Buf早餐铺 | 汽车CAN协议曝严重漏洞;《权力的游戏》社交网络帐号被黑;威胁情报没意思,Flashpoint启动情报学院

摘要

《权力的游戏》正在没完没了的泄露,你感觉到腻味了吗?FreeBuf 编辑部甚至已经开始怀疑 HBO 是否恶意侵占我们的头条,所以当 HBO 和《权力的游戏》Facebook 和 Twitter 帐号被黑之后,我们再度给了 HBO 进入早餐铺的机会。所以说,要出名的方式有很多,泄露和被黑是其中一种途经。


《权力的游戏》正在没完没了的泄露,你感觉到腻味了吗?FreeBuf 编辑部甚至已经开始怀疑 HBO 是否恶意侵占我们的头条,所以当 HBO 和《权力的游戏》Facebook 和 Twitter 帐号被黑之后,我们再度给了 HBO 进入早餐铺的机会。所以说,要出名的方式有很多,泄露和被黑是其中一种途经。

今天 Buf 早餐铺的主要内容有:iOS 的 Secure Enclave 固件密钥竟然被公开了?Flashpoint启动 Intelligence Academy 情报研究院;CAN 协议曝出严重漏洞,可禁用汽车中的安全功能;苏格兰议会成员邮箱账户遭遇暴力攻击,与6月英国议会被攻击事件类似。

Buf早餐铺 | 汽车CAN协议曝严重漏洞;《权力的游戏》社交网络帐号被黑;威胁情报没意思,Flashpoint启动情报学院

【安全漏洞】

黑客可以利用 CAN 协议中的严重漏洞,禁用汽车中的安全功能

现如今的汽车很多都采用电子线控系统,汽车的许多功能,从仪表组到制动、转向和加速器都是电子控制的。虽然这些系统能让驾车体验更好,但也增加了安全风险。最近趋势科技FRT团队的研究人员发现一种新的攻击方式,可禁用此类汽车的安全气囊和安全系统,影响到大量汽车制造商和汽车型号。

他们发现了 CAN 协议中的一个严重安全漏洞,CAN 是用于汽车网络各部分组件通讯的协议。黑客利用该漏洞可关闭关键安全功能,如安全气囊、动力转向、停车传感器、防抱死制动等等。由于 CAN 的广泛应用,所以漏洞不仅限于某些车型,而是几乎所有当代可连接互联网的车型。

攻击主要针对的是 CAN 中的信息系统,信息在此被称为“frames”。漏洞存在于 CAN 处理错误的过程中,设备读取 frame 之上某些值的时候会生成错误。设备检测到此类事件后,将错误信息写到 CAN 总线上,撤回错误 frame,通知其它设备忽略此 frame。用这种错误信息让系统过载,攻击者就能让设备进入 Bus Off 状态,随后攻击者可反激活安全气囊之类的关键系统。不过这个攻击过程还是需要攻击者接触到汽车才行。该漏洞无法通过 OTA 升级修复,需要修改 CAN 标准才行,所以对于现有汽车而言是无法补救的。[来源:TheHackerNews]

Buf早餐铺 | 汽车CAN协议曝严重漏洞;《权力的游戏》社交网络帐号被黑;威胁情报没意思,Flashpoint启动情报学院

更早版本的 Chrome 浏览器曝远程代码执行漏洞,谷歌不打算修复

一名不愿署名的安全研究人员最近发现了 Chrome 浏览器中的一个远程代码执行漏洞,影响到各版本的 Chrome,唯有最新版的 Chrome 60 不存在该漏洞。谷歌方面则表示他们并不打算修复该漏洞,因为最新版本的 Chrome 中不存在此漏洞。

这名研究人员主动将问题提交给了 Beyond Security,昨天 Beyond Security 公开了 PoC 代码重现此漏洞。漏洞存在于 Chrome 的 Turbofan 组件中,这个组件是用来优化 JavaScript 代码的。

攻击过程要求用户访问攻击者控制的网站,攻击者可在浏览器中执行代码,攻击者可窃取相关浏览器的数据,其中并未提到可实现沙盒逃逸且在 PC 级别执行代码。从 Clicky 的数据来看,Chrome 市场份额 59% ,其中一半在用 Chrome 60 ,也就是说仍有 1/10 的用户由于该漏洞暴露于安全风险中。当前不清楚该漏洞是否影响到 Chromium 项目及其它浏览器。[来源:BleepingComputer]

Buf早餐铺 | 汽车CAN协议曝严重漏洞;《权力的游戏》社交网络帐号被黑;威胁情报没意思,Flashpoint启动情报学院

福昕 PDF 阅读器曝两个严重 0day 漏洞

研究人员最近发现 Foxit 福昕 PDF 阅读器中的 2 个严重漏洞,攻击者利用漏洞可在目标设备上执行任意代码。其中漏洞 CVE-2017-10951 是个命令注入漏洞,另外的 CVE-2017-10952 则是文件写入漏洞。攻击者发送恶意构造的 PDF 文件给用户,并诱使其打开文件就能触发这两个漏洞。

Foxit 方面则表示不会修复这两个漏洞,因为这两个漏洞在“安全阅读模式”下是无效的,默认情况下福昕阅读器就是以该模式打开文件的。不过研究人员认为,如果攻击者找到方法绕过安全阅读模式,则漏洞危害会很严重。

其中 CVE-2017-10951 漏洞存在于 app.launchURL 函数中,由于缺乏必要的验证,执行攻击者提供的字符即可实现命令注入。而 CVE-2017-10952 存在于 “saveAs” JS 函数中,攻击者可在目标系统任意位置写入任意文件。[来源:TheHackerNews]

Buf早餐铺 | 汽车CAN协议曝严重漏洞;《权力的游戏》社交网络帐号被黑;威胁情报没意思,Flashpoint启动情报学院

【行业动态】

Flashpoint 启动 Intelligence Academy 情报学院,业务风险不只是提供 IoC 那么简单

为了将单纯的情报分析和业务理解结合起来,Flashpoint 发布了 Flashpoint 情报学院(FIA),旨在帮助企业理解如何构建行动计划,拥抱完全融合的 BRI 情报。BRI 也就是业务风险情报,这个概念很容易理解,但实践起来并不简单。不同的网络安全控制功能通常都是独立的,仅作一些简单的互联,但实际上网络安全也是业务的组成部分。

风险本身不应该是独立的,风险影响到整个业务。风险管理需要关联对待,应该分析业务风险,而不光是网络风险—— BRI 绝不仅仅是网络和内部风险,还应该包含“全球风险、欺诈、反洗钱、执行保护和物理安全等”,这些风险存在关联性。针对风险的解决方案是威胁情报,但大部分威胁情报源并未联合,这要求风险管理人员订阅各种威胁情报,而且其实情报也仅限于网络范畴内。对于 BRI 而言,需要融合更多的因素,比如地缘政治、潜在汇率波动、员工差旅安排等等。而且传统威胁情报主要集中在 IoC,对于支撑风险决策流程是没什么效果的。

为了帮助企业取得业务风险的全盘视野,Flashpoint 提供其自家的 BRI 服务,为客户收集情报,并进行分析。但并非所有企业都知道如何使用这些情报。Flashpoint 的 BRI 首席顾问 Brian Mohr 及其团队,在和国家情报机关和大型国际企业合作方面有多年的经验,基于此 FIA 就诞生了。Mohr 表示要将经验转化到为客户构建情报项目方面,真正帮助客户减少整体风险,而不光是阻挡 IoC。FIA 就是达成这一目标的项目。FIA 提供基础、中级和高级讲习,针对参与到 BRI 的所有企业组织开放,而且不仅限于 Flashpoint 客户。[来源:SecurityWeek]

Buf早餐铺 | 汽车CAN协议曝严重漏洞;《权力的游戏》社交网络帐号被黑;威胁情报没意思,Flashpoint启动情报学院

【系统安全】

有黑客公开了 iOS 的 Secure Enclave 固件解密密钥

上周四一名黑客公布据说是苹果 iOS Secure Enclave Processor(SEP)固件的解密密钥,有关什么是 SEP 的问题,FreeBuf 先前曾撰文提到过,Secure Enclave 类似于苹果版本的 TrustZone 解决方案,是在通用处理器中处理 Touch ID 指纹、密钥等敏感信息操作的区域。

这名黑客昵称 xerub,他说密钥仅能解锁 SEP 固件,不会对用户数据造成影响。苹果方面也表示,如果该密钥是有效的,用户数据不会受到影响,但苹果没有确认该密钥的有效性。如果密钥有效,则研究人员和攻击者就可以对其进行研究测试,发现漏洞,了解其中运行方式。

xerub 并未提供有关他如何获得该密钥的细节。安全专家则认为,这件事可能不是坏事,安全研究人员和黑客都可以寻找其中的 BUG,有机会令其变得更安全。实际上到目前为止有关 Secure Enclave 的公开信息都很少。[参考来源:ThreatPost]

Buf早餐铺 | 汽车CAN协议曝严重漏洞;《权力的游戏》社交网络帐号被黑;威胁情报没意思,Flashpoint启动情报学院

谷歌 Play Store 出现存在 GhostClicker 广告程序的 340 款 App

趋势科技最近发现一种名为 GhostClicker 的 Android 广告程序家族,当前谷歌 Play Store 官方商店的 340 款 App 中就藏有这款恶意程序。Play Store 出现恶意 App 已经不算新鲜事,这么多案例都表明 Play Store 安全检查是存在较大问题的,Play Store 甚至已经成为恶意程序利用分发的温床。一般来说恶意程序绕过 Play Store 的安全检查,靠的是将恶意行为切分成多个组件,并延迟其执行,采用反沙盒检查机制在测试环境中不产生恶意行为。

GhostClickers 将恶意代码分散到 GMS API 和 Facebook 广告 SDK 中,随后还利用反沙盒检查技术,所以 GhostClicker 秘密存在了一年时间,开发者从去年 8 月份就开始将包含恶意代码的 App 上传到 Play Store 了。这款恶意程序仅点击谷歌 AdMob 平台的广告内容,另外通过在其它 App 展示弹出广告来进行流量重定向。不过 GhostClicker 并不存在窃取用户个人信息的行为。[参考来源:BleepingComputer]

Buf早餐铺 | 汽车CAN协议曝严重漏洞;《权力的游戏》社交网络帐号被黑;威胁情报没意思,Flashpoint启动情报学院

【国际时事】

《权力的游戏》和 HBO 的官方 Twitter、Facebook 帐号被黑

HBO 和《权力的游戏》是近期 FreeBuf 关注的焦点,被黑、泄露、自己泄露各种剧情推进。最新消息显示,HBO 和《权力的游戏》官方 Twitter 和 Facebook 帐号都被黑,帐号被黑客组织接管。沙特阿拉伯的OurMine黑客组织宣布对本次入侵负责,他们在两个Twitter和Facebook帐号中留下信息说只是在测试HBO团队的安全,“请联系我们来对安全做升级”。

OurMine 的战绩以往就尤为突出,先前黑过 Facebook CEO 扎克伯格和谷歌 CEO Sundai Pichai, 还有不少大公司 CEO 的社交媒体帐号,不过实际上他们主要是通过早前泄露事件中泄露的身份凭证来获取目标的帐号控制权。不过 OurMine 并没有对帐号进行破坏。据说他们还提供报价最高 5000 美元的服务,可“扫描”社交媒体帐号、站点安全漏洞和其它安全漏洞,并且还有入侵帐号的商业服务。不知道接下来,HBO 会不会继续成为泄露焦点。[来源:TheHackerNews]

Buf早餐铺 | 汽车CAN协议曝严重漏洞;《权力的游戏》社交网络帐号被黑;威胁情报没意思,Flashpoint启动情报学院

苏格兰议会成员邮箱账户遭遇暴力攻击,与 6 月英国议会被攻击事件类似

苏格兰议会最近遭遇“暴力攻击”,此次攻击和 6 月份英国议会遭遇的攻击类似。攻击者对议会成员的邮箱账户进行暴力攻击,企图非法访问议会成员邮件。6 月份英国议会层遭遇过这样的攻击,导致 IT 部门关闭外部访问来缓解产生的威胁。

外媒报道称本次攻击来自“外部源”。据说其内部部署的“网络安全措施”发现了本次攻击,而且系统仍保持运转状态。MSP 议会成员已经被要求检查密码安全性并对其进行加强,针对弱密码要作重置。当前尚无证据表明有账户被攻陷。值得一提的是,6 月针对英国威斯敏斯特系统的攻击疑似为俄罗斯国家支持的黑客所为。[来源:SecurityAffairs]

* 欧阳洋葱整理编译,转载请注明来自 FreeBuf.COM

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: