今天是4月10日星期二,今天早餐铺的主要内容有:Auth0身份验证出现漏洞,致使企业遭受攻击;专家发现新型ATM恶意软件ATMJackpot;用必应搜索“chrome download”出现的广告会跳转到恶意网站;间谍软件Agent Tesla变种再现:通过特制Word文档诱导安装;腾讯携手西安电子科技大学共建智慧安全创新研究院。
【漏洞攻击】
Auth0身份验证出现漏洞,致使企业遭受攻击
Auth0是最大的身份即服务平台之一,近日被爆出存在严重身份验证绕过漏洞,该漏洞可能被攻击者利用访问任何门户或应用程序进行身份验证。
Auth0为大量平台实施基于令牌的身份验证模型,每天管理4,200万次登录,并为2000多家企业客户管理每月登录数十亿次。
2017年9月,来自安全公司Cinta Infinita的研究人员发现了Auth0的Legacy Lock API中的一个漏洞,并且测试了使用该服务进行身份验证的某个应用程序。
专家们利用这个问题绕过了使用跨站点请求伪造(CSRF / XSRF)攻击触发CVE-2018-6874漏洞,对Auth0身份验证的应用程序绕过登录身份验证。
专家发现新型ATM恶意软件ATMJackpot
Netskope威胁研究实验室的专家发现了一种名为ATMJackpot的新型ATM头奖恶意软件。
恶意软件仍在开发之中,似乎起源于香港,与类似的软件相比ATMJackpot留下的痕迹更少。
“这种恶意软件很可能还在开发中。与以前发现的恶意软件相比,此恶意软件的系统占用空间更小,“
该恶意软件具有较小的系统占用空间,它具有简单的图形用户界面,可显示有限数量的信息,包括主机名,服务提供商信息等。
目前还不清楚ATMJackpot恶意软件的攻击媒介,通常是这种恶意软件是通过ATM上的USB手动安装的,或者从网络下载。
【安全事件】
用必应搜索“chrome download”出现的广告会跳转到恶意网站
当使用搜索引擎搜索软件下载链接时,请务必直接访问官网,而非点击搜索结果中的广告,否则就会下载到意外的内容。 比如现在在Bing中显示的搜索短语“chrome download”,结果中的广告不会指向官方的Chrome下载页面,而是将您带到推广广告软件和PUP安装程序的网站。
BleepingComputer的编辑就表示:
“当使用Bing搜索“Chrome下载”时,有一则广告看起来像Google推送Chrome浏览器的合法广告。 网址是www.google.com,与我以前见过的其他Chrome浏览器广告类似。
然而,点击广告时,我没有被带到Google Chrome的下载页面,而是被带到了一个名为www.googlechrome2018.net的网站。 此页面显示假冒的www.google.co.uk网页,提示下载Google Chrome。”
间谍软件Agent Tesla变种再现:通过特制Word文档诱导安装
近期 Fortinet 研究专家发现臭名昭著的间谍软件 Agent Tesla 出现了全新的变种,而变种传播是通过特制的 Microsoft Word文件进行的。
Agent Tesla 是一种用来收集系统键击记录、剪贴板内容、屏幕截图、身份凭证的间谍软件,很多用户使用这款软件窥探受害者。为了实现这些功能,这款间谍软件在主函数中创建了不同的线程和定时函数。
专家首先在去年 6 月份就发现了这款恶意软件变种。当时他们观察到威胁样本中,黑客通过 VBA 宏的自动执行进行软件的传播。一旦用户启用了文档中包含的宏,间谍软件就会在受害者机器上成功安装。
但在最新发现的行动中,黑客将附件文档的内容被制作成模糊的样子,这样用户会遵循文档上的说明,双击文档来得到更清晰的视图。而如果用户照做了,这个文档就会提取可执行文件,在本地系统的临时文件中运行。
[Freebuf]
黑客宣布已破解任天堂Switch 并声称硬件漏洞无法修补
这次宣布Switch破解的是女性黑客Kate Temkin,她宣传在早些时候就已经发现了藏在NVIDIA Tegra芯片中的漏洞,也在第一时间通知了生产商NVIDIA及其它使用该芯片的厂商,其中包括任天堂。因为该漏洞存在于Tegra芯片中只读的bootrom中,只能够通过出厂前的小补丁进行补救,一旦设备出厂则再也没有挽救的机会。
考虑到影响设备的范围之广以及威胁之大,Kate Temkin最终决定在厂商的反应周期结束之后向所有人公布该漏洞。她个人还表示没有因为该漏洞得到任何厂商的赏金,没有也不打算与这些厂商签订保密协议。
由于Kate Temkin设定的反应周期尚未到达,她准备在今年夏季正式对外公布这个名为Fusée Gelée的Switch破解手段。目前,可以确认的是目前已经上市的所有Switch,无论系统固件版本都可以使用她的办法进行破解。
按照Kate Temkin的说法,与其它小组不同的是,她提供了多种破解Switch的方式。并不局限于对硬件方面进行修改和焊接,更不需要安装芯片。当然,对于想要修改硬件的人士,也可以选择对应的方式。
[T00ls]
【国内新闻】
腾讯携手西安电子科技大学共建智慧安全创新研究院
腾讯公司与西安电子科技大学正式签署合作协议,宣布共建智慧安全创新研究院(下简称研究院)。
据悉,腾讯、西电双方均希望依托“国家一流网络安全学院”和“大智慧西安战略合作”共建的研究院,能作为推进国家一流网络安全学院建设和西安大智慧城市网络空间安全体系构建的重要产学研用平台。该研究院的主要建设目标是:依托网络空间安全一级学科,培养和吸收一流高素质网络安全人才,成为双方开展高层次国内外学术交流与科研合作的重要基地,并将科研成果应用到产品中创造更大的社会价值与经济效益。
李建东表示,腾讯作为中国最大的互联网综合服务提供商之一,也是中国服务用户最多的互联网企业之一,在安全领域具有丰富的经验。他强调,共建智慧安全创新研究院是高校与企业协同育人的实践,学校高度重视与腾讯公司的合作,希望以此次合作为契机,在创建一流的过程中,继续以更加强烈的使命意识和担当精神,紧密围绕国家战略需求,将西电网络空间安全领域扎实的基础理论研究,与腾讯切实的实践需求相结合,开展网络空间安全前沿核心技术创新,提升科研成果转化能力,推动关键核心技术的突破,探究校企合作人才培养新模式,布局安全人才培养生态,培养行业紧缺及高端人才,为国家安全人才和技术提供有力的智力支持,做出新的更大的贡献。
丁珂表示,在当今新时代新常态下,网络安全存在巨大的人才缺口,尤其是高端的人才更是稀缺。西安电子科技大学作为国内网络安全领域的重点高校,人才培养成效显著。但高端网络安全人才的培养迫切需要高校、企业和社会相互配合,共同发力人才培养。他强调,腾讯深刻理解自己肩负的企业使命感和责任感,希望通过与网络安全领域的尖端高等学府——西安电子科技大学的强强联合,推动高等院校与行业企业协同育人,培养具有国际竞争力、影响力的人才,逐步形成网络安全人才培养、技术创新、产业发展的良性生态链,务实推动我国网信事业发展,让互联网造福人民。
[赛迪网]
支付宝被央行罚款18万元 涉个人金融信息使用不当等
据中国人民银行网站杭州中心支行消息,昨日,中国人民银行杭州中心支行根据《非金融机构支付服务管理办法》,对支付宝(中国)网络技术有限公司处罚款3万元;根据《中华人民共和国消费者权益保护法》,对支付宝(中国)网络技术有限公司产品宣传与个人信息保护两项违法行为,分别给予警告,并处罚款10万元、5万元。罚款合计18万元。
据央行行政处罚信息公示表披露,支付宝违规具体在三方面。针对客户权益方面:1、金融消费者知情权保障不充分;2、消费者的自主选择权保障不充分。针对个人信息保护方面的违规:1、个人金融信息收集不符合最少、必需原则;2、个人金融信息使用不当。
[人民网]
来源:freebuf.com 2018-04-10 07:47:46 by: Sphinx
请登录后发表评论
注册