雷蛇被曝0day?

你的鼠標(biāo)和鍵盤可能成為黑客工具

一個(gè)Razer Synapse的0day漏洞在Twitter上被披露，該漏洞允許攻擊者僅僅通過(guò)插入Razer鼠標(biāo)或鍵盤就能獲得Windows的系統(tǒng)權(quán)限。

當(dāng)把Razer設(shè)備插入Windows 10/11時(shí)，操作系統(tǒng)將自動(dòng)下載并開(kāi)始在電腦上安裝Razer Synapse軟件。Razer Synapse是一種允許用戶配置他們的硬件設(shè)備、設(shè)置宏，或映射按鈕的軟件。并且，Razer聲稱在全球有超過(guò)1億的用戶使用該軟件。

然而，安全研究員jonhat在該軟件的安裝中發(fā)現(xiàn)了一個(gè)0day漏洞。該漏洞是一個(gè)本地權(quán)限升級(jí)（LPE）的漏洞，這意味著攻擊者需要有一個(gè)Razer設(shè)備，以及對(duì)電腦的物理訪問(wèn)。但這同樣表示該漏洞很容易被利用，攻擊者只需花20美元購(gòu)買一個(gè)Razer鼠標(biāo)，并將其插入Windows 10就可以成為獲取系統(tǒng)權(quán)限。

系統(tǒng)權(quán)限是Windows中的最高用戶權(quán)限，允許在操作系統(tǒng)上執(zhí)行任何命令。從理論上說(shuō)，如果一個(gè)用戶在Windows中獲得了系統(tǒng)權(quán)限，他就可以完全控制系統(tǒng)，安裝任何他們想要的東西，包括惡意軟件。

軟件安全是網(wǎng)絡(luò)安全的基本防線，據(jù)統(tǒng)計(jì)0day漏洞每年以100%速度增長(zhǎng)，而且修復(fù)周期極長(zhǎng)，極容易成為不法之徒的攻擊目標(biāo)。在軟件開(kāi)發(fā)過(guò)程中加強(qiáng)安全建設(shè)，通過(guò)靜態(tài)代碼安全檢測(cè)等自動(dòng)化檢測(cè)工具，從源頭保證代碼規(guī)范安全，及時(shí)發(fā)現(xiàn)運(yùn)行時(shí)出現(xiàn)的缺陷，在一定程度上減少因代碼問(wèn)題產(chǎn)生的缺陷及安全漏洞并進(jìn)行修正，從而為軟件運(yùn)行提供一個(gè)安全環(huán)境，也為后續(xù)企業(yè)在維護(hù)網(wǎng)絡(luò)安全方面降低成本。

UPS官網(wǎng)被網(wǎng)絡(luò)釣魚(yú)活動(dòng)用來(lái)分發(fā)惡意軟件

據(jù)國(guó)外媒體報(bào)道，一個(gè)網(wǎng)絡(luò)釣魚(yú)活動(dòng)利用UPS官網(wǎng)的一個(gè)XSS漏洞來(lái)推送偽裝成發(fā)票文檔的惡意軟件文件，攻擊者假冒UPS發(fā)送釣魚(yú)郵件，聲稱包裹出現(xiàn)異常，需要用戶自取，同時(shí)提供了一個(gè)指向UPS官網(wǎng)的鏈接，極具欺騙性。

這次網(wǎng)絡(luò)釣魚(yú)攻擊值得關(guān)注的一點(diǎn)是，攻擊者利用UPS.com中的XSS漏洞將站點(diǎn)的常規(guī)頁(yè)面修改為合法的下載頁(yè)面。此漏洞允許威脅行為者通過(guò)遠(yuǎn)程Cloudflare worker分發(fā)惡意文檔，但使其看起來(lái)像是直接從UPS.com下載的。

這個(gè)網(wǎng)絡(luò)釣魚(yú)活動(dòng)的手段非常高明，因?yàn)樵L問(wèn)URL的用戶會(huì)看到一個(gè)合法的ups.com URL，提示下載發(fā)票。這種策略可能會(huì)導(dǎo)致即使是經(jīng)驗(yàn)豐富的受害者也會(huì)毫不猶豫地打開(kāi)發(fā)票鏈接，進(jìn)而下載惡意文件。據(jù)了解，該惡意文件名為“invoice_1Z7301XR1412220178”，是偽裝成UPS的運(yùn)輸發(fā)票。

當(dāng)用戶打開(kāi)這個(gè)惡意文檔時(shí)，所有文本都將無(wú)法讀取，并且文檔會(huì)提示用戶“啟用內(nèi)容”以正確查看它。

公司企業(yè)應(yīng)努力爭(zhēng)取零點(diǎn)擊。雖然看起來(lái)似乎難以達(dá)到，但人類向來(lái)會(huì)為接近目標(biāo)而自滿：10%的容忍率目標(biāo)往往意味著12%，2%的容忍目標(biāo)最后會(huì)變成5%，而在62.5%的點(diǎn)擊后中招率面前，2%的容忍率目標(biāo)依然會(huì)將企業(yè)網(wǎng)絡(luò)暴露在不可接受的風(fēng)險(xiǎn)之中。假設(shè)不僅釣魚(yú)活動(dòng)是重大數(shù)據(jù)泄露的入口，而是每一次點(diǎn)擊都有可能帶來(lái)泄露風(fēng)險(xiǎn)，業(yè)界應(yīng)大聲呼吁“零容忍”?？山邮茱L(fēng)險(xiǎn)的提法應(yīng)就此終結(jié)。

個(gè)人數(shù)據(jù)在暗網(wǎng)的交易價(jià)格是多少？

近年來(lái)大規(guī)模數(shù)據(jù)泄露事件層出不窮，海量個(gè)人隱私數(shù)據(jù)在暗網(wǎng)上交易，但很少有人知道被泄露數(shù)據(jù)的“行情”和價(jià)格。近日，PrivacyAffairs調(diào)查了自2020年以來(lái)暗網(wǎng)市場(chǎng)的動(dòng)態(tài)，了解到了一些重點(diǎn)信息。

信用卡信息：余額超過(guò)2000美元的被盜銀行帳戶登錄信息，平均價(jià)格是120美元；包含CVV號(hào)碼等詳細(xì)信息的美國(guó)信用卡售價(jià)約為17美元；帶有PIN碼的克隆萬(wàn)事達(dá)卡售價(jià)約為25美元；賬戶余額為5000美元的信用卡，詳細(xì)信息的售價(jià)為240美元。加密貨幣賬戶：一個(gè)被黑的經(jīng)過(guò)驗(yàn)證的Coinbase帳戶可以賣到610美元或更多；而經(jīng)過(guò)驗(yàn)證的Kraken帳戶可以賣到810美元；Cex.io驗(yàn)證賬戶的平均售價(jià)為710美元。偽造的實(shí)物文件：荷蘭、波蘭和法國(guó)護(hù)照的平均售價(jià)為4000美元。馬耳他護(hù)照在暗網(wǎng)上的售價(jià)高達(dá)6000美元。

Privacy Affairs發(fā)現(xiàn)，2021年的個(gè)人數(shù)據(jù)銷售量遠(yuǎn)高于去年，假信用卡和ID供應(yīng)商報(bào)告的銷售量有數(shù)千起，而且價(jià)格相比2020年普遍上漲。除了數(shù)量之外，在暗網(wǎng)可供購(gòu)買的商品種類也有所增加。

信息化是當(dāng)今時(shí)代發(fā)展的大趨勢(shì)，代表著先進(jìn)生產(chǎn)力，但隨之而來(lái)的是信息的泄露與濫用。在高度信息化的社會(huì)，無(wú)論是企業(yè)還是個(gè)人都應(yīng)當(dāng)樹(shù)立信息安全意識(shí)，在日常工作生活中通過(guò)清理遺留信息、拒絕訪問(wèn)未知網(wǎng)絡(luò)等手段，盡可能減少信息泄露的機(jī)會(huì)。一個(gè)不經(jīng)意的行為都可能造成個(gè)人信息的泄露，與其處理泄露信息后的各種麻煩，不如現(xiàn)在開(kāi)始從源頭做起保護(hù)好自己的個(gè)人信息。

網(wǎng)絡(luò)威脅情報(bào)團(tuán)隊(duì)的新使命

網(wǎng)絡(luò)威脅情報(bào)(CTI)是當(dāng)下發(fā)展最快的網(wǎng)絡(luò)安全細(xì)分領(lǐng)域之一，不僅技術(shù)和產(chǎn)品在不斷更新和演進(jìn)，方法論和理念也在迅速發(fā)展。

過(guò)去幾年，無(wú)論安全組織是否有專職人員，CTI一直被視為安全組織內(nèi)的獨(dú)立支柱，它生成關(guān)于組織的各種威脅的報(bào)告。如今，CTI已經(jīng)由一個(gè)獨(dú)立支柱逐漸進(jìn)化為中心樞紐，為安全組織中的所有職能提供威脅相關(guān)的知識(shí)和優(yōu)先級(jí)信息。值得注意的是：這種變化需要思維方式和方法的轉(zhuǎn)變。

威脅情報(bào)方法的最新發(fā)展正在顛覆傳統(tǒng)的概念。威脅情報(bào)不再是一個(gè)獨(dú)立的支柱，而是應(yīng)該在每個(gè)安全設(shè)備、流程和決策事件中吸收和考慮的東西。因此，威脅情報(bào)從業(yè)者的任務(wù)不再是簡(jiǎn)單地創(chuàng)建“威脅報(bào)告”，而是確保安全組織的每個(gè)部分都有效地利用威脅情報(bào)作為其日常檢測(cè)、響應(yīng)任務(wù)的一部分，并進(jìn)行全面的風(fēng)險(xiǎn)管理。

CTI 從業(yè)者的新使命是針對(duì)安全組織中的每個(gè)職能定制威脅情報(bào)，并使其成為該職能運(yùn)營(yíng)不可或缺的一部分。同時(shí)，他們還要學(xué)習(xí)新的軟技能，以確保能夠與安全組織中的其他職能部門協(xié)作。

CTI從業(yè)者可以訪問(wèn)各種來(lái)源，使他們能夠監(jiān)控網(wǎng)絡(luò)安全領(lǐng)域、其特定行業(yè)或公司持有的數(shù)據(jù)中的趨勢(shì)。與“傳統(tǒng)”情報(bào)一樣，知識(shí)共享也可以成為網(wǎng)絡(luò)情報(bào)的主要力量倍增器。雖然不斷發(fā)展的CTI模型使威脅情報(bào)實(shí)施變得更加復(fù)雜，因?yàn)榘伺c不同功能的協(xié)作，但這種進(jìn)化也使威脅情報(bào)比以往任何時(shí)候都更有價(jià)值和影響更大。網(wǎng)絡(luò)威脅情報(bào)正在迎來(lái)黃金時(shí)代。

德國(guó)醫(yī)療巨頭輸液泵存在安全漏洞 邁克菲發(fā)布研究報(bào)告

B.Braun是德國(guó)一家全球領(lǐng)先的醫(yī)用耗材公司，生產(chǎn)基地遍布世界各地。近日，網(wǎng)絡(luò)安全公司邁克菲McAfee高級(jí)威脅研究小組披露了這家醫(yī)療設(shè)備巨頭制造的輸液泵中的5個(gè)安全漏洞，這些漏洞曾將全世界的患者置于一個(gè)危險(xiǎn)的境地。

輸液泵是在逐步普及的一種醫(yī)療裝置，較之人工輸液要更穩(wěn)定、更便利，常用于需要嚴(yán)格控制輸液速度和藥物劑量的場(chǎng)景，全球范圍內(nèi)有超過(guò)2億次的靜脈輸液在使用B.Braun提供的存在漏洞的輸液泵。

通過(guò)利用這些漏洞，攻擊者可以更改輸液泵的配置方式，如輸液速度、藥物劑量，嚴(yán)重威脅到患者的生命安全。這些漏洞很可能會(huì)成為攻擊者的勒索工具，在患者的生命安全面前，醫(yī)院往往會(huì)屈服于勒索支付給攻擊者高額贖金。

之所以會(huì)使這種事態(tài)成為可能，是因?yàn)檩斠罕玫牟僮飨到y(tǒng)不檢查是從何處獲得命令或者是誰(shuí)向它發(fā)送了數(shù)據(jù)，從而給了攻擊者發(fā)起遠(yuǎn)程攻擊的操作空間。使用未經(jīng)授權(quán)和未加密的協(xié)議也為攻擊者提供了多種途徑來(lái)訪問(wèn)輸液泵的內(nèi)部系統(tǒng)。

這并不是首例關(guān)于輸液泵的安全事件，此前安全研究人員已經(jīng)發(fā)現(xiàn)了多個(gè)公司的輸液泵的安全漏洞。另一方面，修補(bǔ)漏洞并不意味著事件已經(jīng)得到解決，很多醫(yī)院經(jīng)常使用過(guò)時(shí)的設(shè)備和軟件。據(jù)安全研究人員稱，多年來(lái)，醫(yī)療行業(yè)在安全領(lǐng)域嚴(yán)重落后于其他行業(yè)。信息化進(jìn)程的發(fā)展不是針對(duì)某些行業(yè)的，而是整個(gè)社會(huì)。危機(jī)總是和新事物同時(shí)出現(xiàn)，未來(lái)每個(gè)行業(yè)的信息化發(fā)展都離不開(kāi)信息安全。

40%的SaaS資產(chǎn)面臨數(shù)據(jù)泄露風(fēng)險(xiǎn)

DoControl最近發(fā)布的報(bào)告顯示，當(dāng)今企業(yè)中存在大量無(wú)法管理的數(shù)據(jù)導(dǎo)致外部和內(nèi)部威脅數(shù)量不斷增加，尤其是大量SaaS數(shù)據(jù)暴露。所有SaaS資產(chǎn)中，有40%無(wú)人管理，作為公共數(shù)據(jù)可供內(nèi)部和外部訪問(wèn)。

SaaS數(shù)據(jù)暴露使公司面臨風(fēng)險(xiǎn)：

據(jù)Gartner稱，從2019年到2022年，全球SaaS收入將增長(zhǎng)近38%，超過(guò)1400億美元。盡管基于云的應(yīng)用程序極大地提高了整個(gè)企業(yè)的效率和生產(chǎn)力，但CIO和CISO往往低估了一個(gè)重大威脅——SaaS提供商未經(jīng)檢查和不受管理的數(shù)據(jù)訪問(wèn)。

隨著SaaS應(yīng)用程序的日益普及，這種威脅呈指數(shù)級(jí)增長(zhǎng)，使企業(yè)面臨更大的數(shù)據(jù)泄露風(fēng)險(xiǎn)。作為基準(zhǔn)，人員規(guī)模平均1,000人的公司在SaaS應(yīng)用程序中存儲(chǔ)50萬(wàn)到1000萬(wàn)個(gè)資產(chǎn)。允許公開(kāi)共享的公司資產(chǎn)多達(dá)20萬(wàn)項(xiàng)。

報(bào)告指出：“過(guò)去一年，疫情迫使許多企業(yè)與更多第三方合作，并調(diào)整其現(xiàn)有員工隊(duì)伍以支持遠(yuǎn)程協(xié)作。迄今為止，安全從業(yè)者專注于以安全的方式啟用SaaS訪問(wèn)，現(xiàn)在是他們優(yōu)先考慮內(nèi)部和外部數(shù)據(jù)訪問(wèn)相關(guān)性的時(shí)候了?！?/p>

無(wú)法管理的數(shù)據(jù)訪問(wèn)會(huì)帶來(lái)重大風(fēng)險(xiǎn)并增加數(shù)據(jù)泄露的可能性，雖然 SaaS 應(yīng)用旨在促進(jìn)協(xié)作，但在這個(gè)不斷增長(zhǎng)的攻擊面中，安全團(tuán)隊(duì)必須注意大規(guī)模的持續(xù)數(shù)據(jù)訪問(wèn)。如何取得便利性和安全性的平衡，是關(guān)系到未來(lái)SaaS發(fā)展的核心問(wèn)題，目前可通過(guò)單租戶私有云架構(gòu)、網(wǎng)絡(luò)傳輸加密、雙因身份驗(yàn)證、數(shù)據(jù)訪問(wèn)控制及算法加密等手段在一定程度上保證用戶的數(shù)據(jù)安全。

企業(yè)安全漏洞管理失敗的三大頑疾

新型冠狀病毒給網(wǎng)絡(luò)安全專業(yè)人員帶來(lái)了巨大工作壓力。隨著網(wǎng)絡(luò)安全預(yù)算緊張、遠(yuǎn)程辦公的常態(tài)化，越來(lái)越復(fù)雜的威脅形勢(shì)已經(jīng)給漏洞管理提出了更加嚴(yán)峻的挑戰(zhàn)。

漏洞管理，絕不僅是掃描企業(yè)網(wǎng)絡(luò)是否存在威脅這么簡(jiǎn)單。漏洞管理的整體方法包括識(shí)別、報(bào)告、評(píng)估和確定暴露的優(yōu)先級(jí)。至關(guān)重要的是，它還涉及風(fēng)險(xiǎn)管理背景。漏洞管理的綜合方法不僅是掃描安全漏洞，還包括展示攻擊者如何利用這些漏洞以及可能發(fā)生的后果。研究發(fā)現(xiàn)，企業(yè)安全漏洞管理工作失敗主要有三大原因：

一、管理無(wú)序，未進(jìn)行威脅優(yōu)先級(jí)排序

無(wú)法對(duì)威脅進(jìn)行正確優(yōu)先級(jí)排序是企業(yè)目前在漏洞管理環(huán)境中面臨的最嚴(yán)重的問(wèn)題之一。

二、不能堅(jiān)持，缺乏連續(xù)性管理計(jì)劃

有效的漏洞管理計(jì)劃應(yīng)該是持續(xù)的，而不是偶發(fā)的。

三、溝通不暢，管理團(tuán)隊(duì)架構(gòu)不清晰

當(dāng)安全團(tuán)隊(duì)沒(méi)有明確的溝通渠道和正確的組織結(jié)構(gòu)時(shí)，一般都會(huì)出現(xiàn)問(wèn)題。團(tuán)隊(duì)成員經(jīng)常沒(méi)有明確的角色，他們不了解自己在整體漏洞管理框架中的職責(zé)。

數(shù)據(jù)泄露數(shù)量逐年增加，一次數(shù)據(jù)泄露就可能導(dǎo)致嚴(yán)重的聲譽(yù)和財(cái)務(wù)損失，甚至企業(yè)關(guān)門倒閉。漏洞管理已經(jīng)不再只是IT支出的一個(gè)分支，它應(yīng)該是一個(gè)關(guān)鍵的業(yè)務(wù)目標(biāo)。為了實(shí)現(xiàn)高效漏洞管理，企業(yè)必須意識(shí)到漏洞管理應(yīng)該是一個(gè)持續(xù)的、多階段的過(guò)程。當(dāng)然，在IT部門內(nèi)部，也應(yīng)該刮骨療毒，徹底解決困擾漏洞管理效率的三大頑疾。