研究人员披露新的 Steam 客户端零日漏洞,影响超过 9600 Windows 用户

Kravets 此次公布的 Steam 客户端零日漏洞是一种特权升级漏洞,将影响超过 9600 万用户。首个 Steam 客户端零日漏洞就是被 Kravets 发现的,但在 Valve 解决此漏洞之后,研究员  Xiaoyin Liu  发现并披露了绕过 Valve 的补丁的方法。结果Valve 不仅没有奖励 Kravets,还禁止他参加赏金计划。Kravets 发现,攻击者可以利用 Steam 客户端服务的 NT AUTHORITY \ SYSTEM 特权,通过运行可执行文件实现特权升级。据专家解释,此方法使用了 BaitAndSwitch,是一种为了赢得 TOCTOU(检查时间\使用时间)而将链接和 oplock 的创建相结合的技术。黑客利用Steam游戏、Windows应用程序或操作系统本身的漏洞获得远程代码执行权限,并在权限提升之后使用 SYSTEM 权限运行恶意负载。

参考来源:

http://hackernews.cc/archives/27115

 

4CAN——寻找车载计算机漏洞的新工具

Allied Market Research公司的预测,到2025年,全球互联网汽车的市场规模将超过2250亿美元。为了确保汽车上网的安全性,思科在这方面投入了大量资源。其下属的客户评估与渗透团队(CX APT)由来自NDSNeohapsisPortcullis的专家组成,专为全球客户提供各种安全评估和模拟攻击服务,且专精于找出互联网车辆中的各种漏洞。在最近的一次研讨中,Connected Vehicle Security practice发现市场上缺乏一款汽车安全评估的工具。为了给现代互联网汽车的安全性做出过贡献,Connected Vehicle Security practice已经编写并开源一款名为4CAN的硬件工具(附带软件),这对所有汽车安全研究人员都是件好事。我们希望4CAN能让安全研究人员和汽车制造商迅速找到车载电脑的潜在漏洞,让汽车在交到用户手上前就变得更安全。

参考来源:

https://nosec.org/home/detail/2896.html

 

乌克兰核电站雇员联外网挖矿

美国司法部长 William Barr 表示,为了确保执法部门能访问加密通信,消费者应该接受加密后门对个人网络安全构成的风险。加密消息应用的流行让执法机关难以查看加密通信,后门是执法机构希望看到的一种解决方案。但安全专家指出,加密后门会对消费者个人网络安全构成严重风险。Barr 对此表示,风险的重要性应当根据对消费者网络安全的实际影响,以及所提供产品对社会构成的净风险的关系来进行评估。他承认加密后门是一种安全降级,但认为这种风险是可以接受的,因为加密后门牵涉到的只是消费者产品和服务如智能手机、消息应用和电子邮件,而不是国家的核武器发射代码。设备提供无法破解的加密而不向执法部门提供任何访问的观点是“站不住脚的”。

参考来源:

https://www.solidot.org/story?sid=61466

 

德国万事达信用卡信息泄露 9万名用户受影响

据欧联网援引欧联通讯社报道,近日,德国有近9万个万事达(Mastercard)信用卡用户的信息,一度出现在网络上。万事达公司对此已经做出反应。据报道,德国一个网络论坛19日出现任何人都能打开的Excel表格,上面列出近9万名德国万事达信用卡用户的信息。这些所泄露的资料全部都是来自参与了万事达信用卡奖励计划“Princeless Specials”用户的信息,其中包括姓名、邮箱地址、信用卡号码的前两位数及最后四位数,有的还包括用户住址和手机号码。万事达公司随后宣布,暂时关闭对德国开放不到两年的“Princeless Specials”平台,并表示,公司对待个人隐私非常严肃,会全面调查泄密原因。万事达还强调,该事件与平台的支付系统没有关系。

参考来源:

https://nosec.org/home/detail/2895.html

 

窃听风云“”通天大盗黑客视角了解网络安全风险

据统计,目前全国各预警平台平均每天产生的信息网络诈骗预警数据量超过20万条,2018年信息网络诈骗全国预警数据超过3800万。2019北京网络安全大会23日落下帷幕。为普及网络安全知识,这次大会专门设置了网络风险体验区,从黑客攻击的视角,通过互动体验方式让大家了解日常网络风险,学习防范技巧。“窃听风云”体验区模拟的是手机远程窃听。当用户连接到被黑客恶意篡改后的WiFi后,如果使用未经安全检测的APP软件,黑客不仅能在用户未感知的情况下读取手机中的各类私人信息和文件,还能远程控制操作手机摄像头、麦克风。在“通天大盗”体验区,工作人员演示了用小黑盒干扰开启电子门禁的技术。此外,大会现场还有黑客改号软件体验和模拟苹果ID钓鱼、支付宝退款诈骗等仿真网络陷阱互动体验。据统计,目前全国各预警平台平均每天产生的信息网络诈骗预警数据量超过20万条,2018年信息网络诈骗全国预警数据超过3800万。

参考来源:

https://www.cnbeta.com/articles/tech/882019.htm

 

网络钓鱼骗子转战Instagram 窃取用户信息

Instagram用户目前成为新的网络钓鱼活动的目标,该活动使用登录尝试警告以及类似双因素身份验证(2FA)代码的内容,以使骗局更加可信。骗子使用网络钓鱼诱骗潜在的受害者,他们通过各种社会工程技术控制欺诈性网站传递敏感信息并窃取用户信息。在这种情况下,攻击者在此活动后分发的网络钓鱼电子邮件使用虚假的Instagram登录警报,说明有人试图登录目标帐户,要求他们通过邮件中链接的登录页面确认其身份。

参考来源:

https://www.leiphone.com/news/201908/JsgxyTBkuLGmjaeY.html

 

福建打击电信网络犯罪出新招:最长5年内不许新入网

福建省通信管理局与福建省公安厅出台了《福建省涉电信网络新型违法犯罪不良信用通信网用户管理意见 (试行)》。该《意见》明确,涉电信网络新型违法犯罪不良信用通信网用户是指使用电话、短信、互联网等信息传输媒介实施涉嫌诈骗、妨害信用卡管理、侵犯公民个人信息、洗钱等违法犯罪的人员。不良信用用户来源依据为设区市及以上公安部门认定的涉嫌涉案犯罪人员、通信工具登记人员以及工信部、公安部通报的涉嫌犯罪通信工具登记人员。《意见》决定对此类不良信用通信网用户限制周期实施分级动态管理,按照涉案情况采用三级管理,限制周期分别为 5 年、2 年、1 年。用户在限制周期内,无法办理通信产品新入网业务,只可保留一个手机或固话号码,并且不能注销后重新办理号码。

参考来源:

http://www.chinanews.com/

作者 中国电信安全帮

在线安全服务电商,中国电信北京研究院出品。