AURIGA SECURITY, INC.
  • HOME
  • NEWS & EVENTS
  • BLOG
  • Contact Us
  • WE WANT YOU !

The Good, the Bad and the Ugly in Cybersecurity – Week 47

11/23/2020

0 Comments

 
Picture
The Good

還有什麼能比新的安全功能更好? 當然是請求用戶在開發和推出產品時加入他們的需求! 為了提高瀏覽器的安全性和用戶的參與度,Mozilla 本周宣布將最近的 HTTP-over-HTTPS(DoH)功能開放一個公開的“評估期”。

簡單來說呢:DNS 是瀏覽器 “lookup” 域名實際 IP 地址的方法,例如 sentinelone.com。 但是,這些 lookup 是通過各種 gateway 和伺服器在整個網路中傳播的,而完全是未加密的。 這意味著這些點中的每一個都可能 “嗅到” 並干擾查找。 使用DoH(發音為“dough 就像麵團一樣”),DNS 的 "lookup", 通過 HTTPS 於請求的瀏覽器與 DNS resolver 之間進行加密。
Picture
Source: Mozilla
所以這有什麼好不喜歡的? 嗯,或許 ISP 廠商不是挺喜歡,因為這可能會破壞廣告置入用戶瀏覽請求的能力。 還有其他的例如讓安全工具更難監視和過濾惡意 Web 流量。 而在英國,當局通過過濾掉提供非法內容的網域,將 DNS 用作打擊兒童色情的工具。

考慮到這些問題以及 DNS 過濾的許多不同案例,Mozilla 採取了受歡迎的方式:部署並徵詢大家的意見,意見徵詢將持續至2021 年 1 月 4 日。 該公司表示,他們希望 “取得大眾想法,建議和見解,以幫助我們最大限度地提高實施 DoH 的安全性和增強隱私的利益”。 他們接著說,“我們歡迎任何關心健康,權利保護和安全的 Internet 增長的人做出貢獻”。 蘋果,你有聽到嗎?
The Bad

當我們討論網路安全的同時,本週的壞消息就是託管網路解決方案提供商 Managed.com 被 REvil 攻擊。 儘管最初的攻擊似乎規模有限,但該公司很快不得不拆除了整個網路託管基礎架構,並影響了 WordPress 等其他企業。


Managed.com 表示,他們正在努力解決並與執法機構合作,試圖確定參與攻擊的個體。 這不僅僅是出於公共責任感; 這近乎是一項要求,因為公司企業需要確保,如果他們考慮向攻擊者付款,他們將不會面臨因為與這些被禁實體打交道而遭受到法律制裁。

BleepingComputer 表示,攻擊者很可能是 REvil,他們要求支付 500,000 美元的贖金來取得解密。
Picture
Source: BleepingComputer
目前尚無任何表示 Managed.com 與攻擊者有任何聯繫。 根據他們的官方聲明,公司表示:“技術和信息安全團隊正在努力消除威脅,並使我們的客戶恢復到最大能量。”
The Ugly

自 2020 年初新冠肺炎以來,視頻會議程式在安全性方面受到了很多審查,例如 Zoom 佔據了在早期的大部分問題。 但是,他們面臨的問題可能遠不及 CiscoWebex 最近出現的三個漏洞那麼嚴重。


來自 IBM 的研究人員發現,Webex 可能會被隱形的參與者 “困擾”。這些不請自來的 “幽靈” 來賓可以參與會議,但不會出現在參與者名單中,即使主持人試圖將它移除也沒有用。 最重要的是,第三個漏洞是無需加入會議就可以收集有關其他與會者的信息。

據研究人員稱,這些漏洞存在於 Cisco Webex 處理客戶端的應用程式及 Webex 伺服器間的 “handshake” 過程的方式中,並影響到預定會議和 Webex Personal Room。 漏洞在多個平台上得到了證明,包括 Windows,macOS 和 iOS。
IBM 聲稱,
現在員工每月在虛擬會議上花費的時間超過 50 億分鐘,這類缺陷極易成為攻擊者的目標。
Picture
Source: IBM Research
但是,目前尚無證據顯現攻擊者在濫用這些漏洞,Cisco 已經發布了針對 Cisco Webex 伺服器和所有受影響的客戶端應用程式的 security patches。 建議 Cisco Webex 客戶和伺服器端的用戶立即進行修補。

同時,研究人員針對該漏洞已 filed 三個 CVE: CVE-2020-3441,CVE-2020-3471 和 CVE-2020-3419。

原文
0 Comments

Your comment will be posted after it is approved.


Leave a Reply.

    Categories

    All
    Hus-interview
    Qlik
    Sentinelone
    Thegoodthebadtheugly
    『胡』說一下
    關於 AI

    Archives

    January 2021
    December 2020
    November 2020
    October 2020
    September 2020
    August 2020
    July 2020
    June 2020
    May 2020
    April 2020
    March 2020
    February 2020
    January 2020
    December 2019
    November 2019
    August 2019
    April 2019
    February 2019
    January 2019
    December 2018
    November 2018
    October 2018
    September 2018
    August 2018
    July 2018
    May 2018
    April 2018
    March 2018
    November 2017
    October 2017
    September 2017
    August 2017

    RSS Feed

​Copyright © 2017 安創資訊 Auriga Security Inc,. All rights reserved.
  • HOME
  • NEWS & EVENTS
  • BLOG
  • Contact Us
  • WE WANT YOU !