20230904-5th域安全微讯早报-No.211
网络空间安全对抗资讯速递
2023年9月04日
最新热门网安资讯
Cyber-Intelligence Brief Express
Vol-2023-211 星期一
今日热点导读
1、针对关键 VMware SSH身份验证绕过漏洞的利用POC已发布
2、微软将在Window中淘汰写字板
3、全球科技公司面临英国在线安全法案的威胁
4、人工智能将被引入游戏玩法中以调节语音聊天
5、太空Wi-Fi更新:国际空间站改用激光
6、林斯顿大学发布了人工智能可能取代的20个职业
7、德国因IT设备和数据被盗以及数字和工业间谍活动和破坏造成的损失将达到2060亿欧元
8、谷歌、英伟达、微软和Meta组建人工智能红队联盟
9、Rust编程语言实现的sudo命令行工具有望消除任何可利用的内存安全漏洞
10、微软的人工智能背包:一项可以改变世界的小玩意的专利
11、Okta警告针对超级管理员权限的社会工程攻击
12、Chrome扩展程序可以从网站窃取明文口令
13、E3-UAV:用于无人机的基于边缘的节能目标检测系统
14、莫斯科国立大学的新型超级计算机将推动国内人工智能发展
资讯详情
1、针对关键 VMware SSH身份验证绕过漏洞的利用POC已发布
针对 VMware的Aria Operations for Networks分析工具(以前称为 vRealize Network Insight)中的关键SSH身份验证绕过漏洞发布了概念验证利用代码。该漏洞(编号为CVE-2023-34039)由ProjectDiscovery Researc 的安全分析师发现,并于周三(8月30日)由VMware发布 6.11版本进行了修补。成功利用该漏洞使远程攻击者能够绕过未修补设备上的 SSH身份验证,并在低复杂性攻击中访问该工具的命令行界面,这些攻击不需要用户交互,因为该公司将其描述为“缺乏独特的加密密钥生成”。在披露关键安全漏洞两天后,VMware确认CVE-2023-34039漏洞利用代码已在线发布。该概念验证 (PoC) 漏洞针对从 6.0到6.10的所有Aria Operations for Networks版本,由Summoning Team漏洞研究员 Sina Kheirkhah开发和发布。
https://www.bleepingcomputer.com/news/security/exploit-released-for-critical-vmware-ssh-auth-bypass-vulnerability/
2、微软将在Window中淘汰写字板
微软9月1日宣布,它将在未来的Windows更新中弃用写字板,因为它不再处于积极开发状态,不过该公司没有具体说明这一变化的具体时间。写字板是一种基本的文本编辑应用程序,允许用户创建和编辑带有格式化文本的文档,并包含图像和其他文件的链接。自1995年Windows 95发布以来,它就自动安装在Windows系统上,为用户提供集成到操作系统中的基本文字处理器和文档编辑器。该公司现在建议 Microsoft Word 应用程序作为写字板用户的替代品,并为那些不需要富文本支持的用户推荐记事本。微软透露:“写字板不再更新,并将在 Windows 的未来版本中删除。”“我们建议使用 Microsoft Word来处理.do 和.rtf 等富文本文档,使用 Windows 记事本来处理 .txt 等纯文本文档。”这并不奇怪,因为自 2020 年 2 月发布 Windows 10 Insider Build 19551 以来,该程序一直是可选的 Windows 功能。尽管它仍然默认安装在所有 Windows 系统上,但可以使用“可选功能”控制面板将其卸载。
https://www.bleepingcomputer.com/news/microsoft/microsoft-is-killing-wordpad-in-windows-after-28-years/
3、全球科技公司面临英国在线安全法案的威胁
美国科技公司正在就一项政府提案向英国立法者发出警告,他们称这将严重削弱对用户的安全和隐私保护。议会最早可能会在下周批准一项法案,要求在线服务部署“经过认可的技术”来识别与恐怖主义或儿童性剥削和性虐待有关的内容。保守党政府支持的《在线安全法案》将规定在线平台有义务保护年轻用户免受色情或自残内容的侵害。自2022年推出以来,隐私和安全专家对该法案中的措辞表示反对,该法案授权英国通信办公室命令在线中介机构(包括 WhatsApp 等聊天应用程序和 Google 等搜索引擎)使用“经过认可的技术”身份非法内容。批评者称,该法案的措辞建立了一种依赖于安全性减弱或加密算法故意缺陷的监控制度。上议院将于周三开始三读后将该法案退回下议院。
https://www.govinfosecurity.com/tech-companies-on-precipice-uk-online-safety-bill-a-22995
4、人工智能将被引入游戏玩法中以调节语音聊天
在新游戏《使命召唤:现代战争 III》(定于11月10日)发布之前,动视暴雪发布了一个不同寻常的公告 :人工智能将被引入游戏玩法中以调节语音聊天。为了实现这个想法,动视与 Modulate合作。该系统名为ToxMod,将检测并阻止仇恨言论、骚扰和其他形式的攻击行为。游戏玩家中的不良行为并不是什么新鲜事,但对于《使命召唤》来说,这个问题尤其严重。问题的严重程度与该系列粉丝的数量成正比。开发人员已经实现了14种语言的短信过滤器,并创建了智能玩家投诉系统。这些算法可以限制超过100万个违反规则的帐户对聊天的访问。有趣的是,20% 收到警告的人不再允许自己粗鲁无礼。重要的是要考虑到人工智能语音识别算法尚未完善。存在一开始会出现许多误报的风险。这一切都取决于音频质量、口音和语言多样性,以及语音缺陷。创建一个考虑所有这些因素的系统并不是一件容易的事。该开发项目已经在北美用户中进行 Beta 测试。发布后,该游戏将扩展到亚洲以外的其他地区。
https://www.securitylab.ru/news/541416.php
5、太空Wi-Fi更新:国际空间站改用激光
到今年年底,美国宇航局将开始在国际空间站(ISS上测试冰箱大小的激光通信系统。国际空间站中继系统的示范测试不仅可以塑造低轨道通信的未来,还可以塑造月球表面和深空通信的未来。尽管无线电通信长期以来一直是各种太空任务的主要通信方法,但激光通信系统具有多种优势。事实证明,此类设备比无线电设备更便宜、更轻。与无线电波相比,短波长激光可以一次传输更多的信息。一旦作为SpaceX商业着陆服务任务的一部分发射,NASA设备名为 ILLUMA-T,将与2021年12月发射的激光通信中继演示 (LCRD) 合作。ILLUMA-T将使用红外光来高速交换激光通信。得益于这项技术,可以以每秒约1.2吉比特的速度向地球传输更多视频和图像。美国宇航局SCaN项目前副局长巴德里·尤尼斯 (Badri Younes)表示:“激光通信为任务提供了更大的灵活性和更快的从太空返回数据的方式。”安装完成后,ILLUMA-T将主要与距地球22,000英里的LCRD卫星进行通信。LCRD卫星将通过加利福尼亚州和夏威夷州的两个站将数据发送回地球。
https://www.securitylab.ru/news/541419.php
6、林斯顿大学发布了人工智能可能取代的20个职业
普林斯顿大学发表了一项新研究,确定了20个最有可能因人工智能 (AI)发展而面临灭绝风险的职业。研究发现,呼叫中心客服人员失业的风险最大,其次是法律、历史、宗教和语言等各个学科的教师。该研究的作者表示,人工智能将对工作产生多方面的影响。在某些情况下,人工智能将取代人类以前所做的工作,而在其他情况下,人工智能将补充人类所做的工作。人工智能辅助语言建模(例如 ChatGPT)的最新进展引起了很多兴趣和争议。为了确定人工智能各种工作的自动化程度,研究人员构建了一种算法,将语言建模、图像生成和翻译等10个基于人工智能的应用程序与手稳定性和听力理解等52种人类能力联系起来。许多面临风险的工作都是高薪职位,需要较高的教育水平,包括预算分析师、精算师、会计师和法官。然而,当该研究的作者调整算法以考虑语言建模的最新进展时,面临风险的作品列表发生了显着变化。呼叫中心工作人员被认为是最脆弱的群体。在该研究列出的20个职业中,有14个职业从事高等教育教学,涉及地理、宗教、历史、英语和社会学等多个学科。该研究的作者指出,与其他职业相比,教育职业可能更容易受到语言建模发展的影响。
https://www.securitylab.ru/news/541405.php
7、德国因IT设备和数据被盗以及数字和工业间谍活动和破坏造成的损失将达到2060亿欧元
据德国数字协会Bitkom称,到2023年,德国因IT设备和数据被盗以及数字和工业间谍活动和破坏造成的损失将达到2060亿欧元(2240亿美元)。这是损失连续第三年超过2000亿欧元大关。该数据基于Bitkom对1,000多家公司的调查。Bitkom总裁拉尔夫·温特格斯特 (Ralf Wintergerst) 表示:“德国经济对于犯罪分子和敌对国家来说是一个极具吸引力的目标。有组织犯罪与国家控制活动之间的界限正在变得模糊。”调查发现,约四分之三的受访公司在过去12个月内经历过数字攻击。这比去年的84%有所下降。温特格斯特说:“公司数量略有下降是一个积极信号,表明保护措施正在发挥作用。”此外,52%的公司表示“网络攻击威胁到他们业务的生存”。一年前这个数字是45%,两年前只有9%。在遭受攻击的公司中,70%的公司报告敏感数据被盗。此外,61%的公司的数字通信受到监控。联邦宪法保护机构主席斯南·塞伦强调了合作应对网络攻击、对攻击快速反应和反应以及不断调整防御机制的重要性。
https://www.securitylab.ru/news/541420.php
8、谷歌、英伟达、微软和Meta组建人工智能红队联盟
人工智能(AI)是当今时代最强大、最有前途的技术之一,但它也给人类带来了许多风险和挑战。如何确保人工智能系统的安全、道德和责任?如何防止人工智能被恶意行为者滥用?如何平衡人工智能创新与监管?谷歌、英伟达、微软和Meta(前身为 Facebook)宣布了一项联合计划,旨在检测和消除潜在的人工智能威胁。该倡议被称为 人工智能 红队联盟 ,将对这些公司内部和外部开发的人工智能系统进行独立审核和测试。AI红队联盟的灵感来自网络安全中的红队概念,模拟黑客攻击来测试系统漏洞。就人工智能而言,红队将尝试识别人工智能模型的不良或意外行为,例如产生虚假或有偏见的信息、侵犯数据隐私或操纵人员。为此,他们将使用各种方法,例如代码分析、安全破解、输入欺骗或创建广告示例。该联盟的目标是增加对人工智能的信任并促进其在社会中安全和负责任的使用。这些公司还希望防止可能对人工智能的开发和使用施加限制的监管干预。然而,该联盟也面临一些人工智能专家的批评,他们认为该联盟不够透明或独立。例如,斯坦福大学教授达芙妮·科勒表示,该联盟应该接受公众监督,并包括来自学术界、政府和民间社会的代表。该联盟将在AI合作伙伴的框架下运作,该国际组织汇集了来自学术、企业和民间部门的100多个合作伙伴,共同研究和塑造人工智能的最佳实践。
https://www.securitylab.ru/news/541403.php
9、Rust编程语言实现的sudo命令行工具有望消除任何可利用的内存安全漏洞
Prossimo是一个由非营利性互联网安全研究小组 (ISRG) 监督的项目,本周宣布了sudo-rs的第一个稳定版本。该开源代码库包括相关的su命令行程序,同样是Rust语言。sudo实用程序为类Unix系统(例如Linux和FreeBSD)的特权用户提供了一种以 root 身份运行命令的方法。它存在一定的风险,因为低特权的恶意用户或软件可能会找到滥用它的方法,例如通过利用代码中的错误,将其访问权限提升到根用户或超级用户级别。理想情况下,sudo和su应尽可能安全且无漏洞,因为它们充当完全控制系统的网关。内存安全错误包括越界读取和写入以及释放后使用()等问题。其中一些可利用的漏洞已在sudo中发现。用Rust重写sudo应该可以消除潜在的内存安全漏洞,至少在过去几年里,内存安全漏洞已经成为科技公司和美国政府机构广泛关注的问题。大多数现代编程语言都以某种方式允许开发人员以内存安全的方式编写代码,而Rust特别适合这项任务。sudo重写工作于2022年12月开始,即美国国家安全局发布指导意见敦促组织采用内存安全语言一个月后。联邦信号情报机构指出,谷歌和微软均表示,他们处理的漏洞中约 0%源自内存安全漏洞。
https://www.theregister.com/2023/09/02/isrg_prossimo_sudo_rs/
10、微软的人工智能背包:一项可以改变世界的小玩意的专利
微软已经申请了人工智能背包概念的专利,该背包可以根据用户的语音命令执行各种任务并分析环境。正如MSPowerUser 门户网站所述,该专利于2023年5月2日提交,并于2023年8月24日发布。AI背包的功能远超普通智能手表,具有扫描环境、识别语音命令和执行上下文任务等高级功能。为了实现这一目标,背包配备了压力传感器、麦克风、摄像头、全球定位系统(GPS)、指南针、气压计、生物识别传感器、扬声器、视觉输出显示器、处理器和其他组件。微软在专利中描述了潜在背包的功能:背包可以接收来自用户的上下文语音命令。上下文语音命令可以包括对环境中的对象的隐式引用。该背包可以使用传感器来感知环境,使用人工智能引擎来识别环境中的物体,并使用数字助理来响应上下文语音命令来执行上下文任务。上下文任务可以指环境中的对象。背包可以向用户提供对上下文语音命令的响应。过去,微软为从未问世的产品申请了多项专利,例如三折手机和指纹耳机。虽然人工智能背包不会出现在即将举行的活动中,但微软公司副总裁兼消费者营销经理Yusuf Mehdi通过X(以前称为Twitter)上的帖子证实,微软将分享更多有关其人工智能创新的信息。
https://www.securitylab.ru/news/541406.php
11、Okta警告针对超级管理员权限的社会工程攻击
身份服务提供商Okta周五(9月1日)警告称,威胁行为者会精心策划社会工程攻击,以获取更高的管理员权限。“最近几周,多个美国Okta客户报告了针对IT服务台人员的一致社会工程攻击模式,其中呼叫者的策略是说服服务台人员重置由其注册的所有高度特权的用户多重身份验证(MFA)因素。”然后,攻击者开始滥用具有高特权的Okta超级管理员帐户来冒充受感染组织内的用户。据该公司称,该活动于2023年7月29日至8月1 日期间进行。Okta没有透露威胁行为者的身份,但这些策略展现了被称为Muddled Libra的活动组织的所有特征,据说该活动组织与Scattered Spider和Scatter Swine有一定程度的重叠。攻击的核心是一个名为0ktapus的商业网络钓鱼工具包,它提供预制模板来创建真实的虚假身份验证门户,并最终收获凭据和多因素身份验证(MFA)代码。它还通过Telegram集成了内置命令和控制(C2)通道。
https://thehackernews.com/2023/09/okta-warns-of-social-engineering.html
12、Chrome扩展程序可以从网站窃取明文口令
威斯康星大学麦迪逊分校的一组研究人员已将一个概念验证扩展上传到Chrome网上应用店,该扩展可以从网站的源代码中窃取纯文本口令。对网络浏览器中文本输入字段的检查表明,支持Chrome扩展的粗粒度权限模型违反了最小权限和完全中介的原则。此外,研究人员发现,许多拥有数百万访问者的网站(包括一些Google和Cloudflare门户)在其网页的HTML源代码中以明文形式存储口令,允许扩展程序检索它们。该问题涉及允许浏览器扩展不受限制地访问其加载的网站的 DOM 树的系统实践,这允许访问潜在的敏感元素,例如用户输入字段。鉴于扩展程序和站点元素之间缺乏任何安全边界,前者可以不受限制地访问源代码中可见的数据,并且可以提取其任何内容。此外,该扩展程序可能会滥用DOM API在用户输入输入时直接提取输入值,绕过网站为保护敏感输入而应用的任何混淆,并以编程方式窃取该值。该扩展不包含明显的恶意代码,因此它可以逃避静态检测,并且不会从外部源获取代码(动态注入),因此它符合Manifest V3标准。
https://www.bleepingcomputer.com/news/security/chrome-extensions-can-steal-plaintext-passwords-from-websites/
13、E3-UAV:用于无人机的基于边缘的节能目标检测系统
中国学者最新发表的的论文《E3-UAV:用于无人机的基于边缘的节能目标检测系统》指出,受深度学习技术进步的推动,基于无人机(UAV)的目标检测应用已在车辆计数、火灾探测和城市监控等一系列领域激增。虽然大多数现有研究仅研究基于无人机的物体检测固有挑战的一部分,但很少有研究能够平衡各个方面以设计实用的降低能耗系统。为此,作者推出了 E3-UAV,这是一种基于边缘的节能无人机目标检测系统。该系统旨在动态支持各种无人机设备、边缘设备和检测算法,通过确定最节能的飞行参数(包括飞行高度、飞行速度、检测算法、和采样率)以满足任务的检测要求。作者首先提出了一种针对实际任务的有效评估指标,并基于数百个实际飞行数据构建了透明的能耗模型,以形式化能耗与飞行参数之间的关系。然后,他们提出了一种基于大量实际飞行数据的轻量级节能优先决策算法,以辅助系统确定飞行参数。最后,研究者评估了系统的性能,其实验结果表明它可以显着降低现实场景中的能耗。此外,作者还提供了四种见解,可以帮助研究人员和工程师进一步研究基于无人机的物体检测。
https://ieeexplore.ieee.org/document/10206033/authors#authors
14、莫斯科国立大学的新型超级计算机将推动国内人工智能发展
莫斯科国立罗蒙诺索夫大学计算数学与控制论学院推出了新型超级计算机MGU-270。该系统的特点是功率大,主要用于人工智能领域的研究。MGU-270的峰值计算能力为每秒400 petaflops。它的性能大大优于该大学以前的超级计算机,例如Lomonosov,其性能达到1.7petaflops。系统中引入了100个现代图形加速器以及新的供电、冷却和通信机制。正如学院院长伊戈尔·索科洛夫(Igor Sokolov)所说,这台超级计算机将用于人工智能领域人才培训的学术项目:“我们学院的人工智能领域专家培训学术项目已连续第二年一直在运营 - 世界上最好的之一。我们已经分析了这个领域世界上的一切。这些人获得了有助于他们开发这些工具的基础知识。”同时,该系统不仅可用于人工智能研究,还可用于物理、化学、生物学、心理学和医学等科学学科。该开发项目将集成到国家科学超级计算机中心网络中,这将增加其在国家层面的重要性。这一举措是莫斯科国立大学到2030年长期发展计划的一部分,旨在增强俄罗斯的研究潜力。
https://www.securitylab.ru/news/541428.php
THE END
往期推荐
冷观网域风云激荡
智察数字安全博弈
THINK LIKE A HACKER
ACT LIKE AN ENGINEER
Cyber Intelligence Insight
Digital Security Enhencement