作者： 腾讯安全

微软于5月15日发布的远程桌面服务代码执行漏洞（CVE-2019-0708）可导致远程控制的利用代码已被Metasploit公开发布，经测试真实可用，该漏洞危害极高，风险堪比之前出现的“永恒之蓝”漏洞，可能引发蠕虫传播、木马挖矿及勒索病毒等风险。

互联网飞速发展为人们的生活带来了便利，但同时也给一群利欲熏心的不法分子创造了活动的空间。 在虚拟的网络世界中利用技术进行犯罪，明目张胆地进行CDN劫持、招摇过市的DDoS攻击，带来的却是真金白银的收益。与巨大利益相比，网络犯罪的风险则显得极小，黑产团伙有如附骨之疽，寄生在广袤的网络空间之中，吸食着企业和用户的血液。 面对黑产，一味被动的防御显然不是最佳的手段，只有修炼内功，并外化配合司法打击，才能...

产业互联网时代，“上云”已经成为各行各业数字化转型过程中的关键一步，“云载万物”是未来世界的写照，“云安全”也因此显得更为重要。互联一切，连接未来，同样也需要所有正义的白帽子的力量。 基于此，TSRC将于8月19日9时至8月31日18时针对腾讯云官方运维产品，在特定的域名范围开展为期两周的专项漏洞征集活动。TSRC联合云鼎实验室，共同努力确保云上业务的整体安全。 最高四倍积分！ 月度1-5万元即时...

善攻者，敌不知其所守；善守者，敌不知其所攻——《孙子兵法》 网络安全圈流传着这样一句话：世界上只有两种企业，一种是知道已经被黑客入侵的企业，另一种则是被入侵却浑然不知的企业。 尽管这样的说法可能言过其实，但不可否认的是，潜藏在暗中的黑客无时不刻都在伺机发动攻击，窃取企业数据资产、破坏生产系统；而看不见的交易，在暗网上每分每秒都在进行。 2014年2月，在世界上最早的比特币交易平台——日本的Mt. ...

对于一场战争而言，情报战早在双方短兵相接之前就已经打响，谁能掌握更多、更精准的情报，往往就掌控了战场的主动权，有更大的把握赢得胜利，甚至能取得以弱胜强、以少胜多的战果。在作家麦家的小说《暗算》中，拥有独特天赋能够从纷繁复杂的信号中辨别出敌方电台、截获秘密情报的工作者，被称为“听风者”。   （电影《听风者》剧照） 在腾讯，也有这样一群“云上听风者”。他们通过自主研发的情报监测系统和高效的...

漏洞太多，及时获取情报也很重要

建议使用到Exim组件的用户及时开展安全自查。

云鼎实验室建议您及时开展安全自查。

5月6-8 日，QCon 全球软件开发大会（北京）2019在北京国际会议中心举办，100+国内外资深技术大咖带来涉及 26+热门领域的重磅议题分享。 大会第二天的“云安全攻与防”专题论坛上，腾讯安全云鼎实验室负责人董志强（Killer）作为专题出品人，携手业内经验丰富的安全专家共同带来了一场干货满满的议题分享，内容包含对云上数据泄露问题探讨、对网络黑产的透视、对中小互联网公司落地云安全的建议、以及...

全球黑客盛大的节日之一——GeekPwn1024黑客嘉年华选手招募再度开启。 产业互联网时代，“上云”已经成为各行各业数字化转型过程中的关键一步，“云载万物”是未来世界的写照。作为全球首个关注人工智能与专业安全的前沿平台，GeekPwn 联合腾讯安全云鼎实验室覆盖云计算的“全栈”环境，共同发起首个基于真实云平台的云安全挑战赛，目前，GeekPwn正面向全球安全研究者发出诚挚邀请，汇聚一众高手于云端...

漏洞背景 2 月 20 日 Drupal 官方披露了一个 Drupal 的远程命令执行漏洞： https://www.drupal.org/sa-core-2019-003 漏洞的触发条件为开启了 RESTful Web Services，且允许 POST / PATCH 请求。 根据 Drupal 的配置，此漏洞可能不需要任何权限即可触发，但普适性不高。一旦该漏洞被利用，攻击者则可以直接在 We...

2018年，区块链项目在这一年上演着冰与火之歌，年初火爆的比特币在一年时间内跌去八成。除了巨大的市场波动之外，区块链领域本身的安全问题也逐渐凸显，与之相关的社会化问题不断显现。 “勒索”、“盗窃”、“非法挖矿”是区块链项目数字加密货币的三大安全威胁，其中云主机用户面临的首要安全问题是非法挖矿。 非法挖矿一般分为基于文件的挖矿和基于浏览器的挖矿。由于云主机用户一般不使用浏览器访问网页，故基于浏览器的...

2018年，是 IoT 高速发展的一年，从空调到电灯，从打印机到智能电视，从路由器到监控摄像头统统都开始上网。随着5G网络的发展，我们身边的 IoT 设备会越来越多。与此同时，IoT 的安全问题也慢慢显露出来。 腾讯安全云鼎实验室对 IoT 安全进行了长期关注，本文通过云鼎实验室听风威胁感知平台收集的 IoT 安全情报进行分析，从IoT 的发展现状、IoT 攻击的常见设备、IoT 攻击的主要地区和...

密码朋克奠定了互联网的许多底层技术和通信协议，从 RSA 到 HTTPS，从 Tor 到区块链。上一篇聊了暗网，这次我想聊聊它背后的密码学。 密码学远不是一篇文章可以聊清楚，大概连当目录都不够。因此，我的目标仅仅是，写一篇小学生也能懂的密码学入门。   信息和编码 看过一个有意思的说法，宇宙如此纷繁，但归根结底就是三件事：信息、结构和通信。物质则是一种结构化的信息。 整个宇宙无尽的信息汪...

“暗网”， 一个原本局限在IT行业和部分不法群体中的名词，却在2018年不断刷新大众的认知。在媒体报道中，“暗网”常与“个人信息”、“勒索”、“黑市”等字眼相伴，化身为各类犯罪信息汇聚和违法交易横行的“不法之地”。 由于“暗网” 需要通过特殊的加密通道访问，极具匿名性和隐蔽性，访问者和服务器都难以被溯源，导致人性的丑恶在此毫无遮掩。 早年间隐匿于暗网的海盗湾（The Pirate Bay）曾被称为...