Cyata安全研究团队发现了HashiCorp Vault中的九个以前未知的零日漏洞,这些漏洞绕过锁定、规避策略检查并实现模拟。其中一个漏洞甚至允许root权限提升,另一个允许远程代码执行(RCE),使攻击者能够完全接管系统。这些漏洞并非内存损坏或竞争条件问题,而是隐藏在Vault身份验证、身份和策略执行层中的细微逻辑缺陷,有些存在近十年之久。研究人员通过仔细检查Vault的核心请求流程,特别是request_handling.go文件,发现了这些漏洞。这些漏洞对开源和企业版Vault都有影响,攻击者可以利用这些漏洞绕过多因素身份验证(MFA),模拟实体,甚至实现RCE。该研究强调了对基础设施安全至关重要的软件中细微逻辑缺陷的潜在影响。
一项针对20名参与者的用户研究评估了用户在典型应用交互中是否能够检测到TapTrap攻击。研究人员开发了一款名为KillTheBugs的游戏,其中嵌入了三种TapTrap攻击场景,分别针对位置、摄像头和设备管理员权限。参与者玩了两次游戏,一次没有任何攻击先验知识,另一次则告知可能存在攻击。结果显示,在没有明显的安全指示器的情况下,用户不太可能检测到TapTrap攻击。即使存在指示器,也常常被忽略。只有在告知可能存在攻击后,一部分参与者才注意到摄像头指示器,而基于位置和设备管理员权限的攻击则几乎未被发现。这表明TapTrap攻击具有很高的隐蔽性,需要改进安全指示器设计来提升用户感知能力。
本文深入探讨了EasyAntiCheat、Battleye、EA-AC、Vanguard和EQU8等主流反作弊系统的更新机制。作者通过逆向工程手段,详细分析了这些反作弊系统的CDN结构、更新包的加密方式以及模块的提取方法,并分享了相应的代码示例。文章揭示了不同反作弊系统在更新策略上的差异,以及其在安全性和便捷性方面的权衡。虽然部分信息可能已为大众所知,但文章仍为研究人员提供了一种系统化的分析方法,并展示了作者在该领域的实践经验。
传统的反欺诈方法如同“打地鼠”游戏,难以应对不断演变的攻击手段。Stytch提出了一种四阶段反欺诈框架:信号收集、决策、执行和分析反馈。该框架通过收集用户行为信息,做出决策,执行相应的安全措施,并通过分析反馈不断改进。文章以身份盗窃攻击为例,说明了如何利用设备指纹技术改进信号收集和决策,从而有效应对攻击。Stytch设备指纹技术专注于信号收集和决策,避免成为“黑盒”,并为用户提供灵活的决策和执行控制,成为反欺诈的可靠伙伴。
安全研究人员发现ChromeOS文件管理器中存在严重漏洞,允许恶意Chrome扩展程序通过利用filesystem:chrome://file-manager URL读取和写入用户文件,甚至执行任意代码。该漏洞利用了ChromeOS中过时的JavaScript API以及对chrome://页面权限的误配置,最终可实现对系统的完全控制,包括访问用户数据、修改系统设置、甚至通过Crostini运行恶意代码。该漏洞已修复,但凸显了长期设计选择在大型复杂系统中可能被利用的风险。
VirtualBox 的 vmsvga3dSurfaceMipBufferSize 函数中存在整数溢出漏洞,攻击者可利用此漏洞操纵 malloc 函数分配 0 字节,同时 VirtualBox 跟踪缓冲区大小为大于 0 的值。这允许攻击者实现线性读写原语,进而升级为对主机内存的任意读写访问。研究人员已成功利用该漏洞完全逃逸虚拟机,该漏洞利用过程包括:触发错误大小的表面分配、利用边界外读写操作、任意堆分配以及最终获得 RIP 控制和执行任意代码。此漏洞的修复已发布,建议用户尽快升级。
wtfis是一个命令行工具,用于通过各种OSINT服务收集有关域名、FQDN或IP地址的信息。它设计简洁易用,以人类可读的方式呈现结果,并尽量减少API调用以避免超出配额。它整合了VirusTotal、IP2Whois、Shodan、Greynoise、URLhaus和AbuseIPDB等多个信息源,提供域名/IP地址的声誉评分、流行度排名、类别、解析结果、Whois信息、开放端口、恶意URL关联等丰富信息。用户可通过API密钥配置使用高级功能,并支持自定义参数和Docker部署。
漏洞报告平台HackerOne不堪重负,宣布对AI生成的低质量安全报告采取零容忍政策。平台负责人表示,AI生成的报告如同DDoS攻击般,浪费了大量时间,且至今未见任何有效的AI辅助安全报告。未来,所有提交者都必须声明是否使用了AI,使用AI的提交者将面临更严格的审查。
安全团队发现一起看似普通的用户登录事件,实际上隐藏着一起针对24个用户的攻击。攻击者使用微软Azure CLI,在墨西哥数据中心尝试登录多个账户,每次尝试不超过两次以避免触发暴力破解检测,并使用IP地址范围2001:0470:c8e0::/48规避基于IOC的检测。通过分析整个租户的登录活动,而非单个用户,安全团队成功识别出这起攻击。这强调了从租户层面分析日志的重要性,可以发现隐藏在普通用户行为背后的恶意活动。
本文探讨了 macOS 在 Apple Silicon (ARM64) 架构下,NULL 指针解引用漏洞为何不再可被利用来进行权限提升攻击。历史上,攻击者曾通过各种技巧,例如在 32 位系统上映射 NULL 页,来利用此类漏洞执行恶意代码。然而,macOS 经过多年的安全增强,特别是引入 SMEP、PAN、PXN 和 PAC 等硬件和软件保护机制,以及移除 32 位支持和强化内核内存管理后,使得这类攻击变得极其困难,甚至不可能。如今,在现代 macOS 系统上,NULL 指针解引用漏洞几乎只能造成拒绝服务 (DoS) 攻击,无法再被用于权限提升。文章详细分析了这些安全增强措施,并总结了报告此类漏洞前的必要检查清单。
Canvas指纹技术常用于反欺诈,但欺诈者也开发出伪造技术绕过检测。本文深入探讨了欺诈者如何利用Zenrows等平台的技巧,以及Canvas Blocker等浏览器扩展程序来修改Canvas指纹,并分析了两种检测方法:通过像素值验证和函数一致性检查来识别伪造行为。这两种方法分别通过验证预设像素颜色和检查原生函数原型或错误堆栈来判断Canvas指纹是否被篡改。
ESET研究人员发现了一个名为“SparkCat”的跨平台恶意软件,它潜伏在Google Play和App Store中,已感染超过24万次下载。该恶意软件通过嵌入恶意SDK,利用OCR技术识别用户相册中的加密钱包恢复短语图片,并将其发送到C2服务器。攻击者使用Rust编写了定制的C2通信协议,增加了分析难度。该恶意软件的目标是窃取用户的加密货币,并通过多种方式规避安全措施。
Kaspersky发现的恶意软件家族POISONPLUG.SHADOW(Shadowpad)使用了自定义的混淆编译器ScatterBrain,极大地增加了分析难度。Google威胁情报小组(GTIG)与FLARE团队合作,通过逆向工程技术,对ScatterBrain进行了深入分析,并开发出一个独立的静态反混淆器库。该库能够处理ScatterBrain的三种保护模式(Selective,Complete,Complete "headerless"),去除其控制流图混淆、指令变异和导入表保护等机制,从而还原被混淆的二进制文件。这项研究成果有助于提升对高级恶意软件的防御能力。
安全工程师Soatok发表博文,对Session聊天应用的密码学设计提出质疑。文章指出Session使用128位种子生成Ed25519密钥,存在被批量碰撞攻击的风险,并提供了相应的PoC代码。此外,文章还批评了Session在签名验证过程中存在设计缺陷,以及移除前向保密机制的决定。Soatok认为Session的密码学设计存在严重的安全隐患,不建议用户使用。
安全研究员发现了一个影响Windows BitLocker的严重漏洞,攻击者无需物理拆卸设备,只需通过网络连接和键盘,即可在默认的“设备加密”设置下提取磁盘加密密钥。该漏洞利用了Windows启动管理器中的一个缺陷,允许攻击者降级启动管理器到易受攻击的版本,从而绕过安全启动机制。虽然微软已在2022年底修复了该漏洞,但由于安全启动标准中的设计缺陷,该漏洞至今仍可被利用。文章详细解释了漏洞的利用过程,并提出了几种缓解措施,包括启用预启动PIN码或应用KB5025885补丁。
本文揭示了一种名为定时攻击的巧妙攻击方法。攻击者通过反复调用一个看似安全的函数 `checkSecret`,并精确测量其执行时间,来推断出秘密值。即使 `checkSecret` 函数本身没有明显的安全漏洞,但由于其内部实现中存在“提前退出”机制,导致部分匹配的猜测耗时更长,从而泄露信息。文章详细介绍了利用这种时间差异,结合汤普森采样算法和Trie树数据结构,高效地猜测密码的过程,并讨论了如何在网络环境下应对更复杂的噪声。最终,文章强调了避免直接比较敏感数据的重要性,建议使用哈希或其它安全算法,并设置合理的速率限制。
Nyxelf是一款强大的恶意Linux ELF二进制文件分析工具,它结合静态分析(readelf、objdump和pyelftools)和基于QEMU的动态沙箱分析,提供UPX解包、系统调用跟踪和进程/文件活动监控等功能,并通过pywebview提供直观的GUI界面。其JSON输出功能方便自动化工作流程,是安全研究人员和逆向工程师的利器。
本文揭露了一个利用TPM2自动解锁磁盘加密的漏洞。攻击者只需短暂的物理接触,便可在未修改TPM状态的情况下解密磁盘。该漏洞源于大多数系统在解密分区时未能验证LUKS身份。攻击者可利用未加密的引导分区中的initrd镜像信息,创建具有已知密钥的伪造LUKS分区,诱导系统执行恶意init程序,从而获得原始磁盘密钥。解决方法包括使用TPM PIN或在initrd中正确验证LUKS身份。
一份针对LastPass Android应用4.11.18.6150版本的隐私报告揭示了其内置7个追踪器和36个权限。这些追踪器包括AppsFlyer、Google Analytics等,用于收集用户数据。权限涵盖位置信息、网络访问、读取存储等敏感内容。报告指出,部分权限级别较高,可能存在隐私风险。用户需谨慎评估其隐私影响。
一项新的研究发现GitHub上存在450万个疑似虚假的点赞(star),这些虚假点赞主要用于推广短期存在的恶意软件仓库,例如伪装成盗版软件、游戏作弊器或加密货币机器人。研究人员开发了一个名为StarScout的工具,能够检测异常的点赞行为。研究表明,虚假点赞活动自2024年以来急剧增加,虽然虚假点赞者在用户画像上与普通用户无异,但其活动模式异常。虽然短期内虚假点赞能起到推广作用,但长期来看反而会成为负担。这项研究对平台管理员、开源从业者和供应链安全研究人员具有重要意义。
本文介绍了一种通过内存转储绕过Windows 11 BitLocker加密的方法。攻击者通过物理访问设备,在系统重启时获取内存中的完整卷加密密钥(FVEK)。作者使用名为Memory-Dump-UEFI的工具,在UEFI环境下完成内存转储,并从转储文件中提取FVEK密钥。文章详细介绍了步骤,包括创建可启动U盘、强制重启系统、从U盘启动工具、分析内存转储文件,以及使用pool tags定位FVEK密钥等。最后,文章强调了使用合适的工具(如dislocker)来解锁BitLocker保护的分区。