GlobeImposter 攻破某域控制器，局域网内横向扩散致企业损失惨重

近日，腾讯安全御见威胁情报中心接到某企业求助，称其局域网内8台服务器遭受勒索病毒攻击。工程师现场勘察后，确认该事件为GlobeImposter勒索病毒通过外网爆破入侵该公司域控服务器，随后利用该机器作为跳板机，登录到该公司内其它机器再次进行勒索加密。

腾讯安全专家通过排查被攻击公司的染毒机器，可知该公司染毒的第一台服务器为域管理服务器，该机器由于开启了远程桌面且由于其IP地址暴露在外网从而被爆破入侵。

由于该服务器为该公司的域控制器，被入侵控制之后出现灾难性后果：攻击者可任意登录局域网内其它机器，通常情况下，域管理员具备登录域内所有计算机的权限。攻击者控制域控制器之后，就有能力在任意一台计算机运行任意程序，可能导致企业大量机密信息泄露。本例中，攻击者选择其中8台电脑实施勒索病毒加密攻击，灾情进一步被放大，使企业遭受惨重损失。

详文阅读：

【高危预警】勒索软件Lilocked感染数千台

近日，美创安全实验室监测到一款名为Lilocked的Linux勒索病毒，该勒索病毒目前为止已感染了数千台linux服务器，加密后缀为.lilocked。根据目前已经掌握的证据，Lilocked的目标似乎都是基于 Linux 的系统，并且很有可能是通过Exim邮件转发软件的最新远程执行漏洞CVE-2019-15846进行传播的。

此外，Lilocked还能够通过某种未知的方式获取服务器的 root 权限。

其实，这个勒索病毒从今年7月中旬就已经出现了，只不过当时“表现平平”，并没有引起大众的关注，但是在近期感染量突增，有爆发感染的趋势，故提醒各政企机构提高警惕。

美创安全实验室再次提醒广大用户，勒索病毒以防为主，目前大部分勒索病毒加密后的文件都无法解密，注意日常防范措施，以尽可能避免损失：

（1）尽量不要使用root权限运行Web应用程序。

（2）及时打上重要的补丁，防止应用程序被漏洞利用入侵。

（3）root账号增强密码复杂性，避免被爆破。

（4）开启SELinux、AppArmor等功能保护重要文件。

（5）部署终端安全软件进行防护。

详文阅读：

http://www.youxia.org/2019/09/47842.html

英特尔芯片弱点允许攻击者窃取敏感信息

2011 年，英特尔服务器处理器引入了一项新功能去提升性能，它允许网卡等外围设备直接访问 CPU 的最后一级缓存。被称为 DDIO（Data-Direct I/O）的功能通过避开系统主内存而增加了输入/输出带宽，减少延迟和功耗。但研究人员警告称，攻击者能够滥用 DDIO 去获取按键或其它类型的敏感数据。最有可能的攻击场景发生在启用了 DDIO 和远程直接内存访问的数据中心和云端环境，攻击者可利用漏洞从一台服务器窃取另一台服务器和应用服务器之间交换的 SSH 保护的按键数据。研究人员将这种攻击称为 NetCAT。

详文阅读：

https://www.solidot.org/story?sid=62048

iOS 13错误导致第三方键盘获得“完全访问权”

在本周早些时候发布iOS 13和iPadOS之后，苹果发布了一份警告，警告iPhone和iPad用户一个未修复的安全漏洞影响了第三方键盘应用程序。

在iOS上，第三方键盘扩展可以完全独立运行，不需要访问外部服务，因此，除非您授予“完全访问”权限，以通过网络访问启用一些附加功能，否则禁止存储您输入的内容。

然而，在简短的安全建议中，苹果表示，iOS 13和iPadOS中一个未修补的问题可能会允许第三方键盘应用程序授予自己“完全访问”权限来访问您正在键入的内容——即使您一开始就拒绝了这个权限请求。
应当注意的是，iOS 13的错误不会影响苹果的内置键盘或不使用完全访问权限的第三方键盘。

相反，这个漏洞只会影响到那些拥有第三方键盘应用程序的用户，比如广受欢迎的Gboard、Grammarly和安装在iphone或ipad上的swiftkey，这些应用程序的设计初衷是要求用户完全访问。

尽管完全访问允许应用程序开发人员捕获所有击键数据和您键入的所有内容，但值得注意的是，可能没有信誉良好的第三方键盘应用程序会默认滥用这个权限。
即使这还不能满足您的要求，并且您想要检查您的iPhone或iPad上安装的任何第三方键盘是否在您不知情的情况下启用了完全访问，您也可以打开设置→常规→键盘。

苹果向用户保证，公司已经在着手解决这个问题，并计划在即将发布的软件更新中发布。

详文阅读：

http://toutiao.secjia.com/article/page?topid=112034

研究人员警告：Android 0-Day 漏洞开启了特权升级攻击的大门

0-day漏洞可能会导致权限升级，并且该漏洞不在Google的Android 9月安全更新范围内。

研究人员发出提示称谷歌Android操作系统存在高度严重的0-day漏洞，如果被利用，可能会使本地攻击者在目标设备上升级特权。

Android中的v4l2（Video4Linux 2）驱动程序中存在特定缺陷。据Zero DayInitiative（ZDI）的研究人员称，当被利用时，v4l2中的一个组件“在对对象执行操作之前不会验证对象的存在”。研究人员表示，对Android设备进行物理访问的攻击者可以利用该漏洞升级内核环境中的权限，这通常允许攻击者控制目标设备。

“攻击者必须首先获得在目标系统上执行低权限代码才能利用此漏洞的能力，”ZDI研究人员发现该漏洞并 于周三 公开披露该漏洞，该漏洞在CVSS评分中得分为7.8分，高严重性。

研究人员于2019年3月13日首次发现并报告了该漏洞。周三，公开发布相关警报。谷歌没有立即回应关于该漏洞未来补丁的评论请求。

根据ZDI的咨询报告，当ZDI首次联系Google关于漏洞时，“供应商确认漏洞将被修复，但没有提供预计的时间框架”。

“鉴于漏洞的性质，唯一突出的缓解策略是限制与服务的互动，”研究人员说。“只允许与服务具有合法程序关系的客户端和服务器与之通信。这可以通过多种方式实现，最明显的是防火墙规则/白名单。“

谷歌发布其9月Android安全公告，同时修复了Android操作系统媒体框架中的两个关键远程代码执行漏洞。0-day与公告分开披露，目前没有补丁。

详文阅读：

http://toutiao.secjia.com/article/page?topid=111936