一、业界动态
苹果、谷歌、微软和Mozilla禁用哈萨克斯坦的根证书
苹果、谷歌、微软和Mozilla禁用哈萨克斯坦的MitM HTTPS证书。该证书自2020年12月6日开始使用,哈萨克斯坦政府强制安装此根证书以拦截和监视该国首都努尔苏丹居民的HTTPS流量。此禁令发布后,即使用户已安装证书,仍无法访问Chrome、Edge、Mozilla和Safari等浏览器,从而阻止哈萨克斯坦官员拦截用户数据。这是四家厂商第二次禁用哈萨克斯坦政府强制安装的MitM HTTPS证书。
https://www.zdnet.com/article/apple-google-microsoft-and-mozilla-ban-kazakhstans-mitm-https-certificate/
Cisco Talos发布2020年所披露的漏洞的回顾报告
Cisco Talos发布了2020年所披露的漏洞的回顾报告。报告指出,在2020年,Talos总共发布了231份咨询报告,涉及277个CVE,范围包括操作系统、IoT设备、Microsoft Office产品、浏览器和PDF阅读器等。较为重要的是,主要PDF应用程序(包括Adobe PDF、Foxit PDF、NitroPDF和Google PDFium)中存在多个漏洞,Intel、Nvidia和AMD的图形驱动程序中的多个漏洞,Firefox、Chrome和Safari等主要Web浏览器中存在多个漏洞。
https://blog.talosintelligence.com/2020/12/vulnerability-discovery-2020.html
警方逮捕21名购买被盗数据的WeLeakInfo客户
针对WeLeakInfo[.]com用户的网络打击行动中,英国各地逮捕了21人。英国国家犯罪局(NCA)说,这些嫌疑人利用被盗的个人证件实施了进一步的网络犯罪。
https://ask.wandouxueyuan.com/intelligence/5952
SolarWinds前员工披露:公司长期存在漏洞、管理层极不重视安全
近期身处舆论中心的软件公司SolarWinds的前任安全顾问Ian Thornton-Trump表示,他曾警告该公司关注网络安全风险管理并制定了一项改进计划,但最终未能得到应有的重视。根据彭博社报道,在这份长达23页的PPT演示文稿中,Thornton-Trump于2017年就曾向SolarWinds公司高管建议应任命一位网络安全高级总监,并表示“公司的生存,取决于组织内部对安全性的有力承诺。”但就在第二个月,他毅然决定离职,并表示他认为该公司领导层并不愿意做出“有意义”的变革。
https://www.secrss.com/articles/28281
二、关键基础设施
美国关键基础设施大规模感染SolarWinds后门
过去一周,业界对SolarWinds黑客攻击的关注主要集中在美国联邦政府部门,但是根据工控系统安全公司Dragos的最新报告,SolarWinds恶意软件还感染了电气、石油和制造行业的十多个关键基础设施公司,这些公司也都在运行SolarWinds公司的软件。
https://www.secrss.com/articles/28328
三、安全事件
SolarWinds供应链攻击活动中存在新的SUPERNOVA后门
研究人员发现SolarWinds Orion供应链攻击活动中存在新的SUPERNOVA后门,可能来自另一个黑客组织。SUPERNOVA是植入Orion网络和应用程序监视平台代码中的Web shell,攻击者可利用该恶意软件在计算机上运行任意代码。该恶意代码仅包含一种DynamicRun方法,可将参数动态编译到内存中的.NET程序集中,因此不会在受感染设备上留下任何痕迹。经调查,SUPERNOVA没有数字签名,这与最初发现的SunBurst不同,或许属于另一黑客组织。
https://www.zdnet.com/article/a-second-hacking-group-has-targeted-solarwinds-systems/
Nintendo数据泄露,揭示曾雇佣黑客为其工作
Nintendo再次发生严重的数据泄露事件,揭示曾雇佣黑客为其工作。此次泄露的数据仍是首先出现在4chan论坛上,包含与Switch的开发相关的文件,例如Switch早期的设计参数,比如使用1G内存、480P分辨率的摄像头、兼容3DS游戏、可以通过Miracast投屏等。此外,此次泄露还揭示了任天堂曾雇佣知名的3DS黑客为其工作,甚至还制定了一份公关计划,以解决在发现该雇佣关系后如何处理公众反应。
https://www.videogameschronicle.com/news/nintendo-has-reportedly-suffered-another-major-data-leak-now-related-to-switch/
Roanoke大学遭到网络攻击导致开学推迟一个月
美国Roanoke大学遭到网络攻击,导致开学推迟一个月。该校发布声明称,其于12月12日遭受了网络攻击,随后他们关闭了IT系统以阻止攻击的蔓延。尽管该学校没有具体说明他们遭到的攻击的类型,但根据发布的信息,这可能是一次勒索软件攻击。目前,Roanoke表示他们已经将文件恢复到“Z:”和“X:”共享驱动器中,并且没有任何用户数据丢失。
https://www.bleepingcomputer.com/news/security/roanoke-college-delays-spring-semester-after-cyberattack/
越南政府证书颁发机构官方软件被植入后门
网络安全研究人员披露了一种针对越南政府证书颁发机构(VGCA)的新供应链攻击,该攻击破坏了该机构的数字签名工具包,在受害者系统上安装了后门。
https://mp.weixin.qq.com/s/4QA5RCoQ5ZUJM3bLZKMA7g
四、漏洞事件
5G的HTTP/2协议存在可导致拒绝服务等漏洞
Positive Technologies的安全人员称由于核心协议中长期存在的漏洞,导致一些5G网络面临被攻击的风险。这些漏洞存在于HTTP/2协议,例如协议中包含的vulns可被黑客用来冒充任何网络服务,来删除重要的网络功能配置文件。此外,用于建立用户连接的PFCP也存在一些潜在的拒绝服务漏洞等,可切断用户访问互联网的流量并将其重定向到攻击者,从而下行用户数据。
https://www.theregister.com/2020/12/18/5g_security_enisa_positive_technologies/
6月被修复的Windows漏洞仍可被利用,PoC已发布
Google Project Zero发现6月被修复的Windows漏洞仍可被利用,并已发布PoC。该漏洞被追踪为CVE-2020-0986,是Windows内核特权提升漏洞,攻击者可利用任意指针的解引用,来控制“src”和“dest”指针指向memcpy函数。而Microsoft的补丁程序只是更改了指向偏移量的指针,因此函数的参数仍然可以被控制。研究人员已发布了此漏洞的PoC代码以及如何正确运行的说明。
https://www.bleepingcomputer.com/news/security/windows-zero-day-with-bad-patch-gets-new-public-exploit-code/
谷歌公开了尚未完全修复的Windows零日漏洞
谷歌的零项目团队已经公开了Windows后台打印程序API中一个未正确修补的零日安全漏洞的详细信息,这个漏洞可能被攻击者利用来执行任意代码。该漏洞最初被追踪为CVE-2020-0986,涉及GDI打印/打印后台处理程序API(“splwow64.exe”)中的特权提升漏洞,尽管微软最终在其六月补丁周二更新中解决了该漏洞,但谷歌安全团队的最新调查结果显示,该漏洞尚未完全修复。最新报告的特权提升漏洞被跟踪为CVE-2020-17008,预计将于2021年1月12日由微软解决。
https://ask.wandouxueyuan.com/intelligence/5941