0
| 本文作者: 謝幺 | 2017-02-11 12:22 |
本周關鍵詞
▼
Wordpress 漏洞 | Windows10 藍屏
macOS 惡意軟件 | 女黑客被無故扣污名
有些漏洞,明明已經修復了,卻依然造成不小影響;有的漏洞,明明能造成不小影響,有人卻遲遲不去修復。
前不久,雷鋒網報道過博客管理系統 WordPress 在4.7.1 版本存在一個嚴重漏洞,導致攻擊者可以在沒有密碼登錄的情況下強行修改網站的文章內容。在該篇報道之前,WordPress 團隊已經發布了4.7.2版本,修復了該漏洞。雷鋒網當時也提醒:有相當一部分網站沒有開啟自動更新,考慮到 WordPress 的使用者甚多,受影響的網站數量依然不容小覷。
果不其然,安全公司 Sucuri 披露:”自上周一該漏洞細節公開后,攻擊范圍不斷擴大,最近每天趨于3000次。超過67,000的網站內容已經被篡改。” 攻擊狀況呈現這樣的趨勢:
攻擊者精心構造一個向目標站點REST API發起的HTTP請求,可以修改文章的標題和內容。也就是說可以在你的網站上掛上他們的文字和圖片,比如賭博網站的廣告,以及一些羞羞的內容。
據雷鋒網了解,在發動攻擊的團伙中有一個叫“w4l3XzY3”的,因此你通過Google搜索"by w4l3XzY3",就可以瀏覽一些被他們攻擊過的站點。
這是一個漏洞雖已被修復,但仍造成大規模影響的例子。相反的是,最近微軟被爆出來一個“人人都可以把電腦玩兒藍屏”的漏洞,漏洞爆出來好幾個月,微軟卻依然不緊不慢,非要按部就班等到2月14號才發布補丁。
早在 2016 年 9 月 25 日,安全專家 Laurent Gaffie 就發現了一個 Windows Server 的嚴重安全漏洞,但是在其向微軟發出警告以后,微軟卻遲遲沒有任何動作。這可把 Laurent 惹怒了,于是他在網上大肆公布該漏洞的細節,并發出抗議表示:微軟你看不起本黑客提交的漏洞?
然而微軟真的很淡定地表示:“在我們的安全政策中,對于低風險的問題修復,將安排在下周二(即2月14日)。” 言外之意就是該漏洞確實很“低風險”不足為懼。
然而據外媒報道,攻擊者可以利用該漏洞遠程將受害者的 Win10 電腦置于藍屏,雷鋒網也實測成功(演示視頻見于雷鋒網報道:《人人都可以把 Windows 玩藍屏的漏洞,微軟為什么不急著修復?》)。
那么為什么微軟不發布緊急更新,而要等到2月14號再發布呢?雷鋒網與 2016 年微軟 MSRC Top 100 榜單上貢獻度排行第 8 的百度安全實驗室的資深安全工程師黃正取得了聯系,他表示:
如果是微軟的遠程代碼執行的 0day 漏洞被公開,微軟應該會出緊急補丁,微軟甚至會為 Adobe Flash 的 0day 漏洞推送緊急補丁,CVE-2017-0016 這個漏洞的攻擊效果是遠程藍屏,我想微軟評估危害沒有那么大,所以不推緊急補丁,這個漏洞對普通網民影響是很小的,因為445、139端口默認是被防火墻保護起來的。
也就是說,微軟認為該漏洞只是造成藍屏,因此影響不太大,要等到定期發布更新時間在一并推出補丁。
上周除了 Windows ,蘋果電腦的macOS 也出現了不大不小“幺蛾子”,值得讀者們警惕。
新款 macOS 惡意軟件耍起了 Windows 平臺的“老伎倆”
外媒稱,研究人員發現了兩款新型 macOS 病毒,其利用了 Word 文檔的“宏”(macro)功能來隱藏和執行惡意代碼,一個不留神,它們就會在你的筆記本上扎根和竊取數據。這些都是曾經在 Windows 平臺上耍過的“老伎倆”。
攻擊者會引誘粗心的用戶打開已被感染的 Word 文檔,惡意軟件會在加載惡意宏文件后被立即執行。
萬幸的是,識別這些受感染文件并不困難,因為它們的“打開方式”畫風很不一樣 —— 雖然系統會彈出許可請求,但只要在這一步剎住車,就可以阻止惡意軟件的傳播。
但是萬一,你還是“手滑”點擊了“運行”,那么接下來的事情就無法控制了。攻擊者可以在背后監視你、調取你的瀏覽器歷史記錄、或者啟動繼發感染(下載額外的惡意軟件)。
相較于這個老伎倆,另一款惡意軟件“更加先進”。它并沒有利用 Word 文檔作為載體,而是偽裝成一款合法的應用程序。
該病毒會提示用戶下載并安裝一個虛假的軟件更新,然后開始竊取用戶的 Keychain,通過釣魚手段騙得用戶名和密碼(以及其它憑證),最終將數據傳回給攻擊者。
對于 macOS 用戶來說,避免此類攻擊的最佳方式,就是慎從第三方或不被信任的網站下載軟件,而是直接前往蘋果 App Store、或者應用程序制作者的官方網站。否則你就要有一雙能識破黑客伎倆的慧眼,畢竟“藝高人膽大”嘛。
最近國內一位女黑客火了,倒不是因為技術有多高,而是因為一年不洗澡,還倒賣銀行卡被抓,我想這可能是女黑客形象被黑得最慘的一次,而且中間還出現了一個插曲。
據南方網報道,女黑客曾某儀年僅22,卻像40多歲的婦女,她在網上結識了一幫盜刷銀行卡的人,于是她開始窩在房間里,每天瘋狂地加QQ群,到處搜索銀行卡信息,再把這些信息賣給專門盜刷銀行卡的人。
落網當天,辦案民警發現她的房間簡直就是一個垃圾場,床上堆著臟兮兮衣服;地上是快餐盒、易拉罐。而她的電腦里發現了包含有“四大件”的銀行卡信息50多萬條。
女黑客本人將近1米7的個子,頭發一把一把地粘在一起,凌亂地披散著。民警伸手拉她,一拉就是一手死皮。其家人說,她已一年沒出門,一年沒洗澡,她也不許家人進她的房間,平時吃飯由家人將飯送到房間門口。據報道,生活上一塌糊涂的曾某儀,在網上幾乎無所不能,從技校畢業后網上自學成為一個黑客,除了賣銀行卡信息,還做走私車買賣中介。
一位多奇趣的美女,一位會照顧人的姐姐,一位搞管理的黑客,一位懂技術的總監。一夜之間卻和“一年不洗澡不出門,瘋狂竊取別人信息的女‘黑’客”的人牽扯到一起,這讓了解她的圈內朋友都感覺無法接受和憤慨。
雖然該門戶網很快被下發了侵權通知書,然后當天下午刪除了相關照片,但依然對其形象造成了不小的影響。孫薇對自己“無故躺槍”表示有些無奈,她說:“這個一年不洗澡女黑客新聞事件里的女主角,其實最多只能算“黑產業鏈”的一分子,連黑帽都算不上的,而把這樣的人冠以‘黑客’,我個人覺得不是很貼切。”
此前采訪過孫薇,配圖被誤用的媒體“安在”也表示,對于此次事件將繼續追溯到底,以還網絡安全從業群體之清白。
宅客頻道對此表示,不要對安全從業者、黑客群體有什么不好的刻板印象,其實很多男黑客都是帥氣逼人又有才華又有錢的高富帥,女黑客也有不少身嬌體柔、溫文爾雅的大美女,不信你去看看雷鋒網宅客頻道的黑客報道。
雷峰網原創文章,未經授權禁止轉載。詳情見轉載須知。
