1 研究者发现垃圾邮件活动传播勒索软件criakl
研究人员Anyrun近日收到了2封不同的恶意电子邮件,其中均包含勒索软件criakl。Criakl在2014年出现,是一个针对英国进行过攻击但不算活跃的勒索软件。恶意电子邮件均通过SPF和DKIM认证,其中一个包含.doc文档的zip附件,另一个包含.exe文件的rar附件,用户启用word中恶意宏文档后,将从远程站点下载与rar附件中相同的.exe文件,然后执行嵌入的OLE对象,释放勒索软件criakl,加密并重命名受害者计算机文件包括自己的释放器,同时显示赎金文本。勒索软件显示内容使用不标准的英语编写,只感染Windows系统的计算机。
https://myonlinesecurity.co.uk/n ... bly-criakl-version/
2 新版本的FilesLocker勒索病毒感染国内用户
FilesLocker勒索病毒在2018年10月出现,在网上大量招募传播代理,随后在国内开始有部分传播。近期安全团队监测发现FilesLocker勒索病毒已升级到2.0版,且国内已有政府机关、企事业单位遭遇该病毒攻击。经分析,仅在满足特定条件时(病毒加密后程序未退出),被加密破坏的文件有可能恢复。若电脑已重启,或进行杀毒或手工关闭病毒程序的操作,将不能通过查找内存中的密钥来尝试恢复文件。FilesLocker病毒由于使用了RSA+AES的加密方式,且文件加密密钥使用强随机生成,理论上拿不到病毒作者手中RSA私钥情况下无法解密。但病毒由于采取使用了自身弹窗形式来告知受害者勒索信息,如果加密文件完成后病毒进程没有退出,可以在内存中查找密钥尝试解密。新版本的勒索赎金有所降低,从1.0版本时的0.18比特币降低到了2.0版本勒索0.15比特币(约3800元人民币)。
https://mp.weixin.qq.com/s?__biz ... 62440d18d&chksm
3 WibuKey DRM系统中存在远程代码执行漏洞
WibuKey数字版权管理(DRM)解决方案系统中存在三个漏洞,可允许攻击者窃取信息、提升权限和代码执行。WibuKey采用”加密狗“技术,用于对软件与数据的加密,防止知识产权被非法使用。WibuKey适用于多种接口和操作系统,全球有超过3,000家公司使用该解决方案。第一个漏洞为CVE-2018-3991,源于WkbProgramLow功能中的堆溢出,攻击者可使用特制的TCP软件包触发漏洞,实现远程内核级代码执行。第二个漏洞为CVE-2018-3989,存在IOCTL处理程序功能中,攻击者可利用特制的IRP请求,泄露内核内存。第三个漏洞为CVE-2018-3990,是IOCTL处理程序功能中的池损坏漏洞,攻击者可使用特制的IRP请求,损坏内核内存损坏。目前该公司已发布补丁修复以上漏洞。
https://www.securityweek.com/vul ... lead-code-execution
4 Twinkly IoT灯饰存在缺陷可被黑客远程控制
MWR InfoSecurity的安全研究人员发现Twinkly IoT灯饰中存在缺陷,可以允许攻击者实现远程自定义灯光效果并关闭。研究人员发现智能灯饰被移动应用程序控制的通信过程中未加密,这将允许攻击者进行中间人攻击。应用程序通过向端口5555运行UDP广播识别智能灯,接受IP地址和设备名称后进行身份验证,然后接收身份验证令牌并检索有关设备的信息。研究人员发现在固件更新的过程中,不需要使用签名来检查所接收文件的真实性,这将允许攻击者通过本地网络向设备安装任意固件,而无需任何真正的认证或授权,从而可以直接获得任意代码执行能力。攻击者还可以使用DNS绑定技术,诱骗用户点击错误链接,通过创建的恶意网站,枚举本地网络上的所有设备。
https://www.bleepingcomputer.com ... r-fun-and-mischief/
5 圣约翰市停车支付系统遭黑客入侵窃取数据
加拿大圣约翰市停车支付系统因第三方的软件漏洞遭到黑客入侵,暴露了客户信息,包括姓名、地址和可能暴露的信用卡信息。市长Don Darling表示,该未知漏洞存在该市所使用服务提供商CentralSquare Technologies的第三方软件产品Click2Gov中,并且该软件可能影响了整个北美的部分城市。当得知数据泄露事件发生后,该市立即关闭了该系统,目前正在努力解决该问题。
https://www.cbc.ca/news/canada/n ... ta-breach-1.4957310
6 社交网络Blind未保护的数据库暴露用户信息
名为Mossab H的安全研究人员发现社交网络平台Blind没有受到保护的数据库服务器,暴露了用户的账户信息,主要影响科技公司的高级管理人员,泄露信息包括所属公司的电子邮箱地址。Blind是一个职场社交网络平台,允许不同公司的员工匿名讨论敏感话题。数据库包括用户的帖子、私人评论以及通过过时的MD5算法存储的密码,Mossab h表示使用易于访问的工具解密该数据库中许多密码,并找到一些以明文形式存储的电子邮件地址,但未与用户相关联。Blind表示只有在11月1日到12月19日之间注册或登录的用户才会受到影响,估计约占10%的用户群。目前已将有问题的数据已转移到测试环境中,会在事后进行删除或加密。目前还没有发现数据库滥用的证据,将及时通知受影响用户。
https://www.engadget.com/2018/12/21/blind-left-user-data-exposed/
|