Aggregator

即使安全启动保护处于活动状态，也可能会利用一个新的 UEFI 安全启动绕过漏洞（编号为 CVE-2024-7344）影响 Microsoft 签名的应用程序来部署 bootkit，多个第三方软件开发商的多个实时系统恢复工具中存在易受攻击的 UEFI 应用程序。

Bootkit 是一种难以检测的严重安全威胁，因为它们在操作系统加载之前采取行动，并且在操作系统重新安装后仍然存在。

根本问题

该问题源于使用自定义 PE 加载程序的应用程序，该加载程序允许加载任何 UEFI 二进制文件，即使它们未签名。具体来说，易受攻击的 UEFI 应用程序不依赖于“LoadImage”和“StartImage”等可信服务来根据信任数据库 (db) 和吊销数据库 (dbx) 验证二进制文件。

在这种情况下，“reloader.efi”手动解密“cloak.dat”中的二进制文件并将其加载到内存中，其中包含基本的加密 XOR PE 映像。攻击者可以通过使用易受攻击的“reloader.efi”替换应用程序在 EFI 分区上的默认操作系统引导加载程序，并在其名义路径上植入恶意“cloak.dat”文件来利用此不安全的过程。

系统启动时，自定义加载程序将解密并执行恶意二进制文件，而无需安全启动验证。

UEFI安全启动流程

影响范围

该漏洞影响旨在协助系统恢复、磁盘维护或备份的 UEFI 应用程序，而不是通用 UEFI 应用程序。 ESET 的报告将以下产品和版本列为易受攻击的产品和版本：

·Howyar SysReturn 10.2.023_20240919 之前版本

·Greenware GreenGuard 10.2.023-20240927 之前版本

·Radix SmartRecovery 11.2.023-20240927 之前版本

·三丰EZ-back系统10.3.024-20241127之前版本

·WASAY eRecoveryRX 8.4.022-20241127 之前版本

·CES NeoImpact 10.1.024-20241127 之前版本

·SignalComputer HDD King 10.3.021-20241127之前版本

应该注意的是，即使目标计算机上不存在上述应用程序，攻击者也可以利用 CVE-2024-7344。黑客可以通过仅部署易受攻击的“重新加载器”来执行攻击。

来自这些应用程序的 efi' 二进制文件。但是，使用上述应用程序和受影响版本的用户应尽快迁移到较新的版本，以消除攻击面。 ESET 发布了一个视频，演示如何在启用了安全启动的系统上利用该漏洞。

修复和缓解措施

Microsoft 已发布 CVE-2024-7344 补丁 ESET 于 2024 年 7 月 8 日发现该漏洞，并将其报告给 CERT 协调中心 (CERT/CC)，以便协调向受影响方披露。

受影响的供应商修复了其产品中的问题，微软于 1 月 14 日补丁星期二更新撤销了证书。在接下来的几个月中，ESET 与受影响的供应商合作评估建议的补丁并消除安全问题。

最终，微软于 2025 年 1 月 14 日撤销了易受攻击的 UEFI 应用程序的证书，这应该会阻止任何执行其二进制文件的尝试。此缓解措施会自动应用于安装了最新 Windows 更新的用户。

ESET 还共享 PowerShell 命令，关键系统的管理员可以使用这些命令手动检查撤销是否已成功应用。

Here’s a look at the most interesting products from the past week, featuring releases from Bitsight, DataDome, DigitalOcean, Lookout, and XONA Systems. Lookout Mobile Intelligence APIs identifies cross-platform attacks Lookout Mobile Intelligence APIs give security teams visibility into what’s going on with their mobile fleet to protect against account compromise due to social engineering, potential data leaks due to vulnerable apps and device takeovers due to out of date operating systems. DataDome DDoS Protect detects … More →

The post New infosec products of the week: January 24, 2025 appeared first on Help Net Security.

有关针对 Chrome 浏览器扩展程序开发人员的网络钓鱼活动的新细节近期被披露，该活动导致至少 35 个扩展程序被入侵，以注入数据窃取代码，其中包括来自网络安全公司 Cyberhaven 的扩展程序。

尽管最初的报告主要集中在 Cyberhaven 的安全扩展上，但随后的调查显示，相同的代码已被注入到至少 35 个扩展中，总共约有 2,600,000 人使用。从目标开发者对 LinkedIn 和 Google Groups 的报告来看，最新的攻击活动于 2024 年 12 月 5 日左右开始。然而，有安全研究人员发现早期命令和控制子域早在 2024 年 3 月就已存在。

欺骗性的 OAuth 攻击链

攻击首先会直接或通过与其域名关联的支持电子邮件发送给 Chrome 扩展程序开发人员的网络钓鱼电子邮件。从看到的电子邮件来看，该活动使用了以下域名来发送网络钓鱼电子邮件：

这封网络钓鱼电子邮件看起来像是来自 Google，声称该扩展程序违反了 Chrome Web Store 政策，有被删除的风险。  “我们不允许扩展程序具有误导性、格式不良、非描述性、不相关、过多或不适当的元数据，包括但不限于扩展程序描述、开发者名称、标题、图标、屏幕截图和宣传图片，”钓鱼邮件中写道。

具体来说，该扩展程序的开发人员会相信其软件的描述包含误导性信息，并且必须同意 Chrome 网上应用店政策。

攻击中使用的网络钓鱼电子邮件

如果开发人员点击嵌入的“转到策略”按钮来了解他们违反了哪些规则，他们就会被带到 Google 域上的恶意 OAuth 应用程序的合法登录页面。该页面是 Google 标准授权流程的一部分，旨在安全向第三方应用授予访问特定 Google 帐户资源的权限。

恶意认证请求

在该平台上，攻击者托管了一个名为“隐私策略扩展”的恶意 OAuth 应用程序，该应用程序要求受害者授予通过其帐户管理 Chrome Web Store 扩展程序的权限。 OAuth 授权页面上写道：“当您允许此访问时，隐私政策扩展程序将能够：查看、编辑、更新或发布您有权访问的 Chrome Web Store 扩展程序、主题、应用程序和许可证。”

权限审批提示

多重身份验证无助于保护帐户，因为不需要 OAuth 授权流程中的直接批准，并且该过程假设用户完全了解他们授予的权限范围。

Cyberhaven 在事后分析报告中解释说：“该员工遵循标准流程，无意中授权了这个恶意第三方应用程序。” 

据了解，该员工启用了 Google 高级保护，并对其帐户进行了 MFA，但没有收到 MFA 提示。该员工的 Google 凭据没有受到损害。

一旦威胁者获得了扩展程序开发人员帐户的访问权限，他们就会修改扩展程序以包含两个恶意文件，即“worker.js”和“content.js”，其中包含从 Facebook 帐户窃取数据的代码。

被劫持的扩展程序随后作为“新”版本发布在 Chrome 网上应用店上。虽然 Extension Total 正在跟踪受此网络钓鱼活动影响的 35 个扩展程序，但攻击中的 IOC 表明，目标数量要多得多。

据 VirusTotal 称，威胁者预先注册了目标扩展的域名，即使他们没有遭受攻击。虽然大多数域名是在 11 月和 12 月创建的，但威胁者在 2024 年 3 月就测试了此攻击。

网络钓鱼活动中早期使用的子域

针对 Facebook 企业帐户

对受感染机器的分析表明，攻击者的目标是中毒扩展程序用户的 Facebook 帐户。具体来说，数据窃取代码试图获取用户的 Facebook ID、访问令牌、帐户信息、广告帐户信息和企业帐户。

Facebook 数据被劫持的扩展程序窃取

此外，恶意代码还专门针对受害者在 Facebook.com 上的交互添加了鼠标点击事件监听器，寻找与平台的双因素身份验证或验证码机制相关的二维码图像。此举旨在绕过 Facebook 帐户的 2FA 保护，并允许威胁者劫持该帐户。

被盗信息将与 Facebook cookie、用户代理字符串、Facebook ID 和鼠标单击事件打包在一起，并渗透到攻击者的命令和控制 (C2) 服务器。威胁者一直通过各种攻击途径瞄准 Facebook 企业帐户，从受害者的信用直接付款到他们的帐户，在社交媒体平台上运行虚假信息或网络钓鱼活动，或者通过将其访问权限出售给其他人来货币化。