研究人员发现过度信任打印机会引发DDoS攻击、隐私泄露等威胁。

意大利研究人员在最新研究成果中指出,当前打印机存在一些基本漏洞,且在网络安全和数据隐私合规方面落后于其他IoT和电子设备。通过评估网络安全风险和隐私威胁,研究人员发现针对打印机可以发起一系列攻击——Printjack,包括将打印机纳入DDoS网络、执行隐私泄露攻击等。

Printjack攻击

研究人员通过Shodan扫描了可以通过TCP 9100端口访问的欧洲国家的打印机设备,该端口是用于TCP/IP打印机工作。端口扫描结果显示有上万个IP地址回应了端口查询,其中德国、俄罗斯、法国、英国暴露的设备最多。

Sample of scan results 

扫描结果

参与DDoS攻击

第一类Printjack攻击就是将打印机纳入DDoS僵尸网络,攻击者可以利用已知的远程代码执行漏洞来实现。成为受害者的打印机会消耗更多电量、产生更多的热量,相关的电子器件的使用寿命会降低。

DoS打印机自己

第二个攻击为paper DoS攻击,即发送重复的打印作业直到受害者的纸耗尽。虽然看似消耗了纸和油墨,但实际上会使打印服务降级。发起这类攻击也非常简单,只需要在目标网络中执行一个简单的Python脚本就可以创建一个重复1千次的循环打印作业。

Script used for placing the printer in DoS state

用于发起paper DoS的脚本

窃取用户隐私

在大多数的Printjack攻击中,攻击者都有可能执行中间人攻击,并监听打印的材料。因为没有打印数据是加密发送的,因为如果攻击者利用打印机网络中的漏洞,就可以获取明文形式的打印数据。

为证明,研究人员使用Ettercap来在发送者和打印机之间交互,然使用wireshark拦截到一个发送给打印机的pdf文件。

为发起该攻击,攻击者必须要有本地访问权限,并利用目标网络中的漏洞。

Sniffed PDF file 

嗅探pdf文件

总结

当前打印机缺乏安全框架使得近年来有很多针对打印机的网络攻击,尤其是在打印机联网后。2021年,研究人员发现了多个厂商打印机产品中的安全漏洞,有漏洞存在超过16年,影响数百万打印机。打印机厂商需要升级设备安全性和数据处理流程,既包括硬件层面的也包括软件层面的。

研究人员发现过度信任打印机会引发DDoS攻击、隐私泄露等威胁。

意大利研究人员在最新研究成果中指出,当前打印机存在一些基本漏洞,且在网络安全和数据隐私合规方面落后于其他IoT和电子设备。通过评估网络安全风险和隐私威胁,研究人员发现针对打印机可以发起一系列攻击——Printjack,包括将打印机纳入DDoS网络、执行隐私泄露攻击等。

Printjack攻击

研究人员通过Shodan扫描了可以通过TCP 9100端口访问的欧洲国家的打印机设备,该端口是用于TCP/IP打印机工作。端口扫描结果显示有上万个IP地址回应了端口查询,其中德国、俄罗斯、法国、英国暴露的设备最多。

Sample of scan results 

扫描结果

参与DDoS攻击

第一类Printjack攻击就是将打印机纳入DDoS僵尸网络,攻击者可以利用已知的远程代码执行漏洞来实现。成为受害者的打印机会消耗更多电量、产生更多的热量,相关的电子器件的使用寿命会降低。

DoS打印机自己

第二个攻击为paper DoS攻击,即发送重复的打印作业直到受害者的纸耗尽。虽然看似消耗了纸和油墨,但实际上会使打印服务降级。发起这类攻击也非常简单,只需要在目标网络中执行一个简单的Python脚本就可以创建一个重复1千次的循环打印作业。

Script used for placing the printer in DoS state

用于发起paper DoS的脚本

窃取用户隐私

在大多数的Printjack攻击中,攻击者都有可能执行中间人攻击,并监听打印的材料。因为没有打印数据是加密发送的,因为如果攻击者利用打印机网络中的漏洞,就可以获取明文形式的打印数据。

为证明,研究人员使用Ettercap来在发送者和打印机之间交互,然使用wireshark拦截到一个发送给打印机的pdf文件。

为发起该攻击,攻击者必须要有本地访问权限,并利用目标网络中的漏洞。

Sniffed PDF file 

嗅探pdf文件

总结

当前打印机缺乏安全框架使得近年来有很多针对打印机的网络攻击,尤其是在打印机联网后。2021年,研究人员发现了多个厂商打印机产品中的安全漏洞,有漏洞存在超过16年,影响数百万打印机。打印机厂商需要升级设备安全性和数据处理流程,既包括硬件层面的也包括软件层面的。

ISafeBreach Labs安全研究人员发现伊朗攻击者利用微软MSHTML远程代码执行漏洞通过PowerShell 窃取器恶意软件来窃取受害者谷歌和instagram凭证信息。

攻击流概述

攻击者最初是2021年9月中旬发起攻击的,首先利用的是鱼叉式钓鱼邮件。攻击中使用了一个恶意的Windows word文档附件来攻击Windows用户。该恶意文档利用了一个Windows MSHTML远程代码执行漏洞——CVE-2021-40444。CVE-2021-40444漏洞影响IE浏览器的MSTHML渲染引擎,早在8月18日微软发布安全补丁之前就出现了0 day漏洞利用。

 CVE-2021-40444-attack-chain

CVE-2021-40444攻击链

受害者打开诱饵word文件后,会连接到恶意服务器,执行恶意HTML,然后在%temp% 目录下释放DLL文件。

◼保存在xml文件document.xml.rels 中的关系指向位于C2服务器上的恶意HTML:mshtml:http://hr[.]dedyn[.]io/image.html。

◼HTML文件中的JScript 脚本中含有一个指向CAB文件的对象和一个指向INF文件的iframe。

◼CAB文件打开后,由于CAB中存在目录遍历漏洞,就可以在%TEMP% 目录下保存msword.inf 文件。

然后,恶意DLL执行PowerShell脚本。

◼INF文件打开后,会通过rundll32引发INF侧加载,比如'.cpl:../../../../../Temp/Low/msword.inf'。

◼Msword.inf会下载和执行final payload的dll。

◼PowerShell脚本会收集数据并发送到攻击者的C2服务器。

受害者分布

几乎有一半的受害者位于美国。根据word文件的内容,研究人员推测受害者主要是对位于伊朗之外的伊朗人,这些人可能被视为是伊朗伊斯兰政权的威胁。

Victims heat map

受害者分布的热力图

总结

目前利用CVE-2021-40444漏洞的攻击活动越来越多,究其原因是因为黑客论坛上有很多的教程和PoC漏洞利用。利用黑客论坛上的这些信息,很容易就可以创建可以用于攻击的CVE-2021-40444漏洞利用。BleepingComputer研究人员15分钟就复现了该漏洞,PoC视频参见:https://vimeo.com/603308077

完整技术细节参见:https://www.safebreach.com/blog/2021/new-powershortshell-stealer-exploits-recent-microsoft-mshtml-vulnerability-to-spy-on-farsi-speakers/

ISafeBreach Labs安全研究人员发现伊朗攻击者利用微软MSHTML远程代码执行漏洞通过PowerShell 窃取器恶意软件来窃取受害者谷歌和instagram凭证信息。

攻击流概述

攻击者最初是2021年9月中旬发起攻击的,首先利用的是鱼叉式钓鱼邮件。攻击中使用了一个恶意的Windows word文档附件来攻击Windows用户。该恶意文档利用了一个Windows MSHTML远程代码执行漏洞——CVE-2021-40444。CVE-2021-40444漏洞影响IE浏览器的MSTHML渲染引擎,早在8月18日微软发布安全补丁之前就出现了0 day漏洞利用。

 CVE-2021-40444-attack-chain

CVE-2021-40444攻击链

受害者打开诱饵word文件后,会连接到恶意服务器,执行恶意HTML,然后在%temp% 目录下释放DLL文件。

◼保存在xml文件document.xml.rels 中的关系指向位于C2服务器上的恶意HTML:mshtml:http://hr[.]dedyn[.]io/image.html。

◼HTML文件中的JScript 脚本中含有一个指向CAB文件的对象和一个指向INF文件的iframe。

◼CAB文件打开后,由于CAB中存在目录遍历漏洞,就可以在%TEMP% 目录下保存msword.inf 文件。

然后,恶意DLL执行PowerShell脚本。

◼INF文件打开后,会通过rundll32引发INF侧加载,比如'.cpl:../../../../../Temp/Low/msword.inf'。

◼Msword.inf会下载和执行final payload的dll。

◼PowerShell脚本会收集数据并发送到攻击者的C2服务器。

受害者分布

几乎有一半的受害者位于美国。根据word文件的内容,研究人员推测受害者主要是对位于伊朗之外的伊朗人,这些人可能被视为是伊朗伊斯兰政权的威胁。

Victims heat map

受害者分布的热力图

总结

目前利用CVE-2021-40444漏洞的攻击活动越来越多,究其原因是因为黑客论坛上有很多的教程和PoC漏洞利用。利用黑客论坛上的这些信息,很容易就可以创建可以用于攻击的CVE-2021-40444漏洞利用。BleepingComputer研究人员15分钟就复现了该漏洞,PoC视频参见:https://vimeo.com/603308077

完整技术细节参见:https://www.safebreach.com/blog/2021/new-powershortshell-stealer-exploits-recent-microsoft-mshtml-vulnerability-to-spy-on-farsi-speakers/

最新报告显示Google Pixel 6比iPhone 12更安全。

2021年9月,Omdia研究人员对移动设备安全进行了评估,通过对10个国家的1520个智能手机用户开展调查,包括苹果、谷歌、三星和小米手机。研究结果表明,运行Android 12的Pixel 6手机比运行iOS 15的iPhone 12更安全。

◼身份保护

身份保护是用户最关注的安全特征,谷歌Pixel 6手机在身份保护方面的评分最高,因为提供了最多的身份选项。用户还可以选择一次性密码、FIDO、推送通知等,而苹果iPhone 12只有双因子认证。苹果iCloud是业内最大规模也是最成功的双因子安全部署的例子,小米和三星设备也要求用户注册对应的账户。

◼安全更新

安全更新是通过厂商提供安全更新的时间来评分的。Pixel 6的分也是最高的,因为谷歌手机严格提供5年的安全更新,虽然iPhone没有给出具体的时间,但一般的支持时间为5到6年。三星Galaxy S21 Ultra手机提供4年的固件更新,小米对所有手机提供2年的安全更新,对新设备提供4年的安全更新。

◼网络安全

在iPhone中,数据传输过程中在web端和第三方应用都有可能看到传输的数据。但从安卓7系统开始,安卓设备上的第三方APP建立了只信任预装证书的安全连接。Pixel是唯一一款向用户提供禁用2G选项的设备,因为2G的安全漏洞比3G、4G、5G更多。

◼硬件安全

这几款手机都使用不同形式的基于硬件的安全能力。所有的主流安卓设备都使用可信执行环境(TEE),可以与设备的操作系统隔离来,保护其中的敏感数据。苹果设备中虽然没有TEE,但其中有Secure Enclave Processor,可以保护和存储敏感信息。Xiaomi Mi 11 5G使用的Qualcomm SoC具有安全处理单元。三星S21 Ultra也有类似的安全处理器和内存。Pixel 6的Tensor安全内核融合了新的Titan M2芯片和可信执行环境TEE。

◼反恶意软件

三星、谷歌、小米设备中都内置了反恶意软件解决方案,可以保护和检测恶意软件。苹果虽然使用应用商店,但是可以侧加载应用商店外的应用。

◼安全备份

Pixel 6手机中可以实现备份到云的数据的端对端加密。数据在存储和传输过程中是加密的,即使谷歌也不能访问和解码。小米和苹果设备中有不同等级的加密,但是无法保证云服务提供商不能访问备份数据。苹果敏感信息的端到端加密只适用于双因子认证开启的情况。

◼丢失设备

每个厂商都提供了基于web的工具来定位、触发、锁定和清除被盗设备的信息。但只有谷歌和苹果开发了对应的移动APP。小米也提供了通过手机定位的可选功能,但只有谷歌的Find my Device app被单独下载过。

◼物理访问控制

所有参评设备提供了不同类型的生物访问控制,包括面部识别、指纹识别等。大多数设备厂商都提供临时的禁用生物特征选项,但小米MIUI 12系统不再提供该选项。

◼反钓鱼保护

反钓鱼保护功能被消费者看做是一个非常重要的手机安全特征。谷歌的messaging app要求用户应用垃圾邮件保护功能,该功能默认是关闭的。如果不开启该功能,SMS钓鱼尝试就不会被标记。同样地,在小米Mi浏览器中,钓鱼链接点击后是没有警告的。Chrome浏览器的增强反钓鱼保护功能默认是不开启的,用户可以通过使用谷歌app来增强安全保护。苹果iPhone 12在Safari浏览器中可以检测钓鱼攻击,设备还有一个拦截骚扰电话的功能。使用谷歌安全浏览(Safe Browsing)的安全手机可以检测钓鱼和恶意软件网址。在运行安卓12的Pixel设备中,还有一层额外的反钓鱼检测,第三方消息APP中出现可疑消息时,用户会收到预警消息。

最新报告显示Google Pixel 6比iPhone 12更安全。

2021年9月,Omdia研究人员对移动设备安全进行了评估,通过对10个国家的1520个智能手机用户开展调查,包括苹果、谷歌、三星和小米手机。研究结果表明,运行Android 12的Pixel 6手机比运行iOS 15的iPhone 12更安全。

◼身份保护

身份保护是用户最关注的安全特征,谷歌Pixel 6手机在身份保护方面的评分最高,因为提供了最多的身份选项。用户还可以选择一次性密码、FIDO、推送通知等,而苹果iPhone 12只有双因子认证。苹果iCloud是业内最大规模也是最成功的双因子安全部署的例子,小米和三星设备也要求用户注册对应的账户。

◼安全更新

安全更新是通过厂商提供安全更新的时间来评分的。Pixel 6的分也是最高的,因为谷歌手机严格提供5年的安全更新,虽然iPhone没有给出具体的时间,但一般的支持时间为5到6年。三星Galaxy S21 Ultra手机提供4年的固件更新,小米对所有手机提供2年的安全更新,对新设备提供4年的安全更新。

◼网络安全

在iPhone中,数据传输过程中在web端和第三方应用都有可能看到传输的数据。但从安卓7系统开始,安卓设备上的第三方APP建立了只信任预装证书的安全连接。Pixel是唯一一款向用户提供禁用2G选项的设备,因为2G的安全漏洞比3G、4G、5G更多。

◼硬件安全

这几款手机都使用不同形式的基于硬件的安全能力。所有的主流安卓设备都使用可信执行环境(TEE),可以与设备的操作系统隔离来,保护其中的敏感数据。苹果设备中虽然没有TEE,但其中有Secure Enclave Processor,可以保护和存储敏感信息。Xiaomi Mi 11 5G使用的Qualcomm SoC具有安全处理单元。三星S21 Ultra也有类似的安全处理器和内存。Pixel 6的Tensor安全内核融合了新的Titan M2芯片和可信执行环境TEE。

◼反恶意软件

三星、谷歌、小米设备中都内置了反恶意软件解决方案,可以保护和检测恶意软件。苹果虽然使用应用商店,但是可以侧加载应用商店外的应用。

◼安全备份

Pixel 6手机中可以实现备份到云的数据的端对端加密。数据在存储和传输过程中是加密的,即使谷歌也不能访问和解码。小米和苹果设备中有不同等级的加密,但是无法保证云服务提供商不能访问备份数据。苹果敏感信息的端到端加密只适用于双因子认证开启的情况。

◼丢失设备

每个厂商都提供了基于web的工具来定位、触发、锁定和清除被盗设备的信息。但只有谷歌和苹果开发了对应的移动APP。小米也提供了通过手机定位的可选功能,但只有谷歌的Find my Device app被单独下载过。

◼物理访问控制

所有参评设备提供了不同类型的生物访问控制,包括面部识别、指纹识别等。大多数设备厂商都提供临时的禁用生物特征选项,但小米MIUI 12系统不再提供该选项。

◼反钓鱼保护

反钓鱼保护功能被消费者看做是一个非常重要的手机安全特征。谷歌的messaging app要求用户应用垃圾邮件保护功能,该功能默认是关闭的。如果不开启该功能,SMS钓鱼尝试就不会被标记。同样地,在小米Mi浏览器中,钓鱼链接点击后是没有警告的。Chrome浏览器的增强反钓鱼保护功能默认是不开启的,用户可以通过使用谷歌app来增强安全保护。苹果iPhone 12在Safari浏览器中可以检测钓鱼攻击,设备还有一个拦截骚扰电话的功能。使用谷歌安全浏览(Safe Browsing)的安全手机可以检测钓鱼和恶意软件网址。在运行安卓12的Pixel设备中,还有一层额外的反钓鱼检测,第三方消息APP中出现可疑消息时,用户会收到预警消息。

研究人员发现CVE-2021-41379漏洞补丁绕过,可实现权限提升。

CVE-2021-41379漏洞补丁绕过

11月微软补丁日修复了CVE-2021-41379漏洞的安全补丁。CVE-2021-41379漏洞是Windows Installer中的权限提升漏洞。

近日,研究人员发现了该漏洞补丁的绕过,新漏洞是一个本地权限提升漏洞,影响所有的Windows版本,包括Windows 10、Windows 11、Windows server 2022。22日,安全研究人员Naceri发布了该0 day漏洞的PoC漏洞利用,攻击者利用该漏洞可以在系统中用MSI文件替换任意可执行文件,以管理员权限运行代码。CVE-2021-41379漏洞的CVSS评分为5.5分,但新0 day漏洞PoC的发布必然会影响该漏洞的评分。截止目前,微软尚未发布该新漏洞的补丁。

Talos研究人员发现了该漏洞的在野利用恶意软件样本。但是因为漏洞利用量还比较小,研究人员推测攻击目前仍处于PoC或测试阶段。

BleepingComputer研究人员测试了Naceri的漏洞利用,并成功从低权限的用户实现权限提升到system权限并成功打开命令行窗口。

考虑到该漏洞的复杂性,任何对二进制文件的修复都会破坏Windows安装器。因此,Naceri建议用户等待微软发布官方补丁。

PoC代码参见:https://github.com/klinix5/InstallerFileTakeOver

PoC视频参见:https://player.vimeo.com/video/648758294

研究人员发现CVE-2021-41379漏洞补丁绕过,可实现权限提升。

CVE-2021-41379漏洞补丁绕过

11月微软补丁日修复了CVE-2021-41379漏洞的安全补丁。CVE-2021-41379漏洞是Windows Installer中的权限提升漏洞。

近日,研究人员发现了该漏洞补丁的绕过,新漏洞是一个本地权限提升漏洞,影响所有的Windows版本,包括Windows 10、Windows 11、Windows server 2022。22日,安全研究人员Naceri发布了该0 day漏洞的PoC漏洞利用,攻击者利用该漏洞可以在系统中用MSI文件替换任意可执行文件,以管理员权限运行代码。CVE-2021-41379漏洞的CVSS评分为5.5分,但新0 day漏洞PoC的发布必然会影响该漏洞的评分。截止目前,微软尚未发布该新漏洞的补丁。

Talos研究人员发现了该漏洞的在野利用恶意软件样本。但是因为漏洞利用量还比较小,研究人员推测攻击目前仍处于PoC或测试阶段。

BleepingComputer研究人员测试了Naceri的漏洞利用,并成功从低权限的用户实现权限提升到system权限并成功打开命令行窗口。

考虑到该漏洞的复杂性,任何对二进制文件的修复都会破坏Windows安装器。因此,Naceri建议用户等待微软发布官方补丁。

PoC代码参见:https://github.com/klinix5/InstallerFileTakeOver

PoC视频参见:https://player.vimeo.com/video/648758294

Tesla服务器错误致全球车主无法通过app解锁车辆。

Tesla

从美国东部时间19日下午4时起,有多个Tesla车主在社交平台发文称,Tesla app在与车辆通信时返回500服务器错误消息。

Tesla app showing a 500 server error

有车主在推特发文,并@马斯克,马斯克回复称已开始解决该问题。

Teslamotorsclub 论坛也有车主发文称遇到相同的问题,并表示无法通过APP访问汽车或解锁Tesla车辆。有用户称,其Tesla显示在工作中,而作为车主的他在家里。

image.png

服务器错误的问题在全球出现,包括美国、韩国、澳大利亚、欧洲的车主都报告了类似的问题。

image.png

有部分Tesla车型无法通过手机蓝牙、key card、key fob解锁,也有车型没有phone key的功能,只能通过app解锁打开。也有车主已经key fob损坏无法正常工作,且Tesla无法提供新的key fob,导致用户只能转用app来解锁车辆。

目前,尚不清楚服务器产生错误的原因。Tesla也未就服务器500错误问题和对车辆引发的一系列问题进行回应。

Tesla服务器错误致全球车主无法通过app解锁车辆。

Tesla

从美国东部时间19日下午4时起,有多个Tesla车主在社交平台发文称,Tesla app在与车辆通信时返回500服务器错误消息。

Tesla app showing a 500 server error

有车主在推特发文,并@马斯克,马斯克回复称已开始解决该问题。

Teslamotorsclub 论坛也有车主发文称遇到相同的问题,并表示无法通过APP访问汽车或解锁Tesla车辆。有用户称,其Tesla显示在工作中,而作为车主的他在家里。

image.png

服务器错误的问题在全球出现,包括美国、韩国、澳大利亚、欧洲的车主都报告了类似的问题。

image.png

有部分Tesla车型无法通过手机蓝牙、key card、key fob解锁,也有车型没有phone key的功能,只能通过app解锁打开。也有车主已经key fob损坏无法正常工作,且Tesla无法提供新的key fob,导致用户只能转用app来解锁车辆。

目前,尚不清楚服务器产生错误的原因。Tesla也未就服务器500错误问题和对车辆引发的一系列问题进行回应。