Aggregator

自 2018 年以来,Windows 智能应用控制和 SmartScreen 绕过技术一直存在漏洞(link is external)

嘶吼
8 months ago

智能应用程序控制是一种基于信誉的安全功能,它使用 Microsoft 的应用程序智能服务进行安全预测,并使用 Windows 的代码完整性功能来识别和阻止不受信任(未签名)或潜在危险的二进制文件和应用程序。

它取代了 Windows 11 中的 SmartScreen,后者是 Windows 8 中引入的一项类似功能,旨在防止潜在的恶意内容(未启用智能应用控制时,SmartScreen 将接管)。

当用户尝试打开标有 Web 标记 (MotW) 标签的文件时,这两个功能都会被激活。

Elastic Security Labs 发现,Windows 智能应用控制和 SmartScreen 中存在设计缺陷,处理 LNK 文件时存在一个漏洞(称为 LNK 踩踏),该漏洞使攻击者能够启动程序而不会触发安全警告,可以帮助威胁者绕过旨在阻止不受信任的应用程序的智能应用程序控制安全控制。该缺陷至少自 2018 年以来就一直受到利用。

LNK 破坏涉及创建具有非标准目标路径或内部结构的 LNK 文件。当用户点击此类文件时,explorer.exe 会自动修改 LNK 文件以使用正确的规范格式。

但是,这也会从下载的文件中删除 MotW(Web 标记)标签,Windows 安全功能使用该标签来触发安全检查。

打开下载的文件时发出警告

为了利用此设计缺陷,可以在目标可执行文件路径后附加一个点或空格(例如,在二进制文件的扩展名“powershell.exe”之后),或者创建包含相对路径的 LNK 文件,例如“\target.exe”。

当用户单击链接时,Windows 资源管理器将查找并识别匹配的 .exe 名称,更正完整路径,通过更新磁盘上的文件删除 MotW,然后启动可执行文件。

Elastic Security Labs 认为,这一弱点多年来一直被滥用,因为它在 VirusTotal 中发现了多个旨在利用该弱点的样本,其中最早的样本是在六年多前提交的。

它还与微软安全响应中心分享了这些发现,该中心表示该问题“可能会在未来的 Windows 更新中得到修复”。

智能应用控制 LNK 踩踏演示

Elastic 安全实验室还描述了攻击者可以利用来绕过智能应用控制和 SmartScreen 的其他弱点,包括:

·签名恶意软件:使用代码签名或扩展验证 (EV) 签名证书对恶意负载进行签名。

·声誉劫持:查找并重新利用声誉良好的应用程序来绕过系统。

·声誉植入:将攻击者控制的二进制文件部署到系统上(例如,具有已知漏洞的应用程序或仅在满足某些条件时触发的恶意代码)。

·声誉篡改:在二进制文件中注入恶意代码而不会失去相关声誉。

Elastic Security Labs 认为 Smart App Control 和 SmartScreen 存在一些基本的设计缺陷,可能导致初始访问时没有安全警告,且用户交互最少。

安全团队应在其检测堆栈中仔细审查下载,而不能仅依赖操作系统原生的安全功能来保护这一领域。目前,Elastic Security Labs 研究员已发布用于检查文件智能应用控制信任级别的开源工具。

胡金鱼

EastWind Attack Deploys PlugY and GrewApacha Backdoors Using Booby-Trapped LNK Files(link is external)

The Hackers News
8 months ago
The Russian government and IT organizations are the target of a new campaign that delivers a number of backdoors and trojans as part of a spear-phishing campaign codenamed EastWind. The attack chains are characterized by the use of RAR archive attachments containing a Windows shortcut (LNK) file that, upon opening, activates the infection sequence, culminating in the deployment of malware such
The Hacker News

Sonos 智能音箱安全漏洞可能导致用户被窃听(link is external)

HackerNews
8 months ago
2024 年美国黑帽大会上,NCC 集团的研究人员披露了在 Sonos 智能扬声器中发现的漏洞,其中包括一个可能被用于窃听用户的漏洞。 其中一个漏洞被追踪为 CVE-2023-50809,可被目标 Sonos 智能扬声器 Wi-Fi 范围内的攻击者利用来远程执行代码。 研究人员演示了攻击者如何利用此漏洞控制 Sonos One 扬声器,秘密录制音频,然后将其泄露到攻击者的服务器。 Sonos 在 8 月 1 日发布的公告中向客户通报了该漏洞,但实际补丁已于去年发布。Sonos 扬声器使用的 Wi-Fi SoC 联发科也在 2024 年 3 月发布了修复程序。 Sonos 表示,该漏洞影响了无线驱动程序,该驱动程序“在协商 WPA2 四次握手时未能正确验证信息元素”。 该供应商表示:“低权限、近距离的攻击者可以利用此漏洞远程执行任意代码。” 此外,NCC 研究人员还发现了 Sonos Era-100 安全启动实现中的漏洞。通过将这些漏洞与之前已知的特权提升漏洞结合起来,研究人员能够以提升的特权实现持久代码执行。 NCC 集团发布了一份包含技术细节的白皮书,以及一段展示其窃听漏洞的视频。   转自军哥网络安全读报,原文链接:https://mp.weixin.qq.com/s/hY-1Lsx1J0TpYoBEsa-DEA 封面来源于网络,如有侵权请联系删除
内容转载

Ubuntu 将使用最新内核版本(link is external)

Solidot
8 months ago
Canonical 开发的 Ubuntu 发行版每半年发布一个新版本,而 Linux 内核大约每 2-3 个月发布一个新版本,因此 Ubuntu 开发阶段选择使用的版本到正式发布时肯定已经落后于上游的最新稳定版本。现在 Canonical Kernel Team (CKT)宣布将改变内核选择方法,将在发布冻结日期时采用最新可用的内核版本,即使当时内核版本还处于 RC(预发布)状态。这意味着今年 10 月 Ubuntu 24.10 在发布时将使用最新的内核稳定版本 Linux 6.11。

国投智能牵头组建“厦门市警安科技创新联合体”,助推公安工作现代化(link is external)

嘶吼
8 months ago

7月26日,厦门市科学技术局发布《厦门市科学技术局关于同意厦门市警安科技创新联合体备案的批复》公告,正式批准了由国投智能牵头,联合厦门大学等2家高校院所、厦门市中盾安信科技有限公司等7家企业组建的“厦门市警安科技创新联合体”备案申请

厦门市警安科技创新联合体将围绕大数据智能化、可信数字身份认证应用、网络空间治理、关键信息基础设施安全和警安装备等警安领域关键技术开展研究,旨在打造具有厦门特色的科技兴警创新联合体,健全完善厦门公安科技创新体系,进一步激发公安科技创新活力,持续提升公安科技服务实战成效,全面推进警务数字化转型,促进公安科技成果转化和厦门警安法务科技产业发展,牵引推动厦门公安工作现代化。同时联合体针对执法部门开展网络空间安全、大数据智能化培训,并举办技术研讨和具有影响力的行业赛事。

据了解,2022年,厦门市科学技术局就发布了《厦门市支持创新联合体建设工作指引》(以下简称《指引》);2023年,市科技局对《指引》进行修订,提出集聚产学研各方优势力量,组建创新联合体,解决制约重点产业发展的“卡脖子”技术和关键核心技术,不断激发企业科技创新活力和内生动力,打造高素质创新名城。

目前,厦门市已经成立9个创新联合体。创新联合体由科技创新资源整合能力强的产业龙头企业、新型研发机构或医疗机构(生命健康领域)牵头,联合产业上下游不少于5-7家企业和不少于2-3家高校、科研院所、医疗机构等科研力量,成员单位一般不少于7个。

企业资讯

AMD SinkClose 漏洞可安装几乎无法检测到的恶意软件(link is external)

HackerNews
8 months ago
AMD 警告称,一个被命名为 SinkClose 的高严重性 CPU 漏洞会影响其多代 EPYC、Ryzen 和 Threadripper 处理器。该漏洞允许具有内核级 (Ring 0) 权限的攻击者获得 Ring -2 权限并安装几乎无法检测到的恶意软件。 Ring -2 是计算机上最高权限级别之一,运行于 Ring -1(用于虚拟机管理程序和 CPU 虚拟化)和 Ring 0 之上,后者是操作系统内核使用的权限级别。 Ring -2 特权级别与现代 CPU 的系统管理模式 (SMM) 功能相关。SMM 处理电源管理、硬件控制、安全性以及系统稳定性所需的其他低级操作。 由于其高权限级别,SMM 与操作系统隔离,以防止其轻易成为威胁行为者和恶意软件的攻击目标。 SinkClose CPU 缺陷 该漏洞编号为 CVE-2023-31315,严重性评级为高(CVSS 评分:7.5),由 IOActive Enrique Nissim 和 Krzysztof Okupski 发现,他们将权限提升攻击命名为“Sinkclose”。 研究人员将在 DefCon 演讲中介绍有关此次攻击的全部细节,演讲主题为“ AMD Sinkclose:通用 Ring-2 权限提升”。 研究人员报告称,Sinkclose 近 20 年来一直未被发现,影响了多种 AMD 芯片型号。 SinkClose 漏洞允许具有内核级访问权限 (Ring 0) 的攻击者修改系统管理模式 (SMM) 设置,即使启用了 SMM Lock 也是如此。此漏洞可用于关闭安全功能并在设备上植入持久的、几乎无法检测到的恶意软件。 Ring -2 对于操作系统和虚拟机管理程序来说是隔离且不可见的,因此在此级别进行的任何恶意修改都无法被操作系统上运行的安全工具捕获或修复。 Okupski告诉 Wired,检测和删除使用 SinkClose 安装的恶意软件的唯一方法是使用一种名为 SPI Flash 编程器的工具物理连接到 CPU,然后扫描内存中是否存在恶意软件。 根据 AMD 的建议,以下型号受到影响: EPYC 第 1 代、第 2 代、第 3 代和第 4 代 EPYC Embedded 3000、7002、7003 和 9003、R1000、R2000、5000 和 7000 Ryzen Embedded V1000、V2000 和 V3000 Ryzen 3000、5000、4000、7000 和 8000 系列 Ryzen 3000 移动版、5000 移动版、4000 移动版和 7000 移动版系列 Ryzen Threadripper 3000 和 7000 系列 AMD Threadripper PRO(Castle Peak WS SP3、Chagall WS) AMD Athlon 3000 系列移动版(Dali、Pollock) AMD Instinct MI300A AMD在其公告中表示,它已经针对其 EPYC 和 AMD Ryzen 台式机和移动 CPU 发布了缓解措施,并将在稍后发布针对嵌入式 CPU 的进一步修复措施。 实际影响和反应 内核级访问是实施 Sinkclose 攻击的先决条件。AMD 在给 Wired 的声明中指出了这一点,并强调了在现实场景中利用 CVE-2023-31315 的难度。 然而,IOActive 回应称,内核级漏洞虽然并不普遍,但在复杂的攻击中肯定并不少见,根据先前攻击情况实例来看,确实如此。 高级持续性威胁 (APT) 参与者,例如朝鲜的 Lazarus 组织,一直在使用BYOVD(自带易受攻击的驱动程序)技术,甚至利用Windows 零日漏洞来提升其权限并获得内核级访问权限。 勒索软件团伙还使用 BYOVD 策略,采用定制的 EDR 杀伤工具出售给其他网络犯罪分子以获取额外利润。 臭名昭著的社会工程专家Scattered Spider也被发现利用 BYOVD 来关闭安全产品。 这些攻击可以通过各种工具实现,包括Microsoft 签名的驱动程序、防病毒驱动程序、 MSI 图形驱动程序、有漏洞的 OEM 驱动程序,甚至是享有内核级访问权限的游戏反作弊工具。 尽管如此,Sinkclose 可能对使用基于 AMD 系统的组织构成重大威胁,尤其是来自国家支持的和老练的专业黑客组织的威胁,不容忽视。   转自军哥网络安全读报,原文链接:https://mp.weixin.qq.com/s/hY-1Lsx1J0TpYoBEsa-DEA 封面来源于网络,如有侵权请联系删除
内容转载

荣获国际顶级认可!国投智能荣获CMMI5级权威认证(link is external)

嘶吼
8 months ago

近日,经严格评估及审核,国投智能顺利通过CMMI五级认证,并荣获CMMI5级证书,标志着国投智能在软件研发管理体系、项目管理水平等方面均已达到国际领先水平,能够为客户提供更完善、成熟、优质的产品及服务。

关于CMMI

CMMI全称Capability Maturity Model Integration(能力成熟度集成模型),是全球公认的权威标准,旨在衡量企业研发能力成熟度和项目管理水平,其中CMMI5为最高等级。能否通过CMMI认证已经成为业内衡量软件企业工程开发能力的重要标志之一。

公司于2016年初开始进行高成熟度体系搭建、量化管理和持续创新方面的革新,持续优化产品研发与管理的过程,坚持自主研发,不断提升公司核心竞争力。

此次荣获CMMI5级认证,标志着国投智能在软件研发领域的卓越追求与创新实践取得了显著成效,也成为了公司研发体系向标准化、规范化以及国际化进程迈进的一座重要里程碑,彰显了公司在行业内的领先地位与持续优化的能力。

未来,国投智能将持续以CMMI5为基础,进行过程改进,不断开拓创新,不断提高产品的质量和公司管理水平,以客户为中心,持续提供优质产品及服务,创造企业价值!

企业资讯

2024年中盘点 | 美亚柏科电子数据取证技术实现重大突破(link is external)

嘶吼
8 months ago

· 2024年中盘点

作为国内电子数据取证行业龙头企业,美亚柏科坚持科技创新和科技成果转化“双轮驱动”,加速推进全面国产化进程。近日,美亚柏科召开2024年电子数据取证产品发布会,重磅发布“星火”电子数据智能取证分析平台 、Mini版电子数据分析战训一体化平台、超级精灵等多款高能新品,再次彰显电子数据取证技术实力,持续引领国内电子数据取证发展方向。

回顾2024上半年,美亚柏科持续推进关键技术攻关,电子数据取证技术取得多项重大突破,共同回顾一下吧。

一、手机取证

Wi-Fi取证速度突破120MB/s 

1、手机Wi-Fi取证平均速度70-90MB/s,最高速度可达120MB/s,取证过程中无需开启USB调试,且支持多路无线并行取证;

2、MYReader报告生成速度提升2-3倍,数据加载及数据展示效率显著提升;

3、M01案例格式基于稀疏存储技术实现秒级创建,性能更高占用空间更小;

4、新增拼多多商家版、Oplayer、小艺输入法等超10款应用,升级更新30款应用,累计支持上千款。

二、云服务器取证

OSS镜像制作速度突破100MB/s

1、OSS镜像制作平均速度80MB/s, 最快速度突破100MB/s,覆盖阿里云、华为云、腾讯云、亚马逊云等云服务商; 

2、指令系统新增支持批量视频、网络直播固定,累计支持20个主流直播平台视频固定;

3、新增支持10款网页固定模板,覆盖邮箱、电商、论坛、短视频等平台,累计支持上百款;

4、新增分布式存储、自建CDN、达梦数据库、小皮面板等应用取证,累计支持超45种主流服务应用取证;

5、新增支持JAVA网站重建(JAR包及Tomcat站点)。

三、计算机取证

新增Signal、软路由配置解析、

隐写检测等超过20款应用支持

1、新增支持Signal、软路由配置解析、隐写检测、虚拟机配置等超20款应用解析小程序,作为内置取证项无需下载;

2、新增支持再生龙备份、Terabyte备份镜像及Ubuntu ZFS文件系统解析;

3、新增支持PostgreSQL 17最新版本恢复,覆盖PostgreSQL全版本; 

4、新增支持Luks加密分区、OpenWrt软路由、PVE/ESXi虚拟化平台镜像仿真。

四、手机云取证

微信小程序云取证实现0突破,

应用支持率超过250款

1、微信小程序云取证实现0突破,构建更完整手机云取证生态;

2、新增支持Whatsapp、我的南京等超20款应用,升级更新70款应用,总支持率超250款,云探测支持率达600款,支持多账号并行云取证; 

3、新增支持阿里巴巴系列应用云端数据取证; 

4、更新华为手机云第三方应用备份下载及浏览器历史记录、百度网盘隐藏空间等多项特色功能。

五、物联网取证

新增20款新能源汽车T-Box取证,

累计支持超150款 

1、新增支持20款新能源汽车T-Box取证,累计支持超150款,覆盖主流新能源车型如比亚迪、北汽、广汽、奇瑞等。

2、新增支持华为等路由器取证支持能力,具备多款主流路由器免密提取能力,累计支持300余款路由器型号的取证。

3、支持路由器、网络摄像头、汽车T-Box等累计40余款特殊型号芯片直连取证。

以上仅为部分展示,更多技术或产品突破,请联系本地销售或,扫描下方二维码填写需求进行深入了解!

企业资讯

Managed ad