今天的安全早报包括:谷歌 Browse-Secure 扩展程序可爬取用户社交通讯信息;新 IcedID 木马攻击北美;美政府公布朝鲜所使用的 FALLCHILL 恶意程序详情;一加手机出现后门,可能影响其它使用高通芯片的设备;微软 11 月修复 53 个漏洞,Windows 系统、Office 应用、浏览器等多处中招;11 月修复日 SAP 修复 22 个安全漏洞;Adobe 修复 9 款产品中的 80 个漏洞。
以下请看详细内容:
【国际时事】
谷歌 Browse-Secure 扩展程序可爬取用户社交通讯信息
Chrome Web 商店中出现一款新的扩展程序 Browse-Secur,原意是为了保护搜索安全,但事实上,这款扩展程序会爬取用户的 LinkedIn 和 Facebook 账户信息,并将用户名、邮箱地址、性别、手机号、住址等信息发送到远程服务器上。
用户浏览网页时,可能会看到误导性广告:“警告!恶意入侵”,随后,该广告会将 Browse-Secur
扩展程序推送给用户,提示可以确保浏览安全,诱导用户安装。用户一旦安装,在使用谷歌搜索时,不但搜索请求和 IP 地址会被获取,连 Facebook
等社交通讯信息都暴露无余。这已经不是 Chrome 扩展程序第一次出问题了,看起来 Chrome
扩展已经成为了黑客的新乐土,用户在安装扩展程序时务必要谨慎。[来源:bleepingcomputer ]
新 IcedID 木马攻击北美
日前,IBM 的研究员发现一款新的银行木马 IcedID,与 Gozi、Zeus 和 Dridex
等银行木马相似,但代码由该黑客自己开发。研究员表示,该银行木马最早在 9
月份出现,主要针对美国和加拿大的银行、支付卡供应商、移动服务供应商、公司、网页邮件、电子商务网站等发起攻击。此外,英国的两所主流银行也不幸中招。
IcedID 主要利用 Emotet 木马进行传播,Emotet
通过垃圾邮件分发,一般在隐藏在含有恶意宏代码的生产文件中,且持续隐匿以便攻击者传播其他恶意 payload (如
IcedID)。一旦感染用户设备,IcedID 就会监控用户在线活动,其攻击手段主要包括 web
注入、重定向等。用户进入网页后会被重定向到山寨的银行网站(但用户无法分辨),提交的用户名、登录凭证等都会被攻击者获取,进而发起攻击。据分析,IcedID
的代码疑似为说俄语的作者所编写。[来源:Securityaffairs]
美政府公布朝鲜所使用的 FALLCHILL 恶意程序详情
近期,美国计算机应急响应中心 US-CERT 叕发布了 DHS 和 FBI 针对朝鲜政府黑客组织HIDDEN
COBRA的联合技术分析预警(TA17-318A),预警中详细披露了 HIDDEN COBRA
用于网络渗透攻击的远控工具-FALLCHILL。US-CERT 称,DHS 和 FBI
与其它美国政府机构联合分析,通过网络IP地址和相关入侵指标(
IOC)共同识别出了FALLCHILL利用的网络攻击架构。经初步分析,DHS和FBI识别的FALLCHILL网络攻击架构中包含了5个注册地为中国的IP地址,以及一个.gov.cn的网站。
Fallchill 是一种远程控制工具,自 2016 年起便针对航空、电信和金融领域展开攻击。DHS 将其描述为一种“具有完整功能的
RAT,可利用双重代理发布来自 C&C 服务器的多种控制命令。”同时,Fallchill 还会搜集被感染系统的 IP 地址、MAC
地址等信息,且附带其他恶意功能,可获得硬盘信息、启动或终止程序、搜索/读取/执行文件、改写文件或目录时间戳、更改文档目录等。此外,美国政府还公布了
Fallchill 所使用的 83 个网络节点。
朝鲜政府自然对此予以否认。鉴于近期朝鲜核武器问题导致的美朝关系依然紧张,也许美国此次公布“Hidden Cobra”动向有警告意味。[来源:securityweek]
【国内新闻】
一加手机出现后门,可能影响其它使用高通芯片的设备
继上个月一加收集被曝跟踪用户活动之后,本月一加又陷入漏洞是非:开发者
Elliot Alderson 发现一加氧 OS 版本存在后门,在无需解锁 BootLoader 就能获取系统的 root
访问权限。该后门具体存在于 EngineerMode 系统应用中,该应用由一加定制并委托高通开发,主要用于诊断手机是否工作正常,如诊断 GPS 和
Root 状态、执行一系列自动的“产品线”测试等。一旦获取 root
权限,攻击者就可以执行一系列危险操作,如暗中安装恶意程序、暗中监控手机等。且这些行为都很难被检测,恶意程序也难以移除。
据悉,一加的 OnePlus 2、3、3T 和 5
等多种型号的手机都安装了这款应用。此外,由于这个应用由高通开发,因此其它使用高通芯片的手机可能也会存在类似问题。一加用户可以进入“设置”、打开
Apps 选项、点击右上角的三个小点显示系统 APP,并搜索
EngineerMode.APK,查看自己的手机是否安装了这个应用。后门发现者表示将利用这个漏洞开发一加手机“一键
root”应用。关注者可以拭目以待。[来源:TheHackerNews]
【漏洞修复】
微软 11 月修复 53 个漏洞,Windows 系统、Office 应用、浏览器等多处中招
本周二是微软的修复日,微软共修复 53 个漏洞,涉及 Windows 操作系统、部分 Office 应用、IE 浏览器、微软 Edge 浏览器、ASP.NET 内核、.NET 内核以及 Chackra 内核浏览器引擎等。
其中较为严重的漏洞包括:Windows 嵌入式 OpenType(EOT)字体引擎信息泄露漏洞
CVE-2017-11832,可被攻击者利用获取敏感信息并发起进一步攻击(影响 Windows Server 2012、Windows
Server 2008 及 R2、Win7 等版本);Windows 内核信息泄露漏洞 CVE-2017-11853,主要影响
Win7、Win8.1、Win10、Windows Server 2008 及 R2、Windows Server 2012 及
R2、Windows Server 2016 等版本;此外,Excel 也由于设计问题出现安全绕过漏洞
CVE-2017-11877,可被攻击者利用绕过某些安全限制,并通过利用应用程序中的另一个漏洞执行任意代码。受影响版本包括 Excel
2007、Excel2010、Excel2013、Excel2016 等相关版本;
修复详情可点击这里获取,用户应尽快查看并下载相关补丁,及时更新以预防安全问题。[来源:bleepingcomputer]
11 月修复日 SAP 修复 22 个安全漏洞
本周,SAP 也迎来月度修复日,共发布了 13 个漏洞补丁,同时还针对之前发布的安全公告新增了 9 个补丁,共修复 22 个安全漏洞。其中,三个漏洞被列为超高危级别,最高评分为 9.1。
值得注意的是,这三个漏洞在之前都已经发布过补丁。其中一个是 Text Conversion 中的代码注入漏洞,可追溯到 2016 年 9
月。其余两个分别是 SAP Landscape Management 中的信息泄露漏洞和 LVM 2.1 与 LaMa 3.0
中的信息泄露漏洞。此外,比较严重的漏洞还有 SAP Management Console 中的执行漏洞、SAP SAPUI5中的跨站脚本漏洞和
SAP BusinessObjects Analysis Edition 中的跨站脚本漏洞。[来源:Securityweek]
Adobe 修复 9 款产品中的 80 个漏洞
赶上周二修复日,Adobe 修复了 Flash Player、Photoshop、Connect、Acrobat and
Reader、DNG Converter、 InDesign、Digital Editions、 Shockwave Player 和
Experience Manager 等 9 款产品中的 80 个漏洞。
其中 Windows 和 Mac 版本的 Acrobat and Reader 中漏洞最多,达到 56
个,涉及未初始化的指针访问、使用后释放、缓冲区访问、缓冲区溢出读取、缓冲区溢出、越界读取/写入、不正确的数组索引验证、安全旁路、类型混淆以及可用于远程代码执行的不可信指针引用等问题。
Adobe 表示目前尚未有这些漏洞的在野利用实例,建议用户尽快更新修复。[来源:Securityweek]
转载至freebuf网站:freebuf