网络空间安全:行业资讯、技术分享、法规研讨、趋势分析……

“游侠安全网”创建了网络安全从业者QQ大群(群号:1255197) ,欢迎各位同仁加入!有其它问题如合作等,请联系站长“网路游侠”,QQ:55984512


【安全帮】联想和技嘉服务器固件发现可利用的漏洞

2019-07-19 09:11 推荐: 浏览: 23 views 字号:

摘要: 联想和技嘉服务器固件发现可利用的漏洞 Eclypsium 的研究人员披露了联想和技嘉服务器所使用的 BMC 固件发现的漏洞。该漏洞可用于向固件植入恶意程序,使其难以探测或在硬盘格式化后仍然存在。但要利用漏洞,攻击者需要已经拥有管理员权限。漏洞存在于 Verti...

联想和技嘉服务器固件发现可利用的漏洞

Eclypsium 的研究人员披露了联想和技嘉服务器所使用的 BMC 固件发现的漏洞。该漏洞可用于向固件植入恶意程序,使其难以探测或在硬盘格式化后仍然存在。但要利用漏洞,攻击者需要已经拥有管理员权限。漏洞存在于 Vertiv MergePoint EMS 基板管理控制器(BMC)固件内,该产品被用于联想的服务器产品和技嘉的服务器主板。研究人员在 2018 7 月报告给了联想,11 月联想释出了补丁;今年 3 月又在技嘉的主板相同固件内发现了漏洞。研究人员发现了两个问题,其一时固件更新前没有执行加密签名检查,因此可被攻击者安装恶意固件;其二是 shell 命令注入漏洞。

参考来源:

https://www.cnbeta.com/articles/tech/869267.htm

 

微软警告上万客户他们成为国家支持黑客的目标

微软周三表示,过去一年它警告了上万客户他们的账号成为国家支持黑客的目标。部分用户的账号被成功入侵,大部分则只是被攻击。这些目标大部分是企业账号,只有少数是消费者账号。微软称,来自伊朗、朝鲜和俄罗斯的五个黑客组织最为活跃,其中一个伊朗的黑客组织被称为 Holmium aka APT33,该组织的目标主要是总部位于美国、沙特和韩国的国防、商业航空和石化领域的组织。微软识别的另一个黑客组织是来自俄罗斯的 Strontium aka Fancy Bear APT28,另外三个组织是俄罗斯的 Yttrium,朝鲜的 Thallium 和伊朗的 Mercury

参考来源:

https://www.solidot.org/story?sid=61399

 

火绒安全:灰色产业链成病毒传播最大渠道 流量生意或迎来最后的疯狂

劫持浏览器、刷取流量等行为是流氓软件常见行为,而随着安全厂商持续打击、普通用户的安全意识提升,让病毒团伙、流氓软件厂商的获利空间被逐渐压缩。近期,“火绒威胁情报系统”监测到,病毒团伙为了获取更多的利润,开始与广告推广平台“合作”暗刷流量,以此欺骗用户和广告主、对抗安全厂商。这种病毒和广告联盟协同暗刷坑害广告主的行为、这种近乎癫狂的传播模式,似乎在宣告“流量生意”的彻底黑化。据监测,万能压缩、万能看图、Clover等多款软件正在静默推广后门程序“眼睛的守护神”,截至目前,已有几十万用户被捆绑安装该后门程序。该后门程序被捆绑安装至用户电脑后,会通过远程服务器下载病毒 ,并静默推广鲁大师手机模拟大师等其它多款软件。通过查验签名得知,“眼睛守护神”的数字签名与其下发的病毒签名相同,或系同一家病毒软件厂商所为。参考来源:

https://www.cnbeta.com/articles/tech/868843.htm

 

贷款应用可暴露数百万国人的位置

数据库、个人身份信息(PII)以及数百万中国用户的实时位置被阿里云基础设施托管的开放式弹性集群泄露。在申请贷款时,国人使用的100多个移动贷款相关应用程序将高度敏感的信息添加到可公开访问的数据库中。根据国外研究机构的报告,最初发现数据泄漏的研究员这些服务器的所有者并不知情,后来阿里云才下架了这些数据库。

参考来源:

https://www.freebuf.com/

 

前微软工程师利用测试账号窃取千万美元微软商店礼品卡

前微软软件工程师,25岁的Volodymyr Kvashuk周二被捕,被控邮件欺诈罪,他利用测试账号窃取了前雇主千万美元的商店信用。在任职期间,他是微软 Universal Store Team 团队成员,其工作与电子商务业务相关。该团队成员可以设置测试账号测试购买而不需要花钱,测试账号会被加入到白名单,不会受到安全系统的监督。微软没有想到的是测试者会去购买商店的数字礼品卡,然后充值到账号,购买商店产品,大部分以打折价转售给其他人。他的薪水大约为 11 万美元,但在短时间内他给自己购买了一辆 16 万美元的特斯拉汽车,还购买了 160 万美元的房子。虽然他使用了假账号隐藏身份,利用比特币混合服务隐藏区块链交易记录,但最终被识别为嫌疑人。他将面临最高 20 年徒刑和25万美元罚款。

参考来源:

https://www.solidot.org/story?sid=61400

 

F-Secure 开发平台让用户轻松找到各大科技公司收集的数据

为了让用户们关注个人隐私这件事变得更加容易,F-Secure开发了Data Discovery Portal。虽然所有大型科技公司都让用户知道他们收集了哪些数据,但看起来他们对此的宣布做得并不好,很多时候人们并不知道应该去哪里找这些东西。数据发现门户就解决了这个难题。F-Secure表示,它提供这一工具是公司日益关注身份保护的一部分工作。身份保护可以在数据泄露之前、期间和之后保护到消费者。

参考来源:

http://hackernews.cc/archives/26479

 

研究人员报告称在 Play 商店发现 7 个跟踪软件后 谷歌下架了这些应用

安全软件公司Avast周三表示,其在Android市场上发现了7个跟踪软件(stalkerware)。这些应用的安装次数已经超过13万次。在Avast周二报告隐私侵权行为后,谷歌下架了其中的四个应用程序,并在周三下架了剩下的三个。谷歌表示,其政策禁止商业间谍软件应用程序,并鼓励人们报告任何违反其标准的应用程序。跟踪软件应用程序通常构成为儿童安全或查找被盗手机而设计的软件,但它们主要用于在个人关系中跟踪人们的滥用者。他们能够跟踪和发送位置数据,以及提供联系人、通话记录和短信。

参考来源:

http://hackernews.cc/archives/26474

联系站长租广告位!

中国首席信息安全官


关闭


关闭