各位 Buffer 早上好，今天是 2018 年 10 月 31 日星期三，农历九月廿三。今天的早餐铺内容有：F5实验室报告：物联网设备已成为网络犯罪的头号目标；阿里安全专家预警智能电池存隐患，被攻击可致断电起火；Windows 10 Bug允许UWP应用程获得对系统文件的完整访问权限；Mirai僵尸网络软件制作人被判支付860万美元罚金；咨询公司Rice Consulting云泄露大量敏感数据：曾为美国民主党筹款432万美元。

F5实验室报告：物联网设备已成为网络犯罪的头号目标

本次F5发布的报告扩大了涵盖的攻击数据的范围，包括物联网设备经常使用的服务。以下是分析结果摘要：

物联网设备现在是网络犯罪的头号攻击目标，超过了Web和应用程序服务器、电子邮件服务器和数据库受到的攻击数量。

正如预期的那样，telnet攻击正在下降，大多数使用端口23监听的物联网设备变得远离越少。

今年3月，各个端口的攻击流量大幅增加，其中84％来自电信公司，这种流量很可能是僵尸网络的兴起导致的。

SSH相关的攻击是针对物联网设备的头号攻击类型，其次是telnet。

来自伊朗和伊拉克的IP地址进入了前50名攻击者IP地址列表。

西班牙是受攻击最严重的国家，承受了80％的袭击。在过去一年半的时间里，西班牙一直是排名第一的国家。显然，西班牙存在严重的物联网安全问题。攻击的主要来源国包括中国、日本、波兰、美国和巴西等。[来源：darkreading]

阿里安全专家预警智能电池存隐患，被攻击可致断电起火

没有黑掉操作系统，也没有触碰操作手柄，无人机起飞一分钟后像是突然被某股力量撕扯着，断电、坠毁，现场一片惊呼……这并不是影视剧中的桥段，而是阿里安全猎户座实验室资深专家侯客最新的研究成果——通过攻击智能电池，让无人机坠机，甚至所有使用智能电池的设备都将受到这一攻击方式的影响。

具体来说，侯客在演示中的攻击方式是绕过无人机电池固件升级的数字签名校验，将自制恶意固件植入到智能电池中，能够在指定条件下触发电池突然断电，让无人机坠机。为何选择攻击智能电池？侯客表示，电池是供电的基础能量单元，如果能对其实现攻击，将是一种根本性的攻破，而当前厂商普遍较为忽视智能电池的安全性，导致被攻击的可能性。[来源：cnbeta]

Windows 10 Bug允许UWP应用程获得对系统文件的完整访问权限

默认情况下，UWP应用程序只能访问位于应用程序安装目录中的文件和文件夹及其在AppData\Local、AppData\Roaming和Temp文件夹中的数据存储位置。如果应用程序需要访问这些位置以外的文件，则可以显示可用于选择文件的文件/文件夹选择器，或者开发人员可以为应用程序声明额外权限。

Windows 10中存在的一个buf允许UWP应用在未经用户许可的情况下获取对Windows个文件系统的完整访问权限。broadFileSystemAccess权限允许应用程序访问整个文件系统。根据Windows应用程序开发人员的说法，Windows 10中的一个错误使得相关安全设置未能成功显示，应用可绕过获取broadFileSystemAccess权限的提示直接运行。[来源：bleepingcomputer]

Mirai僵尸网络软件制作人被判支付860万美元罚金

Paras Jha是参与构建Mirai僵尸网络恶意软件的三名作者之一，早在该僵尸网络于2016年震惊互联网之前就参与了DDoS攻击。对于这些犯罪行为，他必须接受六个月的家庭监禁并支付860万美元罚金。

编写Mirai的剩下两名作者是Josiah White和Dalton Norman，对于他们的指控更严重些，因为2016年的事件导致军队的物联网设备被用来攻击行业记者Brian Krebs的网站以及法国托管服务提供商OVH的服务器和全球DNS提供商Dyn。[来源：bleepingcomputer]

咨询公司Rice Consulting云泄露大量敏感数据：曾为美国民主党筹款432万美元

国际网络安全咨询公司Hacken在上周发表的一篇博文中指出，Hacken网络风险研究主管Bob Diachenko在本月17日通过Shodan搜索引擎发现了一台因配置错误而公开暴露在互联网上的Buffalo TeraStation NAS网络附加存储器。NAS包含了有关Rice Consulting客户（过去的、当前的和潜在的）的详细信息，其中一个电子邮件数据库包括了有关Rice Consulting过去数千次筹款活动的详细信息，如姓名、电话号码、电子邮箱地址、地址、公司、合同、会议记录、桌面备份、员工详细信息等。

Diachenko在分析后发现，未受密码保护的NAS似乎是由总部位于美国马里兰州的Rice Consulting咨询公司负责管理的。根据Rice Consulting官方网站所展示的信息来看，该公司曾在2017年与美国民主党合作（Democratic Party US），为其筹集资金超过432万美元。[来源：安全内参]

*Freddy 编译整理，转载请注明来自 FreeBuf.COM。