雷蛇被曝0day?

你的鼠標(biāo)和鍵盤可能成為黑客工具

一個Razer Synapse的0day漏洞在Twitter上被披露，該漏洞允許攻擊者僅僅通過插入Razer鼠標(biāo)或鍵盤就能獲得Windows的系統(tǒng)權(quán)限。

當(dāng)把Razer設(shè)備插入Windows 10/11時，操作系統(tǒng)將自動下載并開始在電腦上安裝Razer Synapse軟件。Razer Synapse是一種允許用戶配置他們的硬件設(shè)備、設(shè)置宏，或映射按鈕的軟件。并且，Razer聲稱在全球有超過1億的用戶使用該軟件。

然而，安全研究員jonhat在該軟件的安裝中發(fā)現(xiàn)了一個0day漏洞。該漏洞是一個本地權(quán)限升級（LPE）的漏洞，這意味著攻擊者需要有一個Razer設(shè)備，以及對電腦的物理訪問。但這同樣表示該漏洞很容易被利用，攻擊者只需花20美元購買一個Razer鼠標(biāo)，并將其插入Windows 10就可以成為獲取系統(tǒng)權(quán)限。

系統(tǒng)權(quán)限是Windows中的最高用戶權(quán)限，允許在操作系統(tǒng)上執(zhí)行任何命令。從理論上說，如果一個用戶在Windows中獲得了系統(tǒng)權(quán)限，他就可以完全控制系統(tǒng)，安裝任何他們想要的東西，包括惡意軟件。

軟件安全是網(wǎng)絡(luò)安全的基本防線，據(jù)統(tǒng)計(jì)0day漏洞每年以100%速度增長，而且修復(fù)周期極長，極容易成為不法之徒的攻擊目標(biāo)。在軟件開發(fā)過程中加強(qiáng)安全建設(shè)，通過靜態(tài)代碼安全檢測等自動化檢測工具，從源頭保證代碼規(guī)范安全，及時發(fā)現(xiàn)運(yùn)行時出現(xiàn)的缺陷，在一定程度上減少因代碼問題產(chǎn)生的缺陷及安全漏洞并進(jìn)行修正，從而為軟件運(yùn)行提供一個安全環(huán)境，也為后續(xù)企業(yè)在維護(hù)網(wǎng)絡(luò)安全方面降低成本。

UPS官網(wǎng)被網(wǎng)絡(luò)釣魚活動用來分發(fā)惡意軟件

據(jù)國外媒體報(bào)道，一個網(wǎng)絡(luò)釣魚活動利用UPS官網(wǎng)的一個XSS漏洞來推送偽裝成發(fā)票文檔的惡意軟件文件，攻擊者假冒UPS發(fā)送釣魚郵件，聲稱包裹出現(xiàn)異常，需要用戶自取，同時提供了一個指向UPS官網(wǎng)的鏈接，極具欺騙性。

這次網(wǎng)絡(luò)釣魚攻擊值得關(guān)注的一點(diǎn)是，攻擊者利用UPS.com中的XSS漏洞將站點(diǎn)的常規(guī)頁面修改為合法的下載頁面。此漏洞允許威脅行為者通過遠(yuǎn)程Cloudflare worker分發(fā)惡意文檔，但使其看起來像是直接從UPS.com下載的。

這個網(wǎng)絡(luò)釣魚活動的手段非常高明，因?yàn)樵L問URL的用戶會看到一個合法的ups.com URL，提示下載發(fā)票。這種策略可能會導(dǎo)致即使是經(jīng)驗(yàn)豐富的受害者也會毫不猶豫地打開發(fā)票鏈接，進(jìn)而下載惡意文件。據(jù)了解，該惡意文件名為“invoice_1Z7301XR1412220178”，是偽裝成UPS的運(yùn)輸發(fā)票。

當(dāng)用戶打開這個惡意文檔時，所有文本都將無法讀取，并且文檔會提示用戶“啟用內(nèi)容”以正確查看它。

公司企業(yè)應(yīng)努力爭取零點(diǎn)擊。雖然看起來似乎難以達(dá)到，但人類向來會為接近目標(biāo)而自滿：10%的容忍率目標(biāo)往往意味著12%，2%的容忍目標(biāo)最后會變成5%，而在62.5%的點(diǎn)擊后中招率面前，2%的容忍率目標(biāo)依然會將企業(yè)網(wǎng)絡(luò)暴露在不可接受的風(fēng)險(xiǎn)之中。假設(shè)不僅釣魚活動是重大數(shù)據(jù)泄露的入口，而是每一次點(diǎn)擊都有可能帶來泄露風(fēng)險(xiǎn)，業(yè)界應(yīng)大聲呼吁“零容忍”?？山邮茱L(fēng)險(xiǎn)的提法應(yīng)就此終結(jié)。

個人數(shù)據(jù)在暗網(wǎng)的交易價格是多少？

近年來大規(guī)模數(shù)據(jù)泄露事件層出不窮，海量個人隱私數(shù)據(jù)在暗網(wǎng)上交易，但很少有人知道被泄露數(shù)據(jù)的“行情”和價格。近日，PrivacyAffairs調(diào)查了自2020年以來暗網(wǎng)市場的動態(tài)，了解到了一些重點(diǎn)信息。

信用卡信息：余額超過2000美元的被盜銀行帳戶登錄信息，平均價格是120美元；包含CVV號碼等詳細(xì)信息的美國信用卡售價約為17美元；帶有PIN碼的克隆萬事達(dá)卡售價約為25美元；賬戶余額為5000美元的信用卡，詳細(xì)信息的售價為240美元。加密貨幣賬戶：一個被黑的經(jīng)過驗(yàn)證的Coinbase帳戶可以賣到610美元或更多；而經(jīng)過驗(yàn)證的Kraken帳戶可以賣到810美元；Cex.io驗(yàn)證賬戶的平均售價為710美元。偽造的實(shí)物文件：荷蘭、波蘭和法國護(hù)照的平均售價為4000美元。馬耳他護(hù)照在暗網(wǎng)上的售價高達(dá)6000美元。

Privacy Affairs發(fā)現(xiàn)，2021年的個人數(shù)據(jù)銷售量遠(yuǎn)高于去年，假信用卡和ID供應(yīng)商報(bào)告的銷售量有數(shù)千起，而且價格相比2020年普遍上漲。除了數(shù)量之外，在暗網(wǎng)可供購買的商品種類也有所增加。

信息化是當(dāng)今時代發(fā)展的大趨勢，代表著先進(jìn)生產(chǎn)力，但隨之而來的是信息的泄露與濫用。在高度信息化的社會，無論是企業(yè)還是個人都應(yīng)當(dāng)樹立信息安全意識，在日常工作生活中通過清理遺留信息、拒絕訪問未知網(wǎng)絡(luò)等手段，盡可能減少信息泄露的機(jī)會。一個不經(jīng)意的行為都可能造成個人信息的泄露，與其處理泄露信息后的各種麻煩，不如現(xiàn)在開始從源頭做起保護(hù)好自己的個人信息。

網(wǎng)絡(luò)威脅情報(bào)團(tuán)隊(duì)的新使命

網(wǎng)絡(luò)威脅情報(bào)(CTI)是當(dāng)下發(fā)展最快的網(wǎng)絡(luò)安全細(xì)分領(lǐng)域之一，不僅技術(shù)和產(chǎn)品在不斷更新和演進(jìn)，方法論和理念也在迅速發(fā)展。

過去幾年，無論安全組織是否有專職人員，CTI一直被視為安全組織內(nèi)的獨(dú)立支柱，它生成關(guān)于組織的各種威脅的報(bào)告。如今，CTI已經(jīng)由一個獨(dú)立支柱逐漸進(jìn)化為中心樞紐，為安全組織中的所有職能提供威脅相關(guān)的知識和優(yōu)先級信息。值得注意的是：這種變化需要思維方式和方法的轉(zhuǎn)變。

威脅情報(bào)方法的最新發(fā)展正在顛覆傳統(tǒng)的概念。威脅情報(bào)不再是一個獨(dú)立的支柱，而是應(yīng)該在每個安全設(shè)備、流程和決策事件中吸收和考慮的東西。因此，威脅情報(bào)從業(yè)者的任務(wù)不再是簡單地創(chuàng)建“威脅報(bào)告”，而是確保安全組織的每個部分都有效地利用威脅情報(bào)作為其日常檢測、響應(yīng)任務(wù)的一部分，并進(jìn)行全面的風(fēng)險(xiǎn)管理。

CTI 從業(yè)者的新使命是針對安全組織中的每個職能定制威脅情報(bào)，并使其成為該職能運(yùn)營不可或缺的一部分。同時，他們還要學(xué)習(xí)新的軟技能，以確保能夠與安全組織中的其他職能部門協(xié)作。

CTI從業(yè)者可以訪問各種來源，使他們能夠監(jiān)控網(wǎng)絡(luò)安全領(lǐng)域、其特定行業(yè)或公司持有的數(shù)據(jù)中的趨勢。與“傳統(tǒng)”情報(bào)一樣，知識共享也可以成為網(wǎng)絡(luò)情報(bào)的主要力量倍增器。雖然不斷發(fā)展的CTI模型使威脅情報(bào)實(shí)施變得更加復(fù)雜，因?yàn)榘伺c不同功能的協(xié)作，但這種進(jìn)化也使威脅情報(bào)比以往任何時候都更有價值和影響更大。網(wǎng)絡(luò)威脅情報(bào)正在迎來黃金時代。

德國醫(yī)療巨頭輸液泵存在安全漏洞 邁克菲發(fā)布研究報(bào)告

B.Braun是德國一家全球領(lǐng)先的醫(yī)用耗材公司，生產(chǎn)基地遍布世界各地。近日，網(wǎng)絡(luò)安全公司邁克菲McAfee高級威脅研究小組披露了這家醫(yī)療設(shè)備巨頭制造的輸液泵中的5個安全漏洞，這些漏洞曾將全世界的患者置于一個危險(xiǎn)的境地。

輸液泵是在逐步普及的一種醫(yī)療裝置，較之人工輸液要更穩(wěn)定、更便利，常用于需要嚴(yán)格控制輸液速度和藥物劑量的場景，全球范圍內(nèi)有超過2億次的靜脈輸液在使用B.Braun提供的存在漏洞的輸液泵。

通過利用這些漏洞，攻擊者可以更改輸液泵的配置方式，如輸液速度、藥物劑量，嚴(yán)重威脅到患者的生命安全。這些漏洞很可能會成為攻擊者的勒索工具，在患者的生命安全面前，醫(yī)院往往會屈服于勒索支付給攻擊者高額贖金。

之所以會使這種事態(tài)成為可能，是因?yàn)檩斠罕玫牟僮飨到y(tǒng)不檢查是從何處獲得命令或者是誰向它發(fā)送了數(shù)據(jù)，從而給了攻擊者發(fā)起遠(yuǎn)程攻擊的操作空間。使用未經(jīng)授權(quán)和未加密的協(xié)議也為攻擊者提供了多種途徑來訪問輸液泵的內(nèi)部系統(tǒng)。

這并不是首例關(guān)于輸液泵的安全事件，此前安全研究人員已經(jīng)發(fā)現(xiàn)了多個公司的輸液泵的安全漏洞。另一方面，修補(bǔ)漏洞并不意味著事件已經(jīng)得到解決，很多醫(yī)院經(jīng)常使用過時的設(shè)備和軟件。據(jù)安全研究人員稱，多年來，醫(yī)療行業(yè)在安全領(lǐng)域嚴(yán)重落后于其他行業(yè)。信息化進(jìn)程的發(fā)展不是針對某些行業(yè)的，而是整個社會。危機(jī)總是和新事物同時出現(xiàn)，未來每個行業(yè)的信息化發(fā)展都離不開信息安全。

40%的SaaS資產(chǎn)面臨數(shù)據(jù)泄露風(fēng)險(xiǎn)

DoControl最近發(fā)布的報(bào)告顯示，當(dāng)今企業(yè)中存在大量無法管理的數(shù)據(jù)導(dǎo)致外部和內(nèi)部威脅數(shù)量不斷增加，尤其是大量SaaS數(shù)據(jù)暴露。所有SaaS資產(chǎn)中，有40%無人管理，作為公共數(shù)據(jù)可供內(nèi)部和外部訪問。

SaaS數(shù)據(jù)暴露使公司面臨風(fēng)險(xiǎn)：

據(jù)Gartner稱，從2019年到2022年，全球SaaS收入將增長近38%，超過1400億美元。盡管基于云的應(yīng)用程序極大地提高了整個企業(yè)的效率和生產(chǎn)力，但CIO和CISO往往低估了一個重大威脅——SaaS提供商未經(jīng)檢查和不受管理的數(shù)據(jù)訪問。

隨著SaaS應(yīng)用程序的日益普及，這種威脅呈指數(shù)級增長，使企業(yè)面臨更大的數(shù)據(jù)泄露風(fēng)險(xiǎn)。作為基準(zhǔn)，人員規(guī)模平均1,000人的公司在SaaS應(yīng)用程序中存儲50萬到1000萬個資產(chǎn)。允許公開共享的公司資產(chǎn)多達(dá)20萬項(xiàng)。

報(bào)告指出：“過去一年，疫情迫使許多企業(yè)與更多第三方合作，并調(diào)整其現(xiàn)有員工隊(duì)伍以支持遠(yuǎn)程協(xié)作。迄今為止，安全從業(yè)者專注于以安全的方式啟用SaaS訪問，現(xiàn)在是他們優(yōu)先考慮內(nèi)部和外部數(shù)據(jù)訪問相關(guān)性的時候了?！?/p>

無法管理的數(shù)據(jù)訪問會帶來重大風(fēng)險(xiǎn)并增加數(shù)據(jù)泄露的可能性，雖然 SaaS 應(yīng)用旨在促進(jìn)協(xié)作，但在這個不斷增長的攻擊面中，安全團(tuán)隊(duì)必須注意大規(guī)模的持續(xù)數(shù)據(jù)訪問。如何取得便利性和安全性的平衡，是關(guān)系到未來SaaS發(fā)展的核心問題，目前可通過單租戶私有云架構(gòu)、網(wǎng)絡(luò)傳輸加密、雙因身份驗(yàn)證、數(shù)據(jù)訪問控制及算法加密等手段在一定程度上保證用戶的數(shù)據(jù)安全。

企業(yè)安全漏洞管理失敗的三大頑疾

新型冠狀病毒給網(wǎng)絡(luò)安全專業(yè)人員帶來了巨大工作壓力。隨著網(wǎng)絡(luò)安全預(yù)算緊張、遠(yuǎn)程辦公的常態(tài)化，越來越復(fù)雜的威脅形勢已經(jīng)給漏洞管理提出了更加嚴(yán)峻的挑戰(zhàn)。

漏洞管理，絕不僅是掃描企業(yè)網(wǎng)絡(luò)是否存在威脅這么簡單。漏洞管理的整體方法包括識別、報(bào)告、評估和確定暴露的優(yōu)先級。至關(guān)重要的是，它還涉及風(fēng)險(xiǎn)管理背景。漏洞管理的綜合方法不僅是掃描安全漏洞，還包括展示攻擊者如何利用這些漏洞以及可能發(fā)生的后果。研究發(fā)現(xiàn)，企業(yè)安全漏洞管理工作失敗主要有三大原因：

一、管理無序，未進(jìn)行威脅優(yōu)先級排序

無法對威脅進(jìn)行正確優(yōu)先級排序是企業(yè)目前在漏洞管理環(huán)境中面臨的最嚴(yán)重的問題之一。

二、不能堅(jiān)持，缺乏連續(xù)性管理計(jì)劃

有效的漏洞管理計(jì)劃應(yīng)該是持續(xù)的，而不是偶發(fā)的。

三、溝通不暢，管理團(tuán)隊(duì)架構(gòu)不清晰

當(dāng)安全團(tuán)隊(duì)沒有明確的溝通渠道和正確的組織結(jié)構(gòu)時，一般都會出現(xiàn)問題。團(tuán)隊(duì)成員經(jīng)常沒有明確的角色，他們不了解自己在整體漏洞管理框架中的職責(zé)。

數(shù)據(jù)泄露數(shù)量逐年增加，一次數(shù)據(jù)泄露就可能導(dǎo)致嚴(yán)重的聲譽(yù)和財(cái)務(wù)損失，甚至企業(yè)關(guān)門倒閉。漏洞管理已經(jīng)不再只是IT支出的一個分支，它應(yīng)該是一個關(guān)鍵的業(yè)務(wù)目標(biāo)。為了實(shí)現(xiàn)高效漏洞管理，企業(yè)必須意識到漏洞管理應(yīng)該是一個持續(xù)的、多階段的過程。當(dāng)然，在IT部門內(nèi)部，也應(yīng)該刮骨療毒，徹底解決困擾漏洞管理效率的三大頑疾。