国际资讯

影响所有Windows版本远程桌面（RDP）应用的CredSSP漏洞分析

在3月13号的微软补丁日中，由Preempt团队发现的Windows凭据安全支持提供协议（CredSSP）高危漏洞CVE-2018-0886被修复，该漏洞为逻辑远程代码执行（RCE）漏洞，几乎所有版本Windows操作系统都受其影响，它类似于经典的中继攻击，但其不同之处在于：它与RSA加密和质数相关，比较有意思。

漏洞介绍

CredSSP应用于微软远程桌面RDP和远程管理WinRM（包括Powershell会话）中，用于处理其他应用程序身份验证请求的安全提供程序，该漏洞主要原因在于CredSSP中存在一个设计缺陷，具有完整中间人控制权的攻击者可以利用该漏洞，冒充合法用户在目标服务器上执行任意代码或窃取数据。

Preempt已在域环境的RDP条件下成功复现了该漏洞攻击，如果用户是目标系统中的本地管理员，攻击将会以系统权限执行任意代码，能进一步对目标系统造成安全威胁。攻击在受限管理员模式和正常RDP模式下都能有效实现。

由于RDP会话非常普遍，所以对攻击者来说该漏洞非常极具价值。另外，因为它是一种设计缺陷，所以只要未作修复的Windows版本系统，都仍存在该漏洞（修复措施参考链接）。

参考链接：http://www.freebuf.com/vuls/166537.html

芬兰的第三大数据泄露暴露了130,000个用户的明文密码

据当地媒体报道，超过13万名芬兰公民的证件遭到了破坏，这是该国有史以来第三大数据泄露事件。

芬兰通信管理局（FICORA）警告用户在赫尔辛基新商务中心（“Helsingin Uusyrityskeskus”）维护的网站上存在大规模数据泄露事件，该公司向企业家提供商业建议并帮助他们制定正确的商业计划。

未知的攻击者设法破解了该网（http://liiketoimintasuunnitelma.com），并窃取了超过130,000名用户的登录用户名和密码，这些用户名和密码以纯文本形式存储在网站中，而不使用任何加密哈希。

该公司还确保将其客户的详细信息存储在不受数据泄露影响的不同系统上。

这起事件已经向赫尔辛基警方报告，赫尔辛基警方目前正在调查此案是否为严重欺诈。

一旦网站返回，强烈建议拥有受影响网站帐户的用户更改其密码。

参考链接：https://thehackernews.com/2018/04/helsingin-uusyrityskeskus-hack.html

俄罗斯在应用程序拒绝将加密密钥交给外频后，禁止电报禁止

所有这一切都源于俄罗斯主要情报部门FSB以前曾要求访问电报加密密钥，因此它可以访问通过应用程序发送的加密邮件。电报拒绝提供帮助，FSB以国家安全和该机构打击恐怖主义为由，提起诉讼以获取这些加密密钥。

所有法庭判决均支持俄罗斯国家，上个月俄罗斯最高法院作出最终裁决，该裁决规定，电报公司必须在没有法院命令的情况下将用户的加密密钥交给FSB代理人，无论何时代理人来电。

伦敦注册企业Telegram通过其律师回应说，它没有这样的计划。为了应对俄罗斯的压力，Telegram 在欧洲人权法院（ECHR）对俄罗斯政府提起了诉讼。

参考链接：https://www.anquanke.com/post/id/103772

黑客事件

思科智能安装协议遭到滥用，数十万关键基础设施倍感压力

外媒 4 月 6 日消息，思科发布安全公告称其智能安装（SMI）协议遭到滥用，数十万设备在线暴露。目前一些研究人员已经报告了用于智能安装客户端（也称为集成分支客户端（IBC））的智能安装协议可能会允许未经身份验证的远程攻击者更改启动配置文件并强制重新加载设备，在设备上加载新的 IOS 映像，以及在运行 Cisco IOS 和 IOS XE 软件的交换机上执行高权限 CLI 命令。

根据思科的说法，他们发现试图检测设备的互联网扫描量大幅增加，因为这些设备在完成安装后，其智能安装功能仍处于启用状态，并且没有适当的安全控制，以至于很可能容易让相关设备误用该功能。思科不认为这是 Cisco IOS，IOS XE 或智能安装功能本身中的漏洞，而是由于不要求通过设计进行身份验证的智能安装协议造成的。思科表示已经更新了“ 智能安装配置指南”，其中包含有关在客户基础设施中部署思科智能安装功能的最佳安全方案。

在 3 月底，思科修补了其 IOS 软件中的 30 多个漏洞，包括影响 Cisco IOS 软件和 Cisco IOS XE 软件智能安装功能的 CVE-2018-0171 漏洞。未经身份验证的远程攻击者可利用此漏洞重新加载易受攻击的设备或在受影响的设备上执行任意代码。

思科发布的安全公告显示该漏洞是由于分组数据验证不当造成的，攻击者可以通过向 TCP 端口 4786 上的受影响设备发送制作好的智能安装（SMI）协议来利用此漏洞。

目前专家已经确定了约 250,000 个具有 TCP 端口 4786 的易受攻击的思科设备。思科最近进行的一次扫描发现，有 168,000 个系统在线暴露。

参考链接：http://hackernews.cc/archives/22291

新落成的亚甘广场电子屏被入侵：显示 PornHub 网站内容

耗时两年多时间，西澳大利亚州政府斥资 7350 万澳元（3.56 亿人民币）建成了亚甘广场（Yagan Square）。作为珀斯市（Perth）的市中心，该广场于上个月正式对外开放。然而令人尴尬的是，当地时间本周四，多名黑客成功入侵亚甘广场的两块电子广告牌，并换上了色情网站 PornHub 的页面信心。

当天黑客在 Twitter 上分享了这起“恶作剧”，随后这两块广告牌被迅速关闭。在接受美国广播公司采访时候，该市的大都会重建局表示：“亚甘广场有两块可触控的寻路指示牌，分别设立在威廉街购物中心的两个入口。不幸的是，今天这两块屏幕似乎已经被攻破，并且在短时间内显示了一些不恰当的内容。两块屏幕被迅速切断电源，我们将努力确保不再有同类事情发生。”

参考链接：http://hackernews.cc/archives/22286

非法入侵选号系统倒卖车牌大案：涉案黑客三年买下上海两套房

为何尾号666、888、999的靓号车牌拼了老命也抢不到？难道选号有什么猫腻？

你想不到的是，“黑客”入侵互联网预选号牌系统，就能把各种靓号车牌“秒杀”了，然后以数万元不等的价格卖给车主，非法牟取暴利。这不是电影《黑客帝国》里的情节，事情真实发生在四川、北京、山东、江苏、广西等地。

4月2日，成都商报记者从凉山警方获悉，德昌县公安局破获一起“非法侵入计算机信息系统”案。这是全国最大的一起“黑客”非法入侵互联网选号系统倒卖车牌号牟利案，该案涉及全国24个省份，抓获犯罪嫌疑人56人，是凉山公安开展“净网2018”专项行动以来，破获的最大一起黑客入侵计算机信息系统案。

该团伙利用黑客技术盗取全国1500万副车牌号资源，帮助买家车主“秒杀”想要的号码，垄断靓号车牌资源获取暴利，严重扰乱了全国交警部门对车牌的发放和管理秩序。随着该犯罪团伙的落网，倒卖汽车号牌的这一现象得到有效遏制。“这起案件发生后，网络选号系统已经进行了升级，安全性得到大幅度增强。”警方表示，车牌号禁止买卖，倒卖车牌靓号的行为违法，提醒群众选取车牌号时，应该通过正规途径得到，以免上当受骗。此外，这种非法途径所购买到的车牌号，经查实后将予以注销，车主或被列入黑名单，严重的将依法追究其法律责任。

参考链接：http://www.youxia.org/2018/04/37529.html

（来源：云天安全搜集整理互联网安全资讯）