首頁 > 安全研究 > 安全通報 > 安全簡訊

新型DoubleClickjacking漏洞可繞過網站的點擊劫持保護

發布時間 2025-01-03

1. 新型DoubleClickjacking漏洞可繞過網站的點擊劫持保護


1月1日,安全專家揭示了一種新型漏洞DoubleClickjacking,這是一種普遍存在的基于時間的漏洞,通過利用雙擊操作推動點擊劫持攻擊,幾乎影響所有大型網站。該漏洞由安全研究員Paulos Yibelo命名,它利用雙擊序列而非單一點擊,能繞過現有點擊劫持防護措施,如X-Frame-Options和SameSite cookie。DoubleClickjacking攻擊中,攻擊者控制的網站會誘導用戶雙擊看似無害的元素,如CAPTCHA驗證,期間利用JavaScript悄悄重定向至惡意頁面,如批準惡意的OAuth應用程序,同時關閉頂層窗口,使用戶在不知情下授予訪問權限。Yibelo指出,大多數Web應用程序和框架未考慮雙擊風險,現有防御措施無效。網站所有者可通過客戶端手段消除漏洞,如默認禁用關鍵按鈕,在檢測到鼠標手勢時激活。長遠來看,瀏覽器供應商應采納新標準防御雙擊利用。DoubleClickjacking是點擊劫持攻擊的變種,利用點擊間的時間差無縫替換良性UI元素為敏感元素。


https://thehackernews.com/2025/01/new-doubleclickjacking-exploit-bypasses.html


2. Brain Cipher勒索軟件團伙泄露羅德島RIBridges平臺數據


1月2日,Brain Cipher 勒索軟件團伙近期開始泄露在攻擊羅德島“RIBridges”社交服務平臺時竊取的文件。RIBridges是一個綜合資格系統,用于管理和提供包括醫療保健、食品援助、兒童保育等社會援助計劃。羅德島州于12月5日首次得知系統遭到攻擊,但直到12月10日才確認數據可能已被竊取。12月13日,系統供應商德勤確認存在惡意代碼,州政府隨即指示關閉RIBridges系統。上周,Brain Cipher開始在其數據泄露網站上發布部分被盜數據,包括成年人和未成年人的個人數據。網絡安全研究員Connor Goodwolf下載了這些數據并證實了其真實性。據估計,約有65萬人受到此次攻擊的影響,他們的敏感信息如姓名、地址、出生日期、社會安全號碼和某些銀行信息可能已被泄露。州政府官員建議羅德島居民凍結并監控其信用,以防欺詐活動,并警惕利用被盜數據進行網絡釣魚詐騙。


https://www.bleepingcomputer.com/news/security/ransomware-gang-leaks-data-stolen-in-rhode-islands-ribridges-breach/


3. 日本移動運營商NTT Docomo遭DDoS攻擊導致部分服務中斷


1月2日,日本最大的移動運營商NTT Docomo遭遇分布式拒絕服務(DDoS)攻擊,導致部分服務暫時中斷,包括新聞網站、視頻流媒體平臺、移動支付和網絡郵件服務以及高爾夫愛好者網站等。該公司在聲明中確認了此次攻擊,并表示正在努力恢復服務,大多數服務的訪問已恢復,但部分內容更新可能延遲。NTT Docomo未將此事件歸咎于任何特定的威脅行為者,但值得注意的是,該公司在2023年已成為Ransomed.vc團伙勒索軟件攻擊的受害者。最近幾個月,日本多家公司也遭受了網絡攻擊,包括日本航空、三井住友海上保險公司、角川、卡西歐等知名企業,以及電動機制造商Nidec、汽車零部件制造商Yorozu和研發機構Monohakobi等。此外,日本主要金融機構如三菱日聯銀行、里索納銀行和瑞穗銀行的網上銀行服務也因涉嫌網絡攻擊而中斷。


https://therecord.media/ntt-docomo-japan-mobile-carrier-ddos-incident


4. 超三百萬郵件服務器未加密,易受網絡嗅探攻擊


1月2日,目前互聯網上存在超過三百萬個未采用TLS加密的POP3和IMAP郵件服務器,這些服務器容易遭受網絡嗅探攻擊。IMAP和POP3是訪問電子郵件的兩種方法,其中IMAP建議用于多設備同步,而POP3則下載郵件到本地設備。當TLS加密未啟用時,郵件內容和憑據將以明文形式發送,增加了被攻擊的風險。ShadowServer安全威脅監控平臺的掃描顯示,這些未加密的郵件服務器暴露了用戶名和密碼,使其易受攻擊。ShadowServer正在通知相關運營商啟用TLS支持,以保護用戶數據。此外,隨著TLS協議的不斷發展,不安全的TLS 1.0和TLS 1.1協議已被淘汰,現代操作系統默認啟用更安全的TLS 1.3版本。美國國家安全局也提供了替換過時TLS協議配置的指導,以防止攻擊者利用這些配置訪問敏感數據。


https://www.bleepingcomputer.com/news/security/over-3-million-mail-servers-without-encryption-exposed-to-sniffing-attacks/


5. RansomHub聲稱入侵大都會人壽,保險巨頭否認


12月31日,RansomHub組織聲稱在新年前夕入侵了全球最大保險、年金和員工福利計劃提供商之一的大都會人壽保險公司(MetLife),并在其暗網博客上發布了攻擊信息,聲稱竊取了1TB敏感數據。然而,大都會人壽否認發生勒索軟件攻擊,僅確認其子公司Fondo Genesis在厄瓜多爾遭遇網絡事件,且與企業系統分開運營。RansomHub發布的樣本文件多為西班牙語,據推測來自大都會人壽拉丁美洲分部。大都會人壽在全球115個國家為超過1億客戶提供服務,其中包括1000萬美國以外地區客戶。此外,根據以色列網絡安全公司Hudson Rock 11 月份的報告,一名黑客泄露了近60萬條據稱屬于大都會人壽的數據記錄,研究人員懷疑這與 MOVEit 漏洞有關,但大都會人壽否認與Cl0p勒索軟件組織的MOVEit黑客攻擊有關。


https://cybernews.com/news/metlife-latin-america-claimed-by-ransomhub-group/


6. 以太坊開發人員遭遇利用惡意npm包的復雜供應鏈攻擊


1月2日,據Socket研究團隊披露,以太坊開發人員已成為復雜供應鏈攻擊的目標,攻擊者利用人們對開源生態系統的信任,在npm生態系統中發布了至少20個惡意Hardhat插件,這些插件名稱與合法軟件包和組織相似,例如@nomisfoundation/hardhat-configure和hardhat-deploy-others,其中一位作者的下載量超過1,000次。這些惡意軟件包聲稱可以增強工作流程,實則秘密竊取受感染的開發環境中的敏感數據,如助記符和私鑰等。攻擊者采用多層次策略,包括從Hardhat運行環境中提取關鍵信息,使用AES密鑰加密數據并傳輸到攻擊者控制的端點,以及利用以太坊智能合約動態檢索命令與控制(C2)服務器地址,實現C2基礎設施的去中心化和不可篡改特性,增加了破壞難度。此次活動給以太坊開發社區帶來了重大風險,強調了開源生態系統中的安全問題。


https://securityonline.info/supply-chain-attack-on-ethereum-developers-via-malicious-npm-packages/

上一篇 下一篇