每日安全简讯(20161216)

1、调查显示勒索软件受害企业七成付钱
2、影子经济人向买家直销NSA泄露工具
3、研究人员发现MacOS版Skype内置后门
4、Adobe修复Flash可用于监听用户漏洞
5、雅虎官方证实10亿用户帐户信息失窃
6、Joomla CMS发现可致网站被接管漏洞

【安天】搜集整理（来源：solidot、vice、freebuf、bleepingcomputer、solidot、bleepingcomputer）

1、调查显示勒索软件受害企业七成付钱
{CHN}
标题：大部分感染勒索软件的公司都支付了赎金

作者信息：2016年12月15日 16时00分 星期四 By IBM X-Force Research

//BEGIN
IBM Security发表报告称，70%感染勒索软件的公司选择了向攻击者支付赎金。许多被调查的公司表示，他们支付了数万美元。研究调查了美国的600名企业负责人和1021名消费者。46%的被调查企业称他们遭到了勒索软件的攻击，其中70%的企业承认支付了赎金。不同企业支付的赎金金额存在差异，20%的公司支付了超过4万美元，25%支付了2万到4万美元，11%支付了1万到2万美元。至于消费者，感染勒索软件后是否支付赎金很大程度上与受害者是否是父母有关。55%身份为父母的消费者表示将会支付赎金恢复访问被加密的照片，没有孩子的消费者中只有39%的人愿意支付赎金。

//END

//下载： Ransomware - How consumers and businesses value their data -- IBM.PDF (627.02 KB, 下载次数: 860)

2016-12-16 18:47 上传

点击文件名下载附件

文件名：Ransomware - How consumers and businesses value their data--IBM.PDF
文件大小：642，070 bytes
MD5     : 6FAE26ACF35A2C9E35EE6D1D12BB8243

点评：这个标题偏离了原文（见pdf附件）的主旨意义。有空建议一读原文：内容较为丰富。总之，普通用户对付勒索软件的策略：备份备份再备份。不要闲麻烦哟。

2、影子经济人向买家直销NSA泄露工具
标题：Newly Uncovered Site Suggests NSA Exploits for Direct Sale

作者信息：December 14, 2016 // 04:37 PM EST  By JOSEPH COX

//BEGIN
The Shadow Brokers—a hacker or group of hackers that stole computer exploits from the National Security Agency—has been quiet for some time. After their auction and crowd-funded approach for selling the exploits met a lukewarm reception, the group seemingly stopped posting new messages in October.
影子经纪人盗取的所谓NSA网络核武库快砸手里了。于是想出来直销这招。
这是在沉寂了一段时间后的事情，本来影子经纪人会认为自己的货会很抢手：又是拍卖，又是众筹的，又是涨价的各路招数悉数用尽。然而几个月过去了，乏人问津。各种缘由可能人人心知肚明，但是都不好意思说呀。你看看你看看.....

//END
Some previously released files included information apparently revealing what bodies and organizations had been targeted by the NSA, and other dumps contained fully working exploits against hardware firewalls, made by companies such as Cisco.
The NSA did not respond to a request for comment.
部分泄露的文档已经显示NSA针对的实体单位以及一些广为流行的硬件防火墙的各种漏洞。当然到目前为止NSA统统都不予置评。

点评：一手好牌不知道怎么打，这也挺愁人的哈。

3、研究人员发现MacOS版Skype内置后门
{CHN}
标题：研究人员发现macOS版Skype内置了后门

作者信息：2016-12-15 By Alpha_h4ck

//BEGIN
近期，Trustwave的安全研究专家在Skype的Mac OS X（现在叫macOS）桌面端API中发现了可被利用的安全问题。这个API可以为本地程序或插件提供相应的功能接口，第三方应用可以通过这个桌面API来与Skype的服务器进行通信。正如安全研究人员在Trustwave公告中所描述的，攻击者可以利用Skype桌面API中的这个安全问题来绕过其身份验证机制。恶意软件可以使用客户端名称标识符“SkypeDashbd Wdgt Plugin”来将自己伪造成SkypeDashboard的Widget插件程序，并绕过其身份验证机制直接与桌面API进行交互。
https://www.trustwave.com/Resour ... Skype-for-Mac-OS-X/
Trustwave recently reported a locally exploitable issue in the Skype Desktop API Mac OS-X which provides an API to local programs/plugins executing on the local machine. The API is formally known as the Desktop API (previously known as the Skype Public API – Application Programming Interface) and it enables third-party applications to communicate with Skype. As described in the Trustwave advisory, the issue is an authentication by-pass discovered in the API whereby a local program could by-pass authentication if they identified themselves as the program responsible for interfacing with the Desktop API on behalf of the Skype Dashboard widget program.

//END
在微软公司正式收购Skype之前，Skype使用的是另一种代码混淆／加密技术，当程序开始运行时，代码会自动进行动态解压。这种技术可以防止他人对软件进行逆向工程分析，并提取出有价值的数据。但是，攻击者可以通过使用调试工具并导出包含有可执行代码的内存页来绕过这些代码保护技术。
Versions of Skype prior to the Microsoft acquistion utilized one form or another of binary obfuscation/encryption where the binary dynamically unpacked itself upon execution. This is a typical technique to hamper efforts to extract information and reverse engineer the program. However, in general these techniques were trivial to by-pass by simply attaching a debugger and dumping the pages of memory containing executable code.
https://www.trustwave.com/Resour ... Skype-for-Mac-OS-X/

点评：有些门就是预留给某些有后台的人走的^^^

4、Adobe修复Flash可用于监听用户漏洞
标题：Flash Bug Allows Attackers to Spy on Users via Camera, Microphone

作者信息： December 14, 2016 06:11 PM  By Catalin Cimpanu

//BEGIN
In yesterday's monthly security patch, Adobe fixed a bug in Flash Player that would have allowed an attacker to hijack permissions granted to other Flash applets and spy on users via their camera or microphone.
The vulnerability, tracked as CVE-2016-7890, was discovered by security researcher Paulos Yibelo.
According to Yibelo, the bug affected all Flash versions and was fixed with the release of Adobe Flash Player 24.0.0.186.
Adobe classified the issue as "a security bypass vulnerability," but Yibelo contacted Bleeping Computer via Twitter to put the bug in perspective.
Adobe近日修补了其Flash Player的一个安全漏洞。该漏洞报告者认为该漏洞非常严重。
漏洞编号为CVE-2016-7890。所有之前的Flash版本均受到影响，直到最新版Adobe Flash Player 24.0.0.186。
如果成功利用该漏洞，黑客可以劫持用户的权限，偷偷使用用户的摄像头、麦克风等设备，这样您看过的视频或者说过的话，统统对黑客而言都不是秘密了。

//END
Because Flash Player sees the access attempts from a domain to which it the user granted access, the app won't show any warnings or extra prompts.
"This could've been a golden issue for surveillance agencies," Yibelo added.
Besides CVE-2016-7890, Adobe also patched a zero-day vulnerability, CVE-2016-7892, used in targeted attacks against users running Internet Explorer (32-bit) on Windows.
Over the summer Yibelo launched the Zerorose project, which lets users see what exploit kits see.
该漏洞比较隐蔽的是，一旦成功利用，系统不会有任何提示，因为这些已经偷偷获得了用户的许可。
可以想象这个漏洞对于情报监听部门该多么重要和诱惑。
漏洞发现者发起了一个称为ZeroRose的计划，通过该计划，用户能直观的看到各色漏洞被利用的场景。当然除了这个CVE-2016-7890，Adobe公司还发布了另外一个CVE-2016-7892的漏洞，这是一个与32位IE浏览器关的零日漏洞。

点评：披露这个0day漏洞应该就称为白帽子吧？

5、雅虎官方证实10亿用户帐户信息失窃
{CHN}
标题：雅虎披露10亿用户帐户信息失窃

作者信息：2016年12月15日 10时48分 星期四 By pigsrollaroundinthem

//BEGIN
雅虎官方证实超过10亿用户帐户在2013年的cookies伪造攻击中失窃，这起事件与之前披露的5亿用户帐户失窃不相关。雅虎称，未经授权的第三方在2013年8月窃取了超过10亿账号的数据，窃取的信息包括了用户名、电子邮件地址、电话号码、出生日期、MD5未加盐哈希密码，部分加密或未加密的安全问题和答案。雅虎称，密码不是明文的，但MD5哈希密码早就被认为不再安全。雅虎表示，银行账号信息和支付卡信息没有储存在被入侵的服务器上。雅虎称，调查显示攻击者通过学习雅虎的专有代码学会如何伪造cookies，然后利用伪造的cookies不用密码就能访问用户帐户。雅虎已让伪造的cookies失效。它表示在2013年夏天开始使用 bcrypt哈希加盐保护用户密码，但遭到攻击时尚未完成升级。这起安全事故是史上最严重的数据失窃事件，目前还不知道是否会影响到 Verizon 的收购。据说原文：
https://yahoo.tumblr.com/post/15 ... ion-for-yahoo-users

//END


点评：动不动上亿用户信息泄露，这个搁谁也受不了哟。

6、Joomla CMS发现可致网站被接管漏洞
标题：Vulnerability in Joomla Allows Attackers to Reset Passwords and Take Over Sites

作者信息：December 14, 2016 06:40 AM  By Catalin Cimpanu

//BEGIN
The Joomla Project released version 3.6.5 of the Joomla CMS that addresses three security bugs, of which one can allow attackers to take over vulnerable sites.
If this wasn't bad enough, this vulnerability, tracked as CVE-2016-9838, affects all Joomla versions released in the past five years.
More accurately, CVE-2016-9838 affects all sites running Joomla 1.6.0 and up to 3.6.4. Updating to Joomla 3.6.5 is a must in these conditions, as webmasters could find their sites part of SEO spam or DDoS botnets.
Joomla是一种网站内容管理系统CMS，其所有版本均存在漏洞，而且很严重：黑客能利用其修改用户名、密码等。而这种状况已经存在了大约5年之久。
具体的版本是从Joomla1.6.0一直到3.6.4。只有刚刚发布的3.6.5 版本才修复了该漏洞。这意味着所有采用Joomla进行网站内容管理的都需要立即升级。否则就可能沦为黑客们的盛筵。

//END
It's very likely that attackers will weaponize CVE-2016-9838 and attempt to hijack as many sites as possible before users get a chance to update them.
如果用户不升级的话，那么黑客们会很忙着，采用武器化的网络0day漏洞，拿下一个又一个网站。

点评：快补！