信息安全周报-2020年第39周

发布时间 2020-09-28

> 本周安全态势综述


2020年09月21日至09月27日共收录安全漏洞60个,值得关注的是Chrome storage越界读代码实行漏洞;Chrome Extensions策略绕过代码实行漏洞;Chrome V8代码实行漏洞;Chrome media数据验证代码实行漏洞;IBM Data Risk Manager FasterXML jackson-databind代码实行漏洞。


本周值得关注的网络安全事件是德国Tutanota遭到DDoS攻击导致服务暂时中断;Pradeo发布《手机银行:法规、威胁和欺诈预防》白皮书;NSA发布针对远程工编辑和系统管理员的网络安全指南;2020年Q2 DDoS攻击的次数比去年同比增加570%;MicroSoft称已检测到利用Zerologon漏洞发起的主动攻击。


根据以上综述,本周安全威胁为中。


重要安全漏洞列表


1.Chrome storage越界读代码实行漏洞


Chrome storage存在越界读漏洞,允许远程攻击者利用漏洞提交特殊的WEB请求,诱使用户解析,可使应用程序崩溃或可以应用程序上下文实行任意代码。

https://chromereleases.googleblog.com/2020/09/stable-channel-update-for-desktop_21.html


2. Chrome Extensions策略绕过代码实行漏洞


Chrome Extensions存在策略绕过漏洞,允许远程攻击者利用漏洞提交特殊的WEB请求,诱使用户解析,可使应用程序崩溃或可以应用程序上下文实行任意代码。

https://chromereleases.googleblog.com/2020/09/stable-channel-update-for-desktop_21.html


3.Chrome V8代码实行漏洞


Chrome V8引擎存在越界写漏洞,允许远程攻击者利用漏洞提交特殊的WEB请求,诱使用户解析,可使应用程序崩溃或可以应用程序上下文实行任意代码。

https://chromereleases.googleblog.com/2020/09/stable-channel-update-for-desktop_21.html


4. Chrome media数据验证代码实行漏洞


Chrome media存在数据验证漏洞,允许远程攻击者利用漏洞提交特殊的WEB请求,诱使用户解析,可使应用程序崩溃或可以应用程序上下文实行任意代码。

https://chromereleases.googleblog.com/2020/09/stable-channel-update-for-desktop_21.html


5.IBM Data Risk Manager FasterXML jackson-databind代码实行漏洞


IBM Data Risk Manager FasterXML jackson-databind存在反序列化漏洞,允许远程攻击者利用漏洞提交特殊的请求,可以应用程序上下文实行任意代码。


https://www.ibm.com/support/pages/node/6335281


> 重要安全事件综述


1、德国Tutanota遭到DDoS攻击导致服务暂时中断


1.jpg


德国端到端加密电子邮件服务提供商Tutanota遭到DDoS攻击,导致服务暂时中断数小时。首次直接针对Tutanota的DDoS攻击发生在9月14日之前的那个周末,导致数百名用户无法访问服务,但该问题很快得到了解决。之后在Tutanota的服务器关闭后,黑客攻击了托管Tutanota记录的DNS提供程序,这使数百万用户无法访问其Tutanota帐户。目前,该企业正在尝试更新其DNS记录,并将它们托管在另一个提供商处。


原文链接:

https://www.bleepingcomputer.com/news/security/tutanota-encrypted-email-service-suffers-ddos-cyberattacks/


2、Pradeo发布《手机银行:法规、威胁和欺诈预防》白皮书


2.jpg


Pradeo发布了《手机银行:法规、威胁和欺诈预防》白皮书,先容了有关移动银行的使用、法律框架、风险以及保护移动银行应用程序安全的解决方案(从开发到实行)的详细信息。其中写道,移动银行服务迅速受到消费者的喜爱,到2019年底,74%的英国人和75%的美国人使用移动设备来管理其财务。但是研究表明,手机银行应用往往没有预期的那么安全,据RSA的欺诈和风险情报团队最近收集的数据分析显示,与手机应用相关的欺诈行为在2020年第一季度翻了一番。


原文链接:

https://www.helpnetsecurity.com/2020/09/21/whitepaper-mobile-banking-regulations-threats-and-fraud-prevention


3、NSA发布针对远程工编辑和系统管理员的网络安全指南


3.jpg


美国国家安全局(NSA)发布了两份网络安全信息表(CSIs),为国家安全系统(NSS)和国防部(DoD)工作人员和系统管理员提供了关于在家工作期间保护网络安全和应对事件的建议。第一份名为受损个人网络指标和缓解措施,旨在提供有关远程工编辑如何识别和减轻其个人网络危害的详细信息。第二份名为实行带外网络管理,其向系统管理员提供了如何隔离管理流量和运营流量的信息。


原文链接:

https://www.securityweek.com/nsa-issues-cybersecurity-guidance-remote-workers-system-admins


4、2020年Q2 DDoS攻击的次数比去年同比增加570%


4.png


根据Nexusguard报告,DDoS攻击的次数与去年同期相比增加了570%。攻击者采用了更精细的攻击方式,以发动各种放大和基于UDP的攻击,用流量淹没目标网络,这使CSP很难通过传统的基于阈值的方法进行检测和缓解。Nexusguard还发现了一种新的趋势,即攻击者采用混合攻击媒介来发起更广泛的基于UDP的攻击,目的是提高CSP检测和区分恶意流量与合法流量的难度。


原文链接:

https://www.helpnetsecurity.com/2020/09/23/bit-and-piece-ddos-attacks-increased-570-in-q2-2020/


5、MicroSoft称已检测到利用Zerologon漏洞发起的主动攻击


5.png


MicroSoft安全情报团队表示,其已检测到利用Zerologon漏洞(CVE-2020-1472 )发起的主动攻击。自荷兰安全企业Secura BV在9月14日披露了有关Zerologon漏洞的详细信息后,已有多个武器化的PoC开发代码在网上公开。MicroSoft并没有公布有关此次攻击的细节,但是发布了用于攻击的文件散列。因此安全专家就建议,那些域名控制器暴露的企业应尽快让系统离线,以便对其进行补丁。


原文链接:

https://www.zdnet.com/article/microsoft-says-it-detected-active-attacks-leveraging-zerologon-vulnerability/