普普每日安全资讯一周概览(01.23—01.29)
在疫情肆虐的背景下,网络攻击活动日益猖獗。2020年底曝出的年度供应链APT攻击事件中,美国众多政府机构、安全和IT公司沦陷。在日益复杂的网络攻击面前,没有任何机构可以幸免。增强网络弹性,打造快速的恢复能力日益受到关注。网络安全策略的重点从攻击预防转变为增强网络弹性:既然入侵不能避免,考虑维持业务正常运营,从攻击中快速恢复过来才是更现实的选择。作为网络安全行业的风向标,将于5月份举办的RSAC峰会宣布以“弹性(RESILIENCE)”作为今年大会的主题。这表明网络弹性已得到网络安全产业界的共同关注,将对网络安全创新乃至信息化带来越来越重要的影响。由于网络安全风险的多样性、复杂性和不可预见性,保证网络空间绝对的安全是不现实的。因此,网络安全的工作重点逐渐从阻止网络事故的发生转向缓解事故带来的危害,网络弹性的概念就出现了。NIST SP 800-160(卷2)将网络弹性定义为:预防、抵御、恢复和适应施加于含有网络资源的系统的不利条件、压力、攻击或损害的能力。网络弹性的目的是使系统具有预防、抵御网络攻击的能力,以及在遭受网络攻击后能够恢复和适应的能力。实现网络弹性的五个步骤:
1)了解资产;2)了解供应链;3)保持良好安全习惯;4)制定恢复计划;5)开展网络攻击演习。
网络安全是难以预测的领域之一,我们能做的是洞察攻击方法的趋势、威胁态势的变化、了解新技术以及暗流涌动的“网络犯罪经济”、提供关于未来的最佳“猜测”。是的,虽然标题是预测,但以下更多只是猜测和“抛砖”。1、勒索软件“勇猛精进”:根据预测,到2021年,企业将每11秒遭受一次勒索软件攻击,每年所有加密货币交易中的70%以上将用于非法活动;持续攻击医疗基础设施可能会导致严重后果,2020年,勒索软件攻击已经制造了数个命案,2021年,更多人可能会因网络攻击死亡。2、零日攻击与加密货币:针对流行操作系统和应用程序的零日攻击仍会是一个大麻烦。恶意行为者将故技重施,出售漏洞利用程序的犯罪团伙将获得高额回报。加密货币仍然是一种“流通性”和隐蔽性很强的支付手段。3、汽车黑客“崛起”:以电动汽车、自动驾驶和联网汽车为代表的汽车数字化时代已经到来。2021新年,特斯拉Model Y在中国市场10小时售出10万台。但很少有人注意到,特斯拉也是安全漏洞赏金支出最高的汽车企业。汽车产业数字化和智能化面临的最大威胁是黑客攻击。与家用WiFi路由器和空调传感器相比,汽车堪称高动量的“大规模杀伤性武器”,由数百万联网冰箱和摄像头组成的僵尸网络,可以瘫痪半个美国的互联网,但却无法伤及一条人命。但是大量联网电动汽车一旦成为网络犯罪分子的猎物,其后果不堪设想。我们讨论的将不再是物联网安全或者消费者隐私问题,而是大规模的恐怖袭击和创纪录的勒索赎金。2021年,我们很可能看到针对自动驾驶系统的多种形式的攻击。4、内部威胁风险加大:无论是“删库跑路”还是接受贿赂或泄露账户信息,内部威胁风险将加大。这里所说的内部,还包括那些能够访问内部系统的合作伙伴。因为越来越多的攻击者开始选择从供应链中的薄弱环节,例如规模较小安全能力不成熟的企业入手,进而攻击上游或下游企业。5、5G打开安全威胁的潘多拉盒子:5G网络引入的新的网络关键技术,一定程度上带来了新的安全威胁和风险。就汽车安全而言,我们讨论的将不再是物联网安全或者消费者隐私问题,而是大规模的恐怖袭击和创纪录的勒索赎金。
1月17日,某论坛流出消息:“QQ会读取网页浏览器的历史记录”。随后,该内容被链接到知乎上提问,引发广泛关注。事情曝出后,腾讯QQ在其知乎官方号上做出回应:近日,我们收到外部反馈称PC QQ扫描读取浏览器历史记录。对此,QQ安全团队高度重视并展开调查,发现PC QQ存在读取浏览器历史用以判断用户登录安全风险的情况,读取的数据用于在PC QQ的本地客户端中判断是否恶意登录。所有相关数据不会上传至云端,不会储存,也不会用于任何其他用途。同时腾讯做出道歉:对本次事件,我们深表歉意,内部正梳理历史问题并强化用户数据访问规范。目前,已经更换了检测恶意和异常请求的技术逻辑去解决上述安全风险问题,并发布全新的PC QQ版本。事件爆出后,陆续也有程序员进行复现,发现QQ读取浏览器历史的行为包括:读取浏览器浏览历史,对读取到的url进行md5,并在本地进行比较,在md5匹配的情况下,上传相应分组ID。其实,很多App都存在越权访问的问题,而大数据时代下的安全问题也非一朝一夕可以攻克的。不过,我们还是希望企业可以重视隐私保护问题,为中国创造大数据时代下的一片净土。
Windows 10又现诡异Bug:使用Chrome浏览器访问特定路径立即蓝屏这些年来Windows 10出现了很多的诡异Bug。例如,就在前几天,我们报道过一个可能会破坏硬盘驱动器的错误。现在,一个导致Windows崩溃的bug的细节已经出现,但微软似乎并不急于修复它。这个错误是由之前发现NTFS缺陷的同一位安全研究员Jonas Lykkegaard发现的。他发现通过访问Chrome浏览器中的某个路径,Windows10会以BSoD(蓝屏死机)的方式崩溃。尽管Lykkegaard早在几个月前就公开了该漏洞的细节,但微软仍未拿出修复方案。BSoD漏洞非常容易执行,目前还不知道该漏洞的全部后果。Lykkegaard发现,使用Chrome访问路径\.\globalroot\device\condrv\kernelconnect会导致Windows 10中的BSoD崩溃。BleepingComputer进行的测试显示,从Windows 10版本1709一直到20H2的每一个版本的Windows 10中都可以发现这个bug,很大可能也影响旧版本。虽然像这样简单的崩溃可能看起来相当无害,但它是一些可以被攻击者利用以掩盖其他活动,或阻止受害者使用他们的计算机。这个错误甚至可以通过简单地给受害者发送一个指向问题路径的快捷方式文件来触发。在给BleepingComputer的一份声明中,微软表示。'微软有客户承诺调查报告的安全问题,我们将尽快为受影响的设备提供更新'。尽管有这样的承诺,但没有迹象表明相当何时可能提供修复。
生命中只有三件事无可避免:死亡、税收和云安全漏洞。如今整个世界都已经开始往云端迁移,但是云安全(包括公有云和混合云)的安全漏洞却依然如牛皮癣广告般顽固。事实上,云安全问题之所以持续发作,自有其难言之隐。在高度动态的云环境中管理风险和漏洞并不容易。而企业加速迁移(尤其是疫情期间)到公共云,建立数字化竞争优势的迫切需求进一步放大了这种风险。更加糟糕的是,很多安全团队使用的实践方法、政策和工具,尤其是漏洞管理,通常是本地计算占主导地位的时代的产物,已经无法适应“云优先”和“云原生”环境。最根本的问题在于云环境中传统漏洞管理方法的局限性是显而易见的。云环境通常是高度动态且短暂的,容器的平均寿命仅为数小时。通过诸如漏洞扫描之类的常规工具来保护容器是困难的,有时甚至是不可能的。由于存在周期太短,扫描程序通常无法识别容器。更复杂的是,即便扫描工具能够识别正在运行的容器,通常也无法提供任何评估方法。如果没有IP地址或SSG登录,则无法运行凭据扫描。如果我们想降低重大云安全事件的数量和损失,就必须创建一个能够真实反映组织所面临的实际安全挑战的漏洞管理流程。选择适当的工具只是实现这一目标的重要步骤之一。
网络安全专家称,SolarWinds Orion网络管理平台遭受的攻击是针对美国政府网络和很多大型公司数据基础架构的最严重黑客攻击之一。该攻击于2020年12月发现,该供应链攻击影响着多个美国联邦政府机构,包括商务部、能源部和国土安全部门。此次攻击的消息迫使思科和微软等大型上市公司加强网络分析活动,以便及时识别和缓解异常情况,避免中断运营。在此次攻击曝光后,SolarWinds宣布对其Orion平台进行更新,攻击该平台等恶意软件名为Supernova。根据SolarWinds的调查,攻击者通过利用Orion平台中的漏洞来部署恶意软件,大约有18,000个客户受此攻击影响。为了应对SolarWinds的黑客攻击,这些公司需要部署Orion更新,并仔细检查其网络的各个方面,以识别恶意软件在何处启动。调查人员在研究该恶意软件攻击时,发现称为Sunburst的后门程序,该后门程序使黑客能够接收有关受感染计算机的报告。然后,黑客利用这些数据来确定要进一步利用的系统。企业必须采取措施,以确保网络外围安全、信息系统和数据安全,并且,企业应将网络保护和网络安全视为关键任务。
近日,Qualys研究小组发现了sudo中一个隐藏了十年的堆溢出漏洞(CVE-2021-3156,命名:Baron Samedit),包括Linux在内的几乎所有Unix主流操作系统都存在该漏洞。通过利用此漏洞,任何没有特权的用户都可以使用默认的sudo配置在易受攻击的主机上获得root特权(无需密码)。Sudo是一个功能强大的实用程序,大多数(如果不是全部)基于Unix和Linux的操作系统都包含Sudo。它允许用户使用其他用户的root权限运行程序。Qualys发现的这个sudo提权漏洞已经隐藏了将近十年,它于2011年7月在一次提交中被引入(提交8255ed69),在默认配置下会影响从1.8.2到1.8.31p2的所有旧版本,以及从1.9.0到1.9.5p1的所有稳定版本。通过利用该漏洞,任何没有特权的(本地)用户都可以在易受攻击的主机上获得root特权。Qualys安全研究人员已经能够独立验证漏洞并开发多种利用形式,并在Ubuntu 20.04(Sudo 1.8.31)、Debian 10(Sudo 1.8.27)和Fedora 33(Sudo 1.9.2)上获得完整的root用户特权。其他操作系统和发行版也可能会被利用。该sudo漏洞于2011年的一次提交引入,已达10年之久,考虑到sudo的普遍性以及该漏洞容易被利用,该漏洞应该属于高危评级的,建议用户尽快加载补丁。