其他
20230526-5th域安全微讯早报-NO.125
网络空间安全对抗资讯速递
2023年05月26日
最新热门网安资讯
Cyber-Intelligence Brief Express
Vol-2023-125 星期五
今日热点导读
资讯详情
1、微软敦促立法者为负责任的人工智能采纳新的指导方针
周四(25日),微软推出了监管人工智能的蓝图,呼吁在现有结构的基础上建设人工智能。微软的提案是业界关于如何监管一项技术的一系列想法中的最新提案,这项技术已经引起了公众的关注,吸引了数十亿美元的投资,并促使其几位主要架构师争辩说,人工智能在它进入市场之前迫切需要监管。对社会产生广泛而有害的影响。25日,微软总裁布拉德·史密斯在华盛顿特区的听众面前发表讲话,提出了一项治理人工智能的五点计划:实施和建立现有框架,要求有效遏制人工智能部署,制定更广泛的法律和监管框架,提高透明度和寻求新的公私伙伴关系。“我们需要保持清醒的头脑,并且在创造这项技术时需要负责任,”史密斯说。“这将向市场发出一个信号,即这是我们所有人都需要拥抱的未来,”史密斯对包括国会议员、政府官员、劳工领袖和民间社会团体在内的听众说。史密斯发表上述言论之际,华盛顿对如何监管快速发展的人工智能行业越来越感兴趣。在上周的两次参议院听证会上,立法者向科技公司高管和研究人员施压,要求他们就如何监管该技术和解决人工智能引发的许多担忧提出压力,包括其加速网络攻击、对消费者的欺诈以及歧视和偏见等危害的能力。微软的建议与OpenAI首席执行官Sam Altman上周在国会的证词一致。Altman和Smith都呼吁建立一个许可制度来管理由一个新的独立机构监督的AI公司。史密斯补充说,他希望看到监管机构内的人工智能专家评估产品。本周早些时候,拜登政府发布了一个更新的框架,以促进负责任的人工智能使用,包括人工智能研究和设计优先事项的投资路线图。白宫还要求公众就减轻人工智能风险提出意见。政府此前曾注意到对该技术的偏见和公平问题的担忧。
https://cyberscoop.com/microsoft-urges-lawmakers-to-adopt-new-guidelines-for-responsible-ai/
2、英国GCHQ的新BOSS本周上任后即面临人事挑战
当安妮·凯斯特-巴特勒(Anne Keast-Butler)被宣布为英国政府通讯总部(GCHQ)的新任主任时,她对该机构在打击恐怖阴谋和提供有关俄罗斯入侵乌克兰的情报方面所做的工作表示赞赏。但她在本周开始上任的切尔滕纳姆任期之际,该机构正在努力应对另一个更内部的挑战:招聘和保留。最近一份议会报告附件中公布的数据显示,在截至2021年3月的财政年度中,GCHQ无法填补460多个职位空缺。有关总体就业人数的最新数据尚未公布,但该机构的多位消息人士告诉TheREcord,引入新员工和留住现有员工一直是一个持续存在的问题。作为第一位领导GCHQ的女性,Keast-Butler的任命本身就是该机构的一次胜利,该机构正试图从更多元化的背景中招募候选人。截至2022年3月,女性是该机构工作人员中代表性最弱的群体,仅占永久劳动力的三分之一(34.6%)。作为改善这种不平衡的努力的一部分,GCHQ在过去五年中发布了一份年度性别薪酬差距报告,但这并没有推动该机构雇用的女性比例显着增加——最新数据实际上表明比2018年3月的34.9%略有下降。对多样性的关注不是意识形态的,尽管它在这些方面受到了挑战。但对于GCHQ而言,多样性被认为是关键任务。GCHQ战略政策和参与主管Jo Cavan告诉卫报,性别平衡较好的反恐任务团队客观上表现更好。这意味着,如果不能培养多元化的劳动力,该机构就无法做好维护国家安全的工作。
https://therecord.media/gchq-director-faces-personnel-challenges
3、英国数据保护监管机构收到关于Capita的“大量报告”
英国数据保护监管机构周四(25日)表示,它“收到了大量来自组织的大量报告”,这些报告直接受到外包公司Capita两起数据泄露事件的影响。Capita在3月份遭到勒索软件攻击,据估计,根据“专家专业费用、恢复和补救成本以及加强Capita网络安全环境的投资”,该公司可能需要花费高达2000万英镑(2500万美元)来应对。”然而,根据英国数据保护法,该公司还可能面临高达其全球营业额4%的罚款——在截至2023年3月的财政年度中为28亿英镑(34.5亿美元)——如果被发现未能满足信息专员办公室(ICO)的数据保护职责。TechCrunch本月早些时候首次报道了第二起数据泄露事件,显示Capita七年来一直将数千个客户文件在线暴露在一个未受保护的Amazon Web Services S3存储桶中,该存储桶甚至不需要口令即可访问。ICO在Twitter 上表示:“我们知道与Capita有关的两起事件,分别是3月份的一次网络攻击和使用可公开访问的存储。”并补充说,它正在对这两起事件进行调查。越来越多的英国地方当局对Capita暴露的S3存储桶提出批评。与此同时,英国大量养老金提供者受到勒索软件攻击的影响,该国养老金监管机构致函数百家养老基金,要求他们检查客户数据是否被盗。有关大学退休金计划(USS)约470,000名成员的数据可能已被访问,该计划是英国最大的私营部门养老金计划,截至2021年8月管理着超过890亿英镑。USS在一份声明中表示,姓名、出生日期和国民保险号码都保存在黑客访问的Capita服务器上。当勒索软件攻击首次曝光时,Capita最初表示“没有证据表明客户、供应商或同事的数据已被泄露”。该公司随后澄清说,随着公司继续分析该事件,可能会出现此类证据,然后最终确认“根据自己的取证工作和第三方提供商的工作,一些数据从不到0.1%的公司中被泄露。”
https://therecord.media/capita-data-breaches-information-commissioners-office
4、巴西黑客瞄准葡萄牙金融机构
据SentinelLabs周四(25日)发布的一份报告,今年早些时候,一个巴西黑客组织针对30多家葡萄牙金融机构的用户发动了一场攻击活动,这是巴西强大的、出于经济动机的黑客攻击境外目标的最新例子。正在进行的活动-被称为Operation Magalenha-最初依赖于DigitalOcean和Dropbox等云服务提供商,但随着这些公司收紧了关于如何使用其服务的规则,该活动已转向俄罗斯的网络托管服务提供商TimeWeb,研究人员周四发布的一份报告中说。该行动于今年年初开始,但大部分攻击发生在上个月。巴西的恶意软件生态系统历史悠久,近十年前首次引起信息安全行业的注意,当时巴西越来越复杂的黑客组织与国外(包括东欧和俄罗斯)的恶意软件开发人员一起开展业务。巴西仍然是强大的以金融为重点的恶意软件的中心,例如卡巴斯基研究人员在2020年称为“Tetrade”的四个银行木马组合。Magalenha行动说明了巴西地下网络犯罪分子的持久性及其威胁行为者构成的不断演变的威胁。Milenkoski和Hegel在他们的报告中写道,这些团体展示了“更新他们的恶意软件库和策略的一致能力,使他们能够在他们的活动中保持有效”。新的发现代表了从2021年开始的更广泛的以经济为动机的黑客行动的最新迭代。它的最新迭代依赖于同时部署的一对后门,使攻击者能够控制受感染的机器。被称为“PeepingTitle”的后门允许攻击者监控窗口交互、截取未经授权的屏幕截图、终止进程并部署其他恶意软件,例如数据泄露工具。研究人员总结说:“他们在欧洲、中美洲和拉丁美洲的葡萄牙语和西班牙语国家策划袭击的能力表明他们了解当地的金融格局,并愿意投入时间和资源来开展有针对性的活动。”
https://cyberscoop.com/brazilian-hackers-portuguese-banks/
5、谷歌革命性的软件供应链安全平台-GUAC 0.1 Beta
谷歌宣布了GUAC 0.1 Beta (Graph for Understanding Artifact Composition)的测试版 ,旨在保护软件供应链。谷歌为开发者提供了一个开源平台作为API来集成他们自己的策略工具和机制。GUAC寻求将来自各种来源的软件安全元数据(如SBOM)组合到一个显示程序之间关系的图形数据库中,帮助组织确定一个软件如何影响另一个软件。根据Google的文档 ,GUAC为您提供有关软件供应链安全状态的有条理且有用的信息。换句话说,GUAC旨在汇集软件材料清单(SBOM)文档、SLSA证明、OSV漏洞源、deps.dev信息和公司内部私有元数据,以帮助创建更好的风险概况图并可视化工件之间的关系,包和存储库。该项目的目标是应对对供应链的高调攻击,制定补救计划并对事件做出快速响应。例如,GUAC可用于确认收集器已被破坏(例如,被泄露的凭据或恶意软件感染),然后请求易受攻击的工件。这样的系统允许首席信息安全官(CISO)轻松创建禁止在感染半径内使用任何软件的策略。
https://www.securitylab.ru/news/538445.php
6、俄罗斯50%的公司面临更新外国软件许可证的问题
根据A2:Research的分析,2023年4月对1200名各行业代表进行的研究表明,50%的俄罗斯公司在2022年更新外国软件许可证方面遇到困难。此外,32%的受访者抱怨技术支持质量差,31%-服务付款问题,以及10%-外国软件运行不稳定。最大的风险与关键信息基础设施(CII)设施中使用的软件有关。专家证实,禁用此类对象的更新可能会导致违反信息安全(IB)和数据丢失。此外,一些外国制造商远程阻止了他们的设备和软件的运行,这可能会给国家的生活带来严重后果。例如,如果国家支付卡系统(NSPK)没有提前从Oracle Java切换到俄罗斯Java平台,那么在这些支付系统离开该国后,俄罗斯将无法使用Visa和Mastercard卡进行交易。这些问题还影响了积极使用外国软件开展活动的国家组织和大型商业公司。例如,一位市场参与者表示,由于无法从外国供应商那里获得技术支持和更新,俄罗斯建设部被迫用IVA Technologies的国内产品替换Avaya通信解决方案。西门子和施耐德电气的设备,以及通信思科的基础设施设备和音频和视频通信设备Poly也出现了类似的情况。在许多情况下,俄罗斯客户没有收到购买但被吊销的外国制造商的许可证和技术支持的补偿。此外,许多俄罗斯公司已经无法使用Azure、AWS(亚马逊网络服务)、谷歌云等外国云服务。如果用户没有提前创建备份副本,这可能会导致重要信息丢失。选择用于企业通信、语音通话和视频通信的程序也很困难。国内系统的功能还不能完全替代流行的国外平台。据A2:Research称,在这方面,俄罗斯企业已经意识到转向国产软件的重要性。大多数受访者 (58%)表示,在俄罗斯开发软件对他们来说很重要。57%的受访者表示,他们去年已经转向国产软件。45%研究各种俄罗斯供应商的报价。专家说,向国产软件的过渡有几个优势,包括能够根据特定客户的需求进行定制。
https://www.securitylab.ru/news/538453.php
7、侧信道攻击:对现代处理器和视频卡的新威胁
现代处理器和视频卡正在努力做到轻薄和节能。为此,他们使用动态电压和频率变化(DVFS)机制,允许您根据负载调整设备参数。然而,这些机制也会产生信息泄露的旁路,攻击者可以利用这些旁路来提取敏感数据。泄漏侧通道是软件用来测量设备物理特性(例如功耗、温度或频率)的通道。这些属性与在设备上处理的指令和数据相关。因此,攻击者可以通过内部传感器或接口访问它们,而无需借助外部设备。传统上,此类攻击需要连接到计算机的特殊硬件。然而,最近的研究表明,可以使用计算机本身提供的编程接口,例如英特尔的RAPL接口或DVFS(动态电压和频率)机制。在一项新的研究中(https://arxiv.org/pdf/2305.12784.pdf)科学家们已经证明,现代Arm架构处理器和视频卡上存在泄漏侧通道,这些处理器和视频卡在高性能设备中越来越受欢迎。他们还演示了如何使用这些通道来使用JavaScript代码攻击Chrome和Safari浏览器。攻击允许您窃取图像像素或确定用户的浏览历史记录。这种泄漏通道代表了对网络安全的新威胁,因为它们可以通过微架构通道绕过针对传统攻击的现有保护措施。因此,有必要开发新的方法来检测和防止对现代设备的此类攻击。研究人员提出了几种方法来防止此类攻击,包括降低分辨率或测量频率、向计算机添加噪声或随机性,或使用特殊的数据保护方案。他们还敦促开发商和制造商在创建新硬件和软件时考虑此类泄漏的风险。
https://www.securitylab.ru/news/538457.php
8、Expo Framework API漏洞暴露在线服务中的用户数据
已发现Expo框架中的一个严重安全漏洞,可被利用来泄露各种在线服务中的用户数据。该漏洞( CVE-2023-28131)由Salt Security发现,CVSS 评分为9.6。特别是,该漏洞误是在Expo的开放授权(OAuth) 社交登录功能的实施方式中发现的。Expo使开发人员能够使用单一代码库创建原生 iOS、Android和Web应用程序。该平台具有一系列旨在简化和加快开发过程的工具、库和服务。尽管如此,由于漏洞的性质,依赖此框架的服务容易受到凭据泄露的影响,并且可能允许对客户账户进行大规模账户接管(ATO)。例如,这可能会影响使用Facebook、Google、Apple或Twitter 帐户使用Expo登录在线服务的任何人。Salt Security的研究机构Salt Labs解释说,在发现该漏洞后,它立即将其披露给Expo,后者迅速修复了该漏洞。可以使用单独的指南来描述缓解该缺陷的过程。“安全漏洞可能发生在任何网站上——重要的是响应,”Salt Security研究副总裁 Yaniv Balmas说。这位安全专家表示,随着OAuth迅速成为行业常态,恶意人士不断寻找其中的安全漏洞。Balmas补充说:“OAuth的错误实施可能会对公司和客户产生重大影响,因为他们会暴露宝贵的数据,并且组织必须时刻关注其平台中存在的安全风险。”
https://www.infosecurity-magazine.com/news/expo-framework-api-flaw-reveals/
9、D-Link修复了D-View 8软件中的身份验证绕过和RCE漏洞
D-Link已修复其D-View 8网络管理套件中的两个严重漏洞,这两个漏洞可能允许远程攻击者绕过身份验证并执行任意代码。D-View是由台湾网络解决方案供应商D-Link开发的网络管理套件,各种规模的企业都使用它来监控性能、控制设备配置、创建网络地图,并通常使网络管理和管理更高效、更省时消费。参与趋势科技零日计划(ZDI)的安全研究人员在去年年底发现了影响D-View的六个漏洞,并于2022年12月23日向供应商报告了这些漏洞。已发现的两个漏洞严重程度很高(CVSS评分:9.8),未经身份验证的攻击者可以对受影响的安装进行强大的利用。第一个被追踪为CVE-2023-32165 ,是一个远程代码执行漏洞,这是由于在文件操作中使用用户提供的路径之前没有对其进行适当验证而引起的。利用该漏洞的攻击者可以使用SYSTEM权限执行代码,对于Windows,代码将以最高权限运行,可能允许完全接管系统。第二个的标识符为CVE-2023-32169 ,是在软件的TokenUtils类上使用硬编码加密密钥导致的身份验证绕过漏洞。利用此漏洞可以进行权限提升、未经授权访问信息、更改软件配置和设置,甚至安装后门程序和恶意软件。D-Link发布了关于ZDI报告的所有六个缺陷的咨询,这些缺陷影 D-View 8 2.0.1.27及以下版本,敦促管理员升级到2023年5月17日发布的修复版本。尽管供应商“强烈建议”所有用户安装安全更新,但该公告还警告说该补丁是“测试版软件或热修复版本”,仍在进行最终测试。建议用户在下载相应的固件更新之前,通过检查底部标签或网络配置面板来验证其产品的硬件版本。
https://www.bleepingcomputer.com/news/security/d-link-fixes-auth-bypass-and-rce-flaws-in-d-view-8-software/
10、Predator:深入了解以色列Intellexa公司的Android间谍软件
Cisco Talos和Citizen Lab的安全研究人员对商业Android 谍软件“Predator”及其加载程序“Alien”进行了一项新技术分析,分享了其数据窃取功能和其他操作细节。Predator是由以色列公司Intellexa开发和销售的用于移动平台(iOS和Android)的商业间谍软件。该间谍软件家族与针对记者、知名欧洲政客甚至Meta高管的监视行动有关。间谍软件可以记录电话、从消息应用程序收集信息,甚至隐藏应用程序并阻止它们在受感染的Android设备上执行。2022年5月, 谷歌TAG披露了五个Android零日漏洞,Predator间谍软件将这些漏洞链接起来执行shellcode,从而将Predator的加载程序“Alien”投放到目标设备上。Alien 载程序被注入到名为“ zygote64 ”的核心Android进程中,然后根据硬编码配置下载并激活其他间谍软件组件。Alien从外部地址获取Predator组件并在设备上启动它,或者将现有有效载荷升级为更新版本(如果可用)。之后,Alien继续在设备上运行,通过将间谍软件组件隐藏在合法系统进程中并从Predator接收命令以在绕过Android安全(SELinux) 的同时执行来促进间谍软件组件之间的谨慎通信。Cisco解释说,Alien通过滥用SELinux的上下文来实现这一点,SELinux的上下文决定了系统中的每个进程和对象允许哪些用户和信息级别,从而解除了现有的限制。Alien会监听间谍软件内部组件通信的“ioctl”(输入/输出控制)命令,而 SELinux不会检查这些命令。最后,Alien将窃取的数据和录音保存在共享内存空间中,然后将其移至存储空间,最终通过Predator将其泄露。此过程不会触发访问冲突,并且不会被SELinux注意到。
https://www.bleepingcomputer.com/news/security/predator-looking-under-the-hood-of-intellexas-android-spyware/
11、美国陆军正在研究“AI BOM”的可能性
宾夕法尼亚州费城——陆军正在探索是否可能要求商业公司打开他们的人工智能算法的引擎盖,以此作为更好地了解其中的内容以降低风险和网络漏洞的一种手段。这个概念被称为人工智能材料清单,或AI BOM。这源于软件BOM或SBOM,它们是提供软件组件的列表,本质上提供代码的供应链“营养价值”,以便将其采用到系统中的人知道它的每一部分,以便更好地理解他们网络的潜在风险或威胁载体。“我们正在研究AI BOM [程序] 的概念。那是因为实际上,我们是从风险的角度来看问题的。就像我们正在保护我们的供应链、半导体、组件、子组件一样,我们也在从数字角度考虑这一点,”负责采办、后勤和技术的陆军首席副助理部长Young Bang在周四(25日)陆军技术交流会上告诉记者。Bang肯定会澄清,如果陆军走这条路,它并不是在寻求获得供应商的知识产权。AI BOM提出的问题比软件更具挑战性,因为打开引擎盖可能会让某些人——不一定是陆军——获得知识产权并可能对其进行逆向工程。Bang说,陆军仍在考虑如何与该领域的工业界合作,并指出他在当天早些时候与AI公司举行了一次圆桌会议,以听取他们对AI BOM的看法。AI BOM的一个潜在次要目标是帮助用户更好地理解算法的训练集,以解释其得出的结果。
https://defensescoop.com/2023/05/25/army-looking-at-the-possibility-of-ai-boms-bill-of-materials/
12、GAO发现能源部未能监控机密网络上的用户活动
在一份检查核安全的报告中,政府问责办公室(GAO)发现能源部的工作人员并不知道该部门违规的全部程度,部分原因是他们没有能源部门正在运行的独立机密IT网络的完整列表。能源部的内部威胁代表着重大的国家安全风险,因为该机构设有负责管理美国核储备的国家核安全管理局。八年前,它启动了一项内部威胁计划,以解决存储在计算机网络上的国家安全信息的风险。GAO表示,网络安全故障是该机构未达到最低安全要求的四个领域之一,这些领域于2022年3月首次确定。其他三个领域是初始和重复的员工培训、内部威胁意识培训的验证以及政策和法律合规性的监督审查。GAO在报告中说:“在‘监控网络上的用户活动’主题领域,最低标准要求内部威胁程序包括监控用户在所有机密网络上的活动的技术能力。”它补充说:“根据美国能源部官员的说法,内部威胁分析和转介中心尚未满足所有机密网络的完整用户活动监控覆盖要求,但如果通过其他方式检测到事件,则可以解决对未监控的机密网络的担忧。”根据周三(24日)发布的这份报告,该机构的至少一个组成部分评估认为它需要额外的资源来实现对内部威胁计划要求和最低联邦安全标准的遵守。特别是,能源部反情报办公室的一位官员表示,其分析和转诊中心需要额外的 5000万美元来获得软件许可和信息技术。这位官员补充说,该办公室需要500万美元在五年内额外聘请20名分析师,以达到机密网络用户监控的最低标准。GAO为DOE提出了七项具体建议,以解决已确定的网络安全缺陷,其中包括高级内部威胁计划正式工作,以确定需要哪些额外资源来遵守监控所有机密网络上的用户活动。DOE对此未表示异议。
https://fedscoop.com/energy-department-failing-to-monitor-user-activity-on-classified-networks-gao-finds/
THE END
往期推荐
1. 5th域微讯晨报-Vol-2023-124
3. 5th域微讯晨报-Vol-2023-121
4. 5th域微讯晨报-Vol-2023-122
冷观网域风云激荡
智察数字安全博弈
THINK LIKE A HACKER
ACT LIKE AN ENGINEER
Cyber Intelligence Insight
Digital Security Enhencement