一年一度的黑帽和DefCon安全会议在拉斯维加斯结束后,更多的表示感兴趣的CISO。在我们早些时候对其中的几个进行了综述之后,这里有更多的亮点:
谷歌Android平台安全负责人尼克·克拉列维奇(Nick Kralevich)谈到了该公司努力让Android更加安全。“我的工作是把攻击面缩小到一定的程度,即使有虫子,那些虫子也没有任何意义,”他被威胁邮报引用说。
这包括确保应用程序只能做它想做的事情,最小化暴露的表面,并包含Android内部的进程,并遵循最小特权原则。
该报告称,长期以来,谷歌专注于利用fstack-protector和ASLR等缓解措施,并防止格式化字符串漏洞。但史蒂芬·斯莫利(Stephen Smalley)的《安全增强型Android案例》(The Case for Security Enhanced Android)的出版,指出Android的几个组件很容易受到近半打扎根漏洞的攻击,改变了公司的战略。克拉列维奇说,这让他意识到,需要把重点放在减少Android攻击表面上,而不是利用缓解。
在100万Gmail用户被谷歌Docs网络钓鱼骗局蛰伤四周后,谷歌表示,已经增加了......
他说,今天,每个Android进程都运行在一个具有最低权限的沙箱中。
他说,到目前为止,即将推出的OS版本被称为Android O,通过将三星或高通等公司使用的硬件驱动程序和固件与Android操作系统分开,进一步遏制了这一趋势。这将使谷歌能够推出操作系统补丁,而不必等待芯片组兼容性等事情。
您可能还记得WannaCry Ransomware蠕虫上个月的传播,其中包括用Micros of tServer消息块(SBM)v1在端口445上打开的文件共享的系统的代码thatscans网络。虽然这种漏洞——美国国家安全局发现并被影子经纪人泄露了——在5月份被微软修补过,但那些没有安装补丁的公司是脆弱的。
当Infosec的专业人员从WannaCry Ransomware攻击中恢复过来时,大约30万台Windows机器在周围瘫痪了。
在DefCon会议上,安全供应商RiskSense演示了另一个SMB漏洞,它使用bug启动分布式拒绝服务(D DoS)攻击。一位研究人员告诉Threat Post,该漏洞影响到SMB协议的每一个版本,以及Windows2000年的每一个版本。
研究人员说,一台基于RaspberryPI平台和一些Python代码的单板机可以击落最大的Web服务器。从理论上讲,这意味着没有必要使用僵尸网络进行分布式攻击。然而,微软已经告诉RiskSense,它不会发布补丁。“这个案子没有严重的安全影响,我们不打算用安全更新来解决这个问题,”微软的一位发言人告诉威胁邮报。“对于可能关注的企业客户,我们建议他们考虑阻止从互联网接入SMBv1。
RiskSense研究人员承认,这将是很难修补的,并建议通过内联设备,包括防火墙,可以通过限制从单个IP地址到SMB端口的活动连接的数量来应用缓解措施。
用于安全访问的RFID徽章在许多组织中很常见。但同时也是渗透测试公司Lares Consulting工程师的休斯顿地区黑客匿名组织创始人丹尼斯·马尔多纳多(Dennis Maldonado)在DefCon上证明了克隆徽章的可能性。他的设备允许攻击者从大约两英尺的距离远程扫描一张卡,然后将数据发送到30英尺外的克隆机,然后自动写入新卡。这个故事是由Mashable.com承载的。
回到黑帽,专门从事工业控制系统(ICS)安全的ESET和DragosInc.的研究人员分析了最近对被称为Industroyer的乌克兰电网的攻击。
TechTarget的一篇新闻报道称:“好消息是,恶意软件可能不经修改就在北美行不通,即便如此,也不会引发大范围停电和严重的基础设施故障。
“然而,坏消息是,Industroyer恶意软件显示了针对工业控制系统的网络攻击的贸易手段的相当大的演变,以及明显的通过瞄准甚至破坏关键基础设施来跨越假想线的意愿。
2015年乌克兰几家电力配送公司工业控制系统遭到网络攻击,导致电力中断......
据报道,该恶意软件旨在攻击特定的ICSES,以利用西门子ICS产品的漏洞。西门子用固件更新修补了缺陷,但Industroyer伪装成Windows记事本的“木马化”版本,它在目标系统中取代了它,不仅有一个主后门,而且如果主门已经被减轻,它可以激活一个辅助后门。它还破坏了反应和恢复努力。
其中一位发言者明确表示,信息安全专业人员的教训是,攻击者没有发现零天错误;他们花时间了解了乌克兰的具体ICSES、通信协议和能源电网操作,以构建攻击。
