HackerNews

 美国联邦调查局克利夫兰分部已通过摧毁勒索软件团伙 Radar(又名Dispossessor） 的各个服务器和域名，彻底瓦解该团伙的势力。 美国联邦调查局发布声明称，2024年8月12日，以网名“布莱恩”为首的犯罪团伙被捣毁。执法部门拆除了三台美国服务器、三台英国服务器、十八台德国服务器、八个美国犯罪域名和一个德国犯罪域名，这些均属于 Radar。 联邦调查局发布声明，确认以“布莱恩”为首的犯罪团伙已被彻底捣毁。该组织自2023年8月起开始活动，并迅速发展成为具有国际影响力的勒索软件集团，专门针对中小型企业和组织实施攻击。 Radar 针对多个行业进行攻击，包括制造业、开发、教育、医疗保健、金融服务及交通运输等。尽管该组织最初主要针对美国的目标，联邦调查局发现其已涉及13个不同国家的43家企业。 调查还发现，许多网站与布莱恩及其网络犯罪团队有关。与其他勒索软件变种类似，Radar 勒索软件采用双重勒索模式，即不仅加密受害者系统，还窃取数据以勒索赎金。 勒索软件是一种恶意软件，通过加密用户数据使其无法访问，受害者需支付赎金以恢复数据。Radar通过识别使用弱密码或未启用多因素身份验证的易受攻击系统来实施攻击。 “一旦犯罪分子获得系统访问权限，他们就会获得管理员权限并轻松访问文件，然后实际的勒索软件会用于加密。”FBI 表示。 如果受害者没有先支付赎金，Radar的成员就会主动通过电子邮件或电话联系受害者公司内部的人员，发送链接展示被盗文件的视频，迫使受害者付款。最终，犯罪团伙会将窃取的数据发布到泄密页面，并设置倒计时，如果未支付赎金，数据将被公开发布到公共论坛上。   消息来源：cybernews，译者：YY；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

近日，FortiGuard 实验室的网络安全研究人员发现了一种复杂的网络钓鱼活动，该活动利用多阶段执行流程和各种规避技术来传播包括远程访问木马（RAT）PureHVNC在内的多种恶意软件。 攻击流程 该活动专门针对企业员工，以一封精心制作的电子邮件为诱饵，伪装成来自客户的服务查询，而邮件中包含一个恶意 HTML 附件。邮件使用紧急语气，诱使收件人打开恶意 HTML 附件，从而触发一系列导致多种恶意软件部署的事件。 具体来讲，钓鱼邮件附件中的 HTML 文件利用 “search-ms “功能查询远程共享的恶意 LNK 文件。该 LNK 文件在 Windows 资源管理器中伪装成一个无害的 PDF 图标，其中包含一条命令，该命令使用 conhost.exe 作为进程运行远程批处理文件，这是一种利用合法的 Windows 进程逃避检测的技术。 名为 new.bat 的批处理文件经过深度混淆，以躲避安全检测。它使用编码技巧和字符串混淆，使得脚本看起来像是使用 UTF-16 编码并包含中文字符，这进一步增加了分析难度。脚本在打开一个假 PDF 文件的同时，通过 PowerShell 悄悄下载包含 Python 环境和恶意 Python 程序的两个ZIP文件，并将它们解压缩隐藏在用户的配置文件目录中。 最后阶段是依次运行 Python 程序，每个程序都会加载并执行 shellcode，以绕过检测机制并部署主要有效载荷PureHVNC。 活动中的每个 Python 文件都使用 GitHub 上名为 “Kramer “的 Python 混淆器进行了精心混淆。Kramer 使用随机生成的密钥对源代码进行加密，为逆向工程增加了一层保护。shellcode 由名为 “donut “的工具生成，旨在解密并执行下一阶段的有效载荷，同时绕过 AMSI 和 WLDP 等 Windows 安全功能。 Python混淆器“Kramer” 攻击的第二阶段引入了 shellcode 加载器 “laZzzy”，它伪装成合法的 Microsoft 管理控制台 (MMC) 应用程序。该加载器使用先进的注入技术在 notepad.exe 这个看起来无害的进程中执行最终有效载荷，从而避免被检测到。 在这场活动中部署的恶意软件中，PureHVNC 因其复杂的功能脱颖而出。作为一个 .NET 应用程序，PureHVNC 使用 .NET Reactor 进行了大量混淆处理，使其难以分析。它的主要功能是使用 AES 加密解密有效载荷，然后使用 Gzip 解压缩，提取 DLL 有效载荷并加载到内存中。 一旦激活，PureHVNC 就会执行一系列旨在保持持久性和收集情报的操作。它会使用 PowerShell 设置注册表运行键值或阻止系统休眠，确保恶意软件保持激活状态。然后，它会与命令与控制（C2）服务器通信，上报系统信息，包括已安装杀毒产品的详细信息、系统规格和用户信息。 PureHVNC 专门针对加密货币钱包、密码管理器和双因素身份验证 (2FA) 应用程序等高价值资产。它扫描这些应用的关联路径，并检查注册表中的安装软件，重点窃取敏感数据。 攻击并不仅限于 PureHVNC，C2 服务器还可以部署扩展恶意软件功能的其他插件。这场活动中发现的两个值得注意的插件是： 插件 1：PluginRemoteDesktop 该插件可远程控制受害者的系统。它与 C2 服务器通信以执行命令，允许攻击者操纵受害者的桌面环境、捕获屏幕截图、控制鼠标等。 插件 2：PluginExecuting 该插件用于执行附加文件、更新恶意软件，甚至卸载恶意软件以掩盖踪迹。它支持多种命令，包括下载和执行新恶意软件的命令，利用进程挖空技术将恶意代码注入合法进程中。 FortiGuard 实验室的网络安全研究人员敦促组织对此类威胁保持警惕，确保员工了解网络钓鱼电子邮件的危险性，并采取强有力的安全措施来检测和缓解多阶段攻击。正如此次活动所表明的，即使是最看似无害的电子邮件，也可能成为破坏性漏洞的起点。   转自Freebuf，原文链接：https://www.freebuf.com/news/408455.html 封面来源于网络，如有侵权请联系删除

近日，微软披露了 Office 中一个未修补的零日漏洞，如果被成功利用，可能导致敏感信息在未经授权的情况下泄露给恶意行为者。 该漏洞被追踪为 CVE-2024-38200（CVSS 得分：7.5），被描述为一个欺骗漏洞，影响以下版本的 Office： 32 位版本和 64 位版本的 Microsoft Office 2016 32 位版本和 64 位版本的 Microsoft Office LTSC 2021 适用于 32 位和 64 位系统的 Microsoft 365 企业应用程序 适用于 32 位和 64 位系统的 Microsoft Office 2019 微软在一份公告中提到：在基于网络的攻击场景中，攻击者可以托管一个网站，或利用一个接受或托管用户提供内容的受攻击网站，该网站包含一个特制文件专门利用该漏洞。 但是，攻击者无法强迫用户访问该网站。相反，攻击者必须诱导用户点击一个链接，通常是通过电子邮件或即时通信信息中的诱导方式，然后说服用户打开特制文件。 CVE-2024-38200的正式补丁预计将于8月13日正式发布。不过微软公司表示，他们已经确定了一种替代修复的方法，并已从2024年7月30日起通过 “功能飞行”（Feature Flighting）启用了该修复方法。 该公司还指出，虽然客户已经在所有支持版本的微软Office和微软365上得到了保护，但为了最大程度的规避安全风险，用户应在最终版本的补丁发布后立即更新。 微软对该漏洞进行了 “不太可能被利用 “的评估，并进一步概述了三种缓解策略——配置 “网络安全 “和 “安全漏洞”： 配置 “网络安全： 配置 “限制 NTLM：向远程服务器发出 NTLM 流量 “策略设置，允许、阻止或审计从运行 Windows 7、Windows Server 2008 或更高版本的计算机向任何运行 Windows 操作系统的远程服务器发出的 NTLM 流量。 将用户添加到受保护用户安全组，防止将 NTLM 用作身份验证机制 使用外围防火墙、本地防火墙并通过 VPN 设置阻止 TCP 445/SMB 从网络向外发送，以防止向远程文件共享发送 NTLM 身份验证信息 在披露该漏洞的同时，微软还表示其正在努力解决CVE-2024-38202 和 CVE-2024-21302两个零日漏洞，这些漏洞可能被利用来 “解除 “最新 Windows 系统的补丁，并重新引入旧漏洞。 上周，Elastic 安全实验室披露Windows智能应用控制（Smart App Control）和智能屏幕（SmartScreen）存在一个设计漏洞，该缺陷允许攻击者在不触发安全警告的情况下启动程序，至少自2018年以来一直在被利用。 智能应用控制是一项基于信任的安全功能，它使用微软的应用智能服务进行安全预测，并利用Windows的代码完整性功能来识别和阻止不受信任的（未签名的）或潜在危险的二进制文件和应用程序。 Elastic安全实验室认为，这一漏洞多年来一直被滥用，因为他们在VirusTotal中发现了多个利用此漏洞的样本，其中最早的提交时间超过六年。   转自Freebuf，原文链接：https://www.freebuf.com/news/408346.html 封面来源于网络，如有侵权请联系删除

一个可能与神秘威胁组织 “Crazy Evil “有关联的复杂网络犯罪行动已经将目光瞄准了 Mac 用户，利用流行的屏幕录像工具 Loom 来传播臭名昭著的 AMOS 窃取程序。Moonlock Lab 的研究人员发现了这一令人震惊的活动，揭露了攻击者是如何滥用谷歌广告来引诱毫无戒心的受害者访问精心制作的假 Loom 网站的。 最近，Moonlock Lab 发现，一个可能与俄罗斯有关联的名为 Crazy Evil 的组织正在传播 AMOS 窃取程序的变种。该组织正在谷歌广告上开展欺骗活动，将用户重定向到一个托管在 smokecoffeeshop[.]com的假冒 Loom 网站。该网站几乎完美地模仿了合法的 Loom 网站，从该网站下载的任何内容都会导致安装 AMOS 窃取程序。 自 2021 年首次出现以来，该恶意软件已发生了重大演变，并在不断更新和改进。这款复杂的恶意软件可以提取敏感信息、窃取浏览器数据，甚至清空加密货币钱包。 这种新型 AMOS 变种的一个显著特点是能够克隆合法应用程序。Moonlock Lab 发现，该恶意软件可以用恶意克隆程序替换 Ledger Live（一款流行的加密货币钱包应用程序）等应用程序。这一新功能代表了恶意软件功能的重大进步，使其能够绕过苹果应用商店的安全措施，直接侵入用户设备。 威胁行为者还创建了其他流行应用程序的假冒版本，包括 Figma、TunnelBlick (VPN) 和 Callzy。值得注意的是，其中一个名为BlackDesertPersonalContractforYouTubepartners[.]dmg 的虚假应用程序以游戏社区为目标，参考了大型多人在线角色扮演游戏 Black Desert Online。游戏玩家通常涉及数字资产和加密货币，是此类网络攻击的常见目标。 Moonlock Lab 将这次攻击活动背后的团伙称为 “疯狂邪恶”（Crazy Evil）。他们通过 Telegram 机器人进行沟通和招募，并强调新型 AMOS 窃取器在招募广告中的能力。该团伙的行动与一个高恶意软件关联 IP 地址（85[. 28[.]0[.]47）有关，研究人员进一步将他们与俄罗斯网络犯罪活动联系起来。 为了保护自己免受这种新型威胁，请遵循以下准则： 谨慎下载： 只从官方网站或 Apple App Store 下载软件。避免点击谷歌广告中的软件下载链接。 验证 URL： 仔细检查 URL，确保访问的是合法网站。 保护游戏账户： 警惕主动提供奖励或新游戏试用的信息。报告、阻止和删除可疑信息。 使用安全软件： 使用信誉良好的杀毒软件和反恶意软件工具来检测和删除威胁。   转自Freebuf，原文链接：https://www.freebuf.com/news/408362.html 封面来源于网络，如有侵权请联系删除

据The Hacker News消息，网络安全研究人员在 Amazon Web Services （AWS） 产品中发现了多个严重漏洞，如果成功利用这些漏洞，可能会导致严重后果。 根据云安全公司Aqua在与The Hacker News分享的一份详细报告，这些漏洞的影响范围包括远程代码执行（RCE）、全方位服务用户接管（可能提供强大的管理访问权限）、操纵人工智能模块、暴露敏感数据、数据泄露和拒绝服务攻击。 其中，研究人员发现最核心的问题是一种被称为“桶垄断（Bucket Monopoly）的影子资源攻击载体，能在使用 CloudFormation、Glue、EMR、SageMaker、ServiceCatalog 和 CodeStar 等服务时自动创建 AWS S3 存储桶。 由于以该方式创建的 S3 存储桶名称具有唯一性，又遵循预定义的命名规则，攻击者可利用此行为在未使用的 AWS 区域中设置存储桶，并等待合法的 AWS 客户使用上述易受攻击的服务之一来秘密访问 S3 存储桶的内容。 根据攻击者控制的S3存储桶权限，该攻击方法可用于升级以触发 DoS 条件，或执行代码、操纵或窃取数据，甚至在受害者不知情的情况下完全控制其账户。 不过，攻击者必须等到受害者首次在新区域部署新的 CloudFormation 堆栈才能成功发起攻击。而修改 S3 存储桶中的 CloudFormation 模板文件以创建恶意管理员用户还取决于受害者账户是否具有管理 IAM 角色的权限。 Aqua 表示，这种攻击方式不仅影响 AWS 服务，还影响企业组织在AWS 环境中部署的许多开源项目。Aqua还发现其他五项 AWS 服务依赖于类似的 S3 存储桶命名方法，从而容易遭受影子资源攻击： AWS Glue: aws-glue-assets-{Account-ID}-{Region} AWS Elastic MapReduce (EMR): aws-emr-studio -{Account-ID}-{Region} AWS SageMaker: sagemaker-{Region}-{Account-ID} AWS CodeStar: aws-codestar-{Region}-{Account-ID} AWS Service Catalog: cf-templates-{Hash}-{Region} 这些漏洞于2024年2月首次得到披露，亚马逊在3月—6月期间对这些漏洞进行了修复，相关研究成果已在近期举行的2024美国黑帽大会上进行了公布。   转自Freebuf，原文链接：https://www.freebuf.com/news/408363.html 封面来源于网络，如有侵权请联系删除

思科（Cisco）披露，其两款已终止服务的小型商务SPA 300和SPA 500系列IP电话中，基于Web的管理界面存在多个关键的远程代码执行零日漏洞。 目前思科没有为这些设备提供修复补丁，使用这些产品的用户需要转移使用更新的、仍在支持的型号上。 五个漏洞详情 思科披露了五个漏洞，其中三个被评为严重（CVSS v3.1评分：9.8），两个被归类为高严重性（CVSS v3.1评分：7.5）。严重漏洞被跟踪为CVE-2024-20450、CVE-2024-20452和CVE-2024-20454。这些缓冲区溢出漏洞允许未经身份验证的远程攻击者通过向目标设备发送特别构建的 HTTP请求，以root权限在底层操作系统上执行任意命令。 “如果成功利用此漏洞，攻击者可能会溢出内部缓冲区，并在根权限级别执行任意命令，”思科在公告中警告说。 两个高严重性漏洞是CVE-2024-20451和CVE-2024-20453。它们是由于对HTTP数据包的检查不充分引起的，这允许恶意数据包在受影响的设备上造成拒绝服务。 思科指出，这五个漏洞都会影响在SPA 300和SPA 500系列IP电话上运行的所有软件版本。无论电话配置如何，漏洞彼此独立，可以被单独利用。 已终止服务 根据思科公司的支持门户提供的信息，SPA 300产品最后一次销售给客户是在2019年2月，并且在三年后，即2022年2月，思科停止了对这个产品的技术支持。对于SPA 500型号的产品，供应商在2020年6月1日这一天，既停止了对该型号硬件的销售，也结束了对它的技术支持。值得注意的是，思科将继续为持有服务合同或特殊保修条款的客户保障SPA 500产品，直到2025年5月31日。 对于SPA 300产品，自2024年2月29日起，思科不再提供保障。 两者都不会获得安全更新，因此建议用户过渡到更新的受支持型号，例如Cisco IP Phone 8841或Cisco 6800系列的型号。 思科还提供技术迁移计划（TMP），允许客户以旧换新符合条件的产品并获得新设备的信用额度。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/jDKOHdqHFDGSWLXmY-22_g 封面来源于网络，如有侵权请联系删除

2024 年美国黑帽大会上，NCC 集团的研究人员披露了在 Sonos 智能扬声器中发现的漏洞，其中包括一个可能被用于窃听用户的漏洞。 其中一个漏洞被追踪为 CVE-2023-50809，可被目标 Sonos 智能扬声器 Wi-Fi 范围内的攻击者利用来远程执行代码。 研究人员演示了攻击者如何利用此漏洞控制 Sonos One 扬声器，秘密录制音频，然后将其泄露到攻击者的服务器。 Sonos 在 8 月 1 日发布的公告中向客户通报了该漏洞，但实际补丁已于去年发布。Sonos 扬声器使用的 Wi-Fi SoC 联发科也在 2024 年 3 月发布了修复程序。 Sonos 表示，该漏洞影响了无线驱动程序，该驱动程序“在协商 WPA2 四次握手时未能正确验证信息元素”。 该供应商表示：“低权限、近距离的攻击者可以利用此漏洞远程执行任意代码。” 此外，NCC 研究人员还发现了 Sonos Era-100 安全启动实现中的漏洞。通过将这些漏洞与之前已知的特权提升漏洞结合起来，研究人员能够以提升的特权实现持久代码执行。 NCC 集团发布了一份包含技术细节的白皮书，以及一段展示其窃听漏洞的视频。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/hY-1Lsx1J0TpYoBEsa-DEA 封面来源于网络，如有侵权请联系删除

AMD 警告称，一个被命名为 SinkClose 的高严重性 CPU 漏洞会影响其多代 EPYC、Ryzen 和 Threadripper 处理器。该漏洞允许具有内核级 (Ring 0) 权限的攻击者获得 Ring -2 权限并安装几乎无法检测到的恶意软件。 Ring -2 是计算机上最高权限级别之一，运行于 Ring -1（用于虚拟机管理程序和 CPU 虚拟化）和 Ring 0 之上，后者是操作系统内核使用的权限级别。 Ring -2 特权级别与现代 CPU 的系统管理模式 (SMM) 功能相关。SMM 处理电源管理、硬件控制、安全性以及系统稳定性所需的其他低级操作。 由于其高权限级别，SMM 与操作系统隔离，以防止其轻易成为威胁行为者和恶意软件的攻击目标。 SinkClose CPU 缺陷 该漏洞编号为 CVE-2023-31315，严重性评级为高（CVSS 评分：7.5），由 IOActive Enrique Nissim 和 Krzysztof Okupski 发现，他们将权限提升攻击命名为“Sinkclose”。 研究人员将在 DefCon 演讲中介绍有关此次攻击的全部细节，演讲主题为“ AMD Sinkclose：通用 Ring-2 权限提升”。 研究人员报告称，Sinkclose 近 20 年来一直未被发现，影响了多种 AMD 芯片型号。 SinkClose 漏洞允许具有内核级访问权限 (Ring 0) 的攻击者修改系统管理模式 (SMM) 设置，即使启用了 SMM Lock 也是如此。此漏洞可用于关闭安全功能并在设备上植入持久的、几乎无法检测到的恶意软件。 Ring -2 对于操作系统和虚拟机管理程序来说是隔离且不可见的，因此在此级别进行的任何恶意修改都无法被操作系统上运行的安全工具捕获或修复。 Okupski告诉 Wired，检测和删除使用 SinkClose 安装的恶意软件的唯一方法是使用一种名为 SPI Flash 编程器的工具物理连接到 CPU，然后扫描内存中是否存在恶意软件。 根据 AMD 的建议，以下型号受到影响： EPYC 第 1 代、第 2 代、第 3 代和第 4 代 EPYC Embedded 3000、7002、7003 和 9003、R1000、R2000、5000 和 7000 Ryzen Embedded V1000、V2000 和 V3000 Ryzen 3000、5000、4000、7000 和 8000 系列 Ryzen 3000 移动版、5000 移动版、4000 移动版和 7000 移动版系列 Ryzen Threadripper 3000 和 7000 系列 AMD Threadripper PRO（Castle Peak WS SP3、Chagall WS） AMD Athlon 3000 系列移动版（Dali、Pollock） AMD Instinct MI300A AMD在其公告中表示，它已经针对其 EPYC 和 AMD Ryzen 台式机和移动 CPU 发布了缓解措施，并将在稍后发布针对嵌入式 CPU 的进一步修复措施。 实际影响和反应 内核级访问是实施 Sinkclose 攻击的先决条件。AMD 在给 Wired 的声明中指出了这一点，并强调了在现实场景中利用 CVE-2023-31315 的难度。 然而，IOActive 回应称，内核级漏洞虽然并不普遍，但在复杂的攻击中肯定并不少见，根据先前攻击情况实例来看，确实如此。 高级持续性威胁 (APT) 参与者，例如朝鲜的 Lazarus 组织，一直在使用BYOVD（自带易受攻击的驱动程序）技术，甚至利用Windows 零日漏洞来提升其权限并获得内核级访问权限。 勒索软件团伙还使用 BYOVD 策略，采用定制的 EDR 杀伤工具出售给其他网络犯罪分子以获取额外利润。 臭名昭著的社会工程专家Scattered Spider也被发现利用 BYOVD 来关闭安全产品。 这些攻击可以通过各种工具实现，包括Microsoft 签名的驱动程序、防病毒驱动程序、 MSI 图形驱动程序、有漏洞的 OEM 驱动程序，甚至是享有内核级访问权限的游戏反作弊工具。 尽管如此，Sinkclose 可能对使用基于 AMD 系统的组织构成重大威胁，尤其是来自国家支持的和老练的专业黑客组织的威胁，不容忽视。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/hY-1Lsx1J0TpYoBEsa-DEA 封面来源于网络，如有侵权请联系删除

物理安全公司ADT近日披露了一起数据泄露事件，确认黑客非法获取并泄露了超过30000名客户的信息。 “ADT Inc.（以下简称“ADT”或“公司”）最近经历了一起网络安全事件，未经授权的黑客非法访问了包含 ADT 客户订单信息的数据库。”提交给 SEC 的 8-K 表格写道。“公司发现这一事件后迅速采取措施，终止了未经授权的访问，并与顶级网络安全专家合作进行调查。尽管如此，黑客仍窃取了包括电子邮件地址、电话号码和邮政地址在内的有限客户信息。” 黑客声称此次数据泄露涉及超过 30812 条记录，其中包括 30400 封电子邮件。泄露的数据还包括客户的电子邮件、完整地址、用户ID及购买产品等信息。 ADT 的调查表明，客户的家庭安全系统并未受到损害，且没有证据显示财务信息（如信用卡或银行信息）被窃取。公司认为此次事件仅影响了一小部分客户，并已通知相关客户。ADT预计此次事件不会对其运营或财务状况产生重大影响，目前调查仍在继续。 “根据目前的调查结果，公司认为此次事件未对客户的家庭安全系统造成损害。此外，公司没有理由相信攻击者获取了其他个人敏感信息，如信用卡数据或银行信息。”8-K表格进一步说明：“公司正在继续对该网络安全事件进行调查，并已通知可能受影响的客户，这些客户仅占公司整体用户群的一小部分。” ADT 是一家警报和物理安全系统提供商，在美国 150 多个地区拥有 13000 多名专业人员。该公司拥有超过 600 万客户，在遭受网络攻击后披露了这一数据泄露事件。   消息来源：securityaffairs，译者：YY；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

近日，一个名为 “0.0.0.0 Day “的重大安全漏洞在网络安全社区中引发了巨大反响，该漏洞导致数百万使用 Chrome、Firefox 和 Safari 等流行浏览器的用户受到潜在攻击。同时，该漏洞还允许恶意行为者访问私人网络（特别是 “本地主机”）中设备上存储的文件、信息、凭证和其他敏感数据。 什么是 0.0.0.0 Day漏洞？ 0.0.0.0 Day漏洞是以色列网络安全初创公司 Oligo 新发现的漏洞，攻击者能够在补丁可用之前利用该漏洞。 这个漏洞是一个涉及 IP 地址 0.0.0.0 的0-Day漏洞。该漏洞被研究人员称为”0.0.0.0 Day”，它暴露了浏览器处理网络请求时的一个漏洞，可被滥用来访问敏感的本地服务。 这是一个存在多年的漏洞。研究人员发现，早在 2006 年就有报告称存在涉及 IP 地址的安全问题。 图解公共网络如何使用 0.0.0.0 地址与专用网络和本地设备通信，来源：Oligo 正如报告中所提到的，该漏洞的技术细节涉及恶意网站欺骗浏览器，允许浏览器与运行在用户本地机器（localhost）上的 API（应用程序编程接口）进行交互。 这些 API 通常是为应用程序内部通信而设计的，不应该从网站等外部来源访问。这些网站只需瞄准 0.0.0.0，而不是 localhost/127.0.0.1，就有可能在访问者的硬件上执行代码。通过利用 0.0.0.0 Day漏洞，攻击者有可能在未经授权的情况下访问存储在用户计算机上的敏感信息、窃取数据甚至启动恶意软件。 这项研究进一步凸显了浏览器安全漏洞十分令人担忧的现状。浏览器的设计目的是作为用户与潜在有害在线内容之间的屏障。然而，0.0.0.0 Day漏洞暴露了浏览器处理网络请求的弱点。不同浏览器在安全机制上的不一致性，可能会让恶意行为者访问用户的本地网络和在其上运行的服务。 与 0.0.0.0 通信的网站数量，来源：Oligo 对市面上主流浏览器带来巨大影响 研究人员发现，几乎市面上的所有浏览器都可能受到该漏洞的影响，所以作为负责任披露的一部分，所有相关公司都已被告知，目前这些公司也都做出了相应的应对措施，具体如下： Chrome 0-Day漏洞： 谷歌 Chrome 浏览器是全球最流行的浏览器，无疑是攻击者的首要目标。如果成功利用0.0.0.0 Day漏洞，攻击者就可以绕过 Chrome 浏览器的安全机制，访问用户的本地网络。这可能会暴露存储在用户计算机上的敏感数据，如果用户是远程办公，还可能危及企业网络，甚至为安装恶意软件提供便利。 火狐0-Day漏洞： 火狐浏览器虽然不像 Chrome 浏览器那样被广泛使用，但仍然是许多用户的首选。成功利用 0.0.0.0 Day漏洞可能会给 Firefox 用户带来类似的后果。攻击者有可能访问本地网络、窃取数据或发起恶意软件攻击。 Safari 0-Day漏洞：苹果公司的 Safari 浏览器是苹果设备上的默认浏览器，也有可能受到 0.0.0.0 Day 漏洞的攻击。虽然苹果公司以强大的安全性著称，但这一漏洞凸显了时刻保持警惕的必要性。成功的漏洞利用可能会让攻击者访问用户 Mac 或 iOS 设备上的本地网络，从而可能泄露敏感数据或为进一步攻击提供便利。 针对这一安全漏洞，苹果和谷歌更新了正在努力解决这一问题的方法。报告显示，在即将发布的 macOS 15 Sequoia 测试版中，苹果 Safari 将阻止所有查询 0.0.0.0 IP 地址的尝试。同样，谷歌 Chrome 浏览器的安全团队也在努力修复漏洞。谷歌正在推出阻止访问 0.0.0.0 的更新，预计将在 Chrome 133 中完全实施。 微软已经在 Windows 操作系统中阻止了对 0.0.0.0 IP 地址的访问。然而，Mozilla 采取了不同的立场。Mozilla 发言人表示，担心实施更严格的限制可能会带来严重的兼容性问题。由于有关标准的讨论和对这些兼容性风险的评估仍在进行中，火狐尚未实施拟议的限制。相反，Mozilla 计划继续参与这一进程，以确保采取一种平衡的方法。 0.0.0.0 Day 漏洞的发现凸显了在日益复杂的威胁环境中维护浏览器安全所面临的持续挑战。浏览器开发商必须继续投资研发，时刻领先于网络犯罪分子。同时，用户也必须保持警惕，以保护自己免受新威胁的侵害。   转自Freebuf，原文链接：https://www.freebuf.com/news/408169.html 封面来源于网络，如有侵权请联系删除

网络安全专家最近的研究揭示了 Microsoft 365 的反网络钓鱼机制中存在的一个漏洞，该漏洞可以通过 CSS 技术进行利用。这一漏洞使攻击者能够绕过安全警报，从而引发了对 Microsoft 网络钓鱼防御系统稳健性的广泛关注。 Microsoft 365（前称 Office 365）采用了多种反网络钓鱼措施以保护用户，其中之一是“首次接触安全提示”。当用户收到来自不熟悉地址的电子邮件时，此提示会提醒用户并通常附加在 HTML 电子邮件的正文之前，以提示潜在的风险。 然而，Certitude 的研究人员 William Moody 和 Wolfgang Ettlinger 证明，通过 CSS 可以有效隐藏这一安全提示。他们通过将背景和字体颜色更改为白色，使警报对接收者不可见，从而使其原本预期的保护功能失效。 为了展示这一漏洞，Certitude 制作了一封概念验证电子邮件，通过特定的 CSS 规则成功隐藏了安全提示。尽管由于 Outlook 渲染引擎的限制，常见的 CSS 策略如调整显示设置或高度和不透明度未能奏效，但更改颜色属性的策略被证实有效。这种方法可以确保提示存在但不可见，从而误导用户，增加网络钓鱼攻击成功的可能性。 此外，研究人员还扩展了他们的发现，展示了攻击者如何在 Microsoft Outlook 中伪造加密和签名的电子邮件图标。通过使用 Unicode 字符和特定的 CSS 规则，他们演示了如何令人信服地模仿这些图标。虽然警觉的用户可能会注意到细微的格式差异，但不够细心的用户可能会被欺骗，从而可能危及组织的安全。 发现该问题后，Certitude 通过 Microsoft 的研究人员门户负责任地向 Microsoft 披露了这一漏洞。尽管 Microsoft 认可了调查结果的有效性，但决定不立即修复此问题，理由是它主要涉及网络钓鱼攻击。然而，Microsoft 已将这一调查结果标记为未来审查的参考，以便对其产品进行改进。   消息来源：infosecurity magazine，译者：YY；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

在 2023 年 11 月，南亚的一家媒体机构遭遇了一次前所未有的网络攻击，攻击者利用了一种之前未曾记录的基于 Go 语言开发的后门程序，名为 GoGra。 “GoGra 是一种用 Go 语言编写的后门程序，它通过 Microsoft Graph API 与托管在 Microsoft 邮件服务上的命令和控制（C&C）服务器进行交互。”Broadcom旗下的Symantec在与The Hacker News分享的一份报告中表示。 目前尚不清楚 GoGra 是如何被交付到目标环境的。然而，GoGra 被专门配置为从 Outlook 用户名为“FNU LNU”的账户中读取邮件，其邮件主题以“Input”一词开头。 接着，GoGra 使用密钥和 AES-256 算法在密码块链（CBC）模式下对邮件内容进行解密，然后通过 cmd.exe 执行相关命令。 随后，操作结果会被加密并发送回同一用户，邮件主题为“Output”。 据报道，GoGra 可能由一个名为 Harvester 的国家级黑客组织开发，因为其与名为 Graphon 的定制 .NET 植入程序具有相似特征，该植入程序同样利用 Microsoft Graph API 进行命令和控制（C&C）。 这一趋势表明，威胁行为者越来越倾向于利用合法的云服务，以保持隐匿并减少对专用基础设施的依赖。   下面列出了采用该技术的其他一些新恶意软件家族： Firefly是一种在针对东南亚军事组织的网络攻击中部署的以前未见的数据泄露工具。该工具收集的信息会通过硬编码的刷新令牌上传至 Google Drive。 在 2024 年 4 月，一种名为 Grager 的新型后门被部署于台湾、香港和越南的三个组织。Grager 利用 Graph API 与托管在 Microsoft OneDrive 上的命令与控制（C&C）服务器进行通信。这一活动初步与一个被追踪为 UNC5330 的疑似中国威胁行为者相关联。 另一个名为 MoonTag 的后门也具备与 Graph API 通信的功能，并被认为是中国威胁参与者所开发。 此外，名为 Onedrivetools 的后门曾被用于攻击美国和欧洲的 IT 服务公司。该后门通过 Graph API 与托管在 OneDrive 上的 C&C 服务器进行交互，以执行接收到的命令并将结果保存至 OneDrive。 Symantec 表示：“尽管通过云服务进行命令与控制并非新技术，但近期越来越多的攻击者开始采用这一方法。”该公司还提到了一些相关的恶意软件，例如 BLUELIGHT，Graphite，Graphican和BirdyClient等。 根据目前利用云服务的威胁参与者的数量，可以推测，间谍行为者正在研究并模仿其他组织所采用的成功技术。   消息来源：The Hacker News，译者：YY；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

亨利·施恩公司在2023年10月14日遭遇了BlackCat勒索软件攻击，导致了长达一个月的运营停顿，并泄露了大量用户数据。 安全内参8月8日消息，美国医疗保健分销商、财富500强企业亨利·施恩（Henry Schein）日前下调了其年度利润预期。这家牙科和医疗设备分销商警告称，从去年10月披露的网络攻击中恢复正常的速度较慢。 该公司股价在盘前交易中下跌至64.50美元，跌幅达7.3%。 在网络安全漏洞发生后，亨利·施恩将一些系统下线，通知了当局并聘请了专家，事件还扰乱了其制造和分销业务。 伦敦证券交易所数据显示，该事件对公司今年的财务表现产生了持续影响，第二季度收入为31.4亿美元，低于分析师预估的32.7亿美元。 首席执行官Stanley Bergman表示：“我们在分销业务中的销售趋势正在改善，但自去年年底的网络事件以来，这些业务的恢复速度比预期的要慢。” 勒索攻击造成重大损失 亨利·施恩最初在2023年10月14日遭遇了BlackCat勒索软件攻击，导致了长达一个月的运营停顿。BlackCat组织声称，泄露了包括DEA号码、个人身份信息（PII）数据和供应商银行账户在内的敏感数据。 尽管公司努力恢复，网络攻击者在去年11月14日再次发动攻击。威胁行为者声称，此次造成超过5亿美元的损失。 值得注意的是，ALPHV/BlackCat组织声称对亨利·施恩进行了两次重新加密，并预告了第三次攻击。然而，几天后，BlackCat从其泄露网站上移除了亨利·施恩，这表明公司可能支付了赎金，但没有官方声明证实这一点。 黑客组织在去年12月再次通过其暗网频道更新了亨利·施恩数据泄露的情况。同月，亨利·施恩公司向美国缅因州总检察长报告称，数据泄露影响了超过2.9万人的个人信息。 公司下调营收预期 亨利·施恩将其年度利润预期从此前的每股5美元至5.16美元下调至每股4.70美元至4.82美元。分析师预计利润为每股5.06美元。 公司表示，现在预计全年销售额将增长4%至6%，而此前的预测为增长8%至10%。按照公司2023财年总营收123.39亿美元计算，2024财年总营收预期下调了4.93亿美元（约合人民币35.4亿元）。 亨利·施恩的牙科部门第二季度销售额下降了1.7%，至19.2亿美元，低于预期的19.9亿美元。 其医疗部门的销售额也下降了5%，至9.98亿美元，低于预期的10.7亿美元。   转自安全内参，原文链接：https://www.secrss.com/articles/68973 封面来源于网络，如有侵权请联系删除

去中心化金融生态系统再次遭受了重大的安全漏洞。区块链基础设施协议Nexera遭遇一个重大漏洞，导致价值约180万美元的数字资产被盗。 加密安全公司Cyvers在8月7日详细描述了这次攻击。攻击者通过一个复杂的策略，控制了Nexera的代理合同（proxy contract）。 在去中心化金融（DeFi）协议中，代理合同通常是一个关键的控制点，它允许用户通过智能合约与DeFi平台进行交互。 攻击者利用控制的代理合同，执行了“withdraw admin”（撤回管理员）功能，窃取了平台的全部NXRA币（3250万NXRA币）。 “我们的系统检测到一笔涉及您的代理合同的可疑交易。Cyvers在X（Twitter）上的一篇文章中解释说：“一个地址拥有了你的代理合约并对其进行了升级。不久之后，该地址使用了撤回管理功能来转移所有的$NXRA币。” 事件发生后，Nexera迅速做出反应，暂停了NXRA币合约，并停止了去中心化交易所的交易。Kucoin和MEXC交易所已经暂停交易活动。 尽管采取的措施对于防止进一步的损失至关重要，但平台在重建信任和追回被盗资金方面面临着巨大的挑战。 此前Ronin Network案例中，一个被认为是”白帽黑客”（即那些发现并报告安全漏洞的黑客，通常不会利用这些漏洞进行恶意行为）的人盗取了价值980万美元的以太币，但很快就归还了这些资金。 与Ronin Network情况不同，Nexera事件表现出了明显的恶意意图。 盗窃发生后，黑客立即启动了一个流程来清洗被盗的NXRA币。通过将被盗资金转换为以太坊（ETH）并可能利用加密货币混合器，掩盖被盗资金的来源，使当局和网络安全公司追踪和恢复资产变得更具挑战性。 这次攻击在加密货币社区中引起了巨大的震动。 在攻击之后，NXRA币的价值暴跌了40%。区块链侦探ZachXBT已经将攻击者与一系列先前的私钥泄露事件联系起来，涉及SpaceCatch、Concentric Finance、OKX DEX、Serenity Shield和Reach等事件。 攻击者目前持有大量的3250万NXRA币，这些代币的价值大约为123万美元，以及价值55.5万美元的USDT稳定币（USDT是一种与美元价值挂钩的稳定币，通常用于加密货币交易和存储价值）。   转自E安全，原文链接：https://mp.weixin.qq.com/s/mPRWBSYPfew2UOVfwMZyEw 封面来源于网络，如有侵权请联系删除

与朝鲜有关的APT组织 Kimsuky涉嫌发动一系列新攻击，这些攻击针对大学教授、研究人员和其他工作人员，目的是收集情报。 网络安全公司 Resilience表示，在观察到黑客犯下的操作安全 (OPSEC) 错误后，它在 2024 年 7 月下旬发现了这一活动。 Kimsuky，也被称为 APT43、ARCHIPELAGO、Black Banshee、Emerald Sleet、Springtail 和 Velvet Chollima，只是朝鲜政府和军方指导下运作的众多攻击性网络团队之一。 它非常活跃，通常利用鱼叉式网络钓鱼活动作为起点，提供不断扩展的自定义工具集来进行侦察、窃取数据并建立对受感染主机的持续远程访问。 这些攻击还具有以下特点：使用受感染的主机作为临时基础设施，部署经过混淆的 Green Dinosaur Web Shell 版本，然后使用该版本执行文件操作。安全研究员 blackorbird曾在 2024 年 5 月重点介绍了 Kimuksy 对 Web Shell 的使用。 Green Dinosaur 提供的访问权限被滥用来上传预先构建的网络钓鱼页面，这些页面旨在模仿 Naver 和同德大学、高丽大学和延世大学等多所大学的合法登录门户，目的是获取他们的凭证。 接下来，受害者被重定向到另一个网站，该网站指向托管在 Google Drive 上的 PDF 文档，该文档声称是峨山政策研究院八月论坛的邀请。 Resilience 研究人员表示：“此外，在 Kimsuky 的网络钓鱼网站上，还有一个非针对特定目标的网络钓鱼工具包来收集 Naver 帐户。该工具包是一个类似于 Evilginx 的基本代理，用于窃取访问者的 cookie 和凭据，并显示弹出窗口，告诉用户他们需要再次登录，因为与服务器的通信中断了。” 分析还揭示了 Kimsuky 使用的名为 SendMail 的自定义PHPMailer工具，该工具用于向使用 Gmail 和 Daum Mail 帐户的目标发送网络钓鱼电子邮件。 为了应对威胁，建议用户启用防网络钓鱼多因素身份验证 (MFA) 并在登录前仔细检查 URL。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/OVKxf4xtx7DuR_dvpB7TBQ 封面来源于网络，如有侵权请联系删除

美国国务院周三宣布，将悬赏高达 1000 万美元，征集几名被控入侵工业控制系统 (ICS) 的伊朗公民的个人信息。 通缉名单包括：哈米德·霍马云法尔 (Hamid Homayunfal)、哈米德·礼萨·拉什加里安 (Hamid Reza Lashgarian)、马赫迪·拉什加里安 (Mahdi Lashgarian)、米拉德·曼苏里 (Milad Mansuri)、穆罕默德·巴盖尔·希林卡 (Mohammad Bagher Shirinkar) 和礼萨·穆罕默德·阿明·萨贝里安 (Reza Mohammad Amin Saberian)，他们与伊朗伊斯兰革命卫队 (IRGC)，特别是网络电子指挥部有联系。 据信，这些人是名为 Cyber Av3ngers 的黑客组织的幕后黑手，该组织于 2023 年秋季针对宾夕法尼亚州阿利奎帕市水务局的 Unitronics Vision 可编程逻辑控制器 (PLC) 发起攻击。还针对美国其他水务公司的 ICS发起攻击。 目标 PLC 暴露在互联网上，仅受弱默认密码的保护。 CyberAv3ngers 自称是一个黑客组织，但美国认为这是伊朗政府用来进行恶意网络活动的身份。 此前，美国政府宣布悬赏1000 万美元缉拿“网络复仇者”组织成员。悬赏 1000 万美元，征集有关Alphv/BlackCat 勒索软件运营商及其附属机构以及朝鲜黑客组织 APT45成员的信息。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/5XwhSGjDOHLjBn_Mkp8TeQ 封面来源于网络，如有侵权请联系删除

英国信息专员办公室 (ICO) 宣布了一项临时决定，对高级计算机软件集团有限公司 (Advanced) 处以 609 万英镑（774 万美元）的罚款，原因是该公司在 2022 年遭受勒索软件攻击时未能保护好数万人的个人信息。 Advanced 是英国国家医疗服务体系 (NHS) 签约的 IT 服务和托管供应商，于 2022 年 8 月 4 日遭到威胁行为者的攻击。 该事件影响了数百家公共和私人实体，包括 NHS 111 以及 Adastra、Caresys、Odyssey、Carenotes、Crosscare、Staffplan 和 eFinancials 等各种医疗保健产品。 此次泄密事件导致近 83,000 人的个人信息被泄露，其中包括 890 名接受居家护理人员的入院指导。 尽管所有受影响的人都已被告知并被警告采取行动降低风险，而且到目前为止，没有任何攻击数据在暗网上发布，但敏感数据泄露的潜在影响是巨大的。 “这一事件表明信息安全是多么重要。”英国信息专员约翰·爱德华兹表示，“失去对敏感个人信息的控制，会让那些别无选择只能信任医疗和护理机构的人感到痛苦。” 爱德华兹在谈到高级安全立场时补充道：“对于一个受信任处理大量敏感和特殊类别数据的组织来说，我们暂时发现其在此次事件之前的信息安全方法存在严重缺陷。” ICO 指出，实施基本措施（例如应用安全更新、启用多因素身份验证以及检查系统是否存在已知漏洞）对于保护敏感数据至关重要，所有组织都应遵循这些最低限度的步骤。 该临时决定的发布旨在提醒所有组织其安全义务以及一旦失败可能产生的后果。 但是770 万美元的罚款尚未实施，ICO 表示将等待 Advanced 的评论后再做出最终决定，因此罚款金额可能会发生变化。 如果Advanced无法提供令人信服的论据，且罚款仍为774万美元，则每位被曝光者的罚款将相当于93.3美元，与过去的类似事件相比，这个数字非常高。   消息来源：BleepingComputer，译者：YY；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

美国证券交易委员会（SEC）已经结束了对 Progress 软件公司处理 MOVEit Transfer 的0day漏洞被广泛利用、导致 9500 多万人数据泄露事件的调查。 Progress Software 在提交给美国证券交易委员会的最新 FORM 8-K 文件中表示，美国证券交易委员会执法部将不建议对这起安全事件采取任何执法行动。 美国证券交易委员会周四晚间提交的文件中写道：“美国证券交易委员会已通知 Progress，目前不打算建议对该公司采取执法行动。” “如前所述，Progress 于 2023 年 10 月 2 日收到了美国证券交易委员会的传票，作为事实调查的一部分，要求提供与 MOVEit 漏洞有关的各种文件和信息。” 美国证券交易委员会（SEC）正在对 Progress Software 公司在应对通过 MOVEit Transfer 软件存在的0day漏洞引发的大规模数据盗窃攻击过程中所采取的措施进行调查。 据BleepingComputer首次报道，在 2023 年烈士纪念日假期期间，Clop 勒索软件团伙利用0day漏洞对全球公司发起了大规模数据盗窃活动。 据一直在追踪此次攻击影响的Emsisoft称，超过 2,770 家公司和 9500 万人的数据通过0day漏洞被窃取。 由于攻击影响广泛，Clop 团伙预计将获得 7500 万至 1 亿美元的赎金，攻击对象包括政府机构、金融公司、医疗保健机构、航空公司和教育机构。 尽管美国证券交易委员会不建议采取任何行动，但 Progress Software 仍然面临马萨诸塞州联邦法院的数百起集体诉讼 。   消息来源：BleepingComputer，译者：YY；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

网络安全公司Bitdefender近日披露了两大广泛使用的太阳能管理平台中的重大安全漏洞，攻击者可造成大规模停电并破坏电力分配系统，可能影响全球20%的光伏发电，涉及190多个国家和地区的200多万个光伏电站。 可导致全球范围停电 根据Bitdefender发布的新报告，这些漏洞存在于Solarman和Deye这两大平台中。Solarman是一个主要的光伏（PV）电站管理平台，而Deye则是一个太阳能逆变器平台。这两个平台相互连接，一旦漏洞被利用，攻击者可能会控制逆变器设置，从而导致全球范围内的停电和电力分配中断。 Solarman的平台管理着全球数百万个光伏装置，覆盖全球200多万个光伏电站约195吉瓦的光伏发电量。该平台的API架构存在各种攻击风险，包括账户完全接管、跨平台令牌重用和数据过度暴露。Deye的逆变器平台连接到Solarman的基础设施，同样存在硬编码凭证、信息泄露和授权令牌生成缺陷等漏洞。 提取的数据 来源：Bitdefener 研究者指出，如果这些漏洞被攻击者利用，可获得对太阳能逆变器的控制权，修改设置并导致电网不稳定。此外，攻击者还可能获取敏感信息，包括用户数据、组织信息和太阳能装置信息。 漏洞披露与修复措施 Bitdefender已经负责任地向受影响的供应商披露了这些漏洞，并且供应商已经实施了修复措施。然而，研究人员仍然敦促光伏发电设备用户和合作伙伴确保他们运行的是最新的软件版本，以保障Solarman和Deye平台的安全。随着太阳能等可再生能源越来越多地并入电网，网络安全的重要性日益凸显。 Bitdefender指出：“将太阳能整合到电网中带来了巨大的好处，但也引入了需要设备制造商重视的攻击面。Deye和Solarman平台中的安全漏洞突显了太阳能系统以及其他物联网设置迫切需要强大的网络安全措施。” 这项研究将在2024年8月9日的网络安全会议Defcon 32上公布。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/pSt_jBnrO9RGpM6GcAUgdg 封面来源于网络，如有侵权请联系删除

在拉斯维加斯举行的黑帽大会（BLACK HAT USA 2024）上，来自德国 CISPA 亥姆霍兹信息安全中心的一组研究人员披露了影响基于 RISC-V 架构的流行 CPU 的新漏洞细节。 RISC-V是一种开源指令集架构 (ISA)，旨在为各种类型的应用开发定制处理器，包括嵌入式系统、微控制器、数据中心和高性能计算机。 CISPA 研究人员发现中国芯片公司 T-Head （阿里巴巴旗下的平头哥半导体）生产的玄铁 C910 CPU 中存在漏洞。据专家介绍，玄铁 C910 是速度最快的 RISC-V CPU 之一。 这个被称为GhostWrite 的漏洞允许具有有限权限的攻击者读取和写入物理内存，从而可能使他们获得对目标设备的完全和不受限制的访问权限。 虽然 GhostWrite 漏洞特定于玄铁 C910 CPU，但已确认多种类型的系统受到影响，包括云服务器中的 PC、笔记本电脑、容器和虚拟机。 研究人员列出的易受攻击的设备列表包括 Scaleway Elastic Metal RV 裸机云实例；Sipeed Lichee Pi 4A、Milk-V Meles 和 BeagleV-Ahead 单板计算机 (SBC)；以及一些 Lichee 计算集群、笔记本电脑和游戏机。 “要利用此漏洞，攻击者需要在易受攻击的 CPU 上执行非特权代码。这对多用户和云系统构成威胁，或者在执行不受信任的代码时，甚至在容器或虚拟机中也是如此。”研究人员解释道。 为了展示他们的研究结果，研究人员展示了攻击者如何利用 GhostWrite 获取 root 权限或从内存中获取管理员密码。 与之前披露的许多CPU 攻击不同，GhostWrite 不是侧信道攻击，也不是瞬时执行攻击，而是一个架构错误。 研究人员向 T-Head 报告了他们的发现，但目前尚不清楚该供应商是否采取了任何行动。SecurityWeek在本文发表前几天联系了 T-Head 的母公司阿里巴巴征求意见，但尚未得到回复。 云计算和网络托管公司 Scaleway 也已收到通知，研究人员表示该公司正在向客户提供缓解措施。 值得注意的是，该漏洞是一个硬件错误，无法通过软件更新或补丁修复。禁用 CPU 中的矢量扩展可以减轻攻击，但也会影响性能。 研究人员告诉SecurityWeek，尚未为 GhostWrite 漏洞分配 CVE 标识符。 虽然没有迹象表明该漏洞已被利用，但 CISPA 研究人员指出，目前还没有特定的工具或方法来检测攻击。 研究人员发表的论文中提供了更多技术信息。他们还发布了一个名为 RISCVuzz 的开源框架，用于发现 GhostWrite 和其他 RISC-V CPU 漏洞。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/aO8kr865bmh1VSlC4fIPPQ 封面来源于网络，如有侵权请联系删除