普普安全资讯一周概览(0828-0903)

作者:

时间:
2021-09-03
01


雷蛇被曝0day?

你的鼠标和键盘可能成为黑客工具


一个Razer Synapse的0day漏洞在Twitter上被披露,该漏洞允许攻击者仅仅通过插入Razer鼠标或键盘就能获得Windows的系统权限。

当把Razer设备插入Windows 10/11时,操作系统将自动下载并开始在电脑上安装Razer Synapse软件。Razer Synapse是一种允许用户配置他们的硬件设备、设置宏,或映射按钮的软件。并且,Razer声称在全球有超过1亿的用户使用该软件。

然而,安全研究员jonhat在该软件的安装中发现了一个0day漏洞。该漏洞是一个本地权限升级(LPE)的漏洞,这意味着攻击者需要有一个Razer设备,以及对电脑的物理访问。但这同样表示该漏洞很容易被利用,攻击者只需花20美元购买一个Razer鼠标,并将其插入Windows 10就可以成为获取系统权限。

系统权限是Windows中的最高用户权限,允许在操作系统上执行任何命令。从理论上说,如果一个用户在Windows中获得了系统权限,他就可以完全控制系统,安装任何他们想要的东西,包括恶意软件。


普普点评

软件安全是网络安全的基本防线,据统计0day漏洞每年以100%速度增长,而且修复周期极长,极容易成为不法之徒的攻击目标。在软件开发过程中加强安全建设,通过静态代码安全检测等自动化检测工具,从源头保证代码规范安全,及时发现运行时出现的缺陷,在一定程度上减少因代码问题产生的缺陷及安全漏洞并进行修正,从而为软件运行提供一个安全环境,也为后续企业在维护网络安全方面降低成本。


普普安全资讯一周概览(0828-0903)
02


UPS官网被网络钓鱼活动用来分发恶意软件


据国外媒体报道,一个网络钓鱼活动利用UPS官网的一个XSS漏洞来推送伪装成发票文档的恶意软件文件,攻击者假冒UPS发送钓鱼邮件,声称包裹出现异常,需要用户自取,同时提供了一个指向UPS官网的链接,极具欺骗性。

这次网络钓鱼攻击值得关注的一点是,攻击者利用UPS.com中的XSS漏洞将站点的常规页面修改为合法的下载页面。此漏洞允许威胁行为者通过远程Cloudflare worker分发恶意文档,但使其看起来像是直接从UPS.com下载的。

这个网络钓鱼活动的手段非常高明,因为访问URL的用户会看到一个合法的ups.com URL,提示下载发票。这种策略可能会导致即使是经验丰富的受害者也会毫不犹豫地打开发票链接,进而下载恶意文件。据了解,该恶意文件名为“invoice_1Z7301XR1412220178”,是伪装成UPS的运输发票。

当用户打开这个恶意文档时,所有文本都将无法读取,并且文档会提示用户“启用内容”以正确查看它。


普普点评

公海710企业应努力争取零点击。虽然看起来似乎难以达到,但人类向来会为接近目标而自满:10%的容忍率目标往往意味着12%,2%的容忍目标最后会变成5%,而在62.5%的点击后中招率面前,2%的容忍率目标依然会将企业网络暴露在不可接受的风险之中。假设不仅钓鱼活动是重大数据泄露的入口,而是每一次点击都有可能带来泄露风险,业界应大声呼吁“零容忍”。可接受风险的提法应就此终结。

普普安全资讯一周概览(0828-0903)
03


个人数据在暗网的交易价格是多少?


近年来大规模数据泄露事件层出不穷,海量个人隐私数据在暗网上交易,但很少有人知道被泄露数据的“行情”和价格。近日,PrivacyAffairs调查了自2020年以来暗网市场的动态,了解到了一些重点信息。

信用卡信息:余额超过2000美元的被盗银行帐户登录信息,平均价格是120美元;包含CVV号码等详细信息的美国信用卡售价约为17美元;带有PIN码的克隆万事达卡售价约为25美元;账户余额为5000美元的信用卡,详细信息的售价为240美元。加密货币账户:一个被黑的经过验证的Coinbase帐户可以卖到610美元或更多;而经过验证的Kraken帐户可以卖到810美元;Cex.io验证账户的平均售价为710美元。伪造的实物文件:荷兰、波兰和法国护照的平均售价为4000美元。马耳他护照在暗网上的售价高达6000美元。

Privacy Affairs发现,2021年的个人数据销售量远高于去年,假信用卡和ID供应商报告的销售量有数千起,而且价格相比2020年普遍上涨。除了数量之外,在暗网可供购买的商品种类也有所增加。


普普点评

信息化是当今时代发展的大趋势,代表着先进生产力,但随之而来的是信息的泄露与滥用。在高度信息化的社会,无论是企业还是个人都应当树立信息安全意识,在日常工作生活中通过清理遗留信息、拒绝访问未知网络等手段,尽可能减少信息泄露的机会。一个不经意的行为都可能造成个人信息的泄露,与其处理泄露信息后的各种麻烦,不如现在开始从源头做起保护好自己的个人信息。

普普安全资讯一周概览(0828-0903)
04


网络威胁情报团队的新使命


网络威胁情报(CTI)是当下发展最快的网络安全细分领域之一,不仅技术和产品在不断更新和演进,方法论和理念也在迅速发展。

过去几年,无论安全组织是否有专职人员,CTI一直被视为安全组织内的独立支柱,它生成关于组织的各种威胁的报告。如今,CTI已经由一个独立支柱逐渐进化为中心枢纽,为安全组织中的所有职能提供威胁相关的知识和优先级信息。值得注意的是:这种变化需要思维方式和方法的转变。

威胁情报方法的最新发展正在颠覆传统的概念。威胁情报不再是一个独立的支柱,而是应该在每个安全设备、流程和决策事件中吸收和考虑的东西。因此,威胁情报从业者的任务不再是简单地创建“威胁报告”,而是确保安全组织的每个部分都有效地利用威胁情报作为其日常检测、响应任务的一部分,并进行全面的风险管理。

CTI 从业者的新使命是针对安全组织中的每个职能定制威胁情报,并使其成为该职能运营不可或缺的一部分。同时,他们还要学习新的软技能,以确保能够与安全组织中的其他职能部门协作。


普普点评

CTI从业者可以访问各种来源,使他们能够监控网络安全领域、其特定行业或公海710持有的数据中的趋势。与“传统”情报一样,知识共享也可以成为网络情报的主要力量倍增器。虽然不断发展的CTI模型使威胁情报实施变得更加复杂,因为包括了与不同功能的协作,但这种进化也使威胁情报比以往任何时候都更有价值和影响更大。网络威胁情报正在迎来黄金时代。

普普安全资讯一周概览(0828-0903)
05


德国医疗巨头输液泵存在安全漏洞 迈克菲发布研究报告


B.Braun是德国一家全球领先的医用耗材公海710,生产基地遍布世界各地。近日,网络安全公海710迈克菲McAfee高级威胁研究小组披露了这家医疗设备巨头制造的输液泵中的5个安全漏洞,这些漏洞曾将全世界的患者置于一个危险的境地。

输液泵是在逐步普及的一种医疗装置,较之人工输液要更稳定、更便利,常用于需要严格控制输液速度和药物剂量的场景,全球范围内有超过2亿次的静脉输液在使用B.Braun提供的存在漏洞的输液泵。

通过利用这些漏洞,攻击者可以更改输液泵的配置方式,如输液速度、药物剂量,严重威胁到患者的生命安全。这些漏洞很可能会成为攻击者的勒索工具,在患者的生命安全面前,医院往往会屈服于勒索支付给攻击者高额赎金。

之所以会使这种事态成为可能,是因为输液泵的操作系统不检查是从何处获得命令或者是谁向它发送了数据,从而给了攻击者发起远程攻击的操作空间。使用未经授权和未加密的协议也为攻击者提供了多种途径来访问输液泵的内部系统。


普普点评

这并不是首例关于输液泵的安全事件,此前安全研究人员已经发现了多个公海710的输液泵的安全漏洞。另一方面,修补漏洞并不意味着事件已经得到解决,很多医院经常使用过时的设备和软件。据安全研究人员称,多年来,医疗行业在安全领域严重落后于其他行业。信息化进程的发展不是针对某些行业的,而是整个社会。危机总是和新事物同时出现,未来每个行业的信息化发展都离不开信息安全。

普普安全资讯一周概览(0828-0903)
06


40%的SaaS资产面临数据泄露风险


DoControl最近发布的报告显示,当今企业中存在大量无法管理的数据导致外部和内部威胁数量不断增加,尤其是大量SaaS数据暴露。所有SaaS资产中,有40%无人管理,作为公共数据可供内部和外部访问。

SaaS数据暴露使公海710面临风险:

据Gartner称,从2019年到2022年,全球SaaS收入将增长近38%,超过1400亿美元。尽管基于云的应用程序极大地提高了整个企业的效率和生产力,但CIO和CISO往往低估了一个重大威胁——SaaS提供商未经检查和不受管理的数据访问。

随着SaaS应用程序的日益普及,这种威胁呈指数级增长,使企业面临更大的数据泄露风险。作为基准,人员规模平均1,000人的公海710在SaaS应用程序中存储50万到1000万个资产。允许公开共享的公海710资产多达20万项。

报告指出:“过去一年,疫情迫使许多企业与更多第三方合作,并调整其现有员工队伍以支持远程协作。迄今为止,安全从业者专注于以安全的方式启用SaaS访问,现在是他们优先考虑内部和外部数据访问相关性的时候了。”


普普点评

无法管理的数据访问会带来重大风险并增加数据泄露的可能性,虽然 SaaS 应用旨在促进协作,但在这个不断增长的攻击面中,安全团队必须注意大规模的持续数据访问。如何取得便利性和安全性的平衡,是关系到未来SaaS发展的核心问题,目前可通过单租户私有云架构、网络传输加密、双因身份验证、数据访问控制及算法加密等手段在一定程度上保证用户的数据安全。

普普安全资讯一周概览(0828-0903)
07


企业安全漏洞管理失败的三大顽疾


新型冠状病毒给网络安全专业人员带来了巨大工作压力。随着网络安全预算紧张、远程办公的常态化,越来越复杂的威胁形势已经给漏洞管理提出了更加严峻的挑战。

漏洞管理,绝不仅是扫描企业网络是否存在威胁这么简单。漏洞管理的整体方法包括识别、报告、评估和确定暴露的优先级。至关重要的是,它还涉及风险管理背景。漏洞管理的综合方法不仅是扫描安全漏洞,还包括展示攻击者如何利用这些漏洞以及可能发生的后果。研究发现,企业安全漏洞管理工作失败主要有三大原因:

一、管理无序,未进行威胁优先级排序

无法对威胁进行正确优先级排序是企业目前在漏洞管理环境中面临的最严重的问题之一。

二、不能坚持,缺乏连续性管理计划

有效的漏洞管理计划应该是持续的,而不是偶发的。

三、沟通不畅,管理团队架构不清晰

当安全团队没有明确的沟通渠道和正确的组织结构时,一般都会出现问题。团队成员经常没有明确的角色,他们不了解自己在整体漏洞管理框架中的职责。


普普点评

数据泄露数量逐年增加,一次数据泄露就可能导致严重的声誉和财务损失,甚至企业关门倒闭。漏洞管理已经不再只是IT支出的一个分支,它应该是一个关键的业务目标。为了实现高效漏洞管理,企业必须意识到漏洞管理应该是一个持续的、多阶段的过程。当然,在IT部门内部,也应该刮骨疗毒,彻底解决困扰漏洞管理效率的三大顽疾。