威胁通告 – 第 87 页 – 绿盟科技技术博客

【预警通告】macOS本地用户任意密码解锁App store

2018-01-11绿盟科技macos, macos 安全, macos 密码, macos 密码漏洞, macos漏洞

近日，macOS 10.3被曝出存在一个bug，任何本地用户可以使用几乎任何密码来解锁App Store的偏好设置。这个bug只适用于本地管理员身份的用户，在非管理员的本地用户登录时，不能使用任意密码解锁偏好设置。

虽然这并不像最近那个可以通过不重复地输入密码来获得macOS root权限的bug那样严重，但它确实证明macOS中有一些关于如何使用密码的严重问题。

【预警通告】Jackson-databind远程代码执行漏洞（CVE-2017-17485）

2018-01-11绿盟科技CVE-2017-7525, jackson-databind漏洞

近日，Jackson-databind又曝出一个远程代码执行漏洞。该漏洞为之前漏洞（CVE-2017-7525）的后续，描述了另一种针对Jackson-databind的攻击，攻击者可以通过Jackson滥用Spring classes导致远程代码执行。

【预警通告】Microsoft Office内存破坏漏洞（CVE-2018-0802）

2018-01-10绿盟科技CVE-2018-0802, office漏洞, word漏洞

本周二微软发布的月度安全更新中修复了一个最新的Office漏洞（CVE-2018-0802）。该漏洞为Office公式编辑器的最新漏洞，源于对象在内存中的处理不当（微软Office内存破坏漏洞），用户在打开由攻击者特制的一份Office文档时会直接触发该漏洞。

【预警通告】微软发布1月补丁修复59个安全问题

2018-01-10汤夏菁微软漏洞, 微软补丁, 微软1月补丁, 微软2018年1月补丁, 微软周二补丁

微软于周二发布了1月安全更新补丁，修复了59个从简单的欺骗攻击到远程执行代码的安全问题，产品涉及.NET Framework、Adobe Flash Player、ASP .NET、ASP.NET、Graphic Fonts、Microsoft Browsers、Microsoft Edge、Microsoft Graphics Component、Microsoft Office、Microsoft Scripting Engine、Microsoft Windows、Side-Channel、Windows Kernel、Windows SMB Server以及Windows Subsystem for Linux。

【预警通告】近期大量光猫感染新型IOT蠕虫威胁

2018-01-09绿盟科技DarkCat, iot 病毒, iot 蠕虫

家用机顶盒、光纤猫，路由器等终端网络设备大多采用MIPS架构的嵌入式Linux系统。其管理方式除web外，通常还支持Telnet、SSH等远程管理协议，此外大多设备还支持通过内置的BusyBox执行常见的shell命令，如：ps、netstat、ls、cat等，而其中很多设备管理密码为出厂默认或者弱口令。

【预警通告】Meltdown和Spectre处理器漏洞威胁处置建议

2018-01-09绿盟科技CVE-2017-5715, CVE-2017-5753, CVE-2017-5754, intel spectre 漏洞, Meltdown, meltdown 漏洞, Meltdown和Spectre, meltdown和spectre漏洞, Spectre, spectre 漏洞代码, spectre漏洞

2018年1月4日，国外研究机构披露了”Meltdown”(CVE-2017-5754)和”Spectre”(CVE-2017-5753& CVE-2017-5715)两组CPU特性漏洞，漏洞爆出后，研究人员也陆续发布各种检测POC，相关操作系统厂商以及浏览器支持厂商也陆续发布修复补丁，详情参照漏洞补丁更新章节

利用Meltdown漏洞，低权限用户可以访问内核的内容，获取本地操作系统底层的信息；当用户通过浏览器访问了包含Spectre恶意利用程序的网站时，用户的如帐号，密码，邮箱等个人隐私信息可能会被泄漏；在云服务场景中，利用Spectre可以突破用户间的隔离，窃取其他用户的数据。

【预警通告】Meltdown和Spectre处理器漏洞威胁

近日，Intel处理器被爆出存在硬件上的漏洞，该漏洞源于芯片硬件层面的一处设计BUG。这个BUG会允许程序窃取当前在计算机上处理的数据，并且影响Windows, MacOS, Linux。由于涉及硬件，该漏洞无法通过芯片的微码（microcode）更新进行修复，需要通过内核级别的修复来解决，并且据研究表明，修复该漏洞会牺牲5%-30%的性能，此次漏洞事件共包含Meltdown和Spectre两个安全问题，部分利用代码已经公开。

【威胁通告】Intel处理器漏洞“Meltdown”“Spectre”影响几乎全球用户

2018-01-04绿盟科技intel, Meltdown, Spectre

近日， Intel处理器被爆出存在硬件上的漏洞，该漏洞源于芯片硬件层面的一处设计BUG。这个BUG会允许程序窃取当前在计算机上处理的数据，并且影响Windows, MacOS, Linux。

【威胁通告】基于IOHIDFamily 0day漏洞的macOS内核攻击 “IOHIDeous”

2018-01-04绿盟科技macos, 威胁通告, 绿盟科技

近日，安全研究者Siguza公布了一个基于IOHIDFamily 0day的macOS内核攻击。这是IOHIDFamily中的一个仅针对macOS系统的漏洞，可以导致内核的读/写（r/w），并且可以由任意非特权用户触发和利用。

新型ICS攻击框架“TRITON” 导致工业系统运营中断技术分析与防护方案

2017-12-29绿盟科技ICS攻击框架, TRITON, 安全防护, 工控

最近一起针对关键基础设施的攻击事件中，攻击者通过部署恶意软件来操作工业安全系统。目标系统为工业流程提供了紧急关闭功能。相关证据表明，攻击者在研发破坏物理装置功能的过程中，无意间关闭了操作流程。

【处置建议】Weblogic WLS 组件漏洞

2017-12-22刘红涛CVE-2017-10271, Weblogic, Weblogic WLS, Weblogic WLS 漏洞, Weblogic 漏洞防护, Weblogic漏洞

近期绿盟科技应急响应团队也陆续接到来自金融、运营商及互联网等多个行业的客户的安全事件的反馈，发现Weblogic主机被攻击者植入恶意程序，经分析，攻击者利用Weblogic WLS 组件漏洞(CVE-2017-10271)，构造payload下载并执行虚拟币挖矿程序，对Weblogic中间件主机进行攻击。

【病毒分析】激活工具KMSpico内含挖矿病毒事件的分析

2017-12-22钱, 雨村kms 病毒, kmspico, kmspico激活工具, kms激活工具病毒, kms激活工具病毒

近日有安全公司发布预警称“知名激活工具KMSpico内含挖矿病毒”，笔者对相应事件进行一番跟踪分析后发现，原作者的官方版本并不含挖矿病毒。

更准确结论应该是黑客利用搜索引擎排名假冒克隆KMSpico的网页，发布捆绑挖矿软件在内的多种病毒，诱导用户下载，进而窃取用户隐私信息或利用用户电脑挖矿谋取暴利。

再次提醒用户，下载软件应从软件厂商官方网站下载，同时通过签名、哈希校验等途径确认下载的软件是官网原版，而非被恶意篡改的“带毒”版本。