今天是5月11日星期五,今天的主要内容有:开发者误读芯片厂商调试文档导致出现新内核漏洞;SAP修复旗下产品十多个产品漏洞;报告称伊朗可能针对制裁发动网络攻击;Excel加入JS功能可能被恶意利用进行Coinhive挖矿;西安警方破获假借区块链之名进行的网络传销案件。
安全资讯早知道,两分钟听完最新安全快讯~
【漏洞】
开发者误读芯片厂商调试文档导致出现新内核漏洞
美国计算机安全应急响应中心(以下简称CERT)日前发布公告称,Windows、macOS、Red Hat、Ubuntu、SUSE Linux、FreeBSD、VMware和Xen等系统都可能受到一个重大安全漏洞(CVE-2018-8897)的影响,这个漏洞是由于操作系统开发者曲解了英特尔和AMD两大芯片厂商的调试文档所致。
不过,这个漏洞的利用需要一定的条件,攻击者需要使用已经感染带有恶意软件的计算机,或者必须使用已经登录的帐户才能运行利用此漏洞的恶意代码。如果顺利入侵,攻击者可以将其代码的访问权限提升到内核级别,然后使用此访问权限执行其他操作。通俗来说,攻击者可以利用操作系统的 API 获取敏感内存信息,或控制低级操作系统功能。
目前,各大厂商都已知晓这个漏洞,并积极应对。Red Hat、Ubuntu 和苹果 MacOS 都已经着手推出补丁。而早在 2018 年 3 月,Linux 内核已经解决了这个问题,4.15.14、4.14.31、4.9.91、4.4.125 以及更早的 4.1、3.16 和 3.2版本都有相应的补丁。
微软也做出了回应,其 Windows 7 到 Windows 10 以及 Windows Server 2008 到 1803 版本都推出了补丁。Xen 4.6 到 4.10 版本也推出了修补程序。VMware 的虚拟机管理程序没有风险, vCenter Server 有对应的解决方案,vSphere 集成容器正在等待修复,但专家认为,二者都“可能受到影响”。
以下是美国 CERT/CC 列出的受影响厂商名单,提醒用户及时关注厂商动态,及时修复。[来源:The Register]
SAP修复旗下产品十多个产品漏洞
SAP本周发布了5月安全补丁,用以解决其产品组合中的十多个安全漏洞。SAP本月发布的大多数安全漏洞都被评为中危,其中只有一个被评为低危。
本次补丁解决的漏洞包括无限制文件上传漏洞(CVE-2018-2420)、拒绝服务漏洞(CVE-2018-2421和CVE-2018-2422)等。
据悉,SAP系统还存在其他安全隐患。
Onapsis是一家致力于研究SAP系统安全问题的安全厂商。该公司几周前透露,十分之九的SAP系统都被发现易受2005年发现的SAP Netweaver漏洞影响。该漏洞为攻击者提供了对系统的无限制访问权限,允许他们读取信息、获取数据甚至关闭系统。[来源:securityweek]
【网络安全】
报告称伊朗可能针对制裁发动网络攻击
一则新的安全报告显示,美国总统特朗普重新实施对伊朗制裁的决定可能导致后者在未来几个月内发起针对西方企业的网络攻击。威胁情报公司Recorded Future周三发布了对伊朗网络威胁的最新研究和分析。
该报告作者指出,自从2009年以来,伊朗为应对制裁经常通过进行网络攻击作出回应。
#p#分页标题#e#
伊朗历来倾向于在实际冲突中使用代理人或前线组织真主党来反对以色列、也门和沙特阿拉伯,网络攻击经常被用来实现其政策目标。
据称Recorded Future与前伊朗黑客进行了面谈,第一手掌握了该信息。根据消息人士与伊朗其他黑客的对话,有超过50名承包商参与竞标伊朗政府资助的进攻性网络项目,而只有最好的个人或团队能够成功获得报酬。[来源:BetaNews]
【WEB安全】
Excel加入JS功能可能被恶意利用进行Coinhive挖矿
就在微软宣布他们在Excel中引入自定义JavaScript几天之后,安全研究员Chase Dardaman称自己发现了一种在Excel中加载CoinHive JS代码的方法。
Excel中的自定义JS代码会创建三个文件,包括一个JS(包含自定义公式)文件、一个HTML文件以及充当配置文件的JSON文件。当使用自定义JS时,Excel还会创建一个隐藏的浏览器来加载各种文件,然后执行自定义JS代码。在快速研究如何做到这一点之后,Dardaman轻易制作出自定义的加载项,并将CoinHive加载到这个隐藏的浏览器中。
确切地说,这(利用Execl的JS功能进行CoinHive挖矿)非常简单,当我和同事深入挖掘这一点时,我确信我们将找到大量新方法来攻击用户。
如果你打算继续深入研究,可以查看作者的最新博客文章(附POC)。[来源:]
【国内资讯】
西安警方破获假借区块链之名进行的网络传销案件
西安市公安局经侦部门接到举报一网络平台涉嫌传销,经侦查基本掌握了犯罪嫌疑人郑某为牟取非法利益,组织网络平台管理员张某、李某,营销副总勾某等9人开展违法犯罪活动的事实,涉案金额高达8600万元。
据悉,犯罪嫌疑人伪称自己是具有外资背景的“高科技跨国企业”,套用最新的“区块链”概念,以每枚3元的价格在“消费时代”(DBTC)网络平台销售虚拟货币,并自行操控虚拟货币的价格涨幅。设置“持币生息奖”吸纳会员;根据会员发展下线情况,实施28级分代管理,设置“分享收益奖”进行奖励;对10个层级148人组成的营销团队设置“团队业绩奖”,根据营销团队业绩进行奖励。