网络安全头条 - 网安 - 专业的网络安全产业、社区、知识平台

1、消灭0Day?Google Project Zero呼吁Android加快修复漏洞

Google Project Zero安全团队想要消灭0day，它采用的一种方法是公开督促企业加快修复漏洞，其中包括Google 自己。

在最新的官方博客中，它批评了Android和Pixel团队。今年6月，Project Zero研究员Maddie Stone报告了一个位于ARM GPU驱动中正被利用的提权漏洞，另一位研究员Jann Horn接下来三周在驱动中发现了多个相关漏洞，这些漏洞允许攻击者获得系统的完整访问权限，绕过Android的权限模型。他们向ARM报告了漏洞，ARM在7月和8月修复了漏洞并公布相关源代码，然而Android至今没有给用户打上补丁。这一次掉链子的是Google和Android OEM。高通使用了自己的GPU，但Google的Tensor SoC使用了ARM GPU，三星和联发科也都使用了ARM GPU，这意味着受影响的设备数量多达数百万部。Google接受采访时表示它正在测试补丁，将会在未来几周释出。

2、宏碁电脑存在驱动程序漏洞启动过程中可部署恶意软件

近日，Acer发布安全公告，修复了某些Acer笔记本电脑型号中的一个安全绕过漏洞（CVE-2022-4020），该漏洞的CVSSv3评分为8.1。

该漏洞存在于某些Acer笔记本设备上的HQSwSmiDxe DXE 驱动程序中，可能导致高权限恶意用户通过修改BootOrderSecureBootDisable NVRAM变量来修改/禁用UEFI安全启动设置，实现劫持操作系统加载过程并加载未签名的引导加载程序以绕过或禁用保护，并使用系统权限部署恶意Payload等。

目前该漏洞已经修复，受影响用户可将BIOS 更新到最新版本以修复此漏洞。

3、安全团队发现Crysis勒索软件变种Wiki在韩国活动

AhnLab于11月25日披露了勒索软件Wiki在韩国的活动。

该勒索软件已被确定为Crysis的变种，伪装成正常程序。在执行实际加密之前，Wiki将自己复制到%AppData%或%windir% system32路径，并添加到注册表中注册为启动程序之一。此外，它还会解码要在内存中终止的与数据库相关的服务和进程名称，并查找当前正在运行的服务和进程并终止它们。由于Crysis类型的勒索软件通常通过RDP分发，研究人员建议注意RDP连接环境。

4、北约举行年度“网络联盟”演习

北约28日起举行一年一度的”网络联盟”演习(Cyber Coalition)，芬兰、瑞典、日本等国以”北约伙伴国”身份派人参加。

据北约当日发布的公告，此次”网络联盟”演习为期5天，至12月2日结束；北约26个成员国、6个伙伴国(芬兰、瑞典、爱尔兰、瑞士、日本、格鲁吉亚)以及欧盟共派出约1000人参加，另有业界和学术界人士。

公告称演习在爱沙尼亚首都塔林举行，参演国家首都和其它地点会有人远程连线；演习期间主要演练如何应对现实网络挑战，如针对电网、项目、北约及成员国资产的网络攻击等，意在提高北约网络防御和网络空间”共同作战”能力。

作为北约机制性网络演习，”网络联盟”演习自2008年开始举行，具有测试性、实战性等特点，与具有培训性、对抗性等特点的”锁盾”演习(Locked Shields)互为补充，并称北约两大网络演习。

目前网络空间与陆海空和太空一道，已成北约作战领域，网络攻击亦可触发北约”集体防御”，为此北约专门成立网络空间行动中心，部署全天候待命的”网络防御快速反应团队”。

北约28日的公告称，网络防御现为北约”集体防御”核心任务之一；在今年6月召开的北约马德里峰会上，北约成员国承诺进一步增强网络防御能力，深化与业界及欧盟等主要利益相关方的合作

5、安全专家披露亚马逊网络服务AWS AppSync漏洞

日前，Amazon Web Services (AWS) 修复了一个跨租户漏洞，该漏洞可能允许攻击者获得对资源的未授权访问。

亚马逊网络服务 (AWS) 解决了其平台中的跨租户混淆代理问题，该问题可能允许威胁行为者获得对资源的未授权访问。Datadog 的研究人员于 2022年9月1日向公司报告了该问题，并于9月6日修复了该漏洞。

当无权执行某项操作的实体可以强制具有更高权限的实体执行该操作时，就会出现混淆代理问题。如果所有者向第三方（称为跨账户）或其他 AWS 服务（称为跨服务）提供对您账户中资源的访问权限，AWS 会提供工具来保护账户。

亚马逊调查了在野外攻击中对该问题的潜在利用，并确定没有客户受到影响。

6、Group-IB研究显示：世界杯球迷正在遭遇网络诈骗浪潮

网络安全公司Group-IB收集的数据显示，随着卡塔尔世界杯进入第二周，国际足联世界杯的诈骗活动正在激增。

研究人员已经确认了多达90个可能被入侵的Hayya账户。Hayya是世界杯观众进入卡塔尔、购买门票和交通等其他服务的强制系统。他们还在谷歌Play Store中发现了大约40个虚假应用程序，承诺可以获得门票，以及至少5个自称是求职申请表的网站，用于获取个人信息。该公司与国际刑警组织分享了调查结果，并与卡塔尔计算机应急响应小组达成合作。