首頁 > 安全研究 > 安全通報 > 安全簡訊

研究人員發現可繞過Windows Hello登錄的安全漏洞

發布時間 2023-11-24
1、研究人員發現可繞過Windows Hello登錄的安全漏洞


據媒體11月22日報道,研究人員發現了多個漏洞,可用來繞過Dell Inspiron 15、Lenovo ThinkPad T14和Microsoft Surface Pro X筆記本電腦上的Windows Hello身份驗證。所有測試的指紋傳感器都是Match-on-Chip (MoC)傳感器,雖然MoC傳感器可以阻止將存儲的指紋數據重放到主機進行匹配,但它們本身并不能阻止惡意傳感器模仿合法傳感器與主機進行通信。這可能會錯誤地顯示用戶身份驗證成功,或重放之前的主機和傳感器之間的流量。為此,微軟開發了安全設備連接協議(SDCP),但研究人員還是利用MiTM攻擊成功繞過了Windows Hello身份驗證。


https://thehackernews.com/2023/11/new-flaws-in-fingerprint-sensors-let.html


2、韓國IT公司TmaxSoft配置錯誤超過5000萬條記錄泄露


據11月22日報道,韓國IT公司TmaxSoft約2TB的數據已公開超過兩年。研究人員早在今年1月就發現了一個暴露的Kibana控制面板,并指出這組數據于2021年6月首次被發現。數據庫總共有超過5600萬條記錄,包括員工姓名和電話、雇傭合同號、發送的附件和二進制文件的元數據等。不幸的是,該公司尚未對此事做出回復,并且包含大量數據的控制面板仍然處于公開狀態。


https://securityaffairs.com/154567/data-breach/tmaxsoft-leaks-2tb-of-data.html


3、微軟披露Diamond Sleet利用CyberLink的供應鏈攻擊


微軟在11月22日披露了朝鮮黑客團伙Diamond Sleet(ZINC)發起的供應鏈攻擊。研究人員在10月20日觀察到了此次可疑活動,它對中國臺灣多媒體軟件公司CyberLink開發的應用程序進行木馬化。惡意文件使用CyberLink頒發的有效證書進行簽名,托管在該公司擁有的合法的更新基礎設施上。迄今為止,該惡意活動已影響多個國家/地區的100多臺設備,包括日本、中國臺灣、加拿大和美國。


https://www.microsoft.com/en-us/security/blog/2023/11/22/diamond-sleet-supply-chain-compromise-distributes-a-modified-cyberlink-installer/


4、Blender透露持續的DDoS攻擊導致其服務器宕機數日


媒體11月22日稱,Blender透露最近的網站服務中斷是持續的DDoS攻擊導致的。該項目團隊表示,自11月18日以來,blender.org服務器就遭到DDoS攻擊,其服務器因請求過載而宕機。即使在攻擊者暫停攻擊的時候,Blender的基礎設施仍然因大量待處理的合法請求而過載。最終,在經歷了4天的持續中斷后,該團隊將其主網站轉移到了CloudFlare上,這減少攻擊的影響。Blender分享的統計數據顯示,攻擊仍在持續,針對該項目服務器的虛假請求超過2.4億次。


https://www.bleepingcomputer.com/news/security/open-source-blender-project-battling-ddos-attacks-since-saturday/


5、Akamai發布新僵尸網絡InfectedSlurs的分析報告


11月21日,Akamai發布基于Mirai的新僵尸網絡InfectedSlurs的分析報告。InfectedSlurs一直在利用兩個RCE漏洞來感染路由器和錄像機(NVR)設備,研究人員于今年10月發現了該僵尸網絡,并認為它至少從2022年起就一直活躍。它是JenX Mirai的變體,由于在C2域和硬編碼字符串中使用攻擊性語言而得名。其C2基礎設施相對集中,似乎也支持hailBot的運行。該公司沒有透露受影響供應商的名稱,但供應商承諾將于12月發布安全更新。


https://www.akamai.com/blog/security-research/new-rce-botnet-spreads-mirai-via-zero-days


6、Kaspersky發布2024年消費者網絡威脅的預測報告


11月23日,Kaspersky發布了關于2024年消費者網絡威脅態勢的預測報告。研究人員對2024年做出了展望,包括更多慈善相關的詐騙即將來臨、網上商店將與慈善機構的合作、互聯網劃分更細、VPN服務呈上升趨勢、安全性高于用戶舒適度將催生新的安全問題、網絡攻擊者將針對P2E、開發通用的Deepfake檢查工具、語音Deepfake事件增多以及以電影首映為誘餌的騙局增多等。


https://securelist.com/kaspersky-security-bulletin-consumer-threats-2024/111135/

上一篇 下一篇