上周,Google Project Zero小组披露了Windows 10中一个漏洞的详细信息,该漏洞使攻击者可以在受害者的计算机上获得系统特权。
关于该问题的令人惊讶的是,它与另一种最近在Google Chrome浏览器中发现的漏洞一起用于实际攻击中。他们在FreeType字体处理程序中发现了一个错误(已经关闭),该错误可以从沙箱中逃脱。有两个漏洞分别使这种情况成为可能:受害者被引诱到受感染的网页,攻击者在浏览器的安全环境之外运行代码,Windows中的漏洞使他们可以完全控制系统。
这种情况是推测性的:Google不会透露攻击本身的详细信息。同时,零号项目团队应用了零日漏洞披露规则,并且只给了Microsoft 7天的时间来发布补丁。在发布之时,Windows补丁尚未发布:该补丁很可能包含在计划于11月10日发布的常规更新中。传统上,意见交换非常激烈:微软认为Google的安全人员本可以容忍该出版物,零号项目充满信心,他们正在鼓励供应商更快地发布补丁,甚至可能超出标准时间表。
资料来源
Windows 10错误:ArsTechnica文章,技术信息。
Google Chrome中的漏洞:Project Zero Bug Tracker中的技术数据和讨论。
漏洞CVE-2020-117087至少会影响Windows 10和Windows7。它是数据加密的系统功能之一。信息处理中的错误会导致缓冲区溢出,并为具有系统特权的任意代码的执行创造条件。 “零项目”技术文章以伪代码显示了易受攻击的函数的逻辑,并且还包括导致系统崩溃的PoC脚本。
反过来,Chrome浏览器中的漏洞很可能会影响基于Blink引擎的其他浏览器。也许不仅是浏览器:该错误是在第三方库的代码中发现的。有趣的是,微软并未确认正在Windows中积极利用此漏洞,而谷歌则相反。如果确实发生了真正的攻击(未披露有关信息),则无论如何,其初始阶段是Chrome浏览器。 FreeType库中的漏洞补丁使这种特殊的攻击方法成为不可能。当然,这并不排除以其他方式利用Windows中的漏洞的可能性。
还发生了什么:
卡巴斯基实验室专家于今年第三季度发布了有关DDoS攻击的报告。与上一时期相比,活动的总数已大大减少,前一时期记录到的网络犯罪分子活动异常活跃,显然与大流行有关。
Sophos报告了一种用于Facebook密码的网络钓鱼技术,该技术试图绕过两因素身份验证。向用户提供(有删除该页面的威胁)挑战所称的版权侵权投诉。在伪造的帐户登录页面上,要求他们输入用户名,密码和一次性代码以登录该帐户。
在芬兰,Vaastamo心理治疗中心的至少300位客户的数据泄漏。一些记录被公开,一些患者被要求赎金约200欧元的加密货币,并威胁要发布敏感信息。在此之前,网络犯罪分子试图以传统方式从受影响的组织中获利-他们索要近一百万欧元。
使用个人数据的危险性稍差一些是攻击到饭店连锁店的客户帐户。一些客户的帐户很可能是通过凭证填充的方法被劫持的:由于该密码已用于其他已经被黑客入侵的服务中,因此攻击者能够猜测该密码。结果是:由于代表客户收到了大笔订单,造成了巨大的资金损失。网络犯罪分子实际上是为了食物而工作。
在该版本中,WordPress 5.5.2关闭了关键漏洞,该漏洞使您可以控制未打补丁的网站。这是CMS代码(而非第三方插件)中严重问题的罕见情况。