8wDlpd.png
8wDFp9.png
8wDEOx.png
8wDMfH.png
8wDKte.png
Imgur在2014年遭受过黑客入侵及数据泄漏; Cobalt组织在野利用Office的CVE-2017-11882漏洞
aiyun 2017-11-28

今天的安全早报包括:

Cobalt 组织在野利用 Office 的 CVE-2017-11882 漏洞;Golden SAML攻击技巧可让黑客伪造云应用服务的认证机制;Imgur 在 2014 年遭受过黑客入侵及数据泄漏;Uber:新加坡盗刷事件与数据泄漏事件无关;Uber数据泄漏事件影响SoftBank对其企业的估值;Mirai变种出现:端口2323和23上的流量扫描暴涨,大约10万个IP地址;工信部:1亿以上用户信息泄露为特大网络安全事件;

classic-omelette.jpg

【国际时事】

Imgur 在 2014 年遭受过黑客入侵及数据泄漏

知名图库网站Imgur证实,公司在2014年遭遇黑客攻击。黑客盗取了170万个电子邮件地址和密码,这些密码使用SHA-256算法进行了加密。Imgur表示,由于该网站“从不要求用户提供”真实姓名,地址或电话号码,因此涉及的信息不包括个人信息。

而被盗账户是Imgur月活1.5亿用户的一小部分。Imgur此前一直不知情,直到有人把被盗的数据被发送给Troy Hunt,这人就是“Have I been Pwned”的站长。

AAEAAQAAAAAAAAUbAAAAJDdmY2JlMjVmLTA1ZjYtNDYzNi04ZmMxLTMwMDc4NjA3NDJiZg.png

亨特周四通知了Imgur,不过由于正值感恩节,大多数企业都在放假。一天后,公司开始重置受影响账户的密码,并发布了公告。亨特表示Imgur反应很快。

我在感恩节假期当天晚些时候把这个事件通报给了Imgur。 他们立即采取了行动,保护受影响的账户,通知个人,并在24小时内发布声明,绝对是模范。

[参考来源:Zdnet]

Golden SAML 攻击技巧可让黑客伪造云应用服务的认证机制

一种名为“Golden SAML”的技巧可以让攻击者伪造认证请求来获取使用SAML的云应用程序的权限。“Golden SAML”并非是一种黑客可以以此侵入进行有效安全防护企业的工具,而是在侵入一家企业之后可以运用的技巧。

这是“Golden Ticket”攻击方法(Pass-the-Ticket)的变种,最早由Benjamin Delpy研究员(Mimikatz工具的制作者)发现。

GoldenSAML.png

这种策略的实现首先需要攻击者侵入Kerberos服务器,然后以此进行APP的ticket伪造。  而现在的“Golden SAML”攻击是这种攻击方式的变种,差别仅仅在于这次利用的是SAML 2.0协议。

GoldenSAML-normal-login.png

按照CyberArk的说法,攻击者如果已经侵入企业的域名控制器就可以使用特别的工具(如Mimikatz)来解析 IdP的私钥。这样攻击者使用私钥就可以创造出“golden tickets”的机会来通过任何企业云服务的验证。

[参考来源:bleepingcomputer]

【国内新闻】

工信部:1亿以上用户信息泄露为特大网络安全事件

工信部根据社会影响范围和危害程度,将公共互联网网络安全突发事件分为四级:特别重大事件、重大事件、较大事件、一般事件。其中,全国范围大量互联网用户无法正常上网,.CN国家顶级域名系统解析效率大幅下降,1亿以上互联网用户信息泄露,网络病毒在全国范围大面积爆发,其他造成或可能造成特别重大危害或影响的网络安全事件为特别重大网络安全事件。

135814903.jpg

工信部要求基础电信企业、域名机构、互联网企业、网络安全专业机构、网络安全企业通过多种途径监测和收集漏洞、病毒、网络攻击最新动向等网络安全隐患和预警信息,对发生突发事件的可能性及其可能造成的影响进行分析评估。认为可能发生特别重大或重大突发事件的,应当立即报告。

与此同时,工信部建立公共互联网网络突发事件预警制度,按照紧急程度、发展态势和可能造成的危害程度,将公共互联网网络突发事件预警等级分为四级,由高到低依次用红色、橙色、黄色和蓝色标示。面向社会发布预警信息有网站、短信、微信等多种形式。

[参考来源:中新网]

【Web安全】

Mirai变种出现:端口 2323 和 23 上的流量扫描暴涨,大约10万个IP地址

大约60个小时以前,从2017-11-2211:00开始,360网络安全研究院注意到在端口2323和23上的扫描流量有一个暴涨现象。

360网络安全研究院发现,其中的主要扫描者中,有大约10万个扫描IP地址来自于阿根廷,同时大约有5千个IP地址来自国内。360网络安全研究院分析以后,确定这是一个新的Mirai变种

屏幕快照 2017-11-27 下午3.18.08.png

【系统安全】

Cobalt 组织在野利用 Office 的 CVE-2017-11882 漏洞

微软Office的漏洞曝光大约一周之后,就有一家网络犯罪组织开始利用这个漏洞实施攻击,感染用户。这个组织就是臭名昭著的Cobalt,他们是一个顶级的网络犯罪组织。在过去2 年的时间内,他们针对银行、ATM网络、其他金融组织发动了多起行动。

Cobalt.jpg

Reversing Labs表示,Cobalt组织正在散播RTF文件来对高价值目标进行攻击,利用的漏洞就是 CVE-2017-11882。无需用户交互,攻击者就可以利用Office组件进行远程代码执行。Cobalt对CVE-2017-11882的迅速利用也让人疑惑,他们是否利用了此前公开的四个POC来实施攻击呢?

[参考来源:bleepingcomputer]

【数据安全】

Uber:新加坡未授权交易与上周的数据泄漏事件无关

Uber表示,uber大规模的数据泄露已经波及全球5700万个账户,不过泄露事件与最近新加坡客户报告的未经授权交易无关。当时Uber用户已经发现他们的账户中有一些莫名其妙的行程。据“亚洲新闻报”报道,这些行程中有些在新加坡以外的地方,包括英国和美国,这些行程以外币支付。

uber.png

一位顾客在五天之内发现了多达30次未经授权的交易(以美元计),另一位顾客则发现至少15张以英镑计的借记卡。而Uber曾表示会退还交易。当被问及这些交易是否与上周的全球数据泄露有关时,Uber表示二者无关。

其实,软银最早有望于本周着手买入价值数十亿美元的Uber股份,而最近发生的黑客事件可能对估值产生重要影响。FreeBuf 此前也报道过了,在上周发现的 Uber 2016 年数据泄漏事件中,公司泄露了 5700 万帐号的信息,相关监管者也因此对其展开调查。但在过去的一年中 Uber 选择对此事件保持沉默,直到上周才对外披露此事。知情人士表示,软银很可能在上个月的了解到此事,这有可能已经改变了他们对 Uber 股价的评估。

[参考来源:zdnet]

转载至freebuf网站:freebuf

最新回复 (0)
    • Ai云
      2
        立即登录 立即注册
返回