每日安全简讯(20190812）

1 攻击者使用企业云存储托管网络钓鱼页面

Proofpoint研究人员在7月下旬观察到网络钓鱼活动，其钓鱼页面托管在亚马逊公共云存储(S3)中，针对使用DocuSign品牌和电子邮件交易格式的不同组织中的特定个人。钓鱼邮件盗用DocuSign品牌模板，仿冒通过DocuSign共享的诱饵文档。登录页面托管在Amazon S3上，源码包含JavaScript编码，解码后，其包含密文和字符串，解码后，看到另一种更典型的JavaScript unescape编码。该编码包含的四部分使用多字节XOR编码，解码将看到原始HTML，也就是网络钓鱼代码。钓鱼网站的域目前具有来自“Let's Encrypt”的TLS证书。


https://www.proofpoint.com/us/th ... e-cloud-storage-aws

---

2 新网络钓鱼攻击冒充马耳他瓦莱塔银行

Bitdefender的研究人员最近发现了一种IDN（国际化域名）同形异字网络钓鱼攻击，其冒充马耳他瓦莱塔银行，并且使用有效的TLS证书生成信任。用户进入冒充瓦莱塔银行网络钓鱼网站一段时间后，系统会向用户显示一个Microsoft对话框，询问用户名和密码以访问受限区域，以获取用户凭据。当用户点击访问其它内容，就会显示“正在进行测试...”的消息，阻止用户访问除钓鱼主页上显示的内容外的任何其它内容。该网络钓鱼域还带有由Let's Encrypt颁发的有效数字证书。


https://labs.bitdefender.com/201 ... id-tls-certificate/

---

3 超40个硬件驱动程序易受特权升级影响

研究人员发现了来自20个不同硬件供应商的40多个内核驱动程序受漏洞影响，攻击者可特权升级到内核权限。受影响的供应商包括所有主要的BIOS供应商和计算机硬件业务中的品牌。研究人员表示所有这些漏洞都允许驱动程序充当对硬件资源执行高度特权访问的代理，比如对处理器和芯片组I/O空间的读写访问、对特定于模型的寄存器(MSR)、控制寄存器(CR)、调试寄存器(DR)、物理内存和内核虚拟内存的访问。攻击者可以从内核转移到固件和硬件接口，从而使它们能够破坏目标主机，逃避在操作系统级别运行的正常威胁保护产品的检测。


https://www.bleepingcomputer.com ... lation/#Partiallist

---

4 攻击者利用SQLite数据库入侵其它应用程序

研究人员表示攻击者可以通过修改SQLite数据库，从而在使用该存储数据的应用程序中执行恶意代码。受入侵的SQLite数据库可劫持了一个恶意软件操作的C2服务器，以及使用SQLite在iOS设备上实现持久性的恶意软件。第三方应用程序从SQLite数据库读取数据的方式存在漏洞，这使得第三方可以在SQLite数据库的数据中隐藏恶意代码。当第三方应用程序读取受入侵的SQLite数据库时，也会无意中执行隐藏恶意代码。


https://www.zdnet.com/article/cl ... ps-malware-servers/

---

5 黑客可入侵西门子控制器Simatic S7

研究人员证明业内最安全的控制器之一西门子Simatic S7可被黑客入侵。Simatic S7控制器用于发电厂、交通信号灯、水泵、楼宇控制、生产线、航空系统和许多其他关键基础设施。 安全人员对该控制器实施的通信协议进行逆向工程之后，发现可以创建一个恶意工程站，它可以伪装成TIA向PLC注入任何有利于攻击者的消息。攻击者可将选择的控制逻辑下载到远程PLC上，通过隐写程序注入攻击，可以分别修改运行代码和源代码，这两个都下载到PLC。这允许攻击者修改PLC的控制逻辑，同时保留PLC提供给工程站的源代码。


https://securityaffairs.co/wordp ... imatic-s7-hack.html

---

6 WhatsApp中漏洞允许黑客操纵用户消息

研究人员已经确定了WhatsApp中存在的安全漏洞，攻击者可使用三种攻击模式，来拦截和操纵用户的消息。这三种可能的攻击模式利用社交工程技术欺骗用户，并将虚假信息传播给不同的WhatsApp群组。第一种攻击者可以将私人消息伪装成公共消息并将其发送给群组员，这将使每个人都能看到目标个体的“私人”回应。第二种攻击者可以使用群组对话的“引用”功能来更改邮件发件人的身份，邮件发件人甚至不是该群组的成员。第三种攻击者可以更改某人的回复或消息，并将虚假数据添加到其中。


https://cyware.com/news/vulnerab ... r-messages-a36c2a95

---