Aggregator

黑客在PoisonSeed网络钓鱼攻击中降低FIDO2多因素认证强度

嘶吼
5 months ago

PoisonSeed网络钓鱼活动通过滥用WebAuthn中的跨设备登录功能来绕过FIDO2安全密钥保护,诱骗用户同意来自虚假公司门户的登录认证请求。

众所周知,PoisonSeed攻击者利用大规模网络钓鱼攻击来进行金融欺诈。在过去,分发包含加密种子短语的电子邮件用于耗尽加密货币钱包。

在Expel最近观察到的网络钓鱼攻击中,PoisonSeed攻击者并没有利用FIDO2的安全漏洞,而是滥用了合法的跨设备身份验证功能。

跨设备认证是一种WebAuthn功能,允许用户使用另一台设备上的安全密钥或认证应用程序在一台设备上登录。身份验证请求不需要物理连接,比如插入安全密钥,而是通过蓝牙或二维码扫描在设备之间传输。

这种攻击首先将用户引导到一个仿冒企业登录门户的网络钓鱼网站,比如Okta或Microsoft 365。当用户向门户输入凭据时,该活动使用中间对手(AiTM)后端,使用提交的凭据在合法登录门户上实时静默登录。

攻击中的目标用户通常会使用他们的FIDO2安全密钥来验证多因素身份验证请求。但是,网络钓鱼后端会告诉合法登录门户使用跨设备身份验证进行身份验证。

这将导致合法门户生成QR码,该QR码被传输回网络钓鱼页面并显示给用户。当用户使用智能手机或身份验证应用扫描这个二维码时,它就会批准攻击者发起的登录尝试。

PoisonSeed攻击流绕过FIDO2保护

这种方法允许攻击者发起依赖于跨设备身份验证而不是用户的物理FIDO2密钥的登录流,从而有效地绕过了FIDO2安全密钥保护。

Expel说,这种攻击并没有利用FIDO2实现中的漏洞,而是滥用了降低FIDO密钥身份验证过程的合法功能。为了降低风险,Expel建议采取以下防御措施:

·限制允许用户登录的地理位置,并为个人旅行建立注册流程。

·定期检查来自未知地点的未知FIDO密钥和不常见的安全密钥品牌的注册。

·考虑强制基于蓝牙的身份验证作为跨设备身份验证的要求,这将大大降低远程网络钓鱼攻击的有效性。

Expel还观察到一个单独的事件,一个威胁者在通过被认为是网络钓鱼的方式破坏了一个账户并重置了密码后,注册了自己的FIDO密钥。然而,这种攻击不需要任何欺骗用户的方法,比如QR码。

这种攻击突出了威胁者如何通过欺骗用户完成登录流程来绕过使用安全密钥进行物理交互的需要,从而找到绕过抗网络钓鱼认证的方法。

胡金鱼

热浪下欧洲软化对空调的抵制

Solidot
5 months ago
6 月和 7 月份席卷西欧的创纪录热浪引发了安装空调相关的政治斗争。欧洲因为地理位置通常不是太热,不需要安装空调。但气候变化让欧洲成为暖化最快的大陆,自 1980 年代以来欧洲的暖化速度是全球平均水平的两倍。在最新的热浪期间,法国逾 1000 所学校因缺乏空调而部分或全部关闭。右翼政党要求大规模安装空调,而政府官员则担心大规模安装空调会让城市升温,加剧热浪。

热浪下欧洲软化对空调的抵制

不安全
5 months ago
气候变化导致欧洲遭遇极端热浪,引发空调安装的政治争议。右翼政党呼吁大规模安装空调以应对高温,但政府担忧此举会加剧城市热岛效应。近期热浪已迫使法国千余所学校关闭。

CVE-2025-8060 | Tenda AC23 16.03.07.52 httpd /goform/setMacFilterCfg sub_46C940 deviceList stack-based overflow

Vuldb Updates
5 months ago
A vulnerability has been found in Tenda AC23 16.03.07.52 and classified as critical. Affected by this vulnerability is the function sub_46C940 of the file /goform/setMacFilterCfg of the component httpd. The manipulation of the argument deviceList leads to stack-based buffer overflow. This vulnerability is known as CVE-2025-8060. The attack can be launched remotely. Furthermore, there is an exploit available.
vuldb.com

从配置到运行:雷池 WAF 全场景常见问题排查手册(运维必备)

不安全
5 months ago
本文提供了雷池WAF的常见问题解决方案和操作步骤,涵盖服务启停、安装卸载、目录查找、密码管理、部署模式支持(如透明代理/桥接/路由代理仅企业版支持)、防护能力(如HTTP DDoS攻击防护)、系统兼容性(仅支持Linux)、日志配置及错误排查(如端口冲突、证书错误)等内容。文档适用于雷池WAF的使用与维护。

Kingpin of Notorious XSS.is Cybercrime Forum Arrested in Ukraine After Europol-Led Sting

Penetration Testing Tools - Metepreter.org
5 months ago

The Paris Prosecutor’s Office has announced the arrest in Ukraine of an alleged administrator of the Russian-language forum XSS.is, a site long recognized as one of the largest hubs of the cybercriminal underworld. The...

The post Kingpin of Notorious XSS.is Cybercrime Forum Arrested in Ukraine After Europol-Led Sting appeared first on Penetration Testing Tools.

ddos

清洁用品巨头高乐氏起诉承包商,指控后者向黑客泄露了密码

HackerNews
5 months ago
HackerNews 编译,转载请注明出处: 清洁用品巨头高乐氏(Clorox)已起诉其委托运营IT服务热线的承包商高知特(Cognizant),指控后者直接导致了2023年造成数亿美元损失的网络攻击事件。 本周二在加利福尼亚州高等法院提交的诉讼文件显示,为高乐氏提供服务的高知特承包商多次向黑客移交关键登录信息,致使公司系统遭入侵并引发运营瘫痪。高知特作为协助企业实施业务流程技术化的大型专业服务公司,尚未回应置评请求。 高乐氏指控高知特“其失职行为直接引发了2023年8月的网络攻击,并对公司业务运营造成重大破坏”。公司宣称因此遭受3.8亿美元损失,要求高知特承担该赔偿金额及惩罚性损害赔偿。高乐氏指出,其明确规定的密码重置政策屡遭高知特客服人员无视。 “高乐氏将保护企业系统的关键职责托付给高知特——而他们彻底搞砸了,”高乐氏外部法律顾问玛丽·罗斯·亚历山大表示,“高知特不仅玩忽职守,更是将企业网络密钥拱手交给臭名昭著的网络犯罪团伙,公然漠视高乐氏的政策与长期建立的网络安全标准。通话录音完整记录了整个过程,这种行为无可辩驳。” 高知特发言人则将责任归咎于高乐氏,称“像高乐氏这种规模的企业竟拥有如此低效的内部网络安全系统来抵御攻击,令人震惊”。该发言人强调:“高知特仅承担有限的热线服务范畴,且已合理履行义务。我们并未负责高乐氏的网络安全事务。” 诉讼文件中,高乐氏提供了黑客与客服热线的通话记录文本——显示网络犯罪分子曾多次致电要求重置密码,却始终无需身份验证或证明其员工身份。2023年8月,高乐氏因网络攻击被迫关闭系统,并向联邦监管机构报告称业务运营受阻,不得不采取变通方案维持客户产品供应。 该公司遭遇持续数月的运营故障,部分IT基础设施遭破坏导致“大规模瘫痪”。依靠旗下明星清洁产品及Pine Sol、Burt’s Bees等品牌创造数十亿美元收入的高乐氏,在攻击后被迫恢复人工订单处理流程。由于订单处理效率骤降,其产品在零售渠道持续缺货。攻击事件后六个月内,公司出货量减少导致销售额下降6%,同时需斥资聘请咨询机构、IT恢复团队及取证专家进行事件调查与修复。高乐氏声称已投入4900万美元修复损失,并蒙受数亿美元业务损失。最新财报显示,公司近期获得与网络攻击相关的1亿美元保险理赔。 社会工程攻击全流程还原 诉讼文件描绘了高知特员工的重大失职行为(该公司运营高乐氏热线逾十年),同时详述了网络安全专家指出的、犯罪分子日益猖獗的社会工程手段。高乐氏员工通常通过高知特服务台进行密码找回或账户设备重置。公司明确要求服务商“重置凭证前必须严格验证身份”,但2023年8月11日,犯罪分子致电索取网络访问凭证时,“高知特直接交出了权限”。 “录音显示,高知特在未验证身份的情况下,将高乐氏企业网络密钥交给了网络罪犯,”高乐氏律师控诉,“犯罪分子利用当日通过类似通话获取的凭证发动攻击,致使高乐氏企业网络瘫痪、业务运营陷入困境。” 高乐氏透露,其内部服务台经理每周与印孚瑟斯团队管理人员开会强调规则制度。2023年1月,公司更新指引要求客服人员使用身份验证工具MyID;若该工具不可用,则需核实致电者直属经理姓名及账户名。 黑客当时要求重置某员工的Okta账户密码。客服人员虽建议其连接公司虚拟专用网络(VPN),但在黑客声称忘记VPN密码后,该人员直接重置了两套系统密码,“完全违反高乐氏凭证支持流程”。当黑客声称微软多因素认证(MFA)失效时——高乐氏认为这应触发警报——客服却在未验证身份的情况下直接重置了MFA。同日,黑客二次致电要求重复重置微软MFA,该要求再度获准。第三次通话中,黑客再次要求重置Okta凭证,客服仍无任何身份核验即执行操作。黑客进而要求将账户MFA验证手机号变更,客服依旧照办。 “整个过程中,客服从未验证致电者确系该员工本人,也从未遵守高乐氏的凭证支持流程——无论是2023年前旧规还是新规,”公司律师指出,“客服既未向员工及其经理发送密码重置通知邮件,也未执行任何身份核验程序。” 犯罪分子利用重置凭证登录网络窃取信息,进而锁定另一名IT安全部门员工故技重施。通过两次致电,黑客再度获取该员工Okta及微软系统的MFA密码重置权限。此账户使黑客获得高乐氏网络特权访问权限。公司三小时后察觉入侵并试图遏制,但最终被迫全面关闭系统、暂停生产线,转为依赖人工处理订单。 诉讼文件关键部分经编辑处理,高乐氏未确认是否遭受勒索软件攻击。目前尚无网络犯罪组织宣称对此事件负责。       消息来源:therecord; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文
hackernews

Google Launches OSS Rebuild: A New Weapon Against Open-Source Supply Chain Attacks

Penetration Testing Tools - Metepreter.org
5 months ago

Open-source software forms the bedrock of today’s digital infrastructure, powering 77% of all applications and valued at over $12 trillion. Yet its widespread adoption renders it an increasingly attractive target for supply chain attacks,...

The post Google Launches OSS Rebuild: A New Weapon Against Open-Source Supply Chain Attacks appeared first on Penetration Testing Tools.

ddos

Microsoft Confirms China-Backed APTs Actively Exploiting SharePoint Zero-Days (CVE-2025-53770, -53771)

Penetration Testing Tools - Metepreter.org
5 months ago

Microsoft has confirmed that three China-linked threat groups were behind the recent wave of attacks targeting on-premises SharePoint Server installations. According to the company’s report, since early July, the vulnerabilities identified as CVE-2025-53770 and...

The post Microsoft Confirms China-Backed APTs Actively Exploiting SharePoint Zero-Days (CVE-2025-53770, -53771) appeared first on Penetration Testing Tools.

ddos

CVE-2024-35138 | IBM Security Verify Access Appliance up to 10.0.8 cross-site request forgery (EUVD-2024-35550)

Vuldb Updates
5 months ago
A vulnerability, which was classified as problematic, was found in IBM Security Verify Access Appliance and Security Verify Access Container up to 10.0.8. This affects an unknown part. The manipulation leads to cross-site request forgery. This vulnerability is uniquely identified as CVE-2024-35138. It is possible to initiate the attack remotely. There is no exploit available. It is recommended to upgrade the affected component.
vuldb.com

DeerStealer: New Malware Uses Stealthy LNK & LOLBins for Undetectable Data Theft

Penetration Testing Tools - Metepreter.org
5 months ago

A newly uncovered malicious campaign involving the infostealer DeerStealer has been identified by researchers at ANY.RUN. Threat actors are employing a sophisticated tactic—combining Windows shortcut files (LNK) with trusted system utilities known as Living-off-the-Land...

The post DeerStealer: New Malware Uses Stealthy LNK & LOLBins for Undetectable Data Theft appeared first on Penetration Testing Tools.

ddos

Weak Password Destroys 158-Year-Old UK Transport Company: Akira Ransomware Claims 700 Jobs

Penetration Testing Tools - Metepreter.org
5 months ago

In 2023, one of the United Kingdom’s oldest transport companies—established 158 years ago—declared bankruptcy following a devastating ransomware attack. The cyber assault brought the operations of Knights of Old (also known as KNP) to...

The post Weak Password Destroys 158-Year-Old UK Transport Company: Akira Ransomware Claims 700 Jobs appeared first on Penetration Testing Tools.

ddos

Managed ad