cisco-ip-phone.jpg

思科在其IP电话Web服务器中消除了一个严重漏洞,该漏洞可能允许未经身份验证的攻击者远程执行代码。

思科警告其IP电话的Web服务器存在严重缺陷。如果利用此漏洞,则该漏洞可能允许未经身份验证的远程攻击者以root特权执行代码或发起拒绝服务(DoS)攻击。

概念验证(PoC)漏洞利用代码已发布在GitHub上的漏洞(CVE-2020-3161)上,在CVSS等级中,该漏洞排名9.8(满分10)。思科在周三的公告中发布了针对该漏洞的补丁程序,该补丁程序会影响面向中小型企业的各种版本的Cisco IP电话。

根据发现该漏洞的Tenable的Jacob Baines所说,思科IP电话的Web服务器缺乏对HTTP请求的正确输入验证。要利用此漏洞,攻击者仅可以向/ deviceconfig / setActivationCode端点(在目标设备的Web服务器上)发送精心设计的HTTP请求。

根据Baines的说法,由于缺乏输入验证,这将触发基于堆栈的缓冲区溢出:“在libHTTPService.so中,/ deviceconfig / setActivationCode之后的参数用于通过sprintf函数调用创建新的URI。不检查参数字符串的长度。

最终结果是攻击者能够使设备崩溃,甚至有可能远程执行代码。

受影响的产品包括:IP电话7811、7821、7841和7861台式电话;以及 IP电话8811、8841、8845、8851、8861和8865台式电话,统一IP会议电话8831和无线IP电话8821、8821-EX。

值得注意的是,据思科称,其中一些产品(尤其是无线IP电话8821和8821-EX)已被医疗行业所采用,这些行业目前正处于冠状病毒大流行的最前沿。

1.png

思科还确认了不受其网站缺陷影响的各种产品。思科称,除了思科的补丁程序,该漏洞的一种缓解措施是禁用IP电话上的Web访问(实际上,默认情况下IP电话上的Web访问就是被禁用的)。

Tenable的Baines的这个新发现也促使思科在周三的时候将其IP电话中先前发现的一个漏洞(CVE-2016-1421)的严重程度等级提高了。以前,该漏洞的严重程度为中等(在CVSS等级中,满分为10,排名5)。

但是,Baines发现,未经身份验证的参与者也有可能会利用此漏洞(以前Cisco表示利用此漏洞需要身份验证),并且有可能实现远程代码执行以及DoS(以前Cisco发现只能启用DoS)。Baines还发现一种受影响产品,即未列入受影响列表的无线IP电话8821。

其他关键缺陷

周三,思科还在其统一计算系统(UCS)Director产品和针对大数据的Cisco UCS Director Express产品中解决了与九个CVE相关的关键和高严重性漏洞。Cisco UCS Director是用于各种Cisco和非Cisco数据基础架构组件的端到端管理平台。适用于大数据的Cisco UCS Director Express则是一个开放的私有云平台,可在内部提供大数据即服务。

缺陷(CVE-2020-3239,CVE-2020-3240,CVE-2020-3243,CVE-2020-3247,CVE-2020-3248,CVE-2020-3249,CVE-2020-3250,CVE-2020-3251 ,CVE-2020-3252)存在于两种产品的REST API中,并且可能允许远程攻击者绕过身份验证或在受影响的设备上进行目录遍历攻击。以下是受影响的产品和固定版本的列表。

2.png

Source Incite的Steven Seeley与趋势科技的“零日活动”(Zero Day Initiative)合作,联合报告了这些缺陷。

思科表示:

思科产品安全事件响应团队(PSIRT)目前尚未发现任何该通报中提到的有关漏洞的公告或恶意利用情况发生。

cisco-ip-phone.jpg

思科在其IP电话Web服务器中消除了一个严重漏洞,该漏洞可能允许未经身份验证的攻击者远程执行代码。

思科警告其IP电话的Web服务器存在严重缺陷。如果利用此漏洞,则该漏洞可能允许未经身份验证的远程攻击者以root特权执行代码或发起拒绝服务(DoS)攻击。

概念验证(PoC)漏洞利用代码已发布在GitHub上的漏洞(CVE-2020-3161)上,在CVSS等级中,该漏洞排名9.8(满分10)。思科在周三的公告中发布了针对该漏洞的补丁程序,该补丁程序会影响面向中小型企业的各种版本的Cisco IP电话。

根据发现该漏洞的Tenable的Jacob Baines所说,思科IP电话的Web服务器缺乏对HTTP请求的正确输入验证。要利用此漏洞,攻击者仅可以向/ deviceconfig / setActivationCode端点(在目标设备的Web服务器上)发送精心设计的HTTP请求。

根据Baines的说法,由于缺乏输入验证,这将触发基于堆栈的缓冲区溢出:“在libHTTPService.so中,/ deviceconfig / setActivationCode之后的参数用于通过sprintf函数调用创建新的URI。不检查参数字符串的长度。

最终结果是攻击者能够使设备崩溃,甚至有可能远程执行代码。

受影响的产品包括:IP电话7811、7821、7841和7861台式电话;以及 IP电话8811、8841、8845、8851、8861和8865台式电话,统一IP会议电话8831和无线IP电话8821、8821-EX。

值得注意的是,据思科称,其中一些产品(尤其是无线IP电话8821和8821-EX)已被医疗行业所采用,这些行业目前正处于冠状病毒大流行的最前沿。

1.png

思科还确认了不受其网站缺陷影响的各种产品。思科称,除了思科的补丁程序,该漏洞的一种缓解措施是禁用IP电话上的Web访问(实际上,默认情况下IP电话上的Web访问就是被禁用的)。

Tenable的Baines的这个新发现也促使思科在周三的时候将其IP电话中先前发现的一个漏洞(CVE-2016-1421)的严重程度等级提高了。以前,该漏洞的严重程度为中等(在CVSS等级中,满分为10,排名5)。

但是,Baines发现,未经身份验证的参与者也有可能会利用此漏洞(以前Cisco表示利用此漏洞需要身份验证),并且有可能实现远程代码执行以及DoS(以前Cisco发现只能启用DoS)。Baines还发现一种受影响产品,即未列入受影响列表的无线IP电话8821。

其他关键缺陷

周三,思科还在其统一计算系统(UCS)Director产品和针对大数据的Cisco UCS Director Express产品中解决了与九个CVE相关的关键和高严重性漏洞。Cisco UCS Director是用于各种Cisco和非Cisco数据基础架构组件的端到端管理平台。适用于大数据的Cisco UCS Director Express则是一个开放的私有云平台,可在内部提供大数据即服务。

缺陷(CVE-2020-3239,CVE-2020-3240,CVE-2020-3243,CVE-2020-3247,CVE-2020-3248,CVE-2020-3249,CVE-2020-3250,CVE-2020-3251 ,CVE-2020-3252)存在于两种产品的REST API中,并且可能允许远程攻击者绕过身份验证或在受影响的设备上进行目录遍历攻击。以下是受影响的产品和固定版本的列表。

2.png

Source Incite的Steven Seeley与趋势科技的“零日活动”(Zero Day Initiative)合作,联合报告了这些缺陷。

思科表示:

思科产品安全事件响应团队(PSIRT)目前尚未发现任何该通报中提到的有关漏洞的公告或恶意利用情况发生。

zoom-meeting.jpg

一封内部信件显示,最近美国众议院监督委员会线上会议是Zoom攻击案的最新受害者。

美国众议院监督委员会的一次线上会议是Zoom攻击的最新受害者,该会议被不请自来的与会者至少打断了三次。

吉姆·乔丹(R-Ohio)在最近致美国众议院主要调查委员会监督与改革委员会主席卡罗琳·马洛尼(R-NY)的内部信中披露了这一事件。

这封信中提到:

尽管有联邦调查局和媒体的警告,但您还是在2020年4月3日与阿富汗重建特别监察长(SIGAR)举行了由Zoom主持的阿富汗妇女权利简报会。在这次重要的情况介绍会上,会议至少遭受了3次“Zoom攻击”。黑客和恶意软件对会员和员工设备的影响仍在调查确定中。

这封信没有具体说明Zoom攻击者在中断会议后做了什么,也没有说明其是否访问了任何敏感数据。

约旦将这一事件与中国同Zoom的牵涉一起作为主要安全问题,呼吁政府官员“立即中止将Zoom系统用于当前的正式委员会活动,并立即采取措施评估委员会的内部网络安全,要为了防止黑客通过Zoom平台访问敏感的委员会信息做好准备。”

冠状病毒的大流行使越来越多的组织通过远程工作的方式来“拉平曲线”,这也使Zoom和其他网络会议平台的使用率大幅提高。而攻击者就利用这种优势来劫持在线会议。之前有关Zoom攻击事件的报道指出,攻击者散布仇恨言论,例如种族主义信息、性骚扰威胁和色情图片等,据报道,这些言论驱使会议参与者离线或被迫取消会议。

但是对于一次可能共享敏感数据的政府会议而言,其风险远非仅仅是拖延会议时间。英国首相鲍里斯·约翰逊(Boris Johnson)在推特上显示了他的Zoom会议照片后,由于照片上可以看到会议ID,这引发了大讨论:政府该如何利用Zoom,且应该如何保障Zoom线上会议的信息安全。

政府官员注意到了这一威胁。信中说,参议院参议员本周警告道,Zoom构成了“潜在的系统危害、数据丢失、会议中断和暴露隐私的威胁”。此外,参议院军士长指出,目前参议院办公室没有对Zoom产品进行审查和清理。

尽管联邦调查局对这一问题进行了严厉打击,并警告说参加Zoom攻击活动的人可能会面临入狱的惩罚,但在过去几周,Zoom攻击事件一直在增多和升温。ZDNet的最新报告指出,攻击者聚集在在线社区(例如Discord,Reddit等)中,以共享Zoom会议代码或针对某些在线课程发出Zoom攻击请求。根据PCMag的最新报告,这些攻击者中有许多是青少年,甚至有一些人通过Twitch 直播他们的攻击。

在过去一个月中,Zoom的平台整体也因安全性担忧和隐私保护不足而备受抨击。最近,印度内政部向那些想要使用Zoom的人发布了一份建议书,称它“不是一个安全的平台”。

在此影响之中,Zoom正在采取措施来改善其安全性,其中包括招募业内知名人士:前Facebook CISO Alex Stamos,来提供特别顾问。Zoom还试图改善其漏洞赏金计划,聘请了漏洞赏金专家和Luta Security的创始人Katie Moussouris来评估其漏洞赏金计划。作为这些改进的一部分,Zoom还引入了一项新功能,使用户可以报告Zoom攻击。该功能将于下周推出,以“报告用户”安全图标的形象出现在下部工具栏中。

zoom-meeting.jpg

一封内部信件显示,最近美国众议院监督委员会线上会议是Zoom攻击案的最新受害者。

美国众议院监督委员会的一次线上会议是Zoom攻击的最新受害者,该会议被不请自来的与会者至少打断了三次。

吉姆·乔丹(R-Ohio)在最近致美国众议院主要调查委员会监督与改革委员会主席卡罗琳·马洛尼(R-NY)的内部信中披露了这一事件。

这封信中提到:

尽管有联邦调查局和媒体的警告,但您还是在2020年4月3日与阿富汗重建特别监察长(SIGAR)举行了由Zoom主持的阿富汗妇女权利简报会。在这次重要的情况介绍会上,会议至少遭受了3次“Zoom攻击”。黑客和恶意软件对会员和员工设备的影响仍在调查确定中。

这封信没有具体说明Zoom攻击者在中断会议后做了什么,也没有说明其是否访问了任何敏感数据。

约旦将这一事件与中国同Zoom的牵涉一起作为主要安全问题,呼吁政府官员“立即中止将Zoom系统用于当前的正式委员会活动,并立即采取措施评估委员会的内部网络安全,要为了防止黑客通过Zoom平台访问敏感的委员会信息做好准备。”

冠状病毒的大流行使越来越多的组织通过远程工作的方式来“拉平曲线”,这也使Zoom和其他网络会议平台的使用率大幅提高。而攻击者就利用这种优势来劫持在线会议。之前有关Zoom攻击事件的报道指出,攻击者散布仇恨言论,例如种族主义信息、性骚扰威胁和色情图片等,据报道,这些言论驱使会议参与者离线或被迫取消会议。

但是对于一次可能共享敏感数据的政府会议而言,其风险远非仅仅是拖延会议时间。英国首相鲍里斯·约翰逊(Boris Johnson)在推特上显示了他的Zoom会议照片后,由于照片上可以看到会议ID,这引发了大讨论:政府该如何利用Zoom,且应该如何保障Zoom线上会议的信息安全。

政府官员注意到了这一威胁。信中说,参议院参议员本周警告道,Zoom构成了“潜在的系统危害、数据丢失、会议中断和暴露隐私的威胁”。此外,参议院军士长指出,目前参议院办公室没有对Zoom产品进行审查和清理。

尽管联邦调查局对这一问题进行了严厉打击,并警告说参加Zoom攻击活动的人可能会面临入狱的惩罚,但在过去几周,Zoom攻击事件一直在增多和升温。ZDNet的最新报告指出,攻击者聚集在在线社区(例如Discord,Reddit等)中,以共享Zoom会议代码或针对某些在线课程发出Zoom攻击请求。根据PCMag的最新报告,这些攻击者中有许多是青少年,甚至有一些人通过Twitch 直播他们的攻击。

在过去一个月中,Zoom的平台整体也因安全性担忧和隐私保护不足而备受抨击。最近,印度内政部向那些想要使用Zoom的人发布了一份建议书,称它“不是一个安全的平台”。

在此影响之中,Zoom正在采取措施来改善其安全性,其中包括招募业内知名人士:前Facebook CISO Alex Stamos,来提供特别顾问。Zoom还试图改善其漏洞赏金计划,聘请了漏洞赏金专家和Luta Security的创始人Katie Moussouris来评估其漏洞赏金计划。作为这些改进的一部分,Zoom还引入了一项新功能,使用户可以报告Zoom攻击。该功能将于下周推出,以“报告用户”安全图标的形象出现在下部工具栏中。

zoom-meeting.jpg

一封内部信件显示,最近美国众议院监督委员会线上会议是Zoom攻击案的最新受害者。

美国众议院监督委员会的一次线上会议是Zoom攻击的最新受害者,该会议被不请自来的与会者至少打断了三次。

吉姆·乔丹(R-Ohio)在最近致美国众议院主要调查委员会监督与改革委员会主席卡罗琳·马洛尼(R-NY)的内部信中披露了这一事件。

这封信中提到:

尽管有联邦调查局和媒体的警告,但您还是在2020年4月3日与阿富汗重建特别监察长(SIGAR)举行了由Zoom主持的阿富汗妇女权利简报会。在这次重要的情况介绍会上,会议至少遭受了3次“Zoom攻击”。黑客和恶意软件对会员和员工设备的影响仍在调查确定中。

这封信没有具体说明Zoom攻击者在中断会议后做了什么,也没有说明其是否访问了任何敏感数据。

约旦将这一事件与中国同Zoom的牵涉一起作为主要安全问题,呼吁政府官员“立即中止将Zoom系统用于当前的正式委员会活动,并立即采取措施评估委员会的内部网络安全,要为了防止黑客通过Zoom平台访问敏感的委员会信息做好准备。”

冠状病毒的大流行使越来越多的组织通过远程工作的方式来“拉平曲线”,这也使Zoom和其他网络会议平台的使用率大幅提高。而攻击者就利用这种优势来劫持在线会议。之前有关Zoom攻击事件的报道指出,攻击者散布仇恨言论,例如种族主义信息、性骚扰威胁和色情图片等,据报道,这些言论驱使会议参与者离线或被迫取消会议。

但是对于一次可能共享敏感数据的政府会议而言,其风险远非仅仅是拖延会议时间。英国首相鲍里斯·约翰逊(Boris Johnson)在推特上显示了他的Zoom会议照片后,由于照片上可以看到会议ID,这引发了大讨论:政府该如何利用Zoom,且应该如何保障Zoom线上会议的信息安全。

政府官员注意到了这一威胁。信中说,参议院参议员本周警告道,Zoom构成了“潜在的系统危害、数据丢失、会议中断和暴露隐私的威胁”。此外,参议院军士长指出,目前参议院办公室没有对Zoom产品进行审查和清理。

尽管联邦调查局对这一问题进行了严厉打击,并警告说参加Zoom攻击活动的人可能会面临入狱的惩罚,但在过去几周,Zoom攻击事件一直在增多和升温。ZDNet的最新报告指出,攻击者聚集在在线社区(例如Discord,Reddit等)中,以共享Zoom会议代码或针对某些在线课程发出Zoom攻击请求。根据PCMag的最新报告,这些攻击者中有许多是青少年,甚至有一些人通过Twitch 直播他们的攻击。

在过去一个月中,Zoom的平台整体也因安全性担忧和隐私保护不足而备受抨击。最近,印度内政部向那些想要使用Zoom的人发布了一份建议书,称它“不是一个安全的平台”。

在此影响之中,Zoom正在采取措施来改善其安全性,其中包括招募业内知名人士:前Facebook CISO Alex Stamos,来提供特别顾问。Zoom还试图改善其漏洞赏金计划,聘请了漏洞赏金专家和Luta Security的创始人Katie Moussouris来评估其漏洞赏金计划。作为这些改进的一部分,Zoom还引入了一项新功能,使用户可以报告Zoom攻击。该功能将于下周推出,以“报告用户”安全图标的形象出现在下部工具栏中。

microsoft-sign.jpg

微软在其重大更新中一次性发布了113个补丁程序,很遗憾,这对于居家办公的IT从业者们来说无疑是一个噩耗,他们本来就因居家办公而备受安全问题多发的困扰。

微软已经发布了2020年4月星期二补丁程序安全更新,这是自在家办公时代真正开始以来的第一个大补丁更新。这真是个愚蠢的做法,这家科技巨头主动向外界透露了自己的113个漏洞。

这些漏洞之中,有19个被评为严重级别,而94个被评为重要级别。至关重要的是,其中四个漏洞正在野外被利用。其中两个以前已公开披露过。

总之,此更新包括针对Microsoft Windows、Microsoft Edge(基于EdgeHTML和基于Chromium的版本)、ChakraCore、Internet Explorer、Microsoft Office、Microsoft Office Services及Web Apps、Windows Defender、Visual Studio、Microsoft Dynamics和适用于Android和Mac的Microsoft Apps。这些系统和软件涉及的领域从信息公开和特权升级到远程代码执行(RCE)和跨站点脚本(XSS)都有。

根据趋势科技中零日活动(ZDI)的数据可知,1月至4月间,Microsoft修补的CVE(英文全称是“Common Vulnerabilities & Exposures”,即通用漏洞披露。CVE就好像是一个字典表,为广泛认同的信息安全漏洞或者已经暴露出来的弱点给出一个公共的名称)数量同比增长了44%,这可能是由于越来越多的研究人员投入到寻找错误的工作中,同时产品组合大大扩展也提供了相应的支持。3月,微软的星期二补丁中包含115个更新;2月份,微软修补了99个错误;一月份,微软解决了50个缺陷。

同样在本周,Oracle 修补了多达405个安全漏洞 ,而在另一方面,Adobe表现不佳,4月份仅仅解决了5个CVE。

被积极利用的漏洞们

在零日方面,Microsoft修补了CVE-2020-0968,该漏洞是Internet Explorer中的一个关键级别的内存损坏漏洞,被广泛利用。该错误允许RCE(英文全称:remote command/code execute,远程命令/代码执行),它是由于脚本引擎对内存中对象的不正确处理而导致的漏洞。

Tenable首席研究工程师Satnam Narang对Threatpost说:

在多种情况下均可利用此漏洞。主要方法是对用户进行社交利用,使其访问包含恶意代码的网站,无论该网站是否由攻击者拥有,也有可能是被注入恶意代码的受感染网站。攻击者还可能通过社交手段诱使用户打开嵌入了恶意代码的恶意Microsoft Office文档。

Automox信息安全和研究总监克里斯·海斯(Chris Hass)告诉Threatpost,CVE-2020-0968是一个完美的漏洞,可用于偷渡活动。他解释说:

如果当前用户以管理员身份登录,则攻击者可以托管一个特制网站,并承载此漏洞,一旦未打补丁的用户导航到恶意网站,攻击者便可以利用此错误,使攻击者可以远程访问主机,此错误将使攻击者可以查看、更改、删除数据,甚至允许其在受害者终端安装勒索软件。

Hass补充说,尽管因为IE的用户群稳步下降造成了此漏洞的范围有所限制,它仍然是网络犯罪分子会优先考虑的媒介。

同时,还有两个被积极利用的漏洞是与Windows Adobe Type Manager库相关的RCE问题,该问题被列为重要级别。

第一个CVE-2020-1020已公开。之所以出现这种情况,是因为该库无法正确处理特制的多主字体,即Adobe Type 1 PostScript格式。

ZDI的Dustin Childs在Patch Tuesday的分析中说:“如果攻击者能够说服用户查看特制字体,则攻击者便可以使用此漏洞在受影响的系统上执行代码,代码将在已登录用户的层面运行。”

相关的错误是零日CVE-2020-0938,这是一个RCE漏洞,会影响Windows中的OpenType字体渲染器。同样,如果用户查看了特制字体,则攻击者可以在目标系统上执行代码。

Narang告诉Threatpost,尽管两者是相关的,“目前还没有证实这两者与同一组野外攻击有关。”而至于攻击媒介,Narang补充道,“要利用这些缺陷,攻击者需要对用户进行社交利用,以使其打开恶意文档或在Windows预览窗格中查看该文档。”

这两个错误都已用于Windows 7系统。Childs指出,自从操作系统在今年1月停止支持以来,并非所有Windows 7系统都将收到补丁。

最后还有一个被积极利用的bug(以前尚未公开披露)是CVE-2020-1027,它以Windows内核处理内存中对象的方式存在。微软称,“成功利用此漏洞的攻击者可以提高权限执行代码,”该漏洞被标记为“重要”级别。

要利用此漏洞,攻击者需要通过本地身份验证,并且运行经特殊设计的应用程序。

其他应优先考虑的补丁

微软还修补了几个值得注意的其他错误,研究人员称管理员应在大型更新中优先考虑。

CVE-2020-0935是第二个先前披露的问题,它是一个在Windows的OneDrive中发现的重要级别的特权提升漏洞。它的存在是由于对符号链接(快捷链接)的处理不当造成的,利用该漏洞将使攻击者可以进一步破坏系统,执行可能需要更高特权才能生效的其他有效负载,或者得以访问以前无法获得的个人信息或其他机密信息。

Hass告诉Threatpost:

获得了访问端点权限的攻击者可以使用OneDrive覆盖目标文件,从而导致状态提升。OneDrive非常流行,通常默认情况下会安装在Windows 10上。在个人设备越来越多用于远程工作的当下,它与远程工作结合时,就使得此漏洞的潜在影响范围变得更大了。

ZDI的Childs还标记了一个重要的Windows DNS拒绝服务(DoS)错误CVE-2020-0993,该错误会影响客户端系统。

Childs提到:“攻击者可以通过向受影响的系统发送一些特制的DNS查询,从而导致DNS服务无响应。考虑到未经身份验证的攻击者可能造成的损害,建议大家在为系统做测试和部署的列表中高度关注此类情况。”

还有一个漏洞是CVE-2020-0981。这是一个重要评级很高的绕过Windows令牌安全功能的漏洞,该漏洞产生的主要原因是Windows在Windows 10版本1903及更高版本中无法正确处理令牌关系。

Childs提供了一种解释:很少看到安全功能绕过直接导致沙箱逃逸的情况,但这恰恰是此错误所允许的。攻击者可能滥用此权限,以允许具有特定完整性级别的应用程序以不同的(可能是更高的)完整性级别来执行代码。

严重的SharePoint错误

SharePoint是与Microsoft Office集成的基于Web的协作平台,通常是用作文档管理和存储系统的。而根据微软的建议,本月发现了该平台存在着许多严重的问题,其中包括了四个严重的RCE错误,这是由于该软件未检查应用程序包的源标记而引起的。

发现的名为CVE-2020-0929错误为RCE的发生提供了可能,并且影响了Microsoft SharePoint Enterprise Server 2016、Microsoft SharePoint Foundation 2010 Service Pack 2、Microsoft SharePoint Foundation 2013 Service Pack 1,以及Microsoft SharePoint Server 2019。

第二个严重错误(CVE-2020-0931)也允许RCE,它会影响Microsoft Business Productivity Servers 2010 Service Pack 2、Microsoft SharePoint Enterprise Server 2013 Service Pack 1、Microsoft SharePoint Enterprise Server 2016、Microsoft SharePoint Foundation 2013 Service Pack 1,以及Microsoft SharePoint Server 2019。

另一个RCE问题(CVE-2020-0932)则影响了Microsoft SharePoint Enterprise Server 2016、Microsoft SharePoint Foundation 2013 Service Pack 1、Microsoft SharePoint Server 2019。还有,CVE-2020-0974影响Microsoft SharePoint企业服务器2016和Microsoft SharePoint Server的2019。

Microsoft在个别错误公告中表示,对于所有的RCE错误,“成功利用此漏洞的攻击者可以在SharePoint应用程序池和SharePoint服务器场帐户的上下文中运行任意代码,” 攻击者可以通过将特制的SharePoint应用程序包上载到受影响的SharePoint中来利用其中的任何一个版本。

SharePoint还包含第五个严重错误CVE-2020-0927。这是一个XSS漏洞,会影响Microsoft SharePoint Server 2019和Enterprise Server 2016,并可能导致仿冒情况的发生。

在远程办公时也不可放松对漏洞的解决工作

Automox的高级技术产品经理Richard Melick对Threatpost表示,即使IT和安全组织目前因为新冠病毒大流行而转为远程工作,并因为远程工作而承担了比以往更大的压力,但4月的星期二补丁发布并不是一个可以跳过的事件,至少应该重点关注和解决其中提及的四个被积极利用的错误。

Melick建议:

IT和SecOps经理需要制定一个部署计划,针对日益多样化的技术环境,也针对一系列未知的连接因素,这样才能保证在24小时之内解决当今的零日中已被积极利用的关键漏洞,而其余的漏洞和错误应在72小时之内解决,来确保漏洞和错误在被武器化之前已被解决。毕竟黑客也在争分夺秒的工作,他们与所有人一样,都在时刻努力着。

Melick还提到,由于目前远程办公的模式有可能导致安全疏漏的存在,这些漏洞所造成的后果可能会进一步恶化。

他解释说,由于当今的远程劳动环境以及通过电子邮件或线上文件共享功能来分享文档的必要性,仅需一封仿冒的电子邮件,恶意网站或被利用的文档即可为攻击者打开大门。一旦进入,攻击者将具有修改数据、安装后门或新软件、甚至获得完整用户权限帐户的能力。尽管较旧版本的Windows更容易受到这两种攻击的影响,但Windows 10的采用率仅略高于50%,也给攻击者留下了很多的目标。

Kenna Security研究负责人Jonathan Cran补充说,团队应该为涉及的修补工作做好充足的开销预算。

Cran对Threatpost表示:

鉴于许多组织现在已经转向了远程工作的方式,再加上本周早些时候Oracle更新的当前补丁负载,以及积压的补丁,这对许多安全团队来说似乎是一个繁忙的月份,我们还没有看到在家工作是如何影响补丁率的,但是对于安全团队来说,在远程办公的员工电脑上安装大量的布丁,不论是通过公司的VPN链接到Windows Server Update Services,还是寻求Microsoft System Center Configuration Manager的帮助,都会是一个需要投入大量资源和时间的工作。

microsoft-sign.jpg

微软在其重大更新中一次性发布了113个补丁程序,很遗憾,这对于居家办公的IT从业者们来说无疑是一个噩耗,他们本来就因居家办公而备受安全问题多发的困扰。

微软已经发布了2020年4月星期二补丁程序安全更新,这是自在家办公时代真正开始以来的第一个大补丁更新。这真是个愚蠢的做法,这家科技巨头主动向外界透露了自己的113个漏洞。

这些漏洞之中,有19个被评为严重级别,而94个被评为重要级别。至关重要的是,其中四个漏洞正在野外被利用。其中两个以前已公开披露过。

总之,此更新包括针对Microsoft Windows、Microsoft Edge(基于EdgeHTML和基于Chromium的版本)、ChakraCore、Internet Explorer、Microsoft Office、Microsoft Office Services及Web Apps、Windows Defender、Visual Studio、Microsoft Dynamics和适用于Android和Mac的Microsoft Apps。这些系统和软件涉及的领域从信息公开和特权升级到远程代码执行(RCE)和跨站点脚本(XSS)都有。

根据趋势科技中零日活动(ZDI)的数据可知,1月至4月间,Microsoft修补的CVE(英文全称是“Common Vulnerabilities & Exposures”,即通用漏洞披露。CVE就好像是一个字典表,为广泛认同的信息安全漏洞或者已经暴露出来的弱点给出一个公共的名称)数量同比增长了44%,这可能是由于越来越多的研究人员投入到寻找错误的工作中,同时产品组合大大扩展也提供了相应的支持。3月,微软的星期二补丁中包含115个更新;2月份,微软修补了99个错误;一月份,微软解决了50个缺陷。

同样在本周,Oracle 修补了多达405个安全漏洞 ,而在另一方面,Adobe表现不佳,4月份仅仅解决了5个CVE。

被积极利用的漏洞们

在零日方面,Microsoft修补了CVE-2020-0968,该漏洞是Internet Explorer中的一个关键级别的内存损坏漏洞,被广泛利用。该错误允许RCE(英文全称:remote command/code execute,远程命令/代码执行),它是由于脚本引擎对内存中对象的不正确处理而导致的漏洞。

Tenable首席研究工程师Satnam Narang对Threatpost说:

在多种情况下均可利用此漏洞。主要方法是对用户进行社交利用,使其访问包含恶意代码的网站,无论该网站是否由攻击者拥有,也有可能是被注入恶意代码的受感染网站。攻击者还可能通过社交手段诱使用户打开嵌入了恶意代码的恶意Microsoft Office文档。

Automox信息安全和研究总监克里斯·海斯(Chris Hass)告诉Threatpost,CVE-2020-0968是一个完美的漏洞,可用于偷渡活动。他解释说:

如果当前用户以管理员身份登录,则攻击者可以托管一个特制网站,并承载此漏洞,一旦未打补丁的用户导航到恶意网站,攻击者便可以利用此错误,使攻击者可以远程访问主机,此错误将使攻击者可以查看、更改、删除数据,甚至允许其在受害者终端安装勒索软件。

Hass补充说,尽管因为IE的用户群稳步下降造成了此漏洞的范围有所限制,它仍然是网络犯罪分子会优先考虑的媒介。

同时,还有两个被积极利用的漏洞是与Windows Adobe Type Manager库相关的RCE问题,该问题被列为重要级别。

第一个CVE-2020-1020已公开。之所以出现这种情况,是因为该库无法正确处理特制的多主字体,即Adobe Type 1 PostScript格式。

ZDI的Dustin Childs在Patch Tuesday的分析中说:“如果攻击者能够说服用户查看特制字体,则攻击者便可以使用此漏洞在受影响的系统上执行代码,代码将在已登录用户的层面运行。”

相关的错误是零日CVE-2020-0938,这是一个RCE漏洞,会影响Windows中的OpenType字体渲染器。同样,如果用户查看了特制字体,则攻击者可以在目标系统上执行代码。

Narang告诉Threatpost,尽管两者是相关的,“目前还没有证实这两者与同一组野外攻击有关。”而至于攻击媒介,Narang补充道,“要利用这些缺陷,攻击者需要对用户进行社交利用,以使其打开恶意文档或在Windows预览窗格中查看该文档。”

这两个错误都已用于Windows 7系统。Childs指出,自从操作系统在今年1月停止支持以来,并非所有Windows 7系统都将收到补丁。

最后还有一个被积极利用的bug(以前尚未公开披露)是CVE-2020-1027,它以Windows内核处理内存中对象的方式存在。微软称,“成功利用此漏洞的攻击者可以提高权限执行代码,”该漏洞被标记为“重要”级别。

要利用此漏洞,攻击者需要通过本地身份验证,并且运行经特殊设计的应用程序。

其他应优先考虑的补丁

微软还修补了几个值得注意的其他错误,研究人员称管理员应在大型更新中优先考虑。

CVE-2020-0935是第二个先前披露的问题,它是一个在Windows的OneDrive中发现的重要级别的特权提升漏洞。它的存在是由于对符号链接(快捷链接)的处理不当造成的,利用该漏洞将使攻击者可以进一步破坏系统,执行可能需要更高特权才能生效的其他有效负载,或者得以访问以前无法获得的个人信息或其他机密信息。

Hass告诉Threatpost:

获得了访问端点权限的攻击者可以使用OneDrive覆盖目标文件,从而导致状态提升。OneDrive非常流行,通常默认情况下会安装在Windows 10上。在个人设备越来越多用于远程工作的当下,它与远程工作结合时,就使得此漏洞的潜在影响范围变得更大了。

ZDI的Childs还标记了一个重要的Windows DNS拒绝服务(DoS)错误CVE-2020-0993,该错误会影响客户端系统。

Childs提到:“攻击者可以通过向受影响的系统发送一些特制的DNS查询,从而导致DNS服务无响应。考虑到未经身份验证的攻击者可能造成的损害,建议大家在为系统做测试和部署的列表中高度关注此类情况。”

还有一个漏洞是CVE-2020-0981。这是一个重要评级很高的绕过Windows令牌安全功能的漏洞,该漏洞产生的主要原因是Windows在Windows 10版本1903及更高版本中无法正确处理令牌关系。

Childs提供了一种解释:很少看到安全功能绕过直接导致沙箱逃逸的情况,但这恰恰是此错误所允许的。攻击者可能滥用此权限,以允许具有特定完整性级别的应用程序以不同的(可能是更高的)完整性级别来执行代码。

严重的SharePoint错误

SharePoint是与Microsoft Office集成的基于Web的协作平台,通常是用作文档管理和存储系统的。而根据微软的建议,本月发现了该平台存在着许多严重的问题,其中包括了四个严重的RCE错误,这是由于该软件未检查应用程序包的源标记而引起的。

发现的名为CVE-2020-0929错误为RCE的发生提供了可能,并且影响了Microsoft SharePoint Enterprise Server 2016、Microsoft SharePoint Foundation 2010 Service Pack 2、Microsoft SharePoint Foundation 2013 Service Pack 1,以及Microsoft SharePoint Server 2019。

第二个严重错误(CVE-2020-0931)也允许RCE,它会影响Microsoft Business Productivity Servers 2010 Service Pack 2、Microsoft SharePoint Enterprise Server 2013 Service Pack 1、Microsoft SharePoint Enterprise Server 2016、Microsoft SharePoint Foundation 2013 Service Pack 1,以及Microsoft SharePoint Server 2019。

另一个RCE问题(CVE-2020-0932)则影响了Microsoft SharePoint Enterprise Server 2016、Microsoft SharePoint Foundation 2013 Service Pack 1、Microsoft SharePoint Server 2019。还有,CVE-2020-0974影响Microsoft SharePoint企业服务器2016和Microsoft SharePoint Server的2019。

Microsoft在个别错误公告中表示,对于所有的RCE错误,“成功利用此漏洞的攻击者可以在SharePoint应用程序池和SharePoint服务器场帐户的上下文中运行任意代码,” 攻击者可以通过将特制的SharePoint应用程序包上载到受影响的SharePoint中来利用其中的任何一个版本。

SharePoint还包含第五个严重错误CVE-2020-0927。这是一个XSS漏洞,会影响Microsoft SharePoint Server 2019和Enterprise Server 2016,并可能导致仿冒情况的发生。

在远程办公时也不可放松对漏洞的解决工作

Automox的高级技术产品经理Richard Melick对Threatpost表示,即使IT和安全组织目前因为新冠病毒大流行而转为远程工作,并因为远程工作而承担了比以往更大的压力,但4月的星期二补丁发布并不是一个可以跳过的事件,至少应该重点关注和解决其中提及的四个被积极利用的错误。

Melick建议:

IT和SecOps经理需要制定一个部署计划,针对日益多样化的技术环境,也针对一系列未知的连接因素,这样才能保证在24小时之内解决当今的零日中已被积极利用的关键漏洞,而其余的漏洞和错误应在72小时之内解决,来确保漏洞和错误在被武器化之前已被解决。毕竟黑客也在争分夺秒的工作,他们与所有人一样,都在时刻努力着。

Melick还提到,由于目前远程办公的模式有可能导致安全疏漏的存在,这些漏洞所造成的后果可能会进一步恶化。

他解释说,由于当今的远程劳动环境以及通过电子邮件或线上文件共享功能来分享文档的必要性,仅需一封仿冒的电子邮件,恶意网站或被利用的文档即可为攻击者打开大门。一旦进入,攻击者将具有修改数据、安装后门或新软件、甚至获得完整用户权限帐户的能力。尽管较旧版本的Windows更容易受到这两种攻击的影响,但Windows 10的采用率仅略高于50%,也给攻击者留下了很多的目标。

Kenna Security研究负责人Jonathan Cran补充说,团队应该为涉及的修补工作做好充足的开销预算。

Cran对Threatpost表示:

鉴于许多组织现在已经转向了远程工作的方式,再加上本周早些时候Oracle更新的当前补丁负载,以及积压的补丁,这对许多安全团队来说似乎是一个繁忙的月份,我们还没有看到在家工作是如何影响补丁率的,但是对于安全团队来说,在远程办公的员工电脑上安装大量的布丁,不论是通过公司的VPN链接到Windows Server Update Services,还是寻求Microsoft System Center Configuration Manager的帮助,都会是一个需要投入大量资源和时间的工作。

WIFI适配器、USB集线器、触控板、笔记本电脑摄像头、网络接口卡中的未签名固件为恶意攻击者入侵笔记本电脑和服务器提供了多种途径。

在最新研究中,Eclypsium在来自Lenovo,Dell,HP和其他主要制造商的计算机中使用的WiFi适配器,USB集线器,触控板和相机中发现了未签名的固件。然后,我们展示了通过网络接口卡对服务器的成功攻击,该网络接口卡具有三大服务器制造商各自使用的未签名固件。当这些组件上的固件被感染时,恶意软件并不会被任何软件安全控制程序检测到。尽管以前有野蛮攻击,但外围制造商针对固件签名的动作一直很慢,因此数百万个Windows和Linux系统面临固件攻击的风险,这些固件可能遭遇数据泄露、操作破坏、勒索软件等问题。

图片1.png

未签名固件的问题

自从方程式组织(Equation Group)的 HDD植入被发现已经过去了五年,它使业界体会到固件黑客入侵的能力以及外围设备中未签名的固件所带来的潜在危险。尽管最近几年取得了一些进步,但我们的研究表明,许多行业仍对未签名固件的风险视而不见。在四项单独的新研究中,我们在各种企业设备的WiFi适配器,USB集线器,触控板和相机中都发现了未签名的固件。

不幸的是,这些问题可能会严重破坏设备的安全性和操作,并且往往很难修复。破坏诸如网卡,驱动器和其他外围设备之类的组件会导致设备完全禁用,或者使攻击者能够窃取数据,传输勒索软件,并且躲避安全管理。Eclypsium的这项新研究表明,这些弱点在笔记本电脑和服务器的各个组件中普遍存在,为恶意攻击提供了多种途径。

固件:多数组件的大脑

在安全性方面,大多数注意力都集中在系统的最可见组件上,例如操作系统和应用程序。然而,为了应对日益增长的威胁,许多组织已开始把固件的管理纳入其漏洞管理和威胁防御模型中。

在许多情况下,这些努力仅限于系统固件(位于设备主板上的UEFI或BIOS)。但是,实际上设备中的每个组件都有自己的固件和潜在的风险,包括网络适配器、显卡、USB设备、相机、触摸板、触控板等。您可以参考我们的在线“ 了解您自己的设备 ”资源(超链接:https://eclypsium.com/know-your-own-device/),以浏览当今设备中一些常用的支持固件的组件。

这些组件几乎都由固件控制。固件可以刻录到设备本身的集成电路中,或者组件有自己的闪存,用于存储固件。此外,固件还可以在启动时由操作系统动态提供。无论固件如何存储,它都可以像微型计算机一样操作,以控制该特定组件的低等级行为。正如我们将看到的那样,从笔记本电脑到服务器再到网络设备,此代码通常很容易受到攻击。

未签名固件的风险

问题在于,外围设备通常缺乏安全最佳实践,这在操作系统和其他更可见的组件(例如UEFI或BIOS)中是理所当然的存在的最佳实践。特别是,许多外围设备在运行代码之前不会验证固件是否已使用高质量的公钥/私钥正确签名。这意味着这些组件无法验证设备加载的固件是否可靠,是否值得信赖。攻击者可能只是插入恶意或易受攻击的固件映像,组件就会盲目地信任并运行该固件映像。

此外,正如我们之前的《Screwed Drivers》研究和最近的“陆上攻击”所表明的那样,可以使用易受攻击的驱动程序绕过保护,并使勒索软件不受干扰地进行攻击。许多组件无需特殊特权就可以更新,一种非常简单而强大的攻击方案出现了:

1. 攻击者可以通过任何方法访问设备,例如通过电子邮件或恶意网站传递的恶意软件,或邪恶女仆攻击。在拥有基本的用户特权后,攻击者/恶意软件可以将恶意固件写入易受攻击的组件。

2. 如果该组件不需要正确签名固件,则攻击者的代码将由该组件加载并运行。

3. 然后,攻击者可以使用该组件的独特功能和特权来发起进一步攻击。

攻击者滥用固件的方式会因组件而异。例如,网络适配器上的恶意固件可能允许攻击者嗅探、复制、重定向或更改流量,从而导致数据丢失、中间人攻击和其他攻击。基于PCI的设备可以启用直接内存访问(DMA)攻击,可以轻松窃取数据或完全控制受害系统。摄像头可用于从用户环境中捕获数据,而受损的硬盘驱动器可使攻击者隐藏代码和工具,而不会被操作系统发现。然而,总结下来就是一个意思:如果某个组件不要求验证固件,则攻击者通常可以无需特殊特权即可轻松地控制该组件。

最新研究:外围设备中不安全固件的示例

1. 联想笔记本电脑中的触摸板和小红帽(TrackPoint)固件

Eclypsium的研究人员最近分析了联想ThinkPad X1 Carbon第六代笔记本电脑。当我们使用该特定设备进行分析时,我们觉得许多其他型号甚至其他供应商的产品也存在相同的问题。具体地说,联想将Synaptics用作其触摸板的ODM,使用这组件的其他制造商也可能同样容易受到攻击。

在设备内部,我们特别关注了以下固件:

· 触摸板固件:pr2812761-tm3288-011-0808.img

· 小红帽固件:PSG5E5_RANKA_fv06.bin

我们发现触摸板和小红帽使用了不安全的固件更新机制。具体来说,是在应用固件更新之前,不需要在设备级别进行加密签名验证。由于缺乏这方面的限制,攻击者可以通过软件修改固件映像,在这些组件中运行任意恶意代码。

联想表示,ODM在当前产品中没有解决此问题的机制。

2. 惠普笔记本电脑中的HP Wide Vision FHD相机固件

Eclypsium研究了惠普Spectre x360 Convertible 13-ap0xxx笔记本电脑中的HP Wide Vision FHD摄像机的固件更新。我们发现固件更新未加密,并且缺少真实性检查。攻击者可以使用惠普提供的更新工具对固件进行修改,以更改USB描述符。

HP Wide Vision FHD摄像机是SunplusIT生产的USB摄像机模块。惠普为其HP Spectre x360 Convertible 13-ap0xxx笔记本电脑上使用的相机提供了固件更新(sp93170.exe)。该固件更新程序包括SunplusIT的基于Windows的固件更新工具以及固件映像。

固件映像没有任何形式的加密签名或其他真实性信息。基于Windows的固件更新工具为了调整适应USB描述符内容,可以接受被修改过的固件文件。人们可以利用这种修改USB描述符的功能来禁用该设备或使该设备被识别为其他类型的USB设备。一旦处理器体系结构的其他详细信息被发掘,就可以使用USB HID设备(例如Rubber Ducky)将摄像头模块的行为更改为恶意软件。

我们确认了该漏洞的存在,方式是把使用过该工具更新的设备上的USB描述符修改掉。特别要注意的是,即使是普通用户,SunplusIT固件更新程序也可以成功更新设备。固件更新原本应该要求管理员访问权限。

惠普表示,他们正在更新固件,预计下一代相机的型号中会有认证的固件。

惠普已在HP Security Bulletin存档中发布了带有缓解措施的安全公告。

3. 戴尔XPS笔记本电脑上的WiFi适配器

Eclypsium的研究人员还展示了一项能力,他们在运行Windows 10的戴尔 XPS 15 9560笔记本电脑上修改了WiFi适配器固件。这个存在问题的适配器是Killer Wireless-n / a / ac1535。Windows10会检查确认驱动程序已正确签名,并且在设备管理器中查看时,驱动程序旁边会显示一个小证书图标,如下所示。

图片2.png

当我们修改WiFi适配器的固件映像时,就会看到该图标消失了。

图片3.png

如我们所见,证书图标不再显示。而且,尽管图标不见了,我们仍然能恶意修改固件,并且驱动程序仍然可以成功将其加载到设备中。

我们向高通和微软报告了这个问题。高通是为Killer Wireless网卡提供芯片组和驱动程序,而微软则负责检查这些驱动程序已签名。高通公司回应说,他们的芯片组从属于处理器,应该是运行在CPU上的软件来负责验证固件。他们表示,目前没有为这些芯片添加签名验证的计划。但是,微软回应说,应由设备供应商来验证加载到设备中的固件。

这就产生了一个有趣的问题:谁来负责确保驱动程序和固件是已签名的?特权攻击者可以轻松替换驱动程序文件并绕过所有假想检查,这就使得驱动程序看起来如此不堪一击。此外,就是设备和操作系统。在这两种可能中,责任仍然不明确,问题常常不会被完全解决。

4. USB集线器固件

作为未签名固件广泛使用的另一个例子,我们将目光转向Linux Vendor Firmware Service,这是一个允许硬件供应商上传固件更新的安全门户。通过此资源,我们可以更有针对性的关注更新协议,并轻松查看已签名和未签名的协议。我们发现,某些更新协议与传输有关,但还有许多是用于实际更新过程的。

例如,VLI USB集线器固件未签名。

图片4.png

固件攻击演示

接下来,让我们看一下未签名的固件是如何被滥用于真实攻击中的。控制外围组件的攻击者不仅可以将组件的功能用于恶意攻击,而且还可能获得新的特权,甚至可以控制整个系统。

在这个演示中,我们攻击了网络接口卡(NIC)芯片组中的未签名固件。对NIC的恶意攻击可能会对服务器产生很深的影响:远程破坏操作系统、提供远程后门、窥探和泄露原始网络流量、绕过操作系统防火墙来提取数据、提供勒索软件等。此类攻击会根据某信号断开服务器与网络的连接,从而破坏整个数据中心的连接。

众多研究人员强调了NIC中未签名固件的危险,例如Arrigo Triulzi的Project Maux演说,LoïcDuflot撰写的《您是否仍可以信任网卡》等。

我们所攻击的NIC中的Broadcom BCM5719芯片组目前用于多家制造商的服务器中,并且不会对主机上传的固件执行签名验证。目前有许多开源项目正致力于逆向工程和重新实现此NIC固件,例如https://github.com/meklort/bcm5719-fw和https://github.com/hlandau/ortega,这些项目进一步降低了攻击门槛。

服务器的基板管理控制器(BMC)是用来进行设备带外管理的,大多数服务器都能将BMC配置成与主机系统共享NIC。在这种安排下,你的物理网络连接到外部设备时,就仿佛有两个不同的网络适配器,每个适配器都有自己的MAC地址。根据设计,主机软件(即使在内核级别)也看不到任何BMC通信。但是,如果将自己的固件加载到上述配置的NIC中,就能访问一般情况下无法单独从主机访问的流量。

用这种方法,我们可以检查BMC网络数据包的内容,将这些内容提供给主机上运行的恶意软件,甚至即时修改BMC流量。也可以用来阻止从BMC发送到中央日志记录服务器的警报,选择性地将它们重定向到其他服务器,将流量复制并发送到远程位置进行分析,以及直接用NIC将网络连接给到远程命令和控制的服务器上,而主机或BMC却不知道发生了什么事。

更糟糕的是,由于该卡已连接到PCI总线,攻击者可能会使用DMA攻击来完全控制服务器。如我们先前的研究,DMA攻击使潜在的攻击者可以绕开主CPU和OS,直接从受害系统读取和写入内存。通过覆盖内存,攻击者可以控制内核执行,以执行几乎任何形式的恶意活动。因此,攻击者可以利用网卡中的漏洞来完全控制整个服务器的内核。

固件安全问题涉及整个行业

外围设备中固件无签名是很广泛的问题,这涉及众多品牌及其ODM供应商。在披露了Equation Group的驱动器植入物之后,许多HDD和SSD供应商进行了更改,以确保其组件仅接受有认证的固件。但是,许多其他外围组件尚未效仿。而且鉴于组件供应商经常与各种设备供应商合作,单个易受攻击的组件就很容易出现在多个产品中。

同样重要的是,这些问题几乎适用于所有类别的Windows和Linux设备,从笔记本电脑到服务器。Apple会在每次将驱动程序包中的所有文件(包括固件)加载到设备之前,对其进行签名验证,以减轻这种攻击。相反,Windows和Linux仅在最初安装该软件包时才执行这种类型的验证。设备本身则需要在允许固件更新之前执行签名验证,而不是取决于操作系统来执行此任务。

不幸的是,未经签名的固件带来的问题解决起来并不容易。如果该组件并非旨在检查签名的固件,则通常无法通过固件更新进行修复。在许多情况下,设备或产品线中的根本问题完全无法解决,这意味着该产品线中的所有设备在其整个生命周期中都暴露在被攻击的危险中。

结论

外围设备中未签名的固件仍然是网络安全性的一个被忽视的方面。根据组件的功能,未签名的固件可能会导致数据丢失、完整性被破坏、隐私被暴露,并使攻击者能够获得特权并躲避传统的安全控制。鉴于未签名固件使用的广泛性,企业应扫描其设备中是否有易受攻击的组件,并应在采购过程中评估新设备的固件状态。如果您想了解有关此问题或与固件安全性有关的任何问题的更多信息,请联系我们[email protected]

WIFI适配器、USB集线器、触控板、笔记本电脑摄像头、网络接口卡中的未签名固件为恶意攻击者入侵笔记本电脑和服务器提供了多种途径。

在最新研究中,Eclypsium在来自Lenovo,Dell,HP和其他主要制造商的计算机中使用的WiFi适配器,USB集线器,触控板和相机中发现了未签名的固件。然后,我们展示了通过网络接口卡对服务器的成功攻击,该网络接口卡具有三大服务器制造商各自使用的未签名固件。当这些组件上的固件被感染时,恶意软件并不会被任何软件安全控制程序检测到。尽管以前有野蛮攻击,但外围制造商针对固件签名的动作一直很慢,因此数百万个Windows和Linux系统面临固件攻击的风险,这些固件可能遭遇数据泄露、操作破坏、勒索软件等问题。

图片1.png

未签名固件的问题

自从方程式组织(Equation Group)的 HDD植入被发现已经过去了五年,它使业界体会到固件黑客入侵的能力以及外围设备中未签名的固件所带来的潜在危险。尽管最近几年取得了一些进步,但我们的研究表明,许多行业仍对未签名固件的风险视而不见。在四项单独的新研究中,我们在各种企业设备的WiFi适配器,USB集线器,触控板和相机中都发现了未签名的固件。

不幸的是,这些问题可能会严重破坏设备的安全性和操作,并且往往很难修复。破坏诸如网卡,驱动器和其他外围设备之类的组件会导致设备完全禁用,或者使攻击者能够窃取数据,传输勒索软件,并且躲避安全管理。Eclypsium的这项新研究表明,这些弱点在笔记本电脑和服务器的各个组件中普遍存在,为恶意攻击提供了多种途径。

固件:多数组件的大脑

在安全性方面,大多数注意力都集中在系统的最可见组件上,例如操作系统和应用程序。然而,为了应对日益增长的威胁,许多组织已开始把固件的管理纳入其漏洞管理和威胁防御模型中。

在许多情况下,这些努力仅限于系统固件(位于设备主板上的UEFI或BIOS)。但是,实际上设备中的每个组件都有自己的固件和潜在的风险,包括网络适配器、显卡、USB设备、相机、触摸板、触控板等。您可以参考我们的在线“ 了解您自己的设备 ”资源(超链接:https://eclypsium.com/know-your-own-device/),以浏览当今设备中一些常用的支持固件的组件。

这些组件几乎都由固件控制。固件可以刻录到设备本身的集成电路中,或者组件有自己的闪存,用于存储固件。此外,固件还可以在启动时由操作系统动态提供。无论固件如何存储,它都可以像微型计算机一样操作,以控制该特定组件的低等级行为。正如我们将看到的那样,从笔记本电脑到服务器再到网络设备,此代码通常很容易受到攻击。

未签名固件的风险

问题在于,外围设备通常缺乏安全最佳实践,这在操作系统和其他更可见的组件(例如UEFI或BIOS)中是理所当然的存在的最佳实践。特别是,许多外围设备在运行代码之前不会验证固件是否已使用高质量的公钥/私钥正确签名。这意味着这些组件无法验证设备加载的固件是否可靠,是否值得信赖。攻击者可能只是插入恶意或易受攻击的固件映像,组件就会盲目地信任并运行该固件映像。

此外,正如我们之前的《Screwed Drivers》研究和最近的“陆上攻击”所表明的那样,可以使用易受攻击的驱动程序绕过保护,并使勒索软件不受干扰地进行攻击。许多组件无需特殊特权就可以更新,一种非常简单而强大的攻击方案出现了:

1. 攻击者可以通过任何方法访问设备,例如通过电子邮件或恶意网站传递的恶意软件,或邪恶女仆攻击。在拥有基本的用户特权后,攻击者/恶意软件可以将恶意固件写入易受攻击的组件。

2. 如果该组件不需要正确签名固件,则攻击者的代码将由该组件加载并运行。

3. 然后,攻击者可以使用该组件的独特功能和特权来发起进一步攻击。

攻击者滥用固件的方式会因组件而异。例如,网络适配器上的恶意固件可能允许攻击者嗅探、复制、重定向或更改流量,从而导致数据丢失、中间人攻击和其他攻击。基于PCI的设备可以启用直接内存访问(DMA)攻击,可以轻松窃取数据或完全控制受害系统。摄像头可用于从用户环境中捕获数据,而受损的硬盘驱动器可使攻击者隐藏代码和工具,而不会被操作系统发现。然而,总结下来就是一个意思:如果某个组件不要求验证固件,则攻击者通常可以无需特殊特权即可轻松地控制该组件。

最新研究:外围设备中不安全固件的示例

1. 联想笔记本电脑中的触摸板和小红帽(TrackPoint)固件

Eclypsium的研究人员最近分析了联想ThinkPad X1 Carbon第六代笔记本电脑。当我们使用该特定设备进行分析时,我们觉得许多其他型号甚至其他供应商的产品也存在相同的问题。具体地说,联想将Synaptics用作其触摸板的ODM,使用这组件的其他制造商也可能同样容易受到攻击。

在设备内部,我们特别关注了以下固件:

· 触摸板固件:pr2812761-tm3288-011-0808.img

· 小红帽固件:PSG5E5_RANKA_fv06.bin

我们发现触摸板和小红帽使用了不安全的固件更新机制。具体来说,是在应用固件更新之前,不需要在设备级别进行加密签名验证。由于缺乏这方面的限制,攻击者可以通过软件修改固件映像,在这些组件中运行任意恶意代码。

联想表示,ODM在当前产品中没有解决此问题的机制。

2. 惠普笔记本电脑中的HP Wide Vision FHD相机固件

Eclypsium研究了惠普Spectre x360 Convertible 13-ap0xxx笔记本电脑中的HP Wide Vision FHD摄像机的固件更新。我们发现固件更新未加密,并且缺少真实性检查。攻击者可以使用惠普提供的更新工具对固件进行修改,以更改USB描述符。

HP Wide Vision FHD摄像机是SunplusIT生产的USB摄像机模块。惠普为其HP Spectre x360 Convertible 13-ap0xxx笔记本电脑上使用的相机提供了固件更新(sp93170.exe)。该固件更新程序包括SunplusIT的基于Windows的固件更新工具以及固件映像。

固件映像没有任何形式的加密签名或其他真实性信息。基于Windows的固件更新工具为了调整适应USB描述符内容,可以接受被修改过的固件文件。人们可以利用这种修改USB描述符的功能来禁用该设备或使该设备被识别为其他类型的USB设备。一旦处理器体系结构的其他详细信息被发掘,就可以使用USB HID设备(例如Rubber Ducky)将摄像头模块的行为更改为恶意软件。

我们确认了该漏洞的存在,方式是把使用过该工具更新的设备上的USB描述符修改掉。特别要注意的是,即使是普通用户,SunplusIT固件更新程序也可以成功更新设备。固件更新原本应该要求管理员访问权限。

惠普表示,他们正在更新固件,预计下一代相机的型号中会有认证的固件。

惠普已在HP Security Bulletin存档中发布了带有缓解措施的安全公告。

3. 戴尔XPS笔记本电脑上的WiFi适配器

Eclypsium的研究人员还展示了一项能力,他们在运行Windows 10的戴尔 XPS 15 9560笔记本电脑上修改了WiFi适配器固件。这个存在问题的适配器是Killer Wireless-n / a / ac1535。Windows10会检查确认驱动程序已正确签名,并且在设备管理器中查看时,驱动程序旁边会显示一个小证书图标,如下所示。

图片2.png

当我们修改WiFi适配器的固件映像时,就会看到该图标消失了。

图片3.png

如我们所见,证书图标不再显示。而且,尽管图标不见了,我们仍然能恶意修改固件,并且驱动程序仍然可以成功将其加载到设备中。

我们向高通和微软报告了这个问题。高通是为Killer Wireless网卡提供芯片组和驱动程序,而微软则负责检查这些驱动程序已签名。高通公司回应说,他们的芯片组从属于处理器,应该是运行在CPU上的软件来负责验证固件。他们表示,目前没有为这些芯片添加签名验证的计划。但是,微软回应说,应由设备供应商来验证加载到设备中的固件。

这就产生了一个有趣的问题:谁来负责确保驱动程序和固件是已签名的?特权攻击者可以轻松替换驱动程序文件并绕过所有假想检查,这就使得驱动程序看起来如此不堪一击。此外,就是设备和操作系统。在这两种可能中,责任仍然不明确,问题常常不会被完全解决。

4. USB集线器固件

作为未签名固件广泛使用的另一个例子,我们将目光转向Linux Vendor Firmware Service,这是一个允许硬件供应商上传固件更新的安全门户。通过此资源,我们可以更有针对性的关注更新协议,并轻松查看已签名和未签名的协议。我们发现,某些更新协议与传输有关,但还有许多是用于实际更新过程的。

例如,VLI USB集线器固件未签名。

图片4.png

固件攻击演示

接下来,让我们看一下未签名的固件是如何被滥用于真实攻击中的。控制外围组件的攻击者不仅可以将组件的功能用于恶意攻击,而且还可能获得新的特权,甚至可以控制整个系统。

在这个演示中,我们攻击了网络接口卡(NIC)芯片组中的未签名固件。对NIC的恶意攻击可能会对服务器产生很深的影响:远程破坏操作系统、提供远程后门、窥探和泄露原始网络流量、绕过操作系统防火墙来提取数据、提供勒索软件等。此类攻击会根据某信号断开服务器与网络的连接,从而破坏整个数据中心的连接。

众多研究人员强调了NIC中未签名固件的危险,例如Arrigo Triulzi的Project Maux演说,LoïcDuflot撰写的《您是否仍可以信任网卡》等。

我们所攻击的NIC中的Broadcom BCM5719芯片组目前用于多家制造商的服务器中,并且不会对主机上传的固件执行签名验证。目前有许多开源项目正致力于逆向工程和重新实现此NIC固件,例如https://github.com/meklort/bcm5719-fw和https://github.com/hlandau/ortega,这些项目进一步降低了攻击门槛。

服务器的基板管理控制器(BMC)是用来进行设备带外管理的,大多数服务器都能将BMC配置成与主机系统共享NIC。在这种安排下,你的物理网络连接到外部设备时,就仿佛有两个不同的网络适配器,每个适配器都有自己的MAC地址。根据设计,主机软件(即使在内核级别)也看不到任何BMC通信。但是,如果将自己的固件加载到上述配置的NIC中,就能访问一般情况下无法单独从主机访问的流量。

用这种方法,我们可以检查BMC网络数据包的内容,将这些内容提供给主机上运行的恶意软件,甚至即时修改BMC流量。也可以用来阻止从BMC发送到中央日志记录服务器的警报,选择性地将它们重定向到其他服务器,将流量复制并发送到远程位置进行分析,以及直接用NIC将网络连接给到远程命令和控制的服务器上,而主机或BMC却不知道发生了什么事。

更糟糕的是,由于该卡已连接到PCI总线,攻击者可能会使用DMA攻击来完全控制服务器。如我们先前的研究,DMA攻击使潜在的攻击者可以绕开主CPU和OS,直接从受害系统读取和写入内存。通过覆盖内存,攻击者可以控制内核执行,以执行几乎任何形式的恶意活动。因此,攻击者可以利用网卡中的漏洞来完全控制整个服务器的内核。

固件安全问题涉及整个行业

外围设备中固件无签名是很广泛的问题,这涉及众多品牌及其ODM供应商。在披露了Equation Group的驱动器植入物之后,许多HDD和SSD供应商进行了更改,以确保其组件仅接受有认证的固件。但是,许多其他外围组件尚未效仿。而且鉴于组件供应商经常与各种设备供应商合作,单个易受攻击的组件就很容易出现在多个产品中。

同样重要的是,这些问题几乎适用于所有类别的Windows和Linux设备,从笔记本电脑到服务器。Apple会在每次将驱动程序包中的所有文件(包括固件)加载到设备之前,对其进行签名验证,以减轻这种攻击。相反,Windows和Linux仅在最初安装该软件包时才执行这种类型的验证。设备本身则需要在允许固件更新之前执行签名验证,而不是取决于操作系统来执行此任务。

不幸的是,未经签名的固件带来的问题解决起来并不容易。如果该组件并非旨在检查签名的固件,则通常无法通过固件更新进行修复。在许多情况下,设备或产品线中的根本问题完全无法解决,这意味着该产品线中的所有设备在其整个生命周期中都暴露在被攻击的危险中。

结论

外围设备中未签名的固件仍然是网络安全性的一个被忽视的方面。根据组件的功能,未签名的固件可能会导致数据丢失、完整性被破坏、隐私被暴露,并使攻击者能够获得特权并躲避传统的安全控制。鉴于未签名固件使用的广泛性,企业应扫描其设备中是否有易受攻击的组件,并应在采购过程中评估新设备的固件状态。如果您想了解有关此问题或与固件安全性有关的任何问题的更多信息,请联系我们[email protected]

网络攻击(某些是针对工业目标的攻击)使用了以前未知的木马,称为Milum。

trojan-malware.jpg

一项针对中东组织的恶意软件的活动日前已经被发现,该活动与以前的攻击活动没有任何相似之处。该活动以代码内的C++类名“WildPressure”为自己命名,使用了以前未知的恶意软件,研究人员将其命名为Milum。

卡巴斯基的研究员在9月份的时候破坏了WildPressure命令与控制(C2)域中的一个,他们表示,访问恶意基础框架的IP中,大部分是来自中东的,而其余的IP则包括扫描仪、TOR出口节点、VPN链接。卡巴斯基发现,受害者也包括一些工业目标。

这项研究表明,这个恶意软件会执行基本的系统侦察工作,包括清点存放在受感染机器上的文件类型。而且,它还可以从其C2获取更新,这更新中也有可能包括一些第二阶段的功能。

简单直接

卡巴斯基安全研究员丹尼斯·莱格佐(Denis Legezo)在星期二的一篇文章中写道,构建该木马的方法非常简单,举个例子,所有的Milum示例都是独立的可执行文件。

此外,代码的内置配置数据包括硬编码的C2 URL和用于通信的加密/解密密钥。安装后,该恶意软件会创建一个名为“\ ProgramData \ Micapp \ Windows \”的目录,并解析此配置数据,以形成发送到其C2的信标。

为了发送信标,Milum使用配置数据中存储的64字节密钥在HTTP POST请求中传输压缩的JSON数据,该数据使用RC4加密。而压缩方面,该木马使用的是嵌入式gzip代码(gzip是一种流行的数据压缩技术)。

卡巴斯基的研究人员发现,传播最广泛的是作为不可见工具栏窗口存在的应用程序,这意味着受害者是检测不到它的。

困难归因

至于功能方面,Milum代码中的命令处理程序包括:用于连接到C2的指令;记录文件属性(包括目录中的属性,标记为隐藏、只读、归档、系统、可执行文件);收集系统的信息以验证目标并确定防病毒产品状态;更新恶意软件;删除自己。

为了集中精力,操作员使用了样本中也已硬编码的目标ID。

Legezo说:“在这之中,我们发现了HatLandM30和HatLandid3,这两者我们都不熟悉。”

然而,卡巴斯基方面表示,攻击活动的剩余部分都没有任何线索,使归因变得很困难。在活动基础架构方面,运营商使用了从ISP OVH和Netzbetrieb租用的虚拟专用服务器(VPS),以及使用通过代理匿名服务在Domains中注册的域名。

Legezo还表示,恶意软件作者使用的C ++代码方式(存储在二进制文件的资源部分中的base64编码JSON格式的配置数据)相当通用。

Legezo解释说:

迄今为止,我们还没有观察到与任何已知的actor或活动有关的基于代码或受害者的强烈相似之处。任何相似之处在归因方面都应被视为薄弱环节,并且可以简单地从以前的著名案例中复制出来。的确,近年来,这种“向更有经验的攻击者学习”的循环已被一些有趣的新actor采用。

值得一看

研究人员发现了三个此前未被发现的循环传播的木马样本。所有这些都是在去年3月份的时候首次编译的,而感染是在去年5月底时开始的,也就是说这木马感染活动是全年都在持续的。

该时间表与其他方面相结合,使得Legezo怀疑该恶意软件还处于开发的早期阶段,他预计恶意软件还会有后续其他的活动。

首先,样本上有一个“1.0.1”的版本标记。并且,在用于与命令和控制(C2)服务器进行通信的HTTP POST请求中,有一些字段可以选择使用不同的编程语言,这就表示他们或许有计划启用非C++版本的代码(如果现存代码中还没有的话)。

Legezo说:

我们考虑保留这些文件的唯一原因是,如果攻击者拥有数种以不同语言编写的木马,就可以与同一个控制服务器一起工作。

Legezo补充说明,Milum值得观察,特别是考虑到它对中东工业目标的袭击。但是,其个性的缺乏,可能使其在将来的战役中成为变色龙。他总结表示,该恶意软件并非专门针对任何类型的受害者而设计的,可以在其他操作中重复使用。