普普安全資訊一周概覽(0828-0903)

作者:

時間:
2021-09-03
01


雷蛇被曝0day?

你的鼠標(biāo)和鍵盤可能成為黑客工具


一個Razer Synapse的0day漏洞在Twitter上被披露,該漏洞允許攻擊者僅僅通過插入Razer鼠標(biāo)或鍵盤就能獲得Windows的系統(tǒng)權(quán)限。

當(dāng)把Razer設(shè)備插入Windows 10/11時,操作系統(tǒng)將自動下載并開始在電腦上安裝Razer Synapse軟件。Razer Synapse是一種允許用戶配置他們的硬件設(shè)備、設(shè)置宏,或映射按鈕的軟件。并且,Razer聲稱在全球有超過1億的用戶使用該軟件。

然而,安全研究員jonhat在該軟件的安裝中發(fā)現(xiàn)了一個0day漏洞。該漏洞是一個本地權(quán)限升級(LPE)的漏洞,這意味著攻擊者需要有一個Razer設(shè)備,以及對電腦的物理訪問。但這同樣表示該漏洞很容易被利用,攻擊者只需花20美元購買一個Razer鼠標(biāo),并將其插入Windows 10就可以成為獲取系統(tǒng)權(quán)限。

系統(tǒng)權(quán)限是Windows中的最高用戶權(quán)限,允許在操作系統(tǒng)上執(zhí)行任何命令。從理論上說,如果一個用戶在Windows中獲得了系統(tǒng)權(quán)限,他就可以完全控制系統(tǒng),安裝任何他們想要的東西,包括惡意軟件。


普普點評

軟件安全是網(wǎng)絡(luò)安全的基本防線,據(jù)統(tǒng)計0day漏洞每年以100%速度增長,而且修復(fù)周期極長,極容易成為不法之徒的攻擊目標(biāo)。在軟件開發(fā)過程中加強(qiáng)安全建設(shè),通過靜態(tài)代碼安全檢測等自動化檢測工具,從源頭保證代碼規(guī)范安全,及時發(fā)現(xiàn)運(yùn)行時出現(xiàn)的缺陷,在一定程度上減少因代碼問題產(chǎn)生的缺陷及安全漏洞并進(jìn)行修正,從而為軟件運(yùn)行提供一個安全環(huán)境,也為后續(xù)企業(yè)在維護(hù)網(wǎng)絡(luò)安全方面降低成本。


普普安全資訊一周概覽(0828-0903)
02


UPS官網(wǎng)被網(wǎng)絡(luò)釣魚活動用來分發(fā)惡意軟件


據(jù)國外媒體報道,一個網(wǎng)絡(luò)釣魚活動利用UPS官網(wǎng)的一個XSS漏洞來推送偽裝成發(fā)票文檔的惡意軟件文件,攻擊者假冒UPS發(fā)送釣魚郵件,聲稱包裹出現(xiàn)異常,需要用戶自取,同時提供了一個指向UPS官網(wǎng)的鏈接,極具欺騙性。

這次網(wǎng)絡(luò)釣魚攻擊值得關(guān)注的一點是,攻擊者利用UPS.com中的XSS漏洞將站點的常規(guī)頁面修改為合法的下載頁面。此漏洞允許威脅行為者通過遠(yuǎn)程Cloudflare worker分發(fā)惡意文檔,但使其看起來像是直接從UPS.com下載的。

這個網(wǎng)絡(luò)釣魚活動的手段非常高明,因為訪問URL的用戶會看到一個合法的ups.com URL,提示下載發(fā)票。這種策略可能會導(dǎo)致即使是經(jīng)驗豐富的受害者也會毫不猶豫地打開發(fā)票鏈接,進(jìn)而下載惡意文件。據(jù)了解,該惡意文件名為“invoice_1Z7301XR1412220178”,是偽裝成UPS的運(yùn)輸發(fā)票。

當(dāng)用戶打開這個惡意文檔時,所有文本都將無法讀取,并且文檔會提示用戶“啟用內(nèi)容”以正確查看它。


普普點評

公司企業(yè)應(yīng)努力爭取零點擊。雖然看起來似乎難以達(dá)到,但人類向來會為接近目標(biāo)而自滿:10%的容忍率目標(biāo)往往意味著12%,2%的容忍目標(biāo)最后會變成5%,而在62.5%的點擊后中招率面前,2%的容忍率目標(biāo)依然會將企業(yè)網(wǎng)絡(luò)暴露在不可接受的風(fēng)險之中。假設(shè)不僅釣魚活動是重大數(shù)據(jù)泄露的入口,而是每一次點擊都有可能帶來泄露風(fēng)險,業(yè)界應(yīng)大聲呼吁“零容忍”。可接受風(fēng)險的提法應(yīng)就此終結(jié)。

普普安全資訊一周概覽(0828-0903)
03


個人數(shù)據(jù)在暗網(wǎng)的交易價格是多少?


近年來大規(guī)模數(shù)據(jù)泄露事件層出不窮,海量個人隱私數(shù)據(jù)在暗網(wǎng)上交易,但很少有人知道被泄露數(shù)據(jù)的“行情”和價格。近日,PrivacyAffairs調(diào)查了自2020年以來暗網(wǎng)市場的動態(tài),了解到了一些重點信息。

信用卡信息:余額超過2000美元的被盜銀行帳戶登錄信息,平均價格是120美元;包含CVV號碼等詳細(xì)信息的美國信用卡售價約為17美元;帶有PIN碼的克隆萬事達(dá)卡售價約為25美元;賬戶余額為5000美元的信用卡,詳細(xì)信息的售價為240美元。加密貨幣賬戶:一個被黑的經(jīng)過驗證的Coinbase帳戶可以賣到610美元或更多;而經(jīng)過驗證的Kraken帳戶可以賣到810美元;Cex.io驗證賬戶的平均售價為710美元。偽造的實物文件:荷蘭、波蘭和法國護(hù)照的平均售價為4000美元。馬耳他護(hù)照在暗網(wǎng)上的售價高達(dá)6000美元。

Privacy Affairs發(fā)現(xiàn),2021年的個人數(shù)據(jù)銷售量遠(yuǎn)高于去年,假信用卡和ID供應(yīng)商報告的銷售量有數(shù)千起,而且價格相比2020年普遍上漲。除了數(shù)量之外,在暗網(wǎng)可供購買的商品種類也有所增加。


普普點評

信息化是當(dāng)今時代發(fā)展的大趨勢,代表著先進(jìn)生產(chǎn)力,但隨之而來的是信息的泄露與濫用。在高度信息化的社會,無論是企業(yè)還是個人都應(yīng)當(dāng)樹立信息安全意識,在日常工作生活中通過清理遺留信息、拒絕訪問未知網(wǎng)絡(luò)等手段,盡可能減少信息泄露的機(jī)會。一個不經(jīng)意的行為都可能造成個人信息的泄露,與其處理泄露信息后的各種麻煩,不如現(xiàn)在開始從源頭做起保護(hù)好自己的個人信息。

普普安全資訊一周概覽(0828-0903)
04


網(wǎng)絡(luò)威脅情報團(tuán)隊的新使命


網(wǎng)絡(luò)威脅情報(CTI)是當(dāng)下發(fā)展最快的網(wǎng)絡(luò)安全細(xì)分領(lǐng)域之一,不僅技術(shù)和產(chǎn)品在不斷更新和演進(jìn),方法論和理念也在迅速發(fā)展。

過去幾年,無論安全組織是否有專職人員,CTI一直被視為安全組織內(nèi)的獨(dú)立支柱,它生成關(guān)于組織的各種威脅的報告。如今,CTI已經(jīng)由一個獨(dú)立支柱逐漸進(jìn)化為中心樞紐,為安全組織中的所有職能提供威脅相關(guān)的知識和優(yōu)先級信息。值得注意的是:這種變化需要思維方式和方法的轉(zhuǎn)變。

威脅情報方法的最新發(fā)展正在顛覆傳統(tǒng)的概念。威脅情報不再是一個獨(dú)立的支柱,而是應(yīng)該在每個安全設(shè)備、流程和決策事件中吸收和考慮的東西。因此,威脅情報從業(yè)者的任務(wù)不再是簡單地創(chuàng)建“威脅報告”,而是確保安全組織的每個部分都有效地利用威脅情報作為其日常檢測、響應(yīng)任務(wù)的一部分,并進(jìn)行全面的風(fēng)險管理。

CTI 從業(yè)者的新使命是針對安全組織中的每個職能定制威脅情報,并使其成為該職能運(yùn)營不可或缺的一部分。同時,他們還要學(xué)習(xí)新的軟技能,以確保能夠與安全組織中的其他職能部門協(xié)作。


普普點評

CTI從業(yè)者可以訪問各種來源,使他們能夠監(jiān)控網(wǎng)絡(luò)安全領(lǐng)域、其特定行業(yè)或公司持有的數(shù)據(jù)中的趨勢。與“傳統(tǒng)”情報一樣,知識共享也可以成為網(wǎng)絡(luò)情報的主要力量倍增器。雖然不斷發(fā)展的CTI模型使威脅情報實施變得更加復(fù)雜,因為包括了與不同功能的協(xié)作,但這種進(jìn)化也使威脅情報比以往任何時候都更有價值和影響更大。網(wǎng)絡(luò)威脅情報正在迎來黃金時代。

普普安全資訊一周概覽(0828-0903)
05


德國醫(yī)療巨頭輸液泵存在安全漏洞 邁克菲發(fā)布研究報告


B.Braun是德國一家全球領(lǐng)先的醫(yī)用耗材公司,生產(chǎn)基地遍布世界各地。近日,網(wǎng)絡(luò)安全公司邁克菲McAfee高級威脅研究小組披露了這家醫(yī)療設(shè)備巨頭制造的輸液泵中的5個安全漏洞,這些漏洞曾將全世界的患者置于一個危險的境地。

輸液泵是在逐步普及的一種醫(yī)療裝置,較之人工輸液要更穩(wěn)定、更便利,常用于需要嚴(yán)格控制輸液速度和藥物劑量的場景,全球范圍內(nèi)有超過2億次的靜脈輸液在使用B.Braun提供的存在漏洞的輸液泵。

通過利用這些漏洞,攻擊者可以更改輸液泵的配置方式,如輸液速度、藥物劑量,嚴(yán)重威脅到患者的生命安全。這些漏洞很可能會成為攻擊者的勒索工具,在患者的生命安全面前,醫(yī)院往往會屈服于勒索支付給攻擊者高額贖金。

之所以會使這種事態(tài)成為可能,是因為輸液泵的操作系統(tǒng)不檢查是從何處獲得命令或者是誰向它發(fā)送了數(shù)據(jù),從而給了攻擊者發(fā)起遠(yuǎn)程攻擊的操作空間。使用未經(jīng)授權(quán)和未加密的協(xié)議也為攻擊者提供了多種途徑來訪問輸液泵的內(nèi)部系統(tǒng)。


普普點評

這并不是首例關(guān)于輸液泵的安全事件,此前安全研究人員已經(jīng)發(fā)現(xiàn)了多個公司的輸液泵的安全漏洞。另一方面,修補(bǔ)漏洞并不意味著事件已經(jīng)得到解決,很多醫(yī)院經(jīng)常使用過時的設(shè)備和軟件。據(jù)安全研究人員稱,多年來,醫(yī)療行業(yè)在安全領(lǐng)域嚴(yán)重落后于其他行業(yè)。信息化進(jìn)程的發(fā)展不是針對某些行業(yè)的,而是整個社會。危機(jī)總是和新事物同時出現(xiàn),未來每個行業(yè)的信息化發(fā)展都離不開信息安全。

普普安全資訊一周概覽(0828-0903)
06


40%的SaaS資產(chǎn)面臨數(shù)據(jù)泄露風(fēng)險


DoControl最近發(fā)布的報告顯示,當(dāng)今企業(yè)中存在大量無法管理的數(shù)據(jù)導(dǎo)致外部和內(nèi)部威脅數(shù)量不斷增加,尤其是大量SaaS數(shù)據(jù)暴露。所有SaaS資產(chǎn)中,有40%無人管理,作為公共數(shù)據(jù)可供內(nèi)部和外部訪問。

SaaS數(shù)據(jù)暴露使公司面臨風(fēng)險:

據(jù)Gartner稱,從2019年到2022年,全球SaaS收入將增長近38%,超過1400億美元。盡管基于云的應(yīng)用程序極大地提高了整個企業(yè)的效率和生產(chǎn)力,但CIO和CISO往往低估了一個重大威脅——SaaS提供商未經(jīng)檢查和不受管理的數(shù)據(jù)訪問。

隨著SaaS應(yīng)用程序的日益普及,這種威脅呈指數(shù)級增長,使企業(yè)面臨更大的數(shù)據(jù)泄露風(fēng)險。作為基準(zhǔn),人員規(guī)模平均1,000人的公司在SaaS應(yīng)用程序中存儲50萬到1000萬個資產(chǎn)。允許公開共享的公司資產(chǎn)多達(dá)20萬項。

報告指出:“過去一年,疫情迫使許多企業(yè)與更多第三方合作,并調(diào)整其現(xiàn)有員工隊伍以支持遠(yuǎn)程協(xié)作。迄今為止,安全從業(yè)者專注于以安全的方式啟用SaaS訪問,現(xiàn)在是他們優(yōu)先考慮內(nèi)部和外部數(shù)據(jù)訪問相關(guān)性的時候了?!?/p>


普普點評

無法管理的數(shù)據(jù)訪問會帶來重大風(fēng)險并增加數(shù)據(jù)泄露的可能性,雖然 SaaS 應(yīng)用旨在促進(jìn)協(xié)作,但在這個不斷增長的攻擊面中,安全團(tuán)隊必須注意大規(guī)模的持續(xù)數(shù)據(jù)訪問。如何取得便利性和安全性的平衡,是關(guān)系到未來SaaS發(fā)展的核心問題,目前可通過單租戶私有云架構(gòu)、網(wǎng)絡(luò)傳輸加密、雙因身份驗證、數(shù)據(jù)訪問控制及算法加密等手段在一定程度上保證用戶的數(shù)據(jù)安全。

普普安全資訊一周概覽(0828-0903)
07


企業(yè)安全漏洞管理失敗的三大頑疾


新型冠狀病毒給網(wǎng)絡(luò)安全專業(yè)人員帶來了巨大工作壓力。隨著網(wǎng)絡(luò)安全預(yù)算緊張、遠(yuǎn)程辦公的常態(tài)化,越來越復(fù)雜的威脅形勢已經(jīng)給漏洞管理提出了更加嚴(yán)峻的挑戰(zhàn)。

漏洞管理,絕不僅是掃描企業(yè)網(wǎng)絡(luò)是否存在威脅這么簡單。漏洞管理的整體方法包括識別、報告、評估和確定暴露的優(yōu)先級。至關(guān)重要的是,它還涉及風(fēng)險管理背景。漏洞管理的綜合方法不僅是掃描安全漏洞,還包括展示攻擊者如何利用這些漏洞以及可能發(fā)生的后果。研究發(fā)現(xiàn),企業(yè)安全漏洞管理工作失敗主要有三大原因:

一、管理無序,未進(jìn)行威脅優(yōu)先級排序

無法對威脅進(jìn)行正確優(yōu)先級排序是企業(yè)目前在漏洞管理環(huán)境中面臨的最嚴(yán)重的問題之一。

二、不能堅持,缺乏連續(xù)性管理計劃

有效的漏洞管理計劃應(yīng)該是持續(xù)的,而不是偶發(fā)的。

三、溝通不暢,管理團(tuán)隊架構(gòu)不清晰

當(dāng)安全團(tuán)隊沒有明確的溝通渠道和正確的組織結(jié)構(gòu)時,一般都會出現(xiàn)問題。團(tuán)隊成員經(jīng)常沒有明確的角色,他們不了解自己在整體漏洞管理框架中的職責(zé)。


普普點評

數(shù)據(jù)泄露數(shù)量逐年增加,一次數(shù)據(jù)泄露就可能導(dǎo)致嚴(yán)重的聲譽(yù)和財務(wù)損失,甚至企業(yè)關(guān)門倒閉。漏洞管理已經(jīng)不再只是IT支出的一個分支,它應(yīng)該是一個關(guān)鍵的業(yè)務(wù)目標(biāo)。為了實現(xiàn)高效漏洞管理,企業(yè)必須意識到漏洞管理應(yīng)該是一個持續(xù)的、多階段的過程。當(dāng)然,在IT部門內(nèi)部,也應(yīng)該刮骨療毒,徹底解決困擾漏洞管理效率的三大頑疾。