網絡安全頭條
1、消滅0Day?Google Project Zero呼吁Android加快修復漏洞
Google Project Zero安全團隊想要消滅0day,它采用的一種方法是公開督促企業加快修復漏洞,其中包括Google 自己。
在最新的官方博客中,它批評了Android和Pixel團隊。今年6月,Project Zero研究員Maddie Stone報告了一個位于ARM GPU驅動中正被利用的提權漏洞,另一位研究員Jann Horn接下來三周在驅動中發現了多個相關漏洞,這些漏洞允許攻擊者獲得系統的完整訪問權限,繞過Android的權限模型。他們向ARM報告了漏洞,ARM在7月和8月修復了漏洞并公布相關源代碼,然而Android至今沒有給用戶打上補丁。這一次掉鏈子的是Google和Android OEM。高通使用了自己的GPU,但Google的Tensor SoC使用了ARM GPU,三星和聯發科也都使用了ARM GPU,這意味著受影響的設備數量多達數百萬部。Google接受采訪時表示它正在測試補丁,將會在未來幾周釋出。
2、宏碁電腦存在驅動程序漏洞啟動過程中可部署惡意軟件
近日,Acer發布安全公告,修復了某些Acer筆記本電腦型號中的一個安全繞過漏洞(CVE-2022-4020),該漏洞的CVSSv3評分為8.1。
該漏洞存在于某些Acer筆記本設備上的HQSwSmiDxe DXE 驅動程序中,可能導致高權限惡意用戶通過修改BootOrderSecureBootDisable NVRAM變量來修改/禁用UEFI安全啟動設置,實現劫持操作系統加載過程并加載未簽名的引導加載程序以繞過或禁用保護,并使用系統權限部署惡意Payload等。
目前該漏洞已經修復,受影響用戶可將BIOS 更新到最新版本以修復此漏洞。
3、安全團隊發現Crysis勒索軟件變種Wiki在韓國活動
AhnLab于11月25日披露了勒索軟件Wiki在韓國的活動。
該勒索軟件已被確定為Crysis的變種,偽裝成正常程序。在執行實際加密之前,Wiki將自己復制到%AppData%或%windir% system32路徑,并添加到注冊表中注冊為啟動程序之一。此外,它還會解碼要在內存中終止的與數據庫相關的服務和進程名稱,并查找當前正在運行的服務和進程并終止它們。由于Crysis類型的勒索軟件通常通過RDP分發,研究人員建議注意RDP連接環境。
4、北約舉行年度“網絡聯盟”演習
北約28日起舉行一年一度的”網絡聯盟”演習(Cyber Coalition),芬蘭、瑞典、日本等國以”北約伙伴國”身份派人參加。
據北約當日發布的公告,此次”網絡聯盟”演習為期5天,至12月2日結束;北約26個成員國、6個伙伴國(芬蘭、瑞典、愛爾蘭、瑞士、日本、格魯吉亞)以及歐盟共派出約1000人參加,另有業界和學術界人士。
公告稱演習在愛沙尼亞首都塔林舉行,參演國家首都和其它地點會有人遠程連線;演習期間主要演練如何應對現實網絡挑戰,如針對電網、項目、北約及成員國資產的網絡攻擊等,意在提高北約網絡防御和網絡空間”共同作戰”能力。
作為北約機制性網絡演習,”網絡聯盟”演習自2008年開始舉行,具有測試性、實戰性等特點,與具有培訓性、對抗性等特點的”鎖盾”演習(Locked Shields)互為補充,并稱北約兩大網絡演習。
目前網絡空間與陸海空和太空一道,已成北約作戰領域,網絡攻擊亦可觸發北約”集體防御”,為此北約專門成立網絡空間行動中心,部署全天候待命的”網絡防御快速反應團隊”。
北約28日的公告稱,網絡防御現為北約”集體防御”核心任務之一;在今年6月召開的北約馬德里峰會上,北約成員國承諾進一步增強網絡防御能力,深化與業界及歐盟等主要利益相關方的合作
5、安全專家披露亞馬遜網絡服務AWS AppSync漏洞
日前,Amazon Web Services (AWS) 修復了一個跨租戶漏洞,該漏洞可能允許攻擊者獲得對資源的未授權訪問。
亞馬遜網絡服務 (AWS) 解決了其平臺中的跨租戶混淆代理問題,該問題可能允許威脅行為者獲得對資源的未授權訪問。Datadog 的研究人員于 2022年9月1日向公司報告了該問題,并于9月6日修復了該漏洞。
當無權執行某項操作的實體可以強制具有更高權限的實體執行該操作時,就會出現混淆代理問題。如果所有者向第三方(稱為 跨賬戶)或其他 AWS 服務(稱為 跨服務)提供對您賬戶中資源的訪問權限,AWS 會提供工具來保護賬戶。
亞馬遜調查了在野外攻擊中對該問題的潛在利用,并確定沒有客戶受到影響。
6、Group-IB研究顯示:世界杯球迷正在遭遇網絡詐騙浪潮
網絡安全公司Group-IB收集的數據顯示,隨著卡塔爾世界杯進入第二周,國際足聯世界杯的詐騙活動正在激增。
研究人員已經確認了多達90個可能被入侵的Hayya賬戶。Hayya是世界杯觀眾進入卡塔爾、購買門票和交通等其他服務的強制系統。他們還在谷歌Play Store中發現了大約40個虛假應用程序,承諾可以獲得門票,以及至少5個自稱是求職申請表的網站,用于獲取個人信息。該公司與國際刑警組織分享了調查結果,并與卡塔爾計算機應急響應小組達成合作。
