FreeBuf周报 | VMware某漏洞一年仍未修补;宜家智能照明系统发现漏洞

2022-11-14 15:25:09 浏览数 (1)

各位 Buffer 周末好,以下是本周「FreeBuf周报」,我们总结推荐了本周的热点资讯、安全事件、一周好文和省心工具,保证大家不错过本周的每一个重点!

热点资讯

1、因滥用 Optus 泄露的数据信息敲诈受害者,19 岁少年被捕

The Hacker News 网站披露,澳大利亚联邦警察(AFP)逮捕了一名来自悉尼的 19 岁青少年,该少年被指控试图利用上月底 Optus 泄露的数据信息,敲诈受害者。

2、泄露约 30 万用户信息,丰田公开道歉

据路透社报道,丰田汽车公司旗下 T-Connect 服务出现安全事故,近三十万用户的个人信息可能已经被攻击者窃取。泄露的信息类型包括用户的电子邮件地址、客户号码等,影响范围包括 2017 年 7 月以来使用电子邮件地址注册服务的用户。

3、400 万条 2K Games 用户数据正在暗网上出售

9 月 20 日,2K 证实其帮助台平台被黑客入侵, 并被通过嵌入式链接向用户推送含有 Redline Stealer 恶意软件的虚假支持票。随后,2K 关闭了其支持门户网站以调查违规行为,并建议收到电子邮件并单击链接的用户重置浏览器存储的密码,检查其帐户是否存在可疑活动。

4、英特尔确认 Alder Lake BIOS 源代码已泄露

英特尔已向知名硬件网站 Tom's Hardware 确认了其第十二代酷睿处理器 Alder Lake 的UEFI BIOS 源代码已经泄露。

5、宜家智能照明系统发现漏洞,可能导致灯泡闪烁恢复出厂设置

研究人员在宜家的智能照明系统中发现了两个漏洞,允许攻击者控制该系统并使灯泡快速闪烁,还可能导致恢复出厂设置。两个漏洞影响了宜家的 E1526 型 Trådfri 网关 1.17.44 及之前版本。该产品的价格约为 80 美元,通常用于照亮书架和梳妆台。

安全事件

1、美国多个机场因网络攻击发生故障,和俄罗斯有关?

亲俄黑客组织 “KillNet ”声称对美国几个主要机场网站进行了分布式拒绝服务(DDoS)攻击,海量垃圾请求淹没了承载机场网站的服务器,导致部分旅客无法获得其预定航班的更新信息,也不能预订机场服务。

2、近一年时间过去了,VMware 的这一漏洞仍悬而未决

VMware 于 10 月 11 日通知客户,vCenter Server 8.0(最新版本)仍在等待补丁来解决 2021 年 11 月披露的高严重性特权提升漏洞。

3、键盘残余热量可能泄露密码,20 秒内拍下键盘热像图,密码泄露 86%

研究结果非常惊人,在 20 秒内拍摄热像图时,密码的还原率为 86%;30 秒内拍摄,密码的还原率为76%;60 秒内拍摄,密码还原率为 62%。

4、芯片制造商 ADATA(威刚)否认遭到 RansomHouse 组织攻击

中国台湾芯片制造商 ADATA(威刚)否认近期遭到来自 RansomHouse 组织的网络攻击。

5、Lazarus 滥用戴尔驱动程序漏洞部署 FudModule Rootkit

究人员发现,臭名昭著的黑客组织 Lazarus 部署了新的 Windows Rootkit,该恶意软件利用了戴尔驱动程序的漏洞。鱼叉邮件攻击在 2021 年秋季开始,已经确认荷兰的一名航空航天专家与比利时的一名政治记者被攻击。ESET 表示,本次攻击活动的主要目标是进行间谍活动与数据盗窃。

一周好文共读

1、2022 产业观察 | 勒索软件锋利的“矛”:漏洞武器化

回顾今年的勒索软件形势和重大事件,我们发现,勒索即服务(RaaS)愈加成熟,旧的恶意软件变体回归,新的变体不断发展,漏洞愈发武器化,勒索生态逐渐工业化。在漏洞数量和复杂性逐年增长的背景下,这些漏洞愈来愈成为勒索组织手中一把趁手的利器。组织遭受勒索攻击的原因不一,缺乏良好的网络习惯、安全预算有限、人力有限、人才缺失、威胁情报不足和各组织之间缺乏透明度… …所谓知己知彼,了解勒索软件的趋势、发展、攻击手段演变十分有必要。

2、”三哥“,核酸信息泄露该管管了!

新冠检测信息这种高敏感数据躲过了黑客攻击,却因人为原因大规模泄露。实时筛出携带新冠病毒个体,可以有效阻隔疫情传播,但检测时需要收集大量民众个人信息,存储、监管如此数量级的数据会存在很大安全风险,更不用说,网络犯罪分子早就盯上了核酸相关信息这块香饽饽。

3、Canary 保护机制及绕过

传统的防御机制之一就是开启 Canary防护,该机制会向我们运行程序的栈底放入一串8字节的随机数据,在函数即将返回时会验证该数据是否发生改变。

若发生改变则说明栈被改变了,直接call进__stack_chk_fail。验证成功则跳到leave 和 ret正常的返回。

省心工具

1、maldev-for-dummies:一款功能强大的恶意软件研究平台

maldev-for-dummies 是一款简单易用的恶意软件研究工具,这个代码库中包含了很多跟恶意软件开发相关的组件工具,可以帮助广大研究人员通过自定义恶意软件,来测试目标系统或产品解决方案的安全性。

2、pax:一款针对 PKCS7 Padding Oracle 攻击的安全研究工具

pax 是一款针对 PKCS7 Padding Oracle 攻击的强大安全研究工具,在该工具的帮助下,广大研究人员可以更好地学习、理解和利用 Padding Oracle 漏洞,并设计出更完善的漏洞检测方案或安全解决方案。

3、Kam1n0:一款功能强大的汇编代码管理和分析平台

Kam1n0 是一款功能强大且易于扩展的汇编代码管理和分析平台,该工具允许用户将一个大型二进制文件集合索引到不同的存储库中,然后它会给广大研究人员提供各种不同的分析服务,例如克隆搜索和分类等等。

0 人点赞