1、RSA身份验证SDK(软件开发工具包)出现两个关键漏洞,急需修补!
第一个漏洞--CVE-2017-14377,影响Apache Web服务器的RSA 身份认证。远程用户不需要身份认证,而只需通过发送一个巧妙构思的数据包触发验证错误,这样就可以访问搭到目标主机上的资源。
由于 Apache Web 服务器在RSA身份验证代理时,输入验证时存在漏洞,远程恶意用户可能会绕过用户身份验证,并获得对代理保护的资源的未经授权的访问。未经授权的用户所能获取的权限级别取决于正在使用代理的基础应用程序所设置的授权策略。详见安全公告
只有当Apache Web 服务器的RSA身份验证代理 配置为 使用 TCP协议与RSA 认证管理服务器进行通信时,漏洞才会存在。作为UDP协议作为默认设置的话,就不会受到攻击。请参阅RSA 认证代理 8.x 用于 Apache Web 服务器的安装和配置指南,查询相关配置信息细节。
通过配置认证代理使用UDP来暂时解决这个问题,RSA已经在下面这个地址发布了补丁:
https://community.rsa.com/community/products/securid/authentication-agent-web-apache
第二个严重漏洞--CVE-2017-14378会影响RSA身份验证代理SDK的C版本,使用该SDK开发的任何相关系统都将遭受该漏洞,该漏洞不会影响SDK的Java版本。
版本为8.5和 8.7 的RSA身份验证代理SDK 中,TCP异步模式实现时存在错误处理漏洞,攻击者可以在特定的某些情形下利用这些漏洞绕过身份验证。
版本为 8.5 和 8.6 的针对C的RSA身份验证代理API / SDK 中存在错误处理漏洞,可能导致在某些特定情形下绕过身份验证。当在TCP异步模式下使用API / SDK并且API / SDK的返回值没有被应用程序正确处理时,将会发生此问题。详见安全公告。
正确处理API / SDK返回值的话,(RSA身份验证代理API 中对于 C开发人员指南中记录的编码指南)不会受到攻击。SDK的C版本补丁可以在下面的网址中找到:
https://community.rsa.com/docs/DOC-40601#agents
来源: securityaffairs
本文由看雪翻译小组 fyb波编译
Ursnif 木马变种采用了新的进程注入技术
报道称有黑客目前正在测试针对澳大利亚银行的 Ursnif 木马变种,其中使用了新的进程注入技术。
IBM X-Force 的研究人员表示,今年夏天开始,他们在野外发现有新的恶意软件团伙在测试 Ursnif(或称为 Gozi)木马变种,相较之前版本这些样本有了明显技术上的提升。
IBM 安全顾问 Limor Kessem 在对 Ursnif 木马样本的分析文章中写道:“这一发现非常重要,它表明又有新的黑客团伙加入了网络犯罪,并且专门针对澳大利亚,此前,TrickBot 和 Dridex 等恶意软件团伙已在该地区站稳了脚跟。”
Kessem 还介绍说:“此变种最值得注意的地方是进程注入方式和攻击策略的改变。”
在攻击中,受害者被重定向到黑客团伙控制的虚假网站,为了确保地址栏中显示正确的 URL 和数字证书,恶意软件会保持与合法银行网站的实时连接。恶意者通过注入页面来窃取登录证书、身份验证码和其他个人身份信息,从而避免触发银行的欺诈检测机制。
另外,FireEye 的研究人员在上周发的报告中表示,他们也一直在追踪相同的 Ursnif 木马变种。
FireEye 也注意到该变种使用了恶意 TLS(Thread Local Storage) 回调技术来实现进程的注入。
“我们最近遇到一个 Ursnif/Gozi-ISFB 样本,它通过控制 TLS 回调来注入子进程。虽然许多恶意程序使用 GetThreadContext/SetThreadContext 或 CreateRemoteThread 这些 API 来改变注入时的进程上下文,但此样本中使用了较少人知道的 TLS 回调技术。” 来自 FireEye 威胁研究团队的 Abhay Vaish 和 Sandor Nemes 写道。
多年来,Ursnif 木马一直把攻击地区限在日本、北美、欧洲和澳大利亚,它是在 07 年时发现的,原先主要针对英文的网上银行电汇系统。这种状况在 10 年时发生了变化,当时木马的源代码被意外泄露了,这直接导致了 Ursnif 木马变种的发展。
在最近针对澳大利亚银行的行动中,Ursnif 黑客团伙通过包含虚假电子订单的垃圾邮件来欺骗受害者。
“当点击邮件中的 “审核文档” 按钮后,会下载一个名为 YourMYOBSupply_Order.zip 的 ZIP 文件,” FireEye 介绍道。“而 ZIP 文件中包含一个恶意的 JavaScript 脚本,它会下载并运行 Ursnif/Gozi-ISFB 木马。”
FireEye 和 X-Force 都表示,从这个样本可以看出,有新的恶意软件团伙改进了 Ursnif 的代码,使其更具隐匿性,并且能够逃避杀软的特征检测。
X-Force 补充道:“从 16 到 17 年间,Ursnif(或称为 Gozi)木马在变种发展上一直处于领先。”
此外,10月份时,Ursnif 团伙曾把日本作为首要的攻击地区之一,且行动中的目标不仅仅是银行,还包括了网络邮件系统、云存储服务、货币兑换平台和电子商务网站。
原文链接:https://threatpost.com/ursnif-trojan-adopts-new-code-injection-technique/129072/
本文由看雪翻译小组 BDomne 编译
为让朋友早点出狱,他黑进监狱网络
上周,一个来自密歇根的人承认黑进了沃什特诺县的监狱网络,并修改了朋友的记录,企图使其早点出狱。
Konrads Voits,来自密歇根安阿伯镇 ,27岁,今年早些时候被FBI逮捕。
社工狱警
据外国媒体调查,该男子于今年1月24日到3月10日期间使用邮件钓鱼和电话社工的方式,诱骗狱警在其电脑上下载并运行恶意软件。
他使用“Daniel Greene”的名字,发邮件给狱警,假装希望能够得到法庭记录。而后注册了一个域名与官方网址(ewashtenaw.org)相似的网站"ewashtenavv.org" 。
但是邮件钓鱼并不成功。于是在2月中旬,Voits 改变策略,打电话给当地狱警。
他装成"T.L." and "A.B.,"这两个人现实中均在监狱的IT部门工作。
他让预警们访问特定网站并下载、安装可执行程序,称“升级监狱的系统”。
其中一些狱警成功落入圈套,下载了恶意软件。因此,Voits得以成功进入当地监狱网络,并得到了当地的敏感信息,如X监狱系统、搜索口供书、超过1600个地方政府官员个人信息,包括用户名、密码、email和其他信息等。
警方称,Voits一看到数据后,立即进入X监狱系统,修改了几个朋友的记录,企图让他们早点出狱。
狱警立刻注意到数据被篡改,并迅速报警FBI。当地监狱也立即请专业的网络安全公司清理其IT网络。
Voits将面临10年的牢狱生涯和25万美元罚款,并没收所有用来攻击的电子设备,包括一个笔记本电脑、四个手机、一个电路板和数目不详的比特币。
目前,他仍被拘留中。法院判决2018年4月5号进行量刑庭审。
来源:bleepingcomputer
本文由看雪翻译小组 哆啦咪 编译
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)