【更新】微软安全更新解决113个漏洞

周二微软针对2020年4月发布的更新补丁解决了113个漏洞,包括3个野外的Windows漏洞,其中17个漏洞被评为严重,其余的被评为重要,这些漏洞在针对任意代码执行和权限升级攻击中被利用。

 

此次解决的漏洞影响了Windows,Edge,Internet Explorer,Office,Windows Defender,Dynamics,Android和Mac应用程序以及其他产品。同时,Microsoft还修复了Windows版OneDrive应用程序中一个公开披露的特权升级漏洞。根据总结,微软在2020年1月至2020年4月之间解决的CVE数量比去年同期增加了44%

首先,微软更新发布了3月22日临时安全公告的Windows Adobe PostScript字体(Type 1)解析时存在的远程代码执行漏洞补丁,该漏洞对应CVE编号CVE-2020-1020、CVE-2020-0938。微软公司表示,由于最新版本的操作系统包含安全机制,这些漏洞不太可能被用于Windows 10设备。根据公告,微软已经获悉利用这一0day漏洞的有针对性攻击(有高价值的目标),基于漏洞的严重性,此次对已经停服的Windows 7也提供了补丁,建议用户尽快安装安全更新补丁或采取临时缓解措施加固系统。

 

微软解决的另一个严重Windows漏洞称为CVE-2020-1027,该漏洞也是由Google报告。根据Microsoft的说法,该漏洞是Windows内核漏洞,而且在野外被黑客积极利用。同时,Google还因举报一个被积极利用的Windows内核漏洞CVE-2020-1027而受到微软的肯定。微软还表示,Windows内核处理内存中存在的这个特权提升漏洞非常危险,成功利用此漏洞的攻击者可以提高权限执行代码,运行特制应用程序。

 

同时,微软解决的另一个在野外攻击中被利用的漏洞是Internet Explorer中的远程代码问题,跟踪为CVE-2020-0968。该漏洞让攻击者可以通过在用户的系统中执行任意代码的方式来破坏内存,成功利用此漏洞的攻击者可以获得与用户相同的权限。而且,如果用户使用管理用户权限登录,攻击者则可以完全控制受影响的系统。

通过此次漏洞修补,微软已经获悉利用这一0day漏洞的有针对性攻击,目前漏洞细节和利用代码已经公开,建议及时测试安全更新补丁并应用安装,或采取临时缓解措施加固系统。

勒索病毒(永恒之蓝)变种“WannaRen”大规模传播,目前多数杀毒软件暂时无法拦截

大家还记得“永恒之蓝”吗?(抽空写一篇永恒之蓝的专题如何?)

这次出现的是它的变种,基于数据了解,互联网上出现了一种新型的勒索软件“ WannaRen”病毒,它的攻击行为类似于此前臭名昭著的“ WannaCry”病毒。一旦被入侵它几乎可以加密Windows系统中的所有文件,这些加密文件的后缀是“ .WannaRen”。

据悉,目前“WannaRen”病毒存在两个变体,一个通过文字,另一个通过图片发送勒索信息,由于这次勒索比特币用的钱包地址与2017年的“ WannaCry”相同,基本可以确定这是同一黑客组织所为。在2017年,“ WannaCry”勒索软件至少感染了150个国家和地区的300000台计算机,造成80亿美元的经济损失,影响了当时金融,能源和医疗等多个行业,并严重威胁了社会和民生安全。

 

对此专家表示,目前此类勒索病毒非常普遍,每周都会造成成千上万用户无法访问其文件。像“WannaRen”这样的病毒,其目的很简单,攻击者试图使受害者的最重要文件无法访问,以便可以勒索用户以勒索赎金。

遭到攻击后,如果受害者付款,黑客将发送一个特殊的唯一密钥,使受害者能够从其文件中解除数据加密。由于勒索软件病毒通常不会对系统造成任何其他危害,因此黑客不会利用其他任何手段来勒索用户,所以如果黑客锁定的文件对于用户的价值不大,那么用户一般会选择忽视向攻击支付赎金。在此次病毒的大面积传播中,黑客要求受害者至少支付0.05比特币(约合2500元人民币)赎金以获取解密密钥。

目前,由于Windows 7具有免疫功能,因此弹出窗口没有受到损坏(请注意win7也是要打补丁的),但Windows 10的用户已经确认有受到损坏。还有一些用户报告表示,在系统安装了微软的“永恒之蓝”补丁后,系统仍然会被感染。该病毒的传播不是利用“永恒之蓝”弱点,目前大多数防病毒软件都无法拦截它。因此,建议用户近期不要随便下载运行BT下载器、Office激活工具,同时将系统打好补丁做好常规保护。

VPN是安全网络的选择吗,全球大量黑客将VPN作为攻击入口

VPN在很多人眼里是翻墙的必备工具,在更专业的领域,VPN是安全通道,但它可未必安全!

自从冠状病毒(COVID-19)爆发以来,由于远程办公的必要需求,企业VPN使用量增加了33%,这也成为黑客发起攻击的一个突破口。据相关媒体报道,与韩国有联系的威胁组织利用零日漏洞攻击了某中国政府机构,该漏洞影响了境内VPN服务。数据显示,从3月开始,DarkHotel组织就已经锁定了许多中国机构。

据悉,攻击者利用深信服VPN服务中一个安全漏洞来传播后门恶意软件。对此,深信服表示,黑客利用VPN客户端更新过程中的漏洞,用后门取代了合法的更新,黑客大约攻击了200个VPN服务器并注入恶意软件。这些攻击主要针对的是中国的组织以及一些其他国家在中国设立的机构。事件发生后,深信服科技立刻发布了一则《关于境外非法组织利用深信服SSL VPN设备下发恶意文件并发起APT攻击活动的说明》,说明了境外APT组织通过深信服VPN设备漏洞拿到权限后,进一步利用SSL VPN设备Windows客户端升级模块签名验证机制的缺陷植入后门的APT攻击活动过程。

其实,在过去的2019年是许多企业VPN服务器,例如Pulse Secure、Palo Alto Networks、Fortinet、Cisco和Citrix等VPN服务器,被披露有严重安全漏洞的一年。

早在去年九月份,英国国家网络安全中心(NCSC)就发表报告称,他们正在研究有高级持久威胁(APT)参与者利用已知漏洞入侵供应商Pulse Secure、Fortinet、Palo Alto和Citrix的虚拟专用网VPN产品。当时该活动也被认为是由某国政府主导的,攻击是针对英国和国际组织发起的,受影响的部门包括政府,军事,学术,商业和医疗保健。事件发生后,这些VPN漏洞已在开放源代码中得到了充分记录,通过行业数据表明,数百名英国主机可能会受到攻击。 据悉,当时攻击影响了:

• Pulse Connect Secure VPN两个漏洞是CVE-2019-11510和CVE-2019-11539;

• Fortinet的Fortigate设备中的三个漏洞CVE-2018-13379,CVE-2018-13382和CVE-2018-13383; 

• Palo Alto的GlobalProtect门户和GlobalProtect网关接口产品CVE-2019-1579中的严重远程执行代码错误。

• Citrix“ ADC” VPN中披露的漏洞CVE-2019-19781

也是在去年九月份,SafeBreach Labs的研究人员在Forcepoint VPN客户端中发现了一处特权升级漏洞。受影响的产品为Forcepoint VPN Client for Windows软件的6.6.0及更低版。该漏洞不仅可用于提升攻击者的特权,还将允许攻击者长期访问受感染系统。据了解,该VPN程序的可执行程序的路径和命令行中的参数之间缺少引号字符串当黑客在C:\Program.exe和C: \Program Files(x86)\Forcepoint \ VPN.exe 中植入恶意程序时,该VPN程序将自动执行恶意程序,并将黑客权限提升至系统级。

2019年的四月份,美国政府网络安全和基础架构安全局(CISA)发出警报,由四个供应商Cisco, F5 Networks, Palo Alto Networks和 Pulse Secure 构建的VPN应用存在严重漏洞。通过该漏洞,攻击者可以通过访问身份验证或会话令牌,重播数据信息以欺骗用户的VPN会话,并以用户身份获得VPN访问权限对系统进行入侵。

同时,随着世界各地实行国家隔离,大多数用户被困在家里,越来越多的用户在家中浏览Internet时也会使用VPN应用程序绕过地理保护。这也就造成消费者级VPN的使用量也出现了快速激增,在这样的环境下黑客会花费更多的时间来研究对VPN的攻击。

对于预防黑客的VPN攻击,Ramakrishna与Gartner的技术研究人员一起建议政府和企业组织应该考虑向VPN 添加软件定义的外围安全系统(SDP),以便系统可以扩展其整体安全体系结构,以实现公司内部网络可以直接到应用程序的访问,以降低受到黑客攻击的可能性。