TOP5 | 头条：Firefox允许HTML文件从受害者的系统中窃取其他文件

TOP5
7月4日全球信安资讯

1

Firefox允许HTML文件从受害者的系统中窃取其他文件
>>>>信源：securityaffairs

安全专家Barak Tawily证明，在Firefox上打开一个HTML文件可能会让攻击者窃取存储在受害者计算机上的文件，因为浏览器中存在一个已有17年历史的已知错误。研究人员通过TheHackerNews网站发布了攻击的详细信息，并证明了他的技术与最新版本的Firefox有效。

“应用程序安全研究员Barak Tawily与The Hacker News分享了他的发现，他通过在浏览器中利用已有17年历史的已知问题，成功地针对最新版本的Firefox开发了一种新的概念验证攻击。”专家在发现它易受本地文件盗窃攻击时，正在分析Firefox中同源策略的实现。“最近，我正在对同源策略攻击进行研究，我设法意识到，由于同源策略的不当实施，Firefox版本（目前为67）很容易受到本地文件盗窃攻击（在任何支持的操作系统上）用于文件方案URI。让我们回顾一下PoC的细节，然后我将解释为什么它还没有打补丁。“专家写道。根据Tawily的说法，Firefox多年来没有修复文件URI方案的同源策略（SOP）的有缺陷的实现。专家还分享了其PoC的详细信息和攻击的视频PoC。Tawily解释了如果攻击者将下载的文件保存在其子文件夹中包含SSH密钥的用户目录中，攻击者如何轻易窃取Linux受害者的秘密SSH密钥。

攻击者通过附件文件向受害者发送电子邮件/受害者浏览恶意网站并下载文件
受害者打开HTML恶意文件
在iframe中加载包含文件夹的文件（所以我的文件路径是
文件：///home/user/-malicious.html
，iframe源码将是
文件：/// home / user中/
）
受害者认为他点击了恶意HTML上的一个按钮，但实际上他点击了iframe目录列表中的恶意文件html（使用ClickJacking技术，以便应用“上下文切换错误”，这允许我访问目录列出我的文件夹）
恶意iframe现在具有升级的权限，并且能够读取包含恶意文件的文件夹上的任何文件，（在大多数情况下，下载文件夹，在我的情况下是
文件：/// home / user中/
）。
恶意文件能够读取其中包含文件夹的任何文件（
文件：/// home / user中/
），例如通过简单地获取URL的SSH私钥
文件：///home/user/.ssh/ida_rsa
并通过文件内容向攻击者的恶意网站提取1次获取请求来窃取任何文件。

攻击者可以成功地通过诱骗受害者在Firefox Web浏览器上下载和打开恶意HTML文件并点击假按钮来触发攻击来成功进行攻击。“Tawily告诉The Hacker News，所有上述行为都可能在几秒钟内秘密发生，而不知道受害者，只要他们在恶意HTML页面上小心点击按钮就行了。”专家向Mozilla报告了该漏洞，但该公司似乎无意很快解决这个问题。

2

谷歌解决Android Media Framework中三个关键的代码执行缺陷
>>>>信源：bleepingcomputer

谷歌解决的最严重的缺陷是影响媒体框架的关键安全问题（CVE-2019-2106），远程攻击者可利用该框架在特权进程的上下文中执行任意代码。

“本节中最严重的漏洞可能使远程攻击者使用特制文件在特权进程的上下文中执行任意代码。”安全公告中写道。谷歌解决了这个漏洞，作为2019-07-01安全补丁级别的一部分，它还修复了其他11个漏洞。谷歌在Android Media框架中修补了三个关键的RCE（CVE-2019-2106，CVE-2019-2107，CVE-2019-2109）。CVE-2019-2106和CVE-2019-2107影响自7.0以来的所有Android版本，CVE-2019-2109仅影响Android 7.0至8.1迭代。

Google解决的第四个严重漏洞，跟踪为CVE-2019-2111，是一个影响Android 9系统的远程代码执行漏洞。“本节中最严重的漏洞可能使远程攻击者能够使用特制文件在特权进程的上下文中执行任意代码。”谷歌2019年7月的Android安全补丁也修复了System中的六个高严重性问题。四个问题是信息泄露漏洞（CVE-2019-2116，CVE-2019-2117，CVE-2019-2118和CVE-2019-2119），另外两个缺陷是权限提升错误（CVE-2019-2112和CVE） -2019-2113）。Google还解决了Framework中的高严重性信息泄露漏洞（CVE-2019-2104）和库中的高严重性远程代码执行漏洞（CVE-2019-2105）。2019-07-05安全补丁级别解决了Qualcomm组件中的21个缺陷（2个被评为严重，6个被评为高严重性）和Qualcomm闭源组件（3个被评为严重，10个被评为高严重性）。

3

网络司令部警告称与伊朗有关的黑客利用CVE-2017-11774的Outlook漏洞

>>>>信源： bleepingcomputer

美国网络司令部在Twitter上发布了关于利用Outlook中的CVE-2017-11774漏洞进行网络攻击的警报。警报是指通过利用CVE-2017-11774 Outlook漏洞感染政府网络的持续活动。

根据微软的说法，Outlook不正确地处理内存中的对象，攻击者可以利用漏洞执行任意命令。“在文件共享攻击情形中，攻击者可以提供旨在利用此漏洞的特制文档文件，然后诱使用户打开文档文件并与文档进行交互。”微软发布的安全公告。SensePost研究人员在2017年报告了CVE-2017-11774缺陷，并于2017年10月的补丁周二由微软提出。

“纪事报”的安全专家将涉及这些攻击的恶意软件样本链接到与伊朗相关的APT33组（又名Elfin），这是一个发展可怕的Shamoon恶意软件的攻击者。APT33集团至少自2013年以来一直存在，自2016年中期以来，该集团的目标是与石化生产有关的航空业和能源公司。大多数目标都在中东，其他目标在美国，韩国和欧洲。今年3月，赛门铁克发布了一份报告，详细介绍了针对沙特阿拉伯和美国组织的APT33小组的活动。RecordedFuture的专家最近发现，伊朗相关的网络间谍组织在发布详细介绍其活动的报告后更新了基础设施。

Chronicle应用智能部门主管Brandon Levene将上传的样本与APT33和Shamoon2联系起来。“CyberCom上传的可执行文件似乎与Shamoon2活动有关，该活动发生在2017年1月左右。这些可执行文件都是使用PowerShell加载PUPY RAT的下载程序。此外，CyberCom上传了三种可能用于操纵和利用网络服务器的工具。“Chronicle应用智能部门负责人Brandon Levene解释道。”每种工具的目的略有不同，但攻击者有明显的能力。与他们可能已经妥协的服务器进行交互。如果对CVE-2017-11774的观察结果是正确的，那么这就可以说明Shamoon袭击者如何能够妥协他们的目标。人们高度推测是否涉及到鱼叉式钓鱼，但并未公布有关初始载体的大量信息。“自2018年以来，伊朗相关的威胁行为者使用了CVE-2017-11774漏洞，一些攻击归因于APT33网络间谍组。12月下旬，专家观察到针对网络服务器的威胁行为者并利用CVE-2017-11774来感染他们的用户。“一旦攻击者拥有合法的凭据，他们就会识别出不受多因素身份验证保护的可公开访问的Outlook Web Access（OWA）或Office 365。该对手利用窃取的凭据和像RULER这样的工具通过Exchange的合法功能提供[CVE-2017-11774]漏洞利用，“FireEye在12月发布的一份报告中说。“SensePost的RULER是一种工具，旨在通过消息传递应用程序编程接口（MAPI）与远程过程调用（RPC）通过HTTP协议与Exchange服务器进行交互。”

在2018年12月的同一时期，Shamoon恶意软件（即DistTrack）的新版本从意大利上传到VirusTotal。Shamoon wiper的第二个样本于12月13日从荷兰上传至Virus total，而Shamoon 3的第三个样本于12月23日上载至France的VirusTotal。根据Levene的说法，在野外袭击中利用CVE-2017-11774可以让我们看到APT33 / Shamoon感染背后的攻击链。截至6月底，美国国土安全部CISA机构警告说，伊朗增加了网络活动，旨在通过密码喷射，凭证填充和鱼叉式网络钓鱼来传播数据，以消除恶意软件。

4

六家中国组织拥有29个VPN服务

>>>>信源：bleepingcomputer

对隐私和安全研究公司VPNpro进行的世界顶级VPN服务的分析显示，排名前97的VPN服务仅由23家母公司所有。据VPNpro称，在这些母公司中，有6家位于中国，这些公司的信息往往对消费者隐藏。这六家公司共同提供全球29项VPN服务，但研究人员能够通过公司列表，地理位置数据，员工简历和其他文档将所有权信息拼凑在一起。

“OpenVPN在美国注册成立，他们以自己的透明度为傲，他们的开源协议是几乎所有其他提供商使用的事实标准，”OpenVPN首席执行官Francis Dinha说。“这份新报告揭露了近三分之一的中国母公司所拥有的顶级VPN提供商，这令人非常震惊，因为这使得这些公司的服务非常不安全。如果您使用其中一个VPN，中国可以使用您的设备存储危险内容并启动恶意接触。“

使用中国公司Innovative Connecting的例子，VPNpro拥有三个生产VPN应用程序的业务，VPNpro解释说，通常情况是多个VPN的所有权在各个子公司之间共享。Innovative Connecting的产品共有十种VPN产品，还包括VPN应用程序Autumn Breeze 2018，Lemon Cove和All Connected。“我们并没有指责这些公司做任何事情。但是，我们担心有这么多VPN提供商对谁拥有它们以及它们所在的位置并不完全透明。VPNpro的研究分析师Laura Kornelija Inamedinova表示，许多VPN用户会惊讶地发现，中国和巴基斯坦等国政府可以合法地要求他们持有的数据。“我们的建议是，人们对他们想要使用的VPN进行大量的尽职调查，因为他们并非都是平等的，只是使用VPN并不能保证隐私或安全。”此外，VPNpro还指出，Super VPN＆Free Proxy，Giga Studios，Sarah Hawken和Fifa VPN的原产公司，共有10家VPN服务的四家公司完全被隐藏起来。

5

Lake City IT总监因Ransomware攻击被解雇
>>>>信源：securityweek

据市政经理Joe Helfenberg称，佛罗里达州莱克城市议会的IT主管在勒索软件攻击导致该城市“关闭”三周后被解雇。上周布莱恩霍金斯的立场在袭击事件发生后被终止，导致该市支付了460,000美元的比特币。

这次被称为“三重威胁”攻击的攻击禁用了城市服务器，电话和电子邮件。三周前，在线系统遭到攻击，城市同意了所要求的赎金。它已批准佛罗里达州城市联盟保险公司支付当时价值460,000美元的42比特币。但是，该城市为解密密钥支付了10,000美元的免赔额，以恢复他们的在线系统。经证实，这导致一名IT成员被解雇，但尚未明确确认原因。“我们的城市经理确实决定终止一名员工，他正在改造我们整个IT部门，以遵守我们需要能够克服上周左右发生的事情，这样就不会再发生了， “湖城市市长斯蒂芬威特告诉WCJB。

根据Lake City官员的说法，调查正在进行中，但市长并不乐观地认为攻击者会被追踪：“因为他们使用比特币来收取这笔钱，比特币一旦你支付这笔赎金就无法追踪，这不是就像当局可以追捕这些人一样，其中很多人来自东部集团国家或非引渡国家，所以即使我们知道他们是谁，我们也无法得到他们。“据WCJB称，Helfenberg将在周一晚上的市议会会议上更新市议会关于其加密文件的恢复情况。在那里，人们同意纽约市将支付赎金。据市长威特称，湖城警察局和佛罗里达州执法部正在调查此案。在美国其他城市遭受勒索软件攻击之后，FBI也在进行更广泛的调查。

声明
本文内容由国外媒体发布，不代表聚锋实验室立场和观点。