Positive Technologies 的研究人员 Alexander Popov 在 Linux 内核中发现了 5 个高度严重的漏洞,这些漏洞可能导致本地特权提升。问题出在于 net/vmw_vsock/af_vsock.c 中的错误锁定。CONFIG_VSOCKETS 和 CONFIG_VIRTIO_VSOCKETS 在所有主流的 Linux 发行版中均作为内核模块提供。当为 AF_VSOCK 创建套接字时,会自动加载易受攻击的模块。这可用于非特权用户,并且不需要用户名称空间。这些漏洞是由于 net/vmw_vsock/af_vsock.c 中的错误锁定导致的,已在 2019 年 11 月引入到 commits c0cfa2d8a788fcf4 和 6a2c0962105ae8ce 中,增加了对 VSOCK 多传输支持。这些提交已合并到 Linux 内核 v5.5-rc1 中,编号为 CVE-2021-26708,相关 issue 于 2019 年 11 月在 5.5 版内核中提出,CVSS 得分为 7.0。另外,专家成功开发了 PoC,可用于在 Fedora 33 Server 上进行本地权限提升,它可以绕过 x86_64 平台保护,例如 SMEP 和 SMAP。补丁已合并到主线内核版本 5.11-rc7 中,在这之前的版本都会受到影响。Popov 在过去发现了其他 Linux 内核漏洞,包括 CVE-2019-18683 和 CVE-2017-2636。
发布时间:2021-03-05
发布平台:SecurityAffairs
原文链接:
https://securityaffairs.co/wordpress/115296/security/privilege-escalation-flaws-linux-kernel.html
REvil 勒索软件团伙采取 DDoS 和语音对受害者持续施压
REvil (Sodinokibi) 勒索软件运营商宣布,他们正在使用 DDoS 攻击,并向受害者的商业伙伴和记者发出语音,迫使受害者支付赎金。该公告显示了双重勒索策略的一种改进,该策略不仅限于威胁受害者在不支付赎金的情况下泄露被盗文件。根据 Bleepingcomputer 的说法,2 月,REvil 勒索软件团伙发布了一份工作通知,他们在寻找相关专家进行 DDoS 攻击并使用 VOIP 与受害者及其商业伙伴联系。一个名为 3xp0rt 的恶意软件研究人员称,REvil 运营商正在向其分支机构网络提供新的选择,以向受害者施加压力。
发布时间:2021-03-07
发布平台:SecurityAffairs
原文链接:
https://securityaffairs.co/wordpress/115345/cyber-crime/revil-ransomware-ddos-voice-calls.html
立陶宛国家安全部发布的年度国家安全威胁评估报告指出,与俄罗斯有关联的 APT 组织在 2020 年最后一次对立陶宛高级官员进行了网络攻击。APT29 还利用立陶宛的基础设施对 "开发 COVID-19 疫苗的外国实体" 进行了攻击。2020 年,由于 COVID-19 出现,俄罗斯对立陶宛的情报行动有所减少,但与俄罗斯有关联的 APT 组织针对全球目标的网络间谍活动有所增加。国家安全部门负责人 Darius Jauniskis 在向国会提交报告时告诉立陶宛议员:"尽管如此,俄罗斯情报部门仍对立陶宛的国家安全构成重大威胁。" Jauniskis 解释说,俄罗斯政府正在使用军事和经济手段开展其行动,包括虚假宣传运动。该报告指出,在过去的 12 个月中,立陶宛的网络攻击和虚假信息活动有所增加。与俄罗斯有联系的 APT 组织企图通过在错误信息宣传活动中利用这种流行病来破坏立陶宛的政治环境。这些活动得到了克里姆林宫的反西方宣传的良好协调和推动。在过去的几年中,安全专家记录了多次黑客和虚假宣传活动,这些活动归功于与俄罗斯有联系的 APT 组织,针对的是立陶宛,爱沙尼亚和拉脱维亚。爱沙尼亚的外国情报机构还指责俄罗斯利用 COVID-19 对该国进行了网络攻击,从而在全国大赛中造成了严重破坏。2019 年 4 月,一场重大的,精心策划的错误信息网络攻击袭击了立陶宛国防部长 Raimundas Karoblis,意图使他和立陶宛国防声名狼藉。2016 年 12 月,立陶宛指责俄罗斯在过去两年中对政府网络造成了网络攻击。网络安全负责人 Rimtautas Cerniauskas 证实,自 2015 年以来,在政府计算机上至少发现了三个间谍软件。被指称的俄罗斯间谍软件针对的立陶宛官员在政府中的职位处于中低水平,无论如何,Cerniauskas 确认其个人电脑中包含政府敏感文件。
发布时间:2021-03-07
发布平台:SecurityAffairs
原文链接:
https://securityaffairs.co/wordpress/115360/apt/russia-apt-lithuanian-infrastructure.html
恶意软件利用 Intel CPU 中的新缺陷来发起侧信道攻击
一项新的研究表明可通过利用 Intel Coffee Lake 和 Skylake 处理器中的第一个 "on-chip, cross-core" 侧信道,提供另一种窃取敏感数据的方法。这项研究成果由伊利诺伊大学一所分校的学者发表,预计将在今年 8 月举行的 USENIX 安全研讨会上发表。尽管先前已证明针对 CPU 微体系结构的信息泄漏攻击打破了用户应用程序与操作系统之间的隔离,允许恶意程序访问其他程序 (例如 Meltdown 和 Spectre) 使用的内存,但新的攻击利用了环互连上的争用。SoC 环互连是一种以环形拓扑结构排列的管芯上总线,它可以在不同组件之间进行进程内通信,例如内核,最后一级缓存 (LLC),图形单元和系统代理。安置在 CPU 内部。每个环代理通过所谓的环停止与环进行通信。为了验证他们的假设,研究人员对环互连的协议进行了逆向,以揭示两个或多个导致环争用的过程条件,进而使用它们来构建容量为 4.18 Mbps 的隐蔽信道。与 Flush + Flush 或 Flush + Reload 不同,迄今为止,最大的跨核心通道不依赖共享内存。研究人员 Riccardo Paccagnella 说:"重要的是,与以前的攻击不同,我们的攻击不依赖共享内存,缓存集,核心专用资源或任何特定的非核心结构。结果,使用现有的域隔离技术很难缓解它们。”
发布时间:2021-03-08
发布平台:The Hacker News
原文链接:
https://thehackernews.com/2021/03/malware-can-exploit-new-flaw-in-intel.html
微软 3 月发布补丁修复 82 个 Bug,2 个 0day 漏洞
Microsoft 于 2021 年 3 月修复了 82 个漏洞,其中 10 个严重,72个为重要。这些不包括本月初发布的 7 个 Microsoft Exchange 和 33 个 Chromium Edge漏洞。除此之外,还修补了两个 0day 漏洞,这些漏洞已公开披露并已知可用于攻击。上周,微软发布了 ProxyLogon 漏洞的安全更新,全球的攻击者正在积极利用这些漏洞来破坏 Microsoft Exchange 服务器。攻击者利用可公开访问的 Web 上的 Outlook (OWA) 服务器上的这些漏洞来安装 Web Shell 和其他恶意软件。2 个 0day 漏洞,其中一个已公开用于攻击,1月份,Google 透露 Lazarus 组织正在使用受损的 Visual Studio 项目和未知的 0day 攻击对安全研究人员进行攻击。今年 2 月,韩国网络安全公司 Enki 透露,攻击者在攻击中使用了 Internet Explorer 的 0day 漏洞来安装自定义后门。此漏洞被跟踪为 CVE-2021-26411,为 Internet Explorer 内存损坏漏洞,现已修复。修复的另一个 0day 漏洞被跟踪为 CVE-2021-27077,为 Windows Win32k 特权提升漏洞。在 Microsoft 最初表示不会修复此漏洞后,趋势科技 0day 计划于 1 月份公开披露了此漏洞。
关键词:CVE-2021-26411、CVE-2021-27077
发布时间:2021-03-09
发布平台:BleepingComputer
原文链接:
https://www.bleepingcomputer.com/news/microsoft/microsoft-march-2021-patch-tuesday-fixes-82-flaws-2-zero-days/
- End -
