Buf早餐铺 | Intel处理器“后门”组件可被禁用,为NSA定制的?WannaCry英雄被捕后没钱打官司,正在众筹;十几万Android手机组僵尸网络,你中招了吗?

2017-08-30 407629人围观 ,发现 1 个不明物体 资讯

其实安全行业的推进,很大程度依靠的是安全研究人员从攻击者的角度来思考问题,所以 FreeBuf 报道的很多漏洞、攻击方式都并非真正的攻击者最先想到——这些比较超前的思路很多是防御方自己提供的。这可能也是防御者期望尽可能做到攻防对等的某种努力。比如下面要说研究人员找到 Intel Management Engine(ME)的方法,还有研究人员发现影响到大量主流浏览器扩展系统的两个漏洞,即便可能这些研究思路看起来都还挺偏门的。

今天 Buf 早餐铺的主要内容有:Intel 处理器的 Management Engine(ME)可以禁用,似乎是为 NSA 准备的;一个十几万 Android 手机组成的僵尸网络正在活跃;WannaCry 英雄被捕后正发起众筹;研究人员发现影响到大部分主流浏览器扩展系统的两个安全漏洞。

Buf早餐铺 | Intel处理器“后门”组件可被禁用,是为NSA定制的?WannaCry英雄被捕后没钱打官司,正在众筹;十几万Android手机组成僵尸网络,你中招了吗?

【安全漏洞】

研究人员发现禁用 Intel 处理器的 Management Engine(ME)组件的方法,和 NSA 有关?

来自 Positive Technologies 的研究人员最近终于发现了禁用 Intel Management Engine(ME)引擎的方法。Intel ME 是 CPU 之中独立的一个 processor,运行在自有的操作系统中,有完整的进程、线程、内存管理、硬件总线驱动、文件系统等组件。Intel 称 ME 是企业管理内部网络计算机的实现方式,ME 包含的工具可让系统管理员从远程位置监控、维护、更新、修复计算机。

从硬件层面来看 ME 实际上就是植入到 Platform Controller Hub (PCH) 芯片中的一个微控制器。PCH 处理 Intel 处理器和外部设备的通讯。所以所有数据都会流经 ME,但 Intel ME 的名声实际上并不好,许多人都认为这是个后门:ME 的固件文档从未公开,固件还刻意隐藏其中的内容。很多计算机专家期望能够找到方法禁用该组件,但大部分人都失败了,因为 Intel 把 ME 放到了启动流程中,ME 负责初始化、电源管理和主处理器的启动,禁用 Intel ME 会让计算机崩溃。

这次 Positive Technologies 的专家发现固件代码内部的一个隐藏位,当这个位设定其为 1 时,就能在 ME 完成启动过程后禁用 ME,这个位的标签是 reserve_hap,描述为“High Assurance Platform enable”。HAP 实际上是个 NSA 项目,描述一系列运行安全计算平台的规则。研究人员认为 Intel 是在 NSA 的要求下增加了禁用 ME 的位,NSA 可能考虑到高度机密环境的计算机安全有此需求。固件中的 ME 或任何漏洞都可能导致高危信息泄露。据说Intel方面确认了 HAP 禁用位的存在性,且非官方支持的配置。不过专家警告称,这种方法可能存在风险,毕竟尚未得到彻底的测试。

今年早前 Embevi 研究人员就发现了 Intel ME 引擎中的一个漏洞(CVE-2017-5689),攻击者可借由 ME 在远程设备上执行代码。上周新加坡的 Hack In The Box 安全大会就此漏洞有个主题演讲。此外外媒还报道说已经有间谍组织利用其他 Intel ME 的漏洞窃取数据了。[来源:BleepingComputer]

Buf早餐铺 | Intel处理器“后门”组件可被禁用,是为NSA定制的?WannaCry英雄被捕后没钱打官司,正在众筹;十几万Android手机组成僵尸网络,你中招了吗?

研究人员发现影响主流浏览器扩展系统的 2 个漏洞,Chrome、Firefix、Safari 都受影响

来自西班牙德乌斯托大学以及法国 Eurecom 研究中心的研究人员,最近发现影响到诸多主流浏览器扩展系统的 2 个漏洞,影响范围覆盖了 Firefox、Safari、Chrome、Opera 等。攻击者利用这些漏洞,可以导致用户安装的插件和扩展暴露——这些信息可用于用户画像,用作广告之用,甚至揭露隐藏在 VPN 或 Tor 背后匿名用户的身份。

其中一个漏洞影响到基于 Chromium 的浏览器,包括 Chrome、Opera、Yandex 等,如 Firefox、Edge、Vivaldi等浏览器也用了 WebExtensions API,但研究人员没有测试。WebExtensions API 通过插件中 manifest.json 进行访问控制,避免已安装插件暴露。但研究人员发现一种“针对访问控制设定验证的边信道攻击”,采用 WebExtensions API 的浏览器,针对无效插件响应一家网站本地文件存储的请求时间,相比有效插件但路径错误的情况更久,这样一来就可以推测用户安装了哪些插件了,只需要针对目标轰炸一系列请求并记录浏览器响应时间即可。

另一个漏洞名为 URI 泄露,影响到 Safari 的扩展系统。Safari 的扩展不采用 manifest.json 来限制扩展文件访问,而针对每个浏览器会话生成一个随机 URL,用户使用浏览器时才可访问,研究人员发现可猜测这些随机 URL 导致数据泄露的方法,研究结果显示扩展 URL 泄露比例可达 40.5%。研究人员发布的 paper 详述了用上面这两个漏洞用作广告分析的方法,另外对于恶意程序、社工、扩展利用也是有效的。[来源:BleepingComputer]

Buf早餐铺 | Intel处理器“后门”组件可被禁用,是为NSA定制的?WannaCry英雄被捕后没钱打官司,正在众筹;十几万Android手机组成僵尸网络,你中招了吗?

【系统安全】

WannaCry 英雄被逮捕后的诉讼费用怎么办?帮助他的众筹项目已经上线

国外媒体报道称,最近出现一个新的众筹项目,目标是帮助安全研究人员 Marcus Hutchins 筹钱。Hutchins 也就是先前发现 WannaCry 勒索软件死亡开关(Kill Switch)的那名研究人员,前一阵的 Buf 早餐铺也报道他在参加完 DEF CON 准备回国时,被美国当局逮捕,罪名是制作和出售 Kronos 银行木马。随后他被保释,只不过要戴上 GPS 监控设备,同时他拒绝承认法庭对于自己的指控。

在他被逮捕之后,就有一家捐款网站出现了,但很快就面临信用卡信息被窃的尴尬。所以 Hutchins 的朋友 Tarah Wheeler 以及另一名安全专家打算通过其他方法来筹钱。本周一,他们在 CrowdJustice 上线了众筹项目,筹款目标 10000 美元,目前筹集的欠款已经过半。这笔钱会用于支付法律诉讼方面的费用。Wheeler 表示看到社区聚集在一起给予帮助,这是件很棒的事情。[来源:TheRegister]

Buf早餐铺 | Intel处理器“后门”组件可被禁用,是为NSA定制的?WannaCry英雄被捕后没钱打官司,正在众筹;十几万Android手机组成僵尸网络,你中招了吗?

十几万 Android 智能手机组成的僵尸网络:恶意 App 就来自谷歌官方应用商店

来自 Akamai、Cloudflare,、Flashpoint、谷歌、Oracle Dyn、RiskIQ、Team Cymru 等公司组成的研究团队最近发现一个全新的僵尸网络,由数万被黑的 Android 设备组成。该僵尸网络名为 WireX,主要感染的就是 Android 设备,而且这些手机感染的衣蛾程序主要来自谷歌 Play Store 官方应用商店。该僵尸网络足以用来发动大规模 DDoS 攻击。

这么多安全公司组成研究团队针对这样一个僵尸网络做研究还是比较罕见的。本月早前 WireX 曾用于发动小规模 DDoS 攻击,但下半个月攻击就开始升级了。WireX 峰值时期感染超过 12 万台 Android 智能设备;8 月 17 日,研究人员发现一次大规模 DDoS 攻击(主要是 HTTP GET 请求),超过 100 个国家的 7 万台设备参与了此次攻击。

调查过后,研究人员发现谷歌应用商店中,超过 300 款 App 包含恶意 WireX 代码,App 类别涵盖媒体、视频播放器、铃声、存储管理工具等。这些 App 安装后不会立即表现出恶意属性,以此躲避检测,等待 C&C 服务器下发的指令。下载这些 App 的用户主要位于俄罗斯、中国和其他亚洲国家。谷歌目前已经移除了这些 App,而且如果用户手机已经包含 Play Protection 特性,则会自动移除 WireX 应用。详细内容参见 FreeBuf 的报道。 [来源:TheHackerNews]

Buf早餐铺 | Intel处理器“后门”组件可被禁用,是为NSA定制的?WannaCry英雄被捕后没钱打官司,正在众筹;十几万Android手机组成僵尸网络,你中招了吗?

Sarahah 应用会偷偷把你的手机联系人上传到服务器

外媒 The Intercept 报道称,在全球范围内都很流行的社交网络应用 Sarahah,会偷偷将用户的联系人上传到公司服务器。这款 App 由沙特阿拉伯的 Zain al-Abidin Tawfiq 开发,搭建的社交网络可让用户匿名收发信息。Sarahah 这个词的意思是指真诚、坦白,当前 Sarahah 有超过 1800 万用户。

而 The Intercept 则指出,这款 App 会默默将联系人上传到公司服务器,首次安装就会这么做。分析师在一台 Galaxy S5 手机上进行了测试,采用 BURP 来监控,结果发现:一旦登录 App,就会将存储在系统中的邮件和手机联系人传出去,iOS 平台的情况也是一样的(当然前提是用户授予了联系人访问权限)。Zain al-Abidin Tawfiq 回应称,这项特性原本是要让用户使用“找到朋友功能”的,但无论如何未来的版本会移除这一动作。值得一提的是,该 App 的隐私策略中并未言明会将数据上传到服务器。用户如果要继续使用该 App,可是在系统中设置中禁止该 App 访问联系人。[来源:SecurityAffairs]

Buf早餐铺 | Intel处理器“后门”组件可被禁用,是为NSA定制的?WannaCry英雄被捕后没钱打官司,正在众筹;十几万Android手机组成僵尸网络,你中招了吗?

【行业动态】

俄媒称中国区块链技术专利申请全球第一 远超美国

俄罗斯卫星网 8 月 28 日报道,俄罗斯《生意人报》援引俄 Online Patent 公司的报道称,2008 年至 2017 年期间中国共递交 550 份专利申请,美国(284 份)和韩国(192 份)的专利申请数量分居全球第二、第三。

报道称,全球区块链技术专利申请数量从 2014 年起开始激增,当年的专利申请数量为 84 份,次年即达到 229 份,2016 年更增至 455 份。布比(北京)网络技术有限公司以 26 份专利申请成为申报专利最多的企业,韩国比特币服务公司 Coinplug 以 21 份的数量紧随其后,IBM 和美国银行(各 17 份)并列第三。36% 的专利申请涉及付款流程和协议,24% 涉及秘密通信设备,17% 与信息保护有关。

专家认为,区块链技术本是开放性的,可对其进行改进的用户数量没有上限,专利则会将能够制定解决方案的用户限制在一个小圈子内,威胁区块链技术的发展。[来源:网易科技]

Buf早餐铺 | Intel处理器“后门”组件可被禁用,是为NSA定制的?WannaCry英雄被捕后没钱打官司,正在众筹;十几万Android手机组成僵尸网络,你中招了吗?

VMWare 发布保护企业虚拟环境的 AppDefense 解决方案

VMWare 刚刚发布了 AppDefense,这是针对运行在 VMware vSphere 虚拟和云环境下的应用提供保护的解决方案。本周一,Palo Alto 表示 AppDefense 在设计上针对数据中心端点安全。这套解决方案采用最小权限模型,确保连接企业应用的用户仅具备所需的权限,限制攻击者入侵账号渗透企业的风险。此外,AppDefense 还能控制应用行为、检测,并自动响应攻击。

VMWare 表示 AppDefense 采用“intent-based security”,通过向 vSphere 中植入组件来让系统监控虚拟或云环境下应用的“理想状态”,以此可以监控检测并响应 App 行为未经授权的变动。AppDefense 受到 hypervisor 保护,和 vSphere 与 VMware NSX 协同工作自动响应威胁,包括企业账户劫持、数据窃取和破坏。这家公司表示这种解决方案可给予安全团队更好的可视性和动力,与应用开发者协作,尽可能保证企业系统安全。[来源:ZDNet]

* 欧阳洋葱编译整理,转载请注明来自 FreeBuf.COM

相关推荐
发表评论

已有 1 条评论

取消
Loading...
欧阳洋葱

关注半导体,关注成像,关注安全.

121 文章数 26 评论数 0 关注者

特别推荐

推荐关注

活动预告

填写个人信息

姓名
电话
邮箱
公司
行业
职位
css.php