今天的安全早报包括:研究人员研制出新的双因素认证,需拍摄私人物品进行验证;谷歌将关停
Chrome 对 PKP 的支持;部分 Bad Rabbit 受害者不用付赎金就可以恢复文件;微软修复可窃取 Windows
登录凭证的秘密漏洞;Matrix 勒索软件利用 RIG 工具套件进行分发;比特币中国今天停止提现,但在国际上重回涨势。
以下请看详细内容:
【国际时事】
研究人员研制出新的双因素认证,需拍摄私人物品进行验证
来自佛罗里达里达州国际大学和 Bloomberg 的科学家研制出一种定制化的双因素认证系统
Pixie,需拍摄用户私人物品进行验证。与传统的硬件安全密钥(例如,YubiKey设备)加密或输入验证码(通过SMS或语音呼叫接收)验证相比,这种新的拍照验证方式省了一些麻烦。
如果用户选择用 Pixie 认证,则初次登录时,需要拍下身边物品的一张初始照片。以后每次登录都需要拍下照片,并由手机内安装的 APP
对比两张照片,进行验证。由于只有用户自己知道验证的物品到底是什么,所以黑客很难通过截取 SMS 短信或利用 SS7
协议的漏洞来劫持这个验证过程,因此研究人员认为,Pixie 比以前的验证系统更加安全。
据了解,Pixie 的错误验证率仅为 0.09%。目前研究人员仍在对这个系统进行研发改进,不过用户已经可以在 GitHub 中下载并试用。[来源:bleepingcomputer]
谷歌将关停 Chrome 对 PKP 的支持
前两天,谷歌发布公告表示将停止 Chrome 对 PKP(Public Key Pinning)的支持。PKP 全称是 HPKP,是
IETE RFC-7469 认证的一种系统,可用于 HTTPS 站点。,站点运营商可以利用 PKP
其站点设置HTTP头。当用户首次连接到网站时,PKP
头会告知用户的浏览器,下载根据站点的HTTPS证书生成的公钥列表。当用户再次返回网站时,浏览器将采用其中一个密钥,并尝试验证其是否与该站点的当前
HTTPS 证书相匹配。如果攻击者设法伪装合法的域并使用有效的 HTTPS 证书,则 PKP
密钥将不匹配,浏览器将阻止用户查看该网站,由此可以阻止网络钓鱼、诈骗或其他恶意攻击。
但事实上,PKP 是个漏洞百出的安全解决方案。它很难部署,且设置过程中只要有任何错误,都会导致用户下载错误密钥,造成灾难性后果。此外,理论上来说,攻击者也可以发布自己的 PKP 密钥劫持站点访问者,这些密钥在入侵被发觉之后就能停止工作并清除服务器。
由于这些问题,谷歌打算在 2018 年 5 月的 Chrome 67 中彻底放弃 PKP。[来源:bleepingcomputer]
部分 Bad Rabbit 受害者不用付赎金就可以恢复文件
今天,卡巴斯基发布了新的研究报告,他们发现 Bad Rabbit 中有两个明显的漏洞。一些“幸运”的 Bad Rabbit
受害者或许可以利用这些漏洞来绕过赎金。卷影拷贝服务是 Windows
系统在使用过程中,自动创建文件副本的一项服务。大部分的勒索软件都会删除卷影拷贝,这样可以防止硬盘恢复软件找到被加密的原始文件副本和未被加密的文件。根据卡巴斯基的报告,Bad
Rabbit 勒索软件中并没有专门的进程来删除卷影拷贝。虽然用户不能靠它恢复全部的文件,但也可以恢复一部分了。
卡巴斯基研究员在解密密码上也发现了漏洞。他们发现 dispci.exe
中有一段代码错误,恶意软件生成的密码不会被从内存中删除,所以我们通过调试模式调取了恶意软件生成的密码,并在系统重启后输入这个密码,发现密码是有效的,进程也可以继续进行。不幸的是,这个方法只可以绕过引导程序,用户开机重启之后文件还是被加密的。[来源:bleepingcomputer]
【漏洞威胁】
微软修复可窃取 Windows 登录凭证的秘密漏洞
日前,Windows 爆出一个漏洞,可使攻击者在无需任何用户交互的情况下随意窃取 Windows NTLM
密码哈希,允许与受害者网络直接连接的攻击者升级对附近系统的访问。Microsoft通过ADV170014安全顾问在本月的补丁周二修补了该漏洞,此次补丁仅适用于Windows
10和Windows Server 2016的用户。
事实上,这种攻击操作性强且不涉到较深层次的技术技能,攻击者只需要将特制的 Shell 命令文件 (SCF 文件) 放在可公开访问的
windows 文件夹中,然后该文件将由于安全问题而执行收集 NTLM 密码哈希, 并将其发送回攻击者的服务器;这样一来,攻击者可以轻松破解
NTLM 密码哈希并且随意访问受害者的计算机。然而,并不是所有共享文件夹的计算机都属于易被攻击对象,由于Windows
限制漏洞范围的默认选项,黑客攻击对具有密码保护的共享文件夹的计算机就不起作用,不过介于大多情况下,许多 Windows
用户诸如企业环境,学校和其他公共网络中的用户通常会因为自身需求而共享无需密码的文件夹从而受到攻击。[来源:SecurityAffairs]
Matrix 勒索软件利用 RIG 工具套件进行分发
目前,Malwarebytes 安全公司研究员发现 Matrix 勒索软件利用 RIG
工具套件,在含有恶意广告的网站中进行分发。Matrix 勒索软件最早在 2016 年年底出现,到 2017 年 4
月已经基本消失。而现在它再次出现,且利用恶意软件和漏洞利用工具套件进行传播,所涉及的漏洞主要包括 IE 浏览器中的 CVE-2016-0189
漏洞和 Flash 中的 CVE-2015-8651 漏洞。只要用户使用诱这些漏洞的计算机访问某个带有恶意广告的网站,就会感染 Matrix
勒索软件。感染之后,Matrix 就会加密电脑中的文件,获取文件名,并将文件名打包按照附件发到 [email protected]
邮箱。此外,Matrix 还会发布 #_#WhatWrongWithMyFiles#_#.rtf 文件,在屏幕上显示勒索信息。
事实上,用户如果及时更新 IE 浏览器和 Flash 播放器,就可以修复 CVE-2016-0189 漏洞和 CVE-2015-8651
漏洞,进而避开 Matrix
感染。因此,要想防止勒索软件感染,老生常谈的还是及时更新、保持良好的用网习惯(备份、对陌生邮件保持警惕),使用安全的软件和安全服务。[来源:bleepingcomputer]
【国内新闻】
比特币中国今天停止提现,但在国际上重回涨势
根据比特币中国的公告,10月30日中午12:00平台将停止提现业务,截至目前,比特币中国已经关闭了所有交易功能。比特币中国是国内三大比特币交易平台之一,其他两个平台为火币网和OKCoin。这两个交易平台将于10月31日停止所有数字资产兑人民币交易业务,其资金、资产的清退工作也正在开展中。
从9月4日开始,监管层先后出手ICO和比特币,如今ICO在国内已经偃旗息鼓,国内比特币交易所的业务先后调整和关停。不过,这并未影响比特币的行情,在经过一段波折后,国际环境中比特币重回涨势,按照OKCoin的最新报价显示,比特币已经冲到36021元人民币。[来源:网易科技]
转载至freebuf网站:freebuf