其他分享
首页 > 其他分享> > 2020年安全简报(1月)

2020年安全简报(1月)

作者:互联网

一、Facebook 泄露或漏洞主页管理员信息

Facebook于上周解决了一个安全漏洞,该漏洞暴露了主页管理员的帐户,并且被黑客利用于向若干个名人的主页发动在野攻击。主页管理员的帐户是匿名的,除非页面所有者选择公开,但该漏洞泄露了管理员的帐户信息。
Facebook的“查看编辑历史”允许主页管理员查看所有相关的活动,包括修改过帖子的用户的用户名。黑客可能根据这个漏洞泄露修改者以及管理员的账号,并严重影响隐私。在安全研究员警告后,Facebook迅速解决了该问题。
遭到攻击的包括:Donald Trump总统,街头艺术家Banksy,俄罗斯总统Vladimir Putin,前美国国务卿Hillary Clinton,加拿大总理Justin Trudeau,黑客组织匿名人士,气候活动家Greta Thunberg,以及说唱歌手Snoop Dogg等。

二、微软补丁星期二将修复严重安全漏洞 Windows 7 或无缘获得

2020年1月的补丁星期二活动中,微软可能已准备好修复存在于Windows系统中的严重加密漏洞,而该漏洞能够让恶意程序伪装成为受信任的组件欺骗用户进行安装感染。而今天也正式停止了对Windows 7系统提供安全支持,也就是说可能不会修复该系统出现的漏洞。

三、美国五家电信企业易受SIM 卡交换攻击

普林斯顿大学昨日发表的一项学术研究指出,美国五家主要的预付费无线运营商,极易受到 SIM 卡劫持攻击。其特指攻击者致电移动服务提供商,诱使电信企业员工将电话号码更改为攻击者控制的 SIM 卡,使之能够重置密码并访问敏感的在线账户,比如电子邮件收件箱、网银门户、甚至加密货币交易系统。
其核心攻击手段是通过欺骗呼叫中心客服人员,在不提供正确身份认证的情形下,把用户电话号码变更为另一张SIM卡。研究团队指出,AT&T、T-Mobile、Tracfone、US Mobile 和 Verizon Wireless 均被发现在其客户支持中心中使用了易受攻击的程序,导致攻击者可借此发起 SIM 卡交换攻击。
此外,研究团队分析了 140 个线上服务和网站,发现有 17 个易被攻击者利用 SIM 卡交换攻击来劫持用户的账户。
为开展研究,团队先是创建了 50 个预付费账户(每运营商 10 个),并在唯一对应的电话上展开真实的通话。一段时间后,研究团队开始向各个电信企业的客服中心致电,并提出类似的请求。
其想法是攻击者会致电电信企业的支持中心,以求更换 SIM 卡,但故意提供了错误的 PIN 码和账户所有者的详细信息。当在出生日期或账单邮递区号之类的隐私问题上提供不正确的答案时,研究助理会辩解称其在注册时过于粗心,导致提供了错误的信息,且一时难以回想起来。此时,在前两种身份验证机制都失败后,电信企业会切换到第三套方案 —— 要求提供最近的两次通话记录。在复杂的攻击流程中,攻击者可能诱骗受害者拨打特定的电话号码,因而运营商的防线很容易被攻破。研究人员表示,借助这套方案,他们成功地骗过了所有五家美国预付费无线运营商。
在这里插入图片描述

四、超 10 亿张患者医学图像被泄漏却始终没引起医疗机构的重视

每天数以万计包含患者个人健康信息的医学图像都会涌入到互联网上,表明很多医院、医疗工作室和影像中心的存储系统不安全,造成全球超过10亿例患者的医学图像泄漏到互联网上。
在所有曝光的图像(包括X射线,超声波和CT扫描)中,约有一半属于美国患者。尽管安全研究人员就该问题向医院和医生办公室发出多次警告,但依然没有引起重视,用户个人健康信息继被暴露在互联网上。
德国安全公司Greenbone Networks的研究工作的Dirk Schrader表示:“这种情况每天都在恶化。”该公司过去1年都在监控泄漏服务器的数量。去年9月份,Greenbone已经发现了有超过2400万例患者的7.2亿张医学图像在网络上被曝光。然而两个月之后,暴露的服务器数量增加了一半以上,达到3500万例患者检查,暴露了11.9亿次扫描,这严重侵犯了患者的隐私。
不过问题几乎没有减弱的痕迹。Schrader表示:“即时我们已经向多家医疗机构发出了反馈,但是暴露的数据依然在不断增加。如果医院和医生还不采取相应的行动,那么曝光的医学图像数量很快将会刷新记录。”
公开资料表明,PACS 系统是应用于医院影像科室,主要任务是把日常产生的各种医学影像(包括核磁、CT、各种 X 光机等设备产生的图像)通过各种接口(模拟、DICOM、网络)以数字化的方式海量保存起来。当需要时,在一定授权下,可以快速调回,同时增加一些辅助诊断管理功能。这些 PACS 系统使用医学数字成像和通信 (DICOM)标准来管理医学成像数据。
在暴露的信息中,大多包括一下信息内容:姓名、出生日期、检查日期、成像程序类型、主治医师、医院/诊所、生成图像数量。攻击者可以利用这些信息进行有针对性的社工和钓鱼,从中获利。

五、科威特国家新闻社Twitter 账号遭黑客攻击

据外媒The Verge报道,科威特国家新闻社(KUNA)周三表示,其Twitter帐户遭到黑客攻击,并被用来散布有关美军撤出该国的虚假信息。据路透社报道,现已删除的报告指出,科威特国防部长已收到美国的一封信,信中称驻科威特美军将在三天内离开该国。
在这里插入图片描述

该新闻社在后续的推文中说,其“绝对否认”在其社交媒体账户上发布的报道,科威特新闻部正在调查这一问题。在伊朗将军苏莱曼尼被杀之后,有消息称美国发出了一封信,暗示该国将撤离伊拉克,但随后五角大楼官员迅速澄清该文件是错误发送的草稿信件。目前尚不清楚谁是制造这起黑客入侵事件的罪魁祸首。

六、Sodinokibi 攻击了加州IT服务提供商Synoptek并获得赎金

Synoptek 是一家总部位于美国加利福尼亚州的IT管理和云托管服务提供商,其在前段时间遭遇了Sodinokibi勒索软件攻击,并向其支付了赎金以解密其文件。

最近几周,Sodinokibi 勒索软件在美国的攻击行动异常活跃,去年12月,美国主要数据中心提供商之一CyrusOne也遭到了该勒索软件的打击。

Synoptek 拥有的客户超过1100个,包括地方政府,金融服务,医疗保健,制造业,媒体,零售和软件。

感染时间发生在12月23日,黑客首先入侵了公司网络,然后安装了勒索软件。

该公司证实了此次攻击,但没有说明是否会向黑客支付赎金。

“12月23日发生了勒索事件,但我们对此采取了应对措施。” Synoptek在周五美国东部时间下午6点之前在推文中写道,“我们立即采取了行动,并正在与客户一起努力解决这个问题。”

Synoptek首席执行官蒂姆·布里特(Tim Britt)在一封电子邮件中告诉 CRN,此次攻击仅影响到了Synoptek的部分客户。Britt 称其员工在26号圣诞假期结束之前已经解决了大多数客户的问题。

Sodiniokibi团伙似乎专注于针对美国IT提供商。该恶意软件于2019年8月感染了PercSoft公司,并于12月感染了Complete Technology
Solutions的系统。

七、Facebook 向 Cambridge Analytica 泄露用户信息,被巴西政府罚款 165 万美元

巴西因Facebook与 Cambridge Analytica 共享用户数据而对Facebook罚款165万美元。

检察官称,Facebook允许应用程序“ This is Your Digital Life”的开发人员访问巴西443,000位用户的数据。

“ This is Your Digital
Life ” 应用发布于2014年 ,由Global Science Research(GSR)研发。该应用向用户提供1或2美元以进行在线调查,并请求访问该用户的个人资料信息。超过270,000个用户同意进行授权,这使得该应用可以使用这些信息进行学术研究。

丑闻遭到曝光之后,Facebook“暂停”了与Cambridge Analytica(CA)及其控股公司的所有业务。

巴西当局还开始调查隐私丑闻,以确定其公民的参与。

周一,巴西代表表示,“没有证据表明巴西的用户数据已转移到Cambridge Analytica”。

Facebook的发言人说:“我们已经更改了平台,并限制了应用程序开发人员可以访问的信息。”

巴西司法部指出,这家社交网络巨头未能充分告知其用户“默认隐私设置的后果”。Facebook对于隐私设置对访问“朋友和朋友的数据”可能产生的后果并不透明。”

Facebook可以在10天之内对该决定提出上诉,并且可以在一个月内支付罚款。

2019年7月,美国联邦贸易委员会(FTC)批准了与Cambridge Analytica丑闻有关的Facebook创纪录的50亿美元和解协议。

2019年7月,意大利数据保护监管机构因违反隐私法,对Facebook 处以 100万欧元(110万美元)的罚款。

2018年10月,英国信息专员办公室(ICO) 因为同样的原因对Facebook 罚款 500,000英镑。

八、NSA 发现 Win10 漏洞 影响全球数十亿用户

继Adobe 星期二发布2020年第一个补丁程序软件更新后,微软也发布了一月份安全公告,警告数十亿用户有49个漏洞需要更新。周二发布的补丁程序的特别之处在于它更新修复了一个由美国国家安全局(NSA)发现的被广泛应用于windows10、Server 2016和2019版本中的一个核心组件。

CVE-2020-0601: Windows CryptoAPI欺诈漏洞

根据微软发布的官方公告:这个被称为“’NSACrypt”并定义为CVE-2020-0601的漏洞存在于Crypt32.dll模块中,该模块被包含在windows API系统,会对数据进行加密以及对各种“通行证和加密信息传递”进行解密处理。

但问题在于Crypt32.dll模块主要采用椭圆曲线加密(ECC)方式(该加密形式主要在SSL/TLS证书中使用),而椭圆曲线加密是目前公钥加密行业的标准。NSA在发布的新闻稿中对此现象解释到:攻击者通过通行证会破坏windows的加密验证方式,实现远程代码的执行。

攻击者通过滥用漏洞会破坏的验证方式有:

  1.  HTTPS连接
    
  2.  签名文件和电子邮件
    
  3.  用户模式进下启动可执行签名代码
    

尽管该漏洞的技术细节尚未公开,但微软证实:若攻击者成功利用漏洞,会在用户不知情的情况下仿冒用户数字签名,进行恶意软件程序安装,也可以仿冒用户安装任何合法软件。此外,CryptoAPI中的漏洞还可能使远程攻击者更容易冒充网站或对受影响软件上的信息进行解密。

国家安全局表示:“此漏洞是我们与安全社区研究合作的一个例子,为确保用户安全,在此之前一个漏洞已被私下披露进行发布更新,若我们不对漏洞进行修复,其后果会很严重。

除了威胁等级被评为“重要”的Windows CryptoAPI欺诈漏洞之外,微软还修补了48个其他漏洞,其中8个是核心漏洞,其余40个都是重要漏洞。目前对于此种漏洞没有彻底的解决办法,建议用户可通过点击“窗口设置→更新和安全→窗口更新→单击“检查电脑上的更新”来安装最新的软件更新。

Windows系统中的其他重要的RCE漏洞

其中两个是会影响windows远程网关的CVE-2020-0609和CVE-2020-0610,未经身份验证的攻击者可以利用这些网关通过RDP请求在目标系统上执行恶意代码。

“此漏洞采用的是身份预先认证,不需要用户进行交互认证。成功利用此漏洞,攻击者可以在目标系统上执行任意代码,”windows顾问说。而CVE-2020-0611远程桌面客户端中的一个关键问题是它可能会导致反向RDP攻击,恶意服务器可以在连接客户端的计算机上执行任意代码。

“要利用这一漏洞,攻击者需要控制服务器,然后说服用户连接到它,而攻击者还可能危及合法服务器,在其上托管恶意代码,并等待用户连接”微软顾问说到。

幸运的是,微软本月修复的漏洞并未发现被公开披露或任意利用。

九、ThinkPHP6 任意文件操作漏洞

2020年1月10日,ThinkPHP团队发布一个补丁更新,修复了一处由不安全的SessionId导致的任意文件操作漏洞。该漏洞允许攻击者在目标环境启用session的条件下创建任意文件以及删除任意文件,在特定情况下还可以getshell。

具体受影响版本为ThinkPHP6.0.0-6.0.1。

漏洞可利用的场景:
1.在目标环境为Windows且开启session的情况下,容易遭受任意文件删除攻击。
2.在目标环境开启session且写入的session可控的情况下,容易遭受任意文件写入攻击。

安全建议:相关用户及时升级到ThinkPHP6.0.2版本,以免遭受攻击。

标签:漏洞,攻击,简报,用户,安全,Facebook,攻击者,2020
来源: https://blog.csdn.net/Jone_Dom/article/details/112780435