
认证与鉴权绕过(高危)
有的网站只允许特定域名进行注册(或者通过用户注册邮箱提取其域名信息),如果对域名数据的获取逻辑存在问题,则可能导致获取到的域名是属于注释中的域名,导致认证与鉴权绕过漏洞。
2)邮箱地址编码
在RFC2047规范中规定了邮件传输协议中邮件头的标准,规范中介绍可以使用多种不同的编码方式对邮件头的值进行编码。如下图所示。
其中=?代表编码开始的位置,utf-8代表后续的字符集类型(其它支持的类型包括utf-8、iso-8859-1等),q代表编码方式的简称(其中q代表Q-Encoding,是一种hex编码方式;b代表Base64-Encoding,是base64编码),?=代表编码结束的位置。
通过对邮件地址进行编码提供了另一种邮件地址表示方式,可以使用github的邮箱验证功能来复现这一特性。在github的settings->emails模块中,添加邮箱地址的base64编码后的值,可以在自己的邮箱正常收到github的邮件。
单纯通过对邮箱地址的用户名字段进行编码似乎并不足以产生较大的危害,其灵活性似乎还没有上面邮箱注释的方式高。而且在更多场景下,网站获取邮箱域名是直接获取的邮箱地址的末尾的域名。例如用户输入的邮箱地址是[email protected],网站会获取最后的webray.com.cn来进行校验,判断输入邮箱是否属于允许注册的域名,这样的验证无法通过上面两种方式来绕过。
为了应对上面这种场景,作者提出了一种%00截断的方式,通过邮箱编码结合%00截断可以在输入的邮箱地址末尾添加任意字符。如下图所示。
其中最关键的是在后面添加了=3e(代表右尖括号>)和%00用于截断后面的内容。其中%00可以截断后面的内容应该是属于C语言在字符遍历时的特性,这个很容易理解。前面的右尖括号是什么作用呢?这是因为在SMTP协议头中真实的目的邮箱地址是下面的方式通过左右尖括号的方式来包裹的。
在作者给出的案例中,通过这样的方式可以在github上面认证任意后缀的邮箱地址,如下图所示。
那么这样的欺骗攻击有什么用处呢?
用于欺骗钓鱼攻击(低危)
在业务系统中伪造目标内部邮箱域名后缀,增加钓鱼成功率。
绕过特定域名邮箱注册限制(高危)
有的重要系统限制了必须是特定域名的邮箱才能注册,通过这样的方式可以绕过系统注册限制。在原文中作者提到有的自建gitlab服务器会限制只允许特定域名后缀的邮箱注册,通过这种方式可以绕过限制,这也应该算是邮箱欺骗攻击的典型应用场景了。
使用github管理员权限登陆,在管理配置中配置允许注册的后缀域名。
配置之后就使用其它域名后缀的邮箱注册,则会返回禁止注册的错误。
这个时候可以通过[email protected]对gitlab邮件限制进行欺骗,绕过域名注册限制。
0x03 实网体验
基于邮件地址的域名欺骗攻击是一种新型的攻击思路,在特定场景下能产生重要的作用,但是经过笔者实际测试效果似乎并没有那么好:
大多数网站对邮件地址有格式校验,不允许在邮件地址中存在特殊字符。
我们测试了python的smtplib、php的phpmailer、java的javax.mail.jar三种语言的常见SMTP发邮件的方式,从测试结果上来看三种方式原生均不支持通过编码的方式来定义收件箱地址。原文中也并没有明确当前主流邮件服务器对编码邮件地址的支持情况。
github仅有老版本受域名欺骗攻击影响,在最新的gitlab上面进行测试,是不允许对邮箱地址进行编码的。使用编码的域名会返回邮件地址错误。
也欢迎大家在实际具体业务中多做尝试,肯定能发现其它利用的思路。
0x04 参考链接
循万变·见未来——XCon2024安全焦点信息安全技术峰会在京成功举办
2024年8月23日,XCon2024安全焦点信息安全技术峰会在北京·民航国际会议中心成功举办。本届大会以“循万变·见未来”为主题,秉承“严谨求实· 唯技至上”的理念宗旨,吸引数百位网安一线专家、智库学者、新锐青年白帽共同出席。
会上来自各大头部互联网企业的数十位网络安全技术专家、一线实战安全人,围绕时下热门的大模型安全攻防、新型漏洞挖掘利用、原生安全基础设施建设等前沿网安技术的创新与应用进行了深度议题分享,与现场各位嘉宾、技术人一道,探寻时代发展的新规律,技术演进的新范式,共同探索面对分秒变化的网安空间时,适者生存的前行法则。
开幕致辞环节,XCon大会创始人,北京未来安全信息技术有限公司CEO 王英键(呆神)向与会嘉宾表示了欢迎。他谈到,XCon到今年已经连续举办23年,在今年的演讲者中已经出现了和XCon同龄的00后。在感慨岁月的同时欣慰也同样存在,XCon坚持举办多年的价值、极客精神传递的意义在此刻具象化。谈及本届大会的主题,呆神表示“百模大战已经成为了时代的背景色,大模型的出现让现代社会的生活、工作方式发生巨大变化,如何更好顺应时代的变化,把握新规律,用技术的方式解决新的问题,是安全人要重新思考的命题,期待在XCon2024会场中,和志同道合的朋友一起探讨新的收获!”
作为一场有着23年品牌历史的中国元老级安全会议,本届XCon在延续“营造中国网络安全领域高质量技术交流氛围”的初心之上,持续汇集网安极客的创新力量,着力聚焦大模型时代下安全技术的变革与应用,依托会议的举办与高质量交流场域的搭建,为成果的展示、人才的发掘、产业的精进提供平台与机会。
本次大会分为 “聚焦”与“循变”两大会场。其中,聚焦场,延续XCon二十三年的经典演讲模式,围绕:平行切面、大模型安全攻防探索与实践、漏洞挖掘实践与成果、静态代码分析技术的创新与实践等展开9场高级别技术分享,在成果的展示中,充分展现百模大战的时代背景下,安全人对技术创新应用的思考与实践,为更优质的网安生态提供鲜氧与动能。
循变场,将受众重点聚焦在网安新锐人才、青年白帽群体上。XCon2024首度合作潮流白帽领域最活跃的安全技术社区HackingGroup,开展“未来之锋·智创奇迹”XCon×HackingGroup的技术论坛,8位演讲人将攻防一线的实战经验倾囊分享,在轻松而纯粹的交流氛围里,碰撞思想、收获经验、结识至交。
本届XCon现场,外场的展商空间与极客市集区域热闹非凡。展商空间内,蚂蚁集团、京东安全、百度安全、美团安全、360数字安全,5大网安领域头部企业自发组织了数场互动活动,与现场极客、安全人近距离交流、碰撞,在传递品牌理念的同时,开展人才招聘、吸粉纳新,依托XCon聚合的高质、高密技术人群,实现自身声量的扩张与影响力的透传。
极客市集区域,来自全国多地的技术社区在XCon2024聚集。正如创立初衷——只为探讨技术而来,热烈探讨的极客氛围里年轻者的虚心请教与行业前辈的倾囊相授随处可见,极客之间的惺惺相惜与极客精神的传递与延续总是让人动容。逸趣横生的极客市集探索给现场参会者带来了颇具未来感的互动体验,以XCon为圆心,引入更多资源,让彼此的距离更近,让链接的黏性更强,也让更多技术人坚定白帽黑客之路。
今年是XCon陪伴网安人共同走过的第23载。23年的聚势笃行,XCon 与众多网安同仁一同见证了中国网络安全产业的飞速发展与卓越成就。如今,XCon品牌所代表的已不仅仅是一场单纯的会议,而是依托会议的举办所架构起的无差别交流场域,纯粹而极致的共享平台,优质而高效的资源渠道。在长久的积淀中,团结着网安人紧跟时代脉搏,积极应对万变之局。
未来,XCon在建设网安事业的蓝图上将继续以行动为笔,以技术创新为墨,以更加坚定的步伐构建起坚不可摧的网络安全防线,为中国信息安全产业的发展铸起安全堡垒!
数据勒索团伙利用虚假 Windows 更新屏幕隐藏数据窃取行为
近日,一个名为 Mad Liberator 的新数据勒索团伙瞄准了 AnyDesk 用户,并运行虚假的 Microsoft Windows 更新屏幕来分散注意力,同时从目标设备窃取数据。
该行动于 7 月开始出现,虽然观察该活动的研究人员没有发现任何涉及数据加密的事件,但该团伙在其数据泄露网站上指出,他们使用 AES/RSA 算法来锁定文件。
Mad Liberator“关于”页面
针对 AnyDesk 用户
在网络安全公司 Sophos 的一份报告中,研究人员表示,Mad Liberator 攻击始于使用 AnyDesk 远程访问应用程序与计算机进行未经请求的连接,该应用程序在管理公司环境的 IT 团队中很受欢迎。
目前尚不清楚威胁者如何选择其目标,但有一种理论是,Mad Liberator 会尝试潜在的地址(AnyDesk 连接 ID),直到有人接受连接请求,但该说法尚未证实。
AnyDesk 上的连接请求
一旦连接请求被批准,攻击者就会在受感染的系统上放置一个名为 Microsoft Windows Update 的二进制文件,该二进制文件会显示一个虚假的 Windows Update 启动画面。
伪造的 Windows 更新启动画面
该诡计的唯一目的是分散受害者的注意力,同时威胁者使用 AnyDesk 的文件传输工具从 OneDrive 帐户、网络共享和本地存储中窃取数据。在虚假更新屏幕期间,受害者的键盘被禁用,以防止破坏数据泄露过程。
安全研究人员发现,Mad Liberator 的攻击持续了大约四个小时,在数据泄露后阶段,它没有进行任何数据加密。但它仍然在共享网络目录上留下勒索信,以确保在企业环境中获得最大程度的可见性。
被入侵的设备被泄露勒索信
安全研究人员指出,在 AnyDesk 连接请求之前,它没有看到 Mad Liberator 与目标互动,也没有记录任何支持攻击的网络钓鱼尝试。
关于 Mad Liberator 的勒索过程,威胁者在其暗网上声明,他们首先联系被入侵的公司,并表示如果满足他们的金钱要求,他们就会“帮助”他们修复安全问题并恢复加密文件。
如果受害公司在 24 小时内没有回应,他们的名字就会被公布在勒索门户网站上,并有七天的时间联系威胁者。
在发出最后通牒后的五天内,如果受害者没有支付赎金,所有被盗文件都会被公布在 Mad Liberator 网站上,目前该网站已列出了九名受害者。
GitHub Actions 工件在热门项目中被发现泄露身份验证令牌
近期,包括谷歌、微软、AWS 和 Red Hat 在内的多个知名开源项目被发现在 CI/CD 工作流中通过 GitHub Actions 工件泄露 GitHub 身份验证令牌。窃取这些令牌的攻击者可以未经授权访问私有存储库、窃取源代码或将恶意代码注入项目。
Palo Alto Networks 的 Unit 42 率先发现了这一问题,促使热门存储库的所有者采取行动,因为机密信息通过 GitHub Actions 构件泄露。然而,由于 GitHub 决定不解决这一风险,而是将保护构件的责任推给用户,因此根本问题仍未得到解决。
鉴于这种情况,GitHub 用户需要了解风险,评估其暴露情况,并采取措施防止将来发生泄露。
GitHub Actions 生成的工件
泄露 GitHub 令牌
Unit 42 的报告强调了一系列因素,包括不安全的默认设置、用户配置错误和安全检查不足,这些因素可能导致 GitHub 令牌泄露,即所谓的“ArtiPACKED”攻击。
第一个风险点是“actions/checkout”操作,该操作通常用于 GitHub 工作流中克隆存储库代码,以便在工作流运行期间可用。默认情况下,此操作会将 GitHub 令牌保留到本地 .git 目录(隐藏),这是工作流内经过身份验证的操作所必需的。
如果用户错误地将整个结帐目录作为工件的一部分上传,则 git 文件夹内的 GitHub 令牌将被暴露。
公开的 GitHub 令牌
该文件夹中可能包含的其他敏感信息包括 API 密钥、云服务访问令牌和各种帐户凭据。
在 CI/CD 过程中生成的工件(例如构建输出和测试结果)可能会因错误上传而暴露,这些工件的存储期限最长为三个月,可供访问。
另一个故障点是使用环境变量存储 GitHub 令牌的 CI/CD 管道。如果工作流中的操作或脚本有意或无意地记录了这些变量,则日志将作为工件上传。
Unit 42 指出,当“CREATE_LOG_FILE”属性设置为“True”时,“super-linter”操作可以创建包含环境变体的详细日志。
利用泄漏
最终,攻击者会试图利用特定的竞争条件场景,其中必须从日志中提取短暂的 GitHub 令牌并在其过期之前使用。
GitHub 令牌在工作流作业期间保持有效,因此其利用潜力因情况而异。GitHub 内部用于缓存和管理工件的“Actions_Runtime_Token”通常有效期为 6 小时,因此利用窗口很小。
自定义密钥和令牌(例如 API 密钥或云服务访问令牌)的使用寿命各不相同,从几分钟到永不过期。
Unit 42 介绍了一种攻击场景,该场景识别使用 GitHub Actions 的项目或公共存储库,并使用自动化脚本扫描它们以查找增加工件生成可能性的标准。
另一组脚本可以自动从目标存储库的 CI/CD 管道下载工件,对于公共存储库而言,这是一个简单的过程。然后,它会仔细检查其中的机密。
攻击流
补救
Unit 42 确定了以下 14 个大型开源项目使用 GitHub 令牌公开工件的案例,并将其报告给受影响方以进行补救:
·Firebase (谷歌)
·OpenSearch Security (AWS) Clair (红帽)
·Active Directory System (Adsys) (Canonical) JSON Schemas (微软)
·TypeScript Repos Automation、TypeScript Bot Test Triggerer、Azure Draft (微软)
·CycloneDX SBOM (OWASP)
·Stockfish
·Libevent
·Guardian for Apache Kafka (Aiven-Open)
·Git Annex (Datalad)
·Penrose
·Deckhouse
·Concrete-ML (Zama AI)
一般而言,建议 GitHub 用户避免在已上传的工件中包含整个目录,清理日志,并定期检查 CI/CD 管道配置。
应调整“actions/checkout”等危险操作的默认设置,以使凭据不会持续存在。此外,工作流程中使用的令牌权限应设置为必要的最小特权,以最大程度避免暴露时造成的损害。
行业首发,私域部署,高效执法!Qiko大模型智能本,打造您的专属业务大模型
在智慧执法与数字化转型的加速推进下,公共安全领域的智能化建设正成为行业关注的焦点。随着大数据、人工智能等技术的不断成熟,执法单位对智能化解决方案的需求日益突出。
为助力执法人员提升工作效率,为执法工作提供更加安全、深度、便捷的智能化支持,构建更加公平、公正、高效的执法环境。美亚柏科重磅发布AI-8200 Qiko大模型智能本,国内首款专为执法精英打造的超级智能助手,树立公共安全领域智能化建设新标杆,与您并肩作战,智启未来。
私域大模型,专业守护
·内置国内首个公共安全行业大模型“天擎”,私有化部署,该模型集成了海量执法案例、法律法规、证据处理规范等知识库,能够实现对复杂执法场景的深度理解和快速响应。
·具备70亿参数量,通过GQA推理加速,支持128K的上下文长度,能够理解更复杂、更深入的信息,为业务智能分析提供强有力的支持。
·与业务深度融合,基于业务网的数据和设备,脱网也可使用,确保操作数据安全无忧,业务流程合规。
智能对话,沟通无界
·内置文档总结分析、思维导图总结、网站分析、语言翻译等数十种通用能力,成为执法人员工作中的“多面手”。
·支持文字输入、语音交互及文件导入等多种方式,极大地方便了执法人员现场勘查和实验室分析,让信息的传递与理解更高效。
行业智能体,专属定制
·内置取证百科、分析推理、辅助决策等8个取证智能体,覆盖执法工作的各个环节,提供即时、准确的信息支持。
·支持业务知识库训练,可根据需求定制化开发,构建符合个人或团队特色的全新智能体,实现真正的“一人一策,一队一方案”。
一体化装备,便捷高效
·采用了行业领先的硬软件组合,最佳性能配置,开箱即用,无需复杂设置即可快速上手。
·i9处理器,时钟速度高达5.4GHz,24核,16GB显存+64GB内存,确保流畅运行与快速响应,无论是处理大量数据,还是运行复杂模型,都能轻松应对。
重塑执法效率,智慧引领
AI-8200 Qiko大模型智能本,不仅仅是一款产品,更是执法人员工作中的智慧伙伴和得力助手。
一“本”在手,提升工作效率,不再只是口号:业务辅助分析,将变得更加精准与深入;赋能取证装备,每一次现场勘查都如同拥有“智慧之眼”,执法工作的每一个环节都将迎来前所未有的变革。
让数据说话,让分析指引行动,让每一次执法行动都更加高效、精准,这是AI-8200 Qiko对每一位执法者的承诺,也是我们共同追求的未来。
在追求公正与安全的征途中,每一位执法人员都是不折不扣的勇士。接下来,美亚柏科将持续投入研发资源,不断优化大模型算法,丰富智能体功能,并根据用户反馈进行迭代升级,推动执法工作的智能化、精细化、专业化发展。让我们携手前行,智启一个更加安全、高效的未来。
若需了解或采购装备可联系本地销售,或扫描下方二维码填写相关需求~
XCon2024完整版参会攻略,速速来看,果断收藏~~
距离XCon2024安全焦点信息安全技术峰会正式开幕仅剩1天
后台仍在不断激增的购票数量
也足见各位对本届XCon的热切期待~~
那今天小编就作为大会的前站路透官
为各位盘上一波XCon2024参会攻略~~
丰田网络后台遭黑客入侵 大量数据被泄露
本周,ZeroSevenGroup(泄露被盗数据的威胁者)表示,他们入侵了美国一家分公司,窃取了 240GB 的文件,其中包含有关丰田员工和客户的信息,以及合同和财务信息。
他们还声称已经使用开源 ADRecon 工具收集了网络基础设施信息,包括凭证,该工具可帮助从 Active Directory 环境中提取大量信息。
威胁者在黑客论坛上称已拿到包括联系人、财务、客户、员工、计划、照片、数据库、网络基础设施、电子邮件等内容的大量数据。除此之外,威胁者还可提供带有密码的所有目标网络的 AD-Recon。
目前,丰田已证实其网络遭到入侵。
当被要求验证该威胁者的说法时,丰田称:该问题范围有限,不是系统范围内的问题。
随后该公司补充说,它“正在与受影响的人接触,并将在需要时提供帮助”,但尚未提供有关何时发现入侵、攻击者如何获得访问权限以及有多少人的数据在事件中被泄露的信息。
丰田数据泄露
虽然丰田尚未透露泄密事件的日期,但相关媒体发现这些文件已被盗,或者至少是在 2022 年 12 月 25 日创建的。这个日期可能表明威胁分子获得了存储数据的备份服务器的访问权限。
去年 12 月,丰田子公司丰田金融服务公司 (TFS) 就曾警告客户,他们的敏感个人和财务数据在一次数据泄露中被暴露,该数据泄露是由 11 月的 Medusa 勒索软件攻击造成的,该攻击影响了这家日本汽车制造商的欧洲和非洲分部。
今年 5 月份,丰田披露了另一起数据泄露事件,由于公司云环境中的数据库配置错误,215 万客户的车辆位置信息在 2013 年 11 月 6 日至 2023 年 4 月 17 日之间暴露了长达十年之久。
几周后,该公司又发现另外两个配置错误的云服务泄露了丰田客户的个人信息,时间长达七年多。
这两起事件发生后,丰田表示已实施了一套自动化系统来监控其所有环境中的云配置和数据库设置,以防止将来再次发生此类泄露。
据了解,2019 年,丰田和雷克萨斯的多家销售子公司也遭遇入侵,攻击者窃取并泄露了该公司当时所说的“多达 310 万条的客户信息”。
2024 年 7 月头号恶意软件:Remcos 和 RansomHub 大行其道
根据 Check Point 最新的威胁指数报告,RansomHub 仍是最猖獗的勒索软件团伙。与此同时,研究人员发现了一起利用安全软件更新事故发起的 Remcos Windows 恶意软件攻击活动
2024 年 8 月 ,领先的云端 AI 网络安全平台提供商 Check Point® 软件技术有限公司(纳斯达克股票代码:CHKP)发布了其 2024 年 7 月《全球威胁指数》报告。尽管 6 月份 LockBit 的肆虐程度大幅下降,但在7月份它又卷土重来,成为第二大最猖獗的勒索软件;RansomHub 仍居榜首。与此同时,研究人员发现了一起利用 CrowdStrike 更新事故分发 Remcos 恶意软件的攻击活动,以及一系列新型 FakeUpdates 攻击手段。FakeUpdates 于 7 月份重返头号恶意软件排行榜榜首。
CrowdStrike Falcon Sensor for Windows 更新事故让网络犯罪分子得以趁机分发一个名为 crowdstrike-hotfix.zip 的恶意 ZIP 文件。该文件附带 HijackLoader,后者可激活 Remcos 恶意软件(在 7 月份位列第七大头号恶意软件)。这一攻击活动主要针对使用西班牙语的企业,通过伪造域名实施网络钓鱼攻击。
此外,研究人员还发现了一系列新型 FakeUpdates 攻击手段,该恶意软件于 7 月份重返恶意软件排行榜榜首。访问受感染网站的用户会遇到虚假的浏览器更新提示,被诱骗安装远程访问木马 (RAT),例如目前在 Check Point 指数排行榜中位列第九的 AsyncRAT。令人担忧的是,网络犯罪分子现已开始利用 BOINC(一个用于志愿计算的平台),对受感染系统进行远程控制。
Check Point 软件技术公司研究副总裁 Maya Horowitz 表示:“Lockbit 和 RansomHub 等勒索软件团伙的持续肆虐表明勒索软件仍是网络犯罪分子的重要工具,对企业保持着持续的威胁、并严重危及企业的运营连续性和数据安全性。最近利用安全软件更新事故分发 Remcos 恶意软件的事件进一步凸显了网络犯罪分子随时伺机部署恶意软件,以破坏目标机构的防御系统。面对这些威胁,用户需要采取多层安全防护策略,包括实施强大的端点保护、实行严密的监控和开展全面的用户安全教育,以有效抵御这些日益加剧的大规模网络攻击。”
头号恶意软件家族
* 箭头表示与上月相比的排名变化。
FakeUpdates 是上个月最猖獗的恶意软件,全球 7% 的机构受到波及,其次是 Androxgh0st 和 AgentTesla,分别影响了全球 5% 和 3% 的机构。
1. ↔ FakeUpdates – FakeUpdates(又名 SocGholish)是一种使用 JavaScript 编写的下载程序。它会在启动有效载荷之前先将其写入磁盘。FakeUpdates 通过许多其他恶意软件(包括 GootLoader、Dridex、NetSupport、DoppelPaymer 和 AZORult)引致进一步破坏。
2. ↔ Androxgh0st - Androxgh0st 是一个针对 Windows、Mac 及 Linux 平台的僵尸网络。在感染初始阶段,Androxgh0st 利用多个漏洞,特别是针对 PHPUnit、Laravel 框架和 Apache Web 服务器的漏洞。该恶意软件会窃取 Twilio 账户信息、SMTP 凭证、AWS 密钥等敏感信息,并利用 Laravel 文件收集所需信息。它有不同的变体,可扫描不同的信息。
3. ↔ AgentTesla – AgentTesla 是一种用作键盘记录器和信息窃取程序的高级 RAT,能够监控和收集受害者的键盘输入与系统剪贴板、截图并盗取受害者电脑上安装的各种软件(包括 Google Chrome、Mozilla Firefox 和 Microsoft Outlook 电子邮件客户端)的证书。
4. ↑ Formbook – Formbook 是针对 Windows 操作系统的信息窃取程序,于 2016 年首次被发现。由于其强大的规避技术和相对较低的价格,它在地下黑客论坛中作为恶意软件即服务 (MaaS) 进行出售。FormBook 可从各种 Web 浏览器中获取凭证、收集截图、监控和记录击键次数并按照其 C&C 命令下载和执行文件。
5. ↓ Qbot - Qbot(又名 Qakbot)是一种多用途恶意软件,于 2008 年首次出现,旨在窃取用户凭证、记录击键次数、从浏览器中窃取 cookie、监视用户的银行业务操作,并部署更多恶意软件。Qbot 通常通过垃圾邮件传播,采用多种反 VM、反调试和反沙盒手段来阻碍分析和逃避检测。从 2022 年开始,它成为最猖獗的木马之一。
6. ↔ Remcos - Remcos 是一种远程访问木马,于 2016 年首次现身。Remcos 通过垃圾电子邮件随附的恶意 Microsoft Office 文档自行传播,旨在绕过 Microsoft Windows UAC 安全保护并以高级权限执行恶意软件。
7. ↔ Phorpiex - Phorpiex 是一种僵尸网络,因通过垃圾邮件攻击活动分发其他恶意软件家族并助长大规模性勒索攻击活动而广为人知。
8. ↑ Vidar - Vidar 是一种以恶意软件即服务模式运行的信息窃取恶意软件,于 2018 年底首次现身。该恶意软件在 Windows 上运行,不仅可从浏览器和数字钱包中收集各种敏感数据,而且还被用作勒索软件的下载程序。
9. ↓ AsyncRat - Asyncrat 是一种针对 Windows 平台的木马程序。该恶意软件会向远程服务器发送目标系统的系统信息。它从服务器接收命令,以下载和执行插件、终止进程、进行自我卸载/更新,并截取受感染系统的屏幕截图。
10. ↓ NJRat - NJRat 是一种远程访问木马,该木马于 2012 年首次出现,具有多项功能:捕获击键记录、访问受害者的摄像头、窃取浏览器中存储的凭证、上传和下载文件、操纵进程和文件以及查看受害者的桌面。NJRat 通过网络钓鱼攻击和偷渡式下载感染受害者设备,并在命令与控制服务器软件的支持下,通过受感染的 USB 密钥或网盘进行传播。
主要移动恶意软件
上月,Joker 位居最猖獗的移动恶意软件榜首,其次是 Anubis 和 AhMyth。
1. ↔ Joker – 一种存在于 Google Play 中的 Android 间谍软件,可窃取短消息、联系人列表及设备信息。此外,该恶意软件还能够在广告网站上偷偷地为受害者注册付费服务。
2. ↔ Anubis – Anubis 是一种专为 Android 手机设计的银行木马恶意软件。自最初检测到以来,它已经具有一些额外的功能,包括远程访问木马 (RAT) 功能、键盘记录器、录音功能及各种勒索软件特性。在谷歌商店提供的数百款不同应用中均已检测到该银行木马。
3. ↔ AhMyth – AhMyth 是一种远程访问木马 (RAT),于 2017 年被发现,可通过应用商店和各种网站上的 Android 应用进行传播。当用户安装这些受感染的应用后,该恶意软件便可从设备收集敏感信息,并执行键盘记录、屏幕截图、发送短信和激活摄像头等操作,这些操作通常用于窃取敏感信息。
爱加密品牌LOGO焕新,新LOGO传递了哪些信号
2024年8月13日,正值成立11周年,爱加密正式进行了品牌升级,向下一个10年征程昂首迈进。作为知名移动安全领域厂商,本次品牌升级吸引多家垂直媒体关注,为更好的传递品牌升级的背后原因,爱加密CEO赵凯接受了媒体采访,由他来介绍爱加密这些年发生的变化以及升级品牌LOGO的初衷。
爱加密CEO 赵凯
一、从方兴未艾到蓬勃发展
爱加密品牌成立于2013年,彼时正是PC互联网向移动互联网转型的过渡时期。随着移动设备的广泛应用使传统的、基于PC端的安全管控方式无法全面满足移动设备的安全场景及需求。
据赵凯介绍,移动端和PC端的安全管控措施不完全相同。过去PC设备主要集中于机房等环境,便于管控。但移动设备的出现,大量的业务场景、使用场景脱离了传统管控的环境,以至于传统安全策略无法顺利应用在移动端。同时,大量风险在没有可靠管控的情况下无法被及时发现和处理。
此外,由于Android系统的开源,使大量未经检验的系统进入到各类移动设备中。由于早期的设备制造商和应用开发商不具备充足的安全意识,导致很多设备和应用本身就存在着大量的安全隐患。与此同时,更多的威胁行为者也关注到了移动设备的快速普及,采取了很多攻击行为以谋取利益。
爱加密关注到国内移动安全方面的缺失,积极投身于移动安全领域。从方兴未艾到蓬勃发展,爱加密始终伴随着国内移动安全领域的发展。随着法律法规的逐步完善和监管力度的增加,移动互联网的安全性正在逐步提升。无论是设备的厂商、APP的开发商还是使用者,都开始重视安全对移动互联网的重要性。现在,绝大多数智能手机都内置安全应用,监管机构对APP开发者的监管力度与日俱增,个人隐私保护也成为目前最受关注的安全领域之一。
二、爱加密品牌升级背后的故事
在过去的十余年时间里,整个移动安全领域发生了非常大的变化。赵凯认为移动设备及风险的多元化发展让移动安全领域变得更加“丰富”。
早期的移动安全主要聚焦于智能手机等便携式设备,主要风险包括系统安全、应用安全等,随着包括平板电脑、智能手表、智能车机等各类移动设备的出现,移动安全场景迅速扩张;同时AI、大数据等技术的广泛应用也让移动安全的相关产品和服务快速迭代。
在这个过程中,爱加密紧跟国家战略,拓展了包括AI安全、数据安全、安全运营等相关能力。这些产品和能力的完善使爱加密能更好地践行产业报国和企业担当。
2024年正值爱加密发展的第11年,在“没有网络安全,就没有国家安全”的大背景下,原有的LOGO已经不能充分传递爱加密的品牌内涵。于是,在经过一系列的准备后,爱加密决定以升级品牌LOGO的方式,向外界传达爱加密即将“焕新出发”。
三、LOGO升级,“焕新出发”
此次爱加密LOGO升级可以看到有很多变化。此前,爱加密的LOGO拥有盾牌、Android图标等元素,而全新升级的LOGO去掉了Android图标,增加了红色的对号图案,背景盾牌图案则选择用灰色打底。在此次采访中,赵凯详细介绍了LOGO升级的细节,以及想要对外传递的信息。
1.第11年继往开来
对于此次LOGO升级,爱加密对内对外都进行了大量的调研工作,了解众多客户及员工的看法。他认为,LOGO升级这一举动有两层主要含义,其一是在企业发展的第11年,爱加密会“焕新出发”,继往开来地沿着过去的道路持续发展。其二是通过这种方式,让更多用户了解和关注爱加密这些年的发展、变化以及所做出的成就和贡献。
不仅如此,此次LOGO升级还体现出爱加密多年来的品牌精神内核。后续,爱加密将继续推进品牌升级的进程,通过贯彻企业核心思想,更好地为移动安全领域的发展贡献力量。
2.红色,爱加密的社会责任
在此次LOGO升级中,有一抹红色格外显眼。对此,赵凯解释,爱加密是中国的网络安全厂商,红色既代表着爱加密扎根于中国服务于中国,也代表了爱加密人蓬勃向上,奋发登攀的决心与勇气。长期以来,爱加密通过不断挖掘多类移动设备风险,积极配合监管部门工作。他表示,这是爱加密实现实业报国的举措之一。
以儿童手表为例,在儿童手表逐渐进入孩子们的日常生活时,爱加密关注到儿童手表存在的诸多安全隐患可能会对儿童带来损害。出于社会责任,爱加密通过对儿童手表等移动设备进行针对性检测、发布分析报告并编写相关标准协助产业链上下游企业优化设备安全性。赵凯表示,此举不仅保障了儿童安全,还提醒了更多设备制造商及相关供应商增强安全意识,重视安全隐患。
3.对号,爱加密是第一选择
除了红色,爱加密还在LOGO增加了对号图案。对号寓意着客户对爱加密的坚定选择,以及经由爱加密服务后客户对于自身安全状态的认可。十年来爱加密在服务中积累了丰富的经验,努力帮助客户达到理想的安全状态,也期望爱加密持续成为客户心中最佳安全合作伙伴。
重视服务是爱加密能够取得成功的原因之一。爱加密始终坚持以用户需求为导向,用户是爱加密企业生存的根本。在过去的时间里,爱加密用自身的服务积累了大量的存量客户,这些客户的信任让爱加密能够继续发展,也让更多移动安全产品得以问世。
4.灰色,爱加密的技术沉淀
LOGO中灰色意味着爱加密十年间始终坚持以技术研发为核心和高研发投入,持续探索安全技术边界,竭力推动技术创新,打造全方位、一站式的安全解决方案。盾牌则代表爱加密将通过完善的产品矩阵和服务,与客户一起共同筑牢安全屏障,帮助企业铸造“安全坚盾”,为发展新质生产力蓄势赋能。
在AI大模型快速发展的今天,大量的威胁行为者选择用AI来加持他们的攻击技术,这意味着作为防守方的厂商和用户,也需要将AI作为核心能力去叠加到现有的产品中。目前,爱加密在AI安全领域就人脸识别安全风险提出AI鉴伪方案提升了客户的安全防护能力,在源码检测、合规检测等领域,通过AI使其可以准确度更高、效率更高地帮助客户反馈问题、提高效率。
长期以来,爱加密均投入了大量的人力物力去探索和研发移动安全。赵凯表示,2023年,爱加密的研发收入占比超过了40%。可以说,对技术的执着成就了爱加密。
四、来日正长、敬请期待
爱加密LOGO升级这一消息势必会传递到整个产业,而爱加密的企业使命和责任也会随之传递到更多用户中。
对于即将进入的下一个阶段,赵凯坦言,爱加密不会试图去做大而全的企业,而是会继续坚持做有价值的事,持续挖掘和探索移动安全领域的更多新应用、新趋势。
在未来更多的十年,爱加密会继续加大对AI领域和数据安全等领域的探索,更好地打磨安全技术和能力,顺应时代和市场趋势,推出更多具有创新意识的安全产品,让爱加密能够服务更多的用户。
微软禁用 BitLocker 安全修复程序,建议手动缓解
由于固件不兼容问题导致已修补的 Windows 设备进入 BitLocker 恢复模式,Microsoft 已禁用针对 BitLocker 安全功能绕过漏洞的修复。
该漏洞被标记为 CVE-2024-38058,它可让攻击者绕过 BitLocker 设备加密功能,并通过物理访问目标设备来访问加密数据。
该公司在更新中解释道:“当客户将针对此漏洞的修复程序应用于他们的设备时,我们收到了有关固件不兼容问题的反馈,这些问题导致 BitLocker 在某些设备上进入恢复模式。因此,随着 2024 年 8 月安全更新的发布,我们将禁用此修复程序。”
禁用修复程序后,微软建议那些想要保护其系统和数据免受 CVE-2024-38058 攻击的用户应用 KB5025885 公告中详述的缓解措施。
但是,他们现在不必部署安全更新,而是必须经历一个 4 阶段的过程,该过程还需要重新启动受影响的设备八次。
此外,微软警告说,在具有安全启动功能的设备上应用缓解措施后,即使重新格式化磁盘,他们也无法再将其删除。
在设备上启用此问题的缓解措施后,即已应用缓解措施,如果用户继续在该设备上使用安全启动,则无法恢复。即使重新格式化磁盘也无法删除已应用的撤销。
在本月的补丁星期二,雷德蒙德还修复了 7 月 Windows 安全更新引发的一个已知问题,该问题导致一些 Windows 设备启动到 BitLocker 恢复。
虽然这与迫使微软禁用 CVE-2024-38058 修复的固件不兼容问题相符,但该公司没有提供任何有关实际根本原因或如何解决该问题的信息。
微软只是建议受影响的客户为他们的设备安装最新更新,因为它包含重要的改进和问题解决方,而没有以任何方式将该错误或其修复与 CVE-2024-38058 漏洞联系起来。
单位敏感数据泄露,罪魁祸首竟然是食堂管理系统
近日,在为某国企单位进行网络安全保障期间,盛邦安全RayAPI产品监测到智慧食堂管理系统信息查询接口存在未鉴权风险,可导致大量敏感信息泄露,包括账号信息、身份照片及系统运行日志等,随后,安全研究人员对该风险进行了详细的验证。
验证步骤
1、RayAPI发现智慧食堂管理系统信息查询接口存在未鉴权风险。
2、关联攻击检测策略进行分析,发现针对该接口存在漏洞利用攻击尝试。
3、查看接口返回信息,发现存在手机号、身份证信息等敏感数据泄露事件。
4、对接口敏感信息进行检测分析,发现除个人隐私信息外,还涉及大量账号信息,其中包括各类摄像头、售卖机和消费机等终端的管理IP及账号口令。
5、进行主动验证测试,发现通过该接口可以直接批量获取敏感信息。
我们的建议
近年来,随着企业信息化、数字化的转型与升级,智慧园区建设当中也不断引入各类新型系统来打通管理流程,例如智慧食堂管理系统,此类系统往往涉及大量员工个人信息,并与其他企业管理系统通过API接口互通,同时又容易被安全运维人员所忽视。对此,我们从系统建设与安全治理两方面给出如下建议:
1、系统建设层面
(1)加强API接口权限控制,尤其针对涉敏类接口,除必要的认证手段之外,还应设定合理的访问频率限制,防止接口被恶意爬取;
(2)加强敏感数据管控措施,尤其针对个人隐私信息,一方面需建立必要的加密传输手段,另一方面需减少非必要的数据内容传输,防止数据过度暴露。
2、安全治理层面
(1)做好接口暴露风险检测。以RayAPI为例,通过对接口类型、调用内容与访问轨迹等条件的关联检测,识别敏感接口的误暴露风险情况;
(2)做好接口异常行为检测。以RayAPI为例,通过对接口访问频次、数据调用规模的趋势分析,识别可能存在的接口攻击行为,并配合安全基线要求设定访问控制策略。
开机就能打?没那么玄乎!客观分析 “狂躁许可”漏洞(CVE-2024-38077)及其影响范围
一、事件背景
2024年7月9日,微软官方发布了一个针对“windows远程桌面授权服务远程代码执行漏洞”(CVE-2024-38077)的修复补丁包,起初并没有引起大家的警觉。近日在国外某网站上疑似漏洞的作者公开了该漏洞的“POC验证代码”。一时激起千层浪,该漏洞开始疯狂发酵并在安全圈里转发。
该文章的原文链接为:
https://sites.google.com/site/zhiniangpeng/blogs/MadLicense
链接里也附上了漏洞验证视频:
https://www.youtube.com/watch?v=OSYOrRS2k4A&t=8s
有意思的是,截至本文发稿前,这篇文章和文章里提到的漏洞验证视频已均被作者删除。我们就先从作者发的这个链接来看看其中的一些端倪。
二、原文翻译
注:以下内容为原文翻译,我们对其中需重点关注的部分做了标记。
【背景】
今年早些时候,我们对 Windows 远程桌面服务进行了深入分析,发现了多个漏洞,所有相关漏洞(56 例)都已报告给微软。其中包括远程桌面授权服务中的多个 Preauth RCE 漏洞(未经身份验证的非沙盒 0-click RCE)。这些漏洞可用于构建针对 Windows 远程桌面授权服务的多个 Preauth RCE 漏洞。是的,它们是多年来在 Windows 中未见过的 0-click preauth RCE。我们将它们称为Mad、Bad 和 Dead Licenses 漏洞。
本文是关于这些漏洞的系列文章中的第一篇。
在本文中,我们介绍了漏洞 CVE-2024-38077(我们将其命名为 MadLicense【狂躁许可】),并在启用了完整和新缓解措施的 Windows Server 2025 上演示了该漏洞的利用。我们之所以选择 Windows Server 2025,是因为微软声称 Windows Server 2025 提供了下一代安全改进。并且该漏洞适用于 Windows Server 2000到2025(所有 Windows Server )。
我们现在不会给出详细的技术解释,也不会提供完整的POC 。但是这里的伪代码足以了解此漏洞。为了防止滥用,此处的 python 代码实际上是伪代码。你甚至无法使用此伪代码触发漏洞,更不用说利用它了。这足以证明其严重性,并为防御者在真正弄清楚如何利用它之前采取行动提供足够的时间。
我们在一个月前就通知微软这个漏洞可以被利用,但微软仍将其标记为不太可能被利用。因此我们在此进行了负责任的披露。我们的目的是提高人们对该漏洞风险的认识,并鼓励用户及时更新系统以解决这些问题。Defender 还可以使用本博客中的信息来检测和阻止可能的攻击。
【介绍】
2024年7月,我们报告的以下7个与RDP相关的漏洞已被Microsoft修复:
其中,Windows 远程桌面授权服务中的 3 个 CVSS 评分为 9.8 的 RCE 漏洞值得关注。在微软的公告中,他们认为这些漏洞不太可能被利用。但事实并非如此。事实上,我们在补丁发布之前就告知了微软这些漏洞的可利用性。
在本博客中,我们将演示如何利用 Windows Server 2025上的 CVE-2024-38077 进行预认证 RCE 攻击,绕过所有现代缓解措施,在最新的 Windows Server 上实现零点击 RCE。是的,你没听错,只需利用一个漏洞,你无需任何用户交互即可实现此目的。
【远程桌面许可 (RDL) 服务】
远程桌面许可服务是 Windows Server 的一个组件,用于管理和颁发远程桌面服务的许可证,确保对远程应用程序和桌面的安全且合规的访问。
RDL 服务广泛部署在启用了远程桌面服务的机器上。默认情况下,远程桌面服务仅允许同时使用两个会话。要启用多个同时会话,您需要购买许可证。RDL 服务负责管理这些许可证。RDL 被广泛安装的另一个原因是,在Windows 服务器上安装远程桌面服务 (3389) 时,管理员通常会勾选安装 RDL 的选项。这导致许多启用了 3389 的服务器也启用了 RDL 服务。
在审计RDL服务之前,我们进行了网络扫描,以确定RDL服务在互联网上的部署情况。我们发现至少有17万个活跃的RDL服务直接暴露在公共互联网上,而内部网络中的数量无疑要大得多。此外,RDL服务通常部署在关键业务系统和远程桌面集群中,因此RDL服务中的预认证RCE漏洞对网络世界构成了重大威胁。
【CVE-2024-38077:一个简单的堆溢出漏洞】
终端服务器授权程序旨在管理将任何用户或设备连接到服务器所需的终端服务 CAL。在CDataCoding::DecodeData过程中,会分配一个固定大小的缓冲区(21 字节),然后使用该缓冲区计算并填充用户控制的长度缓冲区,从而导致堆溢出。
这是调用堆栈和伪代码:
C
【POC】
这里我们只是演示了漏洞利用。详细的技术解释将在本系列的后续博客文章中。这里的 Python 代码实际上是伪代码。你甚至无法用这个伪代码触发漏洞,更不用说利用它了。这足以证明漏洞的严重性,也为防御者提供了足够的时间,让他们能够在有人真正弄清楚如何利用漏洞之前采取行动。
适用于:Windows Server 2025 标准版本 24H2(26236.5000.amd64fre.ge_prerelease.240607-1502lserver.dll(10.0.26235.5000)
https://github.com/CloudCrowSec001/CVE-2024-38077-POC/blob/main/CVE-2024-38077-poc.py
【讨论POC】
该漏洞利用的 POC 在 Windows Server 2025 上的成功率超过 95%。考虑到服务崩溃后会重新启动,不需要两次泄露模块基址,最终的成功率可以更高(接近 100%)。
此 POC 将在 Windows Server 2025 上在 2 分钟内完成。但是我们这里的堆整理技术是使用 Windows Server 2025 中引入的新 LFH 缓解措施的未优化版本。我们很懒,实际上并没有完全逆转 Windows Server 2025 中的段堆机制,所以我们的堆整理只是一种启发式解决方案。它一点也不优雅。当然,你必须可以对其进行优化,以使漏洞在 Windows Server 2025 上运行得更快。
对于 Windows Server 2000 到 Windows Server 2022,利用此漏洞会更快,因为缓解措施较少。为简单起见,POC 将加载远程 DLL。但您可以让它在 RDL 进程中运行任意 shellcode。这将使其更加隐蔽。
在 Windows Server 2025 之前的版本中利用此漏洞应该更容易和更有效,但当然,你需要调整代码和偏移量。漏洞可以在 Windows Server 2000到 Windows Server 2025上构建。这里我们只在 2025 进行演示,因为 Windows Server 2025 是最新和最安全的Windows Server 。而且它仍处于预览阶段,因此 POC 不会对世界造成危害。如果要避免偏移量问题以使漏洞利用更加通用,动态搜索是可能的,但你需要将其替换为更高效的内存读取原语以使漏洞利用更加高效。
这里我们做了一个负责任的披露。为了进一步防止这个 POC 被滥用,这里发布的 POC 只是伪代码,并且是未优化的版本,其中的一些关键部分被隐藏了。但伪代码中的信息足以让研究人员检测和阻止利用。
【演示】
视频链接地址:
https://www.youtube.com/watch?v=OSYOrRS2k4A&t=8s
【时间线】
2024年5月1日
向Microsoft报告此案例
2024年7月1日
告诉微软此案可利用
2024年7月9日
修复为CVE-2024-38077(微软将其标记为不太可能被利用)
2024年8月2日
将本文发送至 Microsoft
2024年8月9日
微软尚未对本文做出任何回应
2024年8月9日
文章发布
【讨论】
在本文中,我们将演示如何利用单个漏洞绕过所有缓解措施,并在被认为是最安全的 Windows Server 2025 上实现预身份验证远程代码执行 (RCE) 攻击。这在 2024 年似乎很荒诞,但这是事实。尽管微软几十年来对 Windows 进行了各种防御,并且多年来我们都没有在 Windows 中看到预身份验证 0-click RCE,但我们仍然可以利用单个内存损坏漏洞来完成整个攻击。看起来,具有“下一代安全改进”的系统这次无法阻止 30 年前同样的旧内存利用。
本文的目的是提醒用户尽快更新系统以修复漏洞。
这个组件中其实还有更多的利用,记住我们已经报告了 56 个案例(虽然微软 SRC 合并了我们的许多案例,这很烦人)。有兴趣的研究人员可以尝试弄清楚。
这是本系列的第一篇博文。有关更多漏洞、更多漏洞、与 Microsoft SRC 合作的痛苦与收获等,我们可能会在本系列的后续博文中讨论。
三、事件分析
不知道大家读完原文之后是什么感觉,笔者是体会到了原文作者对微软的深深恶意。核心原因是作者把大量漏洞报送给微软后,微软对其提交的漏洞进行了合并,并“轻描淡写”的进行了补丁升级,在补丁上也把该漏洞标记为了“不太可能被利用”,对作者本人也并未做出任何回应。这一行为明显触及了技术宅的底线,一气之下作者选择了将其公布。在crowdstrike引发了windows蓝屏事件后,又爆出了这个惊天大瓜,难免会引起唏嘘,对微软有不小的冲击。
微软给的官方补丁链接为:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38077
这里确实将该漏洞标记为了“不太可能利用”,刺激到了作者。
另外文中反复强调,放出来的POC是“伪代码”,我们也第一时间对该代码进行了验证,发现确实不能直接利用,截至发稿前正在对其核心内容进行调试。网传的POC和漏洞检测工具更是错综复杂,提醒大家一定要留个心眼,不要人云亦云。
四、漏洞影响范围
从目前得到的信息来看,触发该漏洞需要两个条件:
windows版本:
Windows Server 2000 - Windows Server 2025
需要开启服务:
Windows Remote Desktop Licensing(RDL)Service
这里容易引起大家误解的就是这个RDL服务了,容易和我们常见的RDP产生混淆,也是为什么这个洞刚爆出来大家一致认为是“核弹级”的,能够比肩“永恒之蓝”的原因。实际上这个服务默认不会自动安装,需要额外安装才会生效,一般出现在企业环境中,个人用户基本不会安装这个服务。我们大致总结了下RDL和RDP的区别,以遍大家能更客观的评估这个漏洞的影响范围。
【RDP】
定义与功能:
RDP,即远程桌面协议,是微软开发的一种网络协议,用于在图形用户界面(GUI)中提供远程连接功能。它允许用户通过网络连接到其他计算机的桌面,以便进行操作和管理。RDP的默认端口是3389。
应用场景:
RDP广泛用于远程管理服务器、远程办公、技术支持等场景,允许用户通过网络在不同地点安全地访问另一台计算机。
【RDL】
定义与功能:
RDL,即远程桌面许可服务,负责管理和颁发许可证。它是Windows Server角色之一,通常用于Windows Server系统。在启用远程桌面服务(RDS)的环境中,RDL确保服务器拥有足够的授权许可证,以便允许多个用户或设备通过RDP同时连接到该服务器。当客户端尝试通过RDP连接到具有远程桌面服务的服务器时,RDL会验证并分配适当的许可证,以确保用户遵循许可协议。启用RDL服务时会随机开启一个RPC的高端口,端口号通常在49152到65535之间。
应用场景:
RDL一般出现在企业环境中,特别是当使用Windows Server进行远程桌面会话主机(Remote Desktop Session Host,RDSH)或虚拟桌面基础架构(VDI)时。它对用户数量和会话数量的管理至关重要。
【主要区别】
目的:
RDP的主要目的是提供连接和交互功能,允许用户访问和使用远程计算机的桌面。
RDL的主要目的是管理许可证,确保连接次数在合法范围内,并控制同时允许的用户或设备数量。
技术层面:
RDP是一个协议,关注的是数据的传输和连接的建立,它是直接影响用户体验的部分。
RDL是一种服务,确保合适的许可证可用并管理连接的合规性,它在后台运行,不会直接影响用户的操作体验。
使用场景:
RDP可用于任何想要远程连接到Windows计算机的用户,不管是在个人设备还是在网络环境中。
RDL则更多应用于企业环境中,特别是在需要高密度并发用户的远程桌面服务中。
综上所述,RDP负责实现远程连接和用户交互,而RDL则负责管理连接的许可证和合规性。RDL主要是确保远程桌面服务在合规的用户和会话数下运行,通俗来讲,当某台服务器需要建立多个RDP连接时才会考虑开启这个服务,这个服务并不是默认加载的,需要手动安装才能生效。
从公布的“伪poc”来看,整个漏洞的检测逻辑是首先连接rpc的135端口,查询rdl服务开启的rpc端口,然后再连接rdl服务的rpc端口,访问提供的认证功能,触发漏洞。
rdl开启的rpc端口:
服务器对应的dll文件:
从www.daydaymap.com上大网测绘的数据可以看出,整个互联网上开放RDP服务的资产有近1700W个, 而互联网上RDL的资产仅有17W个(数据来源于原文作者),占比仅为1%。目前我们还正在整理互联网漏洞验证的POC细节,后续会对互联网上受影响的资产做更全面的摸排。从公开的数据已经可以看出,该漏洞的覆盖范围实际上很有限,并不是传闻中的“开机就能打”、“有远程连接服务就能打”或者“能探测到开放3389端口就能打”。与其说是RDP的漏洞,不如描述成RDL或者RPC的漏洞更为合适。
尽管如此,这也并不意味着这是一个很鸡肋的漏洞。一是因为内网资产里使用远程桌面服务的资产会远多于互联网。另外,一些集权系统如堡垒机、域控等为了对RDP连接数做有效管理和控制,更容易开启RDL服务,因此受到该漏洞影响的资产绝大多数是管理员的核心资产,从这一点上更需要引起大家的关注。我们已经发现很多堡垒机默认就会开启这个服务,需要引起大家的重视。
五、漏洞修复建议
微软已发布该漏洞的官方补丁,下载并安装相关补丁即可。对于无法安装补丁的情况,建议采取以下缓解措施:
1、如非必要,关闭Remote Desktop Licensing服务。
2、注意:此操作将影响远程桌面授权认证和分发,可能导致远程桌面出现问题影响正常业务或降低远程桌面安全性。同时,微软公告中提出:即便采取了上述缓解措施,微软仍强烈建议尽快修复漏洞以全面防护系统。
另外目前正值攻防演练期间,往上会流传大量的“检测工具”,现已发现一些恶意样本在互联网上流传,大家一定要注意识别。
盘点你所不知道的棋类比赛暗战
篇首语:之前杨叔写了NFL美国职业棒球联赛上的作弊猫腻,这次就聊了棋类比赛,尤其是国际象棋比赛。
前一阵“智能肛珠”的说法出来时,被曾经打败小区8号楼小学生无敌手的“非著名象棋爱好者”杨叔惊为天人,当时便写了这篇初稿。直到今天才终于写完,希望大家喜欢。
声明:以下内容符合OSINT国际开源情报搜集标准,不涉及任何非法行为,仅供交流与参考。
01 智能肛珠猜想引发的群虑
前不久,一则关于猜测棋类选手使用智能肛珠作弊的消息,传遍了网络。
一位国际象棋选手在输掉比赛后,发Twitter抱怨说怀疑对手使用了类似于“智能肛珠”这类的电子设备作弊。这种设备可以藏匿在人体内,并通过远程信号传递+振动的方式提示选手......咦?纳尼?!!
“智能肛珠”的想法确实够奇葩,杨叔其实更想知道的是:
提出这个想法的人,到底经历过什么?
其实吧,这些年,国际象棋作弊确实已经被认为是国际象棋未来发展的最大威胁。
许多业余爱好者甚至专业人士都经常表示,作弊现象已经十分猖獗。从最低级别的在线国际象棋到世界锦标赛,对于作弊的指控已经遍及国际象棋的各个级别。
02 现场手机接听+远程指导
显然地,也有很多人怀疑在棋类赛事里,使用高科技作弊不过是个阴谋论,都是输不起的棋手抹黑对手的诡辩罢了。
.......直到出现一位年轻的选手,在比赛现场的检查中被抓个正着,呵呵。
在印度新德里举行的首届 Hedgewar 博士公开国际象棋锦标赛的第五轮比赛中,19 岁Dhruv Kakkar的对手向首席仲裁员抱怨:
“我注意到他的每一次走棋都需要大约两分钟的时间,无论是复杂还是简单的棋局。”
“有时我甚至认为他听错了指示并且走错了棋。”
于是,在19岁的Kakkar赢得这场比赛后,现场搜身随即被发现作弊。
小伙被抓到时一脸迷茫,像极了被拉进缅北诈骗团伙的无知青年。
Kakkar 在腰带上,装有两节 9 伏的电池。电池与他脖子上的一圈电线相连,藏在衬衫下面。它们还连接到绑在两条腿上的手机,就在脚踝上方。
呵呵,年轻人也是有心了,为防止汗液滑脱,专门用胶带把手机粘在身上,还准备了两个不同的Android手机,据分析应该是为了两场比赛。
啧啧,这腿毛,再浓密点就可以遮住设备了
下图里的小玩意是不是很眼熟?据称是在Kakkar 左耳中发现的。
它可以让Kakkar 聆听朋友舒巴姆口授的棋步,舒巴姆坐在220公里外的电脑前,通过同步使用国际象棋软件Fritz来提供“远程指导”。
哈哈,这不就是曾经在中国考场里叱咤风云的“米粒耳机”嘛,负责考场巡查的无委会技术人员肯定都知道~
没想到走出中国,走向世界了~~
最终,这位来自JMIT大学电子工程专业二年级的学生 Dhruv Kakkar 在一封书面信中承认作弊。
他承认使用这套器材赢得了前四轮比赛(对阵得分为 0、1913、2104 和 2258 的玩家)。赛事首席仲裁员已将 Kakkar 逐出锦标赛,并通报国际象棋联合会 (FIDE) 。
顺便说一下,这个锦标赛的奖金是100万卢布,折算人民币近9万元。
嗯,是不是觉得奖金很少?
03 针孔摄像头+无线发射设备
显然,在身上暗藏非法器材,确实是一种有效的作弊手段,尤其是在比赛奖金比较高的时候。
因佩里亚国际象棋大赛,是意大利最重要的锦标赛之一,据说奖金高达100万美金。呵呵,比起这个,印度那个锦标赛更像是乡镇企业自己搞的内部游戏。
就在意大利这个赛事里,当世界排名第 51,366 位的 Arcangelo Ricciardi 在比赛初期阶段,就轻而易举地杀入了第八轮,引发了很多人的怀疑。
赛事裁判Jean Coqueraut说,他在比赛开始就怀疑选手是不是有什么问题。因为Ricciardi 经常喝一杯水,并用手帕擦脸,以遮挡脖子上的吊坠。
于是,比赛组织方强制使用金属探测器对这位 37 岁的年轻人开展检测,最终发现一件精致的吊坠挂在他的脖子上。
这个吊坠里包含一个微型摄像头,另外还发现连接在他身体上的大量电线和一个 4 厘米长的盒子藏在他的腋下。
经过判断,摄像头被用来将国际象棋比赛实时传输到外面同伙的计算机,然后同伙通过向他腋下的盒子发送无线信号来指导Ricciardi下棋。
气疯了的意大利国际象棋联合会,启动了正式的调查,来决定是否对其体育欺诈行为提出指控。
无语的是,对于意大利而言,赛事作弊事件并没有因此终止,类似的情况依然在不断发生!
04 老人的好帮手:智能手机
接下来出场的,是一位在拉脱维亚国际象棋界的知名人物:
臭名昭著的伊戈尔斯·劳西斯(Igors Rausis)
这位前拉脱维亚冠军曾经被誉为对年长球员的鼓舞,因为他在六年内从大约 2500 的 FIDE 评级(普通特级大师的水平)攀升至 2700 的边缘。
当时,Rausis 也成为前100 名中年龄最大的球员,甚至当他前些年闯入前100 名时,他被行业称赞为一个榜样:证明“年龄的增长不一定会成为国际象棋进步的障碍”。
而在2019年斯特拉斯堡的国际锦标赛上,这位59岁的大爷在赛事中多次借口去厕所后,终于引起了举办方的怀疑。
于是,便被人拍到了Rausis 在厕所操作事先藏匿手机作弊的实锤证据,引起了行业轰动。
由于使用智能手机作弊,这位曾代表拉脱维亚、捷克共和国和孟加拉国的乌克兰出生的棋手,被国际象棋联合会 (FIDE) 评定的锦标赛禁赛六年,并剥夺了他的特级大师头衔。
甚至2020年,大爷想暗中参加一场拉脱维亚北部小镇瓦尔卡举行的小型比赛,依然会被不依不饶的其他选手们联合抗议抵制。
唉,大爷,都什么时代了?
麻烦上Ebay、Amazon,看看那些Spyshop里最新无线器材可好?
所以,这就是为何国际象棋比赛禁止使用手机,因为国际象棋软件是可以用来“指导”获胜的。
鉴于使用下棋软件作弊愈发增多的态势,甚至有位大学教授,还专门研究了人类下国际象棋与游戏AI的行为匹配度,来推敲选手是否在使用电脑或手机程序作弊。
有人出版了这么一本书,难道是作弊指南?哈哈,推荐给大家~
05 不断升级的象棋赛事安检
这些层出不穷的作弊手段,给国际象棋比赛都蒙上了一层阴影,搞得“输了比赛就指责对方作弊”的选手也越来越多。
出于无奈的考虑,现在国际象棋赛事中已经加入了选手入场前金属检测的环节,对,和你想的一样,就是机场安检的那一套。
不过在杨叔看来,这样的安检太粗糙了,作为比赛现场的安全防护,至少在信号层面的压制或屏蔽,还是十分有必要的。
杨叔提供一些建议供赛事方参考:
禁止棋类赛事的直播
• 注意哦,是禁止直播,不是禁止实况转播。
• 换句话说,就是比赛的视频信号传输应延时2~3步(大约5~10分钟),以防止可能的外部远程指导。
禁止比赛选手携带任何电子设备
• 包括智能手机、智能手表、手环、蓝牙耳机等在内的任何电子设备。
• 必须要加强全身安检来确保这一点。
在比赛区域内启用信号屏蔽
• 和国家四六级考试一样,比赛区域内需阻断一切无线信号传输。
• 必要时,应邀请或安排专业团队开展现场信号溯源工作
阻止选手与外部的互动
• 球类比赛中,观众互动对赛事的影响不大。
• 但对于棋类比赛,特别是高水平比赛,在比赛中,选手不应与赛场工作人员之外的任何人产生互动,甚至观众都应该对选手不可见。
• 双面镜或雾化玻璃会是一个选择,这样选手只能看到自己和对手,不受外部观众的影响。
估计国际象棋协会主席也只能嘟囔着:God!FXXK......然后继续在赛事期间安排专人监督吧。
回想起以前那个技术有限的时代,当众观看大师级比赛也是一种难忘的回忆。
好了,这期就到这里。
谣言粉碎机 | 牙齿里装氰化物毒药,真的可能么
声明:以下内容符合OSINT国际开源情报搜集定义,不涉及任何非法行为,仅供交流与参考。
01 什么是氰化物?
影视剧里,虚构的正反面人物们在被俘虏后,便会口吐白沫,把他们的秘密带进坟墓......这都要归功于那些隐藏在假牙中的秘密氰化物,是它们协助死士们保守了秘密。
好吧,听起来这个设计似乎挺合理
先说说什么是氰化物。
所谓“氰化物”特指带有氰基(CN)的化合物,通常是有毒的致命物质。
现实中,氰化物中毒后,中枢神经系统会迅速丧失功能,继而使人体出现强直性或阵发性痉挛、昏迷、心跳停止、多脏器衰竭等症状而迅速死亡,最快五分钟即可致死。
而具有相同毒性的砒霜,则最少需要一个小时,甚至几个小时。所以,氰化物确实是能快速致死的选择之一,这一点,电影里倒是没有骗人。
嗯,顺便说一句,影视剧里那种“口吐白沫”特效,实际上是用泡腾片加牛奶特制的。
据说有演员拍太多“中毒”,导致看到泡腾片就有了心理阴影,哈哈哈~
说到这里,突然想到个可怕的场景:
万一演员此时突发癫痫,结果导演还误以为他入戏了,所有人都继续拍摄没人理会,演员怎么办?难道发个知乎求助:在线等,挺急的?
02 装在假牙里的可能
再聊聊氰化物装在假牙里的可行性。
首先,带有隐藏空间的假牙是真实存在的。
专门用于间谍活动的空心牙齿,主要用来隐藏胶片、微缩情报等。这些牙齿通常会代替臼齿植入,位于口腔后部的某个难以被发现的地方。
下图是国际间谍博物馆里的藏品。
其次,二战时期的氰化物药丸虽然已缩减到只有豌豆大小,但体积还是太大了,无法安全或牢固地藏在假牙中。
现实中,有人会把药丸藏在嘴里压在舌头下,但也从来没有藏在牙齿里。
国际间谍博物馆的某位研究员曾公开表示:
目前没有任何证据表明:有专门为隐藏氰化物设计制作的空心牙齿,因为它必须是一颗“非常巨大”的牙齿
下图是前苏联KGB情报机构曾使用的间谍牙齿。
从上图可以看到,内置空间的假牙外壳非常厚实,这么结实的牙齿,现实中也不可能被轻易“咬碎”。
所以,氰化物牙齿只不过是流行文化里一个过度包装的“神话”,而事实上,间谍文化中“紧急自杀措施”的普遍性,可能被媒体们夸大了。
03 真实氰化物自杀案例
2018年,一项发表在《欧洲内科医学杂志》上的医学研究调查中,法国科学家研究了阿道夫·希特勒的牙齿残骸,以确认他于 1945 年去世,试图结束关于“希特勒之死”的阴谋论。
这项对德国独裁者牙齿和头骨的科学研究都证实了,阿道夫·希特勒于 1945 年,在前苏联进攻柏林后死在他的地堡里。他是在先服用氰化物药丸后,再向头部开枪后死亡。
同时,调查结果也证实了:
他既没有乘坐潜艇逃往阿根廷,也不在南极洲的什么未知基地里(估计《重返德军总部》的游戏迷们会很失望)
1945 年 4 月下旬,当前苏联军队袭击柏林时,阿道夫·希特勒就开始了他的自杀计划,包括测试氰化物胶囊,及口述最后的遗嘱。
事实上,在墨索里尼被游击队俘虏,并在意大利米兰郊区广场被公开处决后。传闻说,希特勒无法接受这一切,所以才决定自杀。
这些纳粹核心们永远不会接受自己的失败,为避免类似的命运,他们宁愿自杀。
1945年5月,纳粹党卫队首领,盖世太保总管海因里希·希姆莱试图单独和英美和谈,被拒绝后化妆逃亡,途中被俘后自杀。
据称,当时盟军在俘虏希姆莱后,立刻开展了全身检查,身上有孔的地方都不放过,最后当用窥视镜对口腔进行二次检查时,军医听见希姆莱嘴里传来玻璃的碎裂声(注意这个细节)。
众人马上按住他企图制止,但为时晚矣,希姆莱已然毙命。就这样,希姆莱以服毒自尽的方式逃避了纽伦堡国际军事法庭对他的审判。
在二战结束的那段时间,一些纳粹军官都选择了同样的方式逃脱审判。不过和很多史学家YY的不同,这里面都与氰化物假牙没什么关系。
那么,
氰化物药丸/胶囊到底长什么样子呢?
刚才说的那个玻璃碎裂的声音,又是什么?
有趣的是,就在今年2月,据外媒报道,一对英国夫妇散步时偶然发现一个金属物品,疑似二战时期纳粹使用过的氰化物胶囊。
这玩意也许能回答这个疑问。
根据描述,这是一个金属胶囊外壳,里面有一个很小的玻璃内瓶(指甲盖大小)。瓶内装有透明液体,且玻璃内瓶是完全密封的。
很多人认为它可能是纳粹时期的氰化物胶囊,使用者只需将玻璃内瓶含在嘴里,直接咬碎即可去找元首唠嗑。
Look,是不是很符合希姆莱当时的情况?
其实吧,有太多的方式可以藏匿氰化物了,完全没必要选择牙齿这个既麻烦又不靠谱的方式。
比如眼镜腿和钢笔尾部也可以藏匿氰化物药丸,这样就可以悄悄吞服,类似于默默取下眼镜,装作思考咬着眼镜腿,或者咬着笔帽。
下图是国际间谍博物馆里展出的一副特殊眼镜,其镜腿处藏有氰化物。
似乎现在依旧有不少人有这样的习惯,哈哈,随意模仿小心镜腿有毒。
安全动态回顾|《网络安全标准实践指南—互联网平台停服数据处理安全要求(征求意见稿)》公开征求意见 勒索软件团伙部署新恶意软件来摧毁安全软件
往期回顾:
新的 Webkit 漏洞可让攻击者利用 PS4 和 PS5 游戏机发起攻击
PS4和PS5中的WebKit漏洞指的是其浏览器中发现的WebKit引擎漏洞。
这些漏洞在Safari和Chrome等浏览器中被发现,由于PS4和PS5共享相同的WebKit代码库,因此它们也可能存在这些漏洞。
尽管单独的WebKit漏洞不足以进行越狱,但它却是关键的第一步。利用这类漏洞和内核漏洞(提供更多系统访问权限)可能会导致PS4和PS5的越狱。
由于PS5具有强大的安全缓解措施,单靠PPPwn漏洞不足以进行PS5的越狱。可能需要与PPPwn结合使用的用户模式漏洞才能实现可行的PS5漏洞利用。
虽然PPPwn在互联网连接期间触发,而WebKit漏洞在Web浏览器中运行,这使得按顺序利用它们变得具有挑战性。
然而,WebKit漏洞对于PS5破解场景通常是积极的信号,因为它们可能为未来的漏洞利用提供途径。
攻击者能够利用最近修补的Safari/WebKit漏洞,通过利用JavaScript引擎的假设,特定属性(如原型)是不可配置的。
这个漏洞使它们能够被配置,从而基本上创建了类型混淆。
通过操纵这一点,攻击者可以访问本应无法访问的属性,可能是通过分析阶段中使用的Spread操作码。
这突显了当对数据类型的假设被打破时,意外副作用的危险性。
混淆漏洞代码片段
该代码构造了一个潜在的类型混淆漏洞场景。通过从 Function 继承,Base 类获得了内置的 prototype 属性访问权限,在构造过程中将一个数字赋给 super.prototype 可能会损坏原型链。
在一个不存在的 arr 变量上定义了一个 getter,以在调用 prototype getter 时操纵 victim[1],结合一个大循环操作 victim 元素和最终的类型转换,使用可能由攻击者控制的‘flag’,创造了一个环境,在这种环境下,写入 arr[0] 可能会覆盖另一个对象的 prototype,其值为 victim[1],从而导致意外行为的发生。
受此漏洞影响的固件
据报道,一种潜在的影响PS4和PS5主机的WebKit漏洞已经出现。用户可以通过在主机浏览器中使用DNS重定向测试特定URL,来查看他们的设备是否容易受到影响。
根据Wolo的说法,该测试利用漏洞,通过向一个恶意网页提供输入来触发“内存不足”或“系统内存不足”的错误消息,表明在PS4固件版本10.00到11.02和PS5固件版本6.00到8.60上成功利用了漏洞。
邮件系统安全管家:CACTER SMC2的全面升级
根据Coremail邮件安全人工智能实验室监测,2024年Q2全国企业级用户遭受超过21.4亿次暴力破解,相比于Q1的39.1亿次暴力破解,环比降幅约为45%,无差别的暴力破解攻击大幅下降,但数据显示暴力破解攻击成功次数正在回升。
2024年Q2全域暴力破解成功次数达到912.7万次,环比增长11.4%。攻防专家推测可能是攻击者优化口令字典规则,其次加大了撞库攻击比例,导致破解成功率提高,因此邮箱管理员仍需保持警惕并采取必要的防护措施。
而企业邮件系统用户众多,管理员难以掌握所有邮箱用户的账号安全设置状态,如:客户端专用密码开启情况、二次验证情况、自动转发等。面对如此严峻的挑战,CACTER安全管理中心第二代(以下简称“SMC2”)全面焕新,SMC2在上一代产品的基础上,进行了全面的升级和优化。
不同于SMC1以安全监控态势为主的产品形态,SMC2更注重邮件安全事件的检测与闭环处置能力。作为邮件系统专属安全管家,SMC2支持监测失陷账号、网络攻击、主机威胁,拥有邮件审计、用户行为审计、用户威胁行为分析等能力,并提供账号锁定、IP加黑、邮件召回、告警等处置手段,简化管理,助力企业邮件系统安全运营,全方位守护邮件系统的安全。
数据与分析|轻松处理和应用邮件系统日志
作为一款内网安全产品,SMC2独立于邮件系统进行安装。通过轻量级的agent采集邮件系统的日志数据,然后对数据进行清洗并入库,这一过程不会占用邮件系统服务器的资源,也不会影响邮件系统的正常收发业务。
SMC2能够处理包括登录日志、收发信日志、行为日志和访问日志在内的多种日志类型,这些日志数据是邮件系统安全分析的基础,管理员可以轻松处理和应用邮件系统日志,快速便捷做好邮件系统运维管理工作。
1、邮件审计:高效邮件检索与安全取证工具
SMC2的邮件审计功能为用户提供了强大的邮件信息检索能力。管理员可以通过组合检索,快速定位邮件信息,并通过审计结果导出功能,将检索结果进行整理和分析。这一功能不仅能够帮助管理员定期或根据特定事件触发审计,及时发现潜在的安全风险或违规行为,而且在安全事件发生或争议时,邮件审计功能还可以作为取证的重要工具。
2、邮件召回:智能补救措施
当检测到可疑或威胁性邮件时,SMC2支持管理员执行邮件召回操作,将邮件从用户邮箱中撤回至不可见目录或垃圾箱中。这不仅阻止了威胁的进一步传播,还为用户提供了一种补救措施。召回操作后,系统还可以自动通知用户,告知其邮件被召回的情况,确保透明度和及时沟通。
3、用户行为审计:构建安全行为档案
用户行为审计功能则从用户操作的角度出发,支持对用户登录、邮件操作、附件下载等39种用户行为的分类查询和时间链条查询。这不仅帮助管理员快速了解用户在特定时间段内的操作行为链条,且数据保存长达180天以上,满足了合规性要求。
4、用户威胁行为分析:智能风险评估
SMC2创新性引入了用户威胁行为分析模块,通过构建用户安全画像,从用户行为出发评估风险等级,并以可视化的方式呈现行为分析结果。这一功能不仅暴露了单独看似不敏感但关联起来具有风险的行为,而且为管理员提供了辅助研判的有力证据。
5、用户安全配置跟踪:集中管理安全配置
SMC2集中展示了所有邮箱用户的安全配置情况,管理员可以通过组合查询,快速发现不符合规定或存在潜在风险的用户配置。这包括自动转发地址、可信任设备、黑名单和白名单等,帮助管理员提高管理效率并简化管理流程。
6、收发信量统计与登录趋势分析:洞察系统运行状态
SMC2支持用户级和系统级的收发信量统计与登录趋势分析。管理员可以查看系统级的收信、发信和登录情况,并通过不同维度的数据分析,找出域内的收发信和登录规律。系统还可以提示管理员潜在的异常指标,如突然增多的威胁邮件、异常发信数量的用户等。
发现即处置|主动发现和闭环处置邮件系统威胁
1、主动发现&锁定被盗账号:智能算法的应用
SMC2内置了检测23种异常登录行为的算法,能够精准识别暴力破解、异地登录等风险行为,及时为管理员提供事件详情,辅助研判账号安全状态,并支持直接在SMC2中锁定问题账号。
2、网络攻击与主机威胁的监测:安全防护全面升级
SMC2还能够主动发现Coremail旧漏洞利用等网络攻击行为,以及SQL注入、XSS跨站脚本攻击等常见web攻击。此外,SMC2内置了漏洞扫描器指纹,能够识别常见的漏洞扫描器,并且能够监测到攻击者对邮件系统的文件变更,留意未被告知的变更,记录与查询变更信息,检查主机威胁迹象。
3、准实时/定时告警:安全管理的即时响应
为了使管理员能够及时响应安全事件,SMC2支持设置准实时告警和定时告警。告警的设置可以根据管理员的使用习惯和重要时期的需要进行自定义,确保安全事件能够得到快速有效的处理。
方向与研究|SMC2未来准备解决的管理难题
SMC2未来的发展将继续围绕提升邮件系统安全管理的智能化和自动化水平。随着技术的不断进步,SMC2将集成更先进的算法和大数据分析能力,以更准确地识别和响应安全威胁。
SMC2将实现更加精细化的安全态势感知,通过深度学习技术对用户行为进行模式识别,提前预测并防范潜在风险。同时,SMC2将加强与现有邮件系统的整合,实现更流畅的数据交换和更高效的日志分析流程,进一步降低管理成本并提升操作便捷性。
随着SOAR(安全编排自动化响应)理念的深入应用,SMC2也将能够提供更加自动化的处置流程,减少对人工干预的依赖,提高响应速度。
SMC2的目标是成为一个全面、智能、高效的邮件安全管理平台,不仅能满足当前的安全需求,更能预见并适应未来可能出现的安全挑战,为用户打造一个安全、可靠、高效的邮件使用环境。
CACTER管理员社区|2024年Q2季刊发布
2024年Q2管理员社区季刊新近完成,主要盘点了2024年上半年社区的精选文章和热门活动等精彩内容。本文为2024年Q2 管理员社区季刊内容节选,完整内容请上CACTER管理员社区进行查看。
CACTER管理员社区
CACTER管理员社区属于云服务中心板块之一,由Coremail服务团队、CACTER邮件安全团队及多条产品线共同维护,定位为知识库社区,集7*24h在线自助查询、技术问答交流、大咖互动分享、资料下载等功能于一体,专属于Coremail邮件管理员、安全员成长互动的知识库社区。
2024年Q2安全态势
根据Coremail邮件安全人工智能实验室数据显示,2024年Q2钓鱼邮件发送&接收源TOP100域名行业分析,国内钓鱼邮件受害者所在行业比较集中,教育排名第一,约占钓鱼邮件总数的60%(3914.1万封);企业排名第二,约占26%(1713.4万封);排名第三的行业为IT互联网,占5%(329.1封)。
其中教育行业收到的钓鱼邮件数量环比上升186%,教育领域于网络安全防护层面存有潜在的薄弱环节,庞大的师生用户数量、频繁的邮件往来,以及邮箱用户安全意识的参差不齐,这些都有可能致使教育行业成为黑客优先选择的攻击对象。
攻击者可以运用社会工程学手段,通过伪装成相关角色(例如老师、合作伙伴、客户或上级主管)的身份,针对性地向特定用户发送钓鱼邮件,从而提高攻击的成功率。
2024年上半年热门内容回顾
在2024年上半年里,CACTER管理员社区积极推动社区话题的交流与讨论,共发起7次社区话题,发布了27篇文章。重保将至,“2024重保HVV行动资料”“CACTER邮件安全大礼包”、“安全使用邮箱建议(用户及管理员向)”等邮件应急处置和安全科普向的经验分享,再次成为了CACTER管理员社区最热门的内容。
2024年上半年热门活动回顾
2024年上半年,CACTER管理员社区延续去年的年终福利活动,开展了“积分回馈兑换春节礼盒”活动,获得管理员的认可。其他热门活动,如“恶意样本提交激励活动”、“Coremail SRC 漏洞奖励活动”,仍有许多用户积极参与,充分展示了CACTER管理员社区的线上优势。
2024年上半年直播回顾
2024年上半年CACTER管理员社区举办了5次直播活动。每一次直播都为管理员带来邮件安全产品的好消息和福利。
1月份的社区年终福利直播,不仅有专家级干货分享,龙年惊喜大礼盒兑换活动;3月份的邮件防泄密直播,则通过真实客户案例分享,向管理员展示了CACTER邮件数据防泄露EDLP的实战应用;4月份的AI大模型专场直播,更是探索了AI大模型在邮件反钓鱼领域的应用,以及揭秘了Coremail邮件安全人工智能实验室对清华智谱AI大模型的应用。
5月份的防御邮件威胁直播分享会,更是带来了CAC2.0反钓鱼防盗号新功能——威胁邮件提示,为构建企业邮件安全闭环提供有力支撑;CACTER邮件安全团队在6月份开展的重保防护经验直播分享会上“倾囊相授”,将多年积累的重保防护经验分享给管理员们。
CACTER将继续努力,为社区用户提供更多优质、实用的内容,致力于为CACTER管理员社区用户提供更加丰富、有用的内容,促进社区的发展与进步。