Security News

クアルコムのチップで検出された脆弱性により、40%のスマートフォンが危険にさらされます

QualcommベースのSnapdragonチップDSP(Digital Signal Processor)が見つかりました。攻撃者が40%以上のスマートフォンを制御し、ユーザーを監視し、検出を回避するマルウェアを挿入するために使用できるセキュリティの脆弱性がいくつか見つかりました。 DSPは、TVや携帯電話などの家庭用電化製品の信号およびデジタル画像処理や通信用のオーディオに使用されるシステムオンチップユニットです。これらのチップは任意のデバイスに追加できます。残念ながら、彼らは新しい週のポイントを導入し、デバイスの攻撃面を拡大する可能性があります。 チェック・ポイントの研究者によると、この脆弱なDSPチップは「Google、Samsung、LG、Xiaomi、OnePlusなどのハイエンド携帯電話を含む、地球上のほぼすべてのAndroid携帯電話で見つかります。しかし、AppleのIPhone SmartPhoneラインはセキュリティ問題の影響を受けている、と研究者のレポートは言います。 チェック・ポイントは、調査結果をクアルコムに開示し、Qualcommはそれらを承認してデバイス・ベンダーに通知し、CVE:2020-11201、CVE-2020-11202、CVE-2020-11206、CVE-2020-11207を含む6つのCVEを割り当てました。 、CVE-2020-11208、およびCVE-2020-11209。研究者によると、この脆弱性により攻撃者は次のことが可能になります。 ユーザーの操作を必要とせずに、電話を完璧なスパイツールに変えます。電話から持ち出すことができる情報には、写真、ビデオ、通話録音、リアルタイムのマイクデータ、GPSおよび位置データなどが含まれます。 携帯電話を常に応答しないようにします。この電話に保存されているすべての情報(写真、ビデオ、連絡先の詳細など)を永久に利用不可能にする、つまり、標的型サービス拒否攻撃 マルウェアやその他の悪意のあるコードを使用すると、活動が完全に隠され、削除できなくなる可能性があります クアルコムは、DSPチップで見つかった6つのセキュリティ欠陥にパッチを適用しました。ただし、デバイスは依然として攻撃に対して脆弱であるため、脅威が存在します。 研究者らは脆弱性に関する技術情報を公開していません。彼らは調査レポートで、「しかし、私たちはこれらの問題への意識を高めるためにこのブログを公開することを決めました。また、彼らの携帯電話を作るのを支援するために、この調査で協力した関連政府当局者と関連モバイルベンダーを更新しましたより安全。研究の詳細はすべてこれらの利害関係者に明らかにされました。」 クアルコムの広報担当者は、次のように述べています。「堅牢なセキュリティとプライバシーをサポートするテクノロジーを提供することがクアルコムの優先事項です。チェック・ポイントによって明らかにされたクアルコムのコンピューティングDSPの脆弱性に関して、私たちは問題を検証し、OEMが利用できる適切な緩和策を提供するために熱心に取り組みました。現在悪用されている証拠はありません。エンドユーザーには、パッチが利用可能になったらデバイスを更新し、Google Playストアなどの信頼できる場所からのみアプリケーションをインストールすることをお勧めします。」 「クアルコムは問題を修正しましたが、悲しいことに話の終わりではありません。何億もの電話がこのセキュリティリスクにさらされています。あなたはスパイすることができます。すべてのデータが失われる可能性があります。悪意のある攻撃者がこのような脆弱性を発見して使用すると、何百万もの携帯電話ユーザーが発見され、長期間にわたって身を守ることができなくなります。 これらの脆弱性の背後にいる研究者は、チェックポイントセキュリティの研究者であるスラバマッカベエフによってDEF CON 2020で明日発表されます。 「これらのパッチを製造ラインと市場の両方で電話回線全体に統合するかどうかは、Google、Samsung、Xiaomiなどのベンダー次第です。私たちの推定では、すべてのベンダーがパッチをすべての電話に統合するのにはしばらく時間がかかるでしょう。したがって、技術的な詳細を全員に公開することは、これが悪意のある人物に渡るリスクが高いことを考えると、責任のあることだとは感じていません。現時点では、消費者は関連するベンダーが修正を実装するまで待つ必要があります。」

AdGuadが295以上の悪質なChrome拡張機能を報告した

広告をブロックするソリューションを提供する会社であるAdGuardは、GoogleおよびBingの検索エンジンを乗っ取り、それらに広告を挿入することが検出された多数のGoogle Chrome拡張機能を最近報告しました。 同社は当初、ユーザーのブラウザから広告を遠ざけるという原始的な仕事をする代わりに、それ自体が広告目的であるいくつかの偽の広告ブロッカーを調査していた。調査中に、AdGuardは多数の悪意のあるChrome拡張機能に遭遇しました。これらは主に、GoogleとBingのユーザーの検索結果内に広告を配置するために使用されました。 AdGuardの送信レポートによると、検出されたブラウザー乗っ取りクラスターを構成するすべてのアプリはfly-analytics.comを使用しており、そこから悪意のある広告挿入コードが読み込まれています。レポートと会社からの問題への対応のツイートの後、一部のアプリがWebストアから削除され始めました。 同社はブログの投稿で、Google Web Storeでよく見られるその他の悪い習慣について説明しています。たとえば、普通に見える低品質の模倣アプリの外観と再登場。ただし、これらの模倣者にはいくつかの悪意のあるコードが挿入されており、同様の広告生成やブラウザハイジャックの問題を引き起こします。 1つ以上のそのような悪意のある拡張機能を疑っている場合は、自分で削除する必要があります。問題のある拡張機能を検出すると、ブラウザで無効になり、Chromeは拡張機能の管理メニューでマルウェアとしてフラグを立てます。ただし、自動的にはアンインストールされません。 これは、会社によって報告されたすべての悪意のある拡張機能のリストです。 シーズン6フォートナイトHD壁紙NewTab 3D壁紙HDカスタムの新しいタブ スーパージュニア壁紙ウンヒョク 防弾少年団の壁紙HDカスタム新しいタブ GTA 5グランドセフトオート クリスマスツリーライトNewTab絵文字 CS GOテーマNewTab ナルト壁紙HDカスタム新しいタブ プラネットアースネイチャースペースアートの壁紙タブ...

マイクロソフトはHOSTsファイルを使用してWindows 10テレメトリをリスクとしてブロックするフラグを設定

7月末から、MicrosoftはWindows 10テレメトリサーバーをブロックするHOSTSファイルを「重大な」セキュリティリスクとして検出し始めました。 HOSTSファイルは、C:\ Windows \ system32 \ driver \ etc \ HOSTSにあるテキストファイルです。管理者権限で編集できます。このようなファイルは、DNSを利用してIPアドレスのホスト名を解決する際に使用されます。これらは、ホストを127.0.0.1または0.0.0.0 IPアドレスに割り当てることにより、コンピューターがリモートサイトにアクセスするのをブロックするために使用されます。 7月末までに、Windows 10ユーザーは、Windows Defenderが変更されたHOSTSファイルを「SettingsModifier:Win32 / HostsFileHijack」脅威として検出し始めたことを報告し始めました。検出時に、ユーザーがオプションをクリックすると、設定変更の脅威がデバイスに感染し、望ましくない動作を引き起こす可能性があることが示されます。 この問題は、BornCityによって最初に検出されました。 HOSTsハイジャックの問題は新しいものではないため、多くのユーザーが突然検出について報告し始めたのは奇妙でした。過去にこのような広範囲にわたる感染が顧客に及ぶことは前代未聞だったため、現在のところWindows...

最近のTrickbotのAchor_LinuxマルウェアはLinuxシステムとIoTデバイスを標的にしています

最近、ステージ2のセキュリティ研究者であるWaylon Grangeが、TrickbotのAnchorマルウェアプラットフォームがLinuxデバイスに感染するように移植されたことを示す新しいサンプルを発見しました。 Trickbotは、多目的Windowsマルウェアプラットフォームです。情報、パスワードの盗用、Windowsドメインへの侵入、マルウェアの配信など、さまざまな悪意のあるアクティビティに使用されます。攻撃者はこのマルウェアをレンタルし、それを使用してネットワークに侵入し、ネットワークから何かを取得しました。その後、RyukやContiなどのランサムウェアを展開してネットワークのデバイスを暗号化するために使用されました。 2019年の終わりに、SentinelOneとNTTは、DNSを使用してコマンド&コントロールサーバーと通信するAnchorという新しいTrickbotフレームワークを報告しました。 Anchor_DNSは、価値のある財務情報を備えた高価値で影響の大きいターゲットで使用されます。悪意のある攻撃者は、ランサムウェアの展開や、APTのようなバックドアのようなキャンペーンにそれを使用します。 Advanced IntelのアナリストであるVital Kremezは、Interzer Labsによって発見されたAnchor_Linuxマルウェアを分析し、インストールされると、このマルウェアは次のcrontabエントリを使用して毎分実行するように設定すると述べています。 * / 1 * * * * root このマルウェアには、埋め込まれたWindows TrickBot実行可能ファイルも含まれています。 Interzerによると、この埋め込まれたバイナリは、古いTrickbotツールに接続されたコードを持つ新しい軽量のTrickbotマルウェアです。同じネットワーク上のWindowsマシンに感染するために使用されます。...

マイクロソフトは、来週SHA-1で署名されたすべてのWindowsダウンロードを削除します

マイクロソフトは今週、2020 年 8 月 3 日に SHA-1 証明書を使用して暗号化署名された Windows ダウンロード センターからすべての Windows ダウンロードを削除すると発表しました。SHA-1 アルゴリズムは、Web ドメインで発行者の正当性を認証するために使用される実行可能ファイル、TLS および SSL 証明書のコード署名に頻繁に使用されました。 セキュリティアナリストは2015年にレポートを発表し、SHA-1が衝突攻撃にどのように曝露されているかを説明し、攻撃者はデジタル証明書のコピーを作成して企業や他のWebサイトを模倣する可能性があります。これらのコピーは、フィッシング攻撃、なりすまし企業、または中間者攻撃に使用して暗号化されたネットワークセッションでリッスンすることができます。SHA-1 証明書の不具合により、マイクロソフトや他のクリエイターは...

攻撃者は、メールフィルターをバイパスする新しいキャンペーンでGoogle広告を悪用します

未知の攻撃者は新しいフィッシング詐欺を仕掛け、標的の組織の従業員をフィッシングページにリダイレクトしてMicrosoftアカウントを盗むために、Google広告を悪用して安全なメールゲートウェイをバイパスします。 SEGまたはSecure Emailsゲートウェイは、受信メールに悪意のあるコンテンツがないかスキャンしてユーザーのメールボックスに到達する前に、フィルタリング攻撃を使用してスパムおよびフィッシングメッセージをブロックするように設計されています。 Google広告プラットフォームを使用するドメインがSEGによって見落とされているという事実を利用している可能性があります。これにより、攻撃者は電子メールフィルターをバイパスして、フィッシングメッセージをターゲットの受信トレイに配信できます。 Cofense Phishing Defender Center(PDC)の研究者は、キャンペーンを最初に発見した人です。彼らによると、フィッシングメッセージは、侵害されたアカウントから複数の組織の従業員に送信されました。 潜在的な被害者は、いくつかのポリシー変更について通知を受け、サービスを継続するために変更を受け入れるように求められます。フィッシングメッセージに埋め込まれているボタンをクリックすると、Google広告リダイレクトを使用して、フィッシングページにリダイレクトされます。 これは、攻撃者がGoogle広告に料金を支払っている可能性が高く、その広告のURLを使用してターゲットをページにリダイレクトし、Office 365アカウントを盗むため、フィッシングメッセージが確実にターゲットに到達することを示唆しています。 フィッシングページは、マイクロソフトのロゴとターゲットの会社のロゴを特徴とする正規のマイクロソフトページを模倣しています。ターゲットは、最初にMicrosoftからクローンプライバシーポリシーページを送信され、次に被害者の会社のブランドのOffice 365サインインページを模倣する最後のフィッシングページに送信されます。 認証情報を入力してボタンをクリックすると、アカウント情報が詐欺師に自動的に送信されます。に「規約を更新しました」というテキストが届きます。最終段階で、詐欺に陥った従業員はマイクロソフトサービス契約ページに送られます。  最近のバンクオブアメリカのフィッシングキャンペーンは、フィッシング詐欺メッセージがターゲットの電子メール保護フィルターを回避する可能性が高くなるようにするために、フィッシングが幅広い戦術を備えている例です。このキャンペーンでは、詐欺師は、SendGridを使用してSPF、DKIM、DMARCの本物のチェックに合格し、悪意のあるドメインへのリンクのない本文コンテンツを含むメールを送信しました。以前のキャンペーンでは、QRコードとWeTransferファイル共有通知を使用して、セキュリティフィルターをバイパスしていました。 攻撃者は、資格情報を盗む目的でSEGを回避するためのフィッシングキャンペーンの一環として、Google、ドキュメント、Googleドライブ、Microsoft SharePointを悪用することも見られました。マルウェアの配布や財務データの流出など、他の目的で詐欺を使用できます。

ハッカーがホスティングアカウントを乗っ取ることができるバグを修正するwpDiscuzバージョン7.0.5リリース

WordfenceのThreat Intelligenceは、70,000を超えるWordPressベースのサイトにインストールされたwpDiscuzプラグインに脆弱性を発見し、脆弱なサイトをホストするサーバーに任意のファイルをアップロードした後、攻撃者がリモートでコードを実行できるようにしました。 ちなみに、wpDiscuzプラグインは、DisqusとJetpack Commendsの代替であり、ローカルデータベース内にコメントを保存するAjaxリアルタイムコメントシステムを提供します。複数のコメントレイアウト、インラインコメントとフィードバック、投稿の評価システム、マルチレベルのコメント脅威のサポートが付属しています。 wpDiscuzは画像の添付ファイルの使用のみを許可するように設計されていますが、それに含まれ、ファイルタイプの確認に使用されるファイル模倣タイプ検出機能は、ユーザーがPHPのような任意のファイルをアップロードできないようにします。攻撃者は、脆弱なサイトのホスティングサーバーにアップロードすると、ファイルの場所を知り、サービスでファイルの実行をトリガーし、リモートでコードを実行する可能性があります。 WordfenceのアナリストであるChloe Chamberlandは、この重大な深刻度をCVSSベーススコア10/10で評価しました。 「この脆弱性が悪用されると、攻撃者がサーバーでコマンドを実行し、ホスティングアカウントを通過して、アカウントでホストされているサイトに悪意のあるコードをさらに感染させる可能性があります。これにより、攻撃者はサーバー上のすべてのサイトを完全に制御できるようになります。」 この問題は6月19日に報告され、バージョン7.0.4で失敗した後、7月23日に完全にパッチが適用されたwpDiscuzバージョン7.0.5がリリースされました。このバージョンにはRCEの脆弱性に対する修正が含まれていますが、このプラグインには25,000しかありませんでした先週のみのダウンロード。 アクティブなwpDiscuzがインストールされている少なくとも45、000のWordPressサイトは、依然として攻撃の危険にさらされています。 wpDiscuzユーザーは、できるだけ早くプラグインを最新のアップデートに更新することを強くお勧めします。

SharePoint通知がOffice 365の従業員を標的とする攻撃者が偽装

最近、Microsoft 365アカウントを使用する従業員を対象とする自動化されたSharePoint通知として偽装されたおとりメッセージを利用する、新たなフィッシングキャンペーンが記録されています。 電子メールセキュリティ会社のAbnormal Securityによると、最大50の0000のメールボックスが、対象組織のすべての従業員に宛てられます。フィッシングメッセージはショットガンアプローチを使用しており、少なくとも1人の従業員をだまして、その資格情報を使用して別の従業員のシステムを危険にさらそうとしています。これにより、このフィッシングキャンペーンは潜在的に危険になります。 攻撃者は、フィッシングメッセージをできるだけ短く曖昧に保つために最善を尽くしました。また、対象の会社の名前をメールに複数回含めることをポイントにしました。彼らの戦略は単純です-信頼感を誘発し、ターゲットにフィッシングメールが実際に彼らの組織から来ていると思わせるためです。 アブノーマル氏は、「メール本文では、受信者の会社名もこのサービスが共有する内部ドキュメントを偽装するために何度も使用されていました。受信者は、メールが安全であり、会社が繰り返し含まれているため、会社から送信されたものであると確信している可能性があります。名前。" フィッシングメッセージは、ユーザーがメッセージ内の提供されたハイパーリンクをクリックすることを試みます。これにより、一連のリダイレクトを通じて従業員をSharePointテーマのランディングページに送信します。ここでは、「重要文書」をダウンロードするためのボタンについて触れています。これにより、別のWebサイトに送信するPDFがダウンロードされるか、資格情報の入力を求められる送信フォームにリダイレクトされます。 ターゲットがトリックに陥ると、Microsoft資格情報が攻撃者に送信され、Office 365アカウントを完全に制御できるようになります。彼らは、このようなデータを、ビジネス電子メールの侵害などのID盗難や詐欺スキームの一部として使用できます。 アブノーマル氏はさらに、「攻撃者は組織からより多くの資格情報と情報を盗むために内部攻撃を仕掛けることができるため、従業員とそのネットワークをかなりのリスクにさらすことになる」と付け加えています。 マイクロソフトパートナーグループのPMマネージャーであるAgnieszka Girling氏は、「アプリケーションの使用が加速し、従業員がリモートで生産性を発揮できるようになった一方で、攻撃者はアプリケーションベースの攻撃を利用して、クラウドサービスの貴重なデータへの不正なアクセスを狙っています。」

マイクロソフトはWindowsサンドボックスとWDAGの既知の問題の解決に取り組んでいます

報告によると、Microsoft(American Multinational Company)は現在、調査中の既知の問題の解決に取り組んでいます。 Windows 10デバイスが開けないようにする「Windowsサンドボックス」と「Windows Defender Application Guard(WDAG)」について話しています。 「Windowsサンドボックス」とは何ですか? 「Windowsサンドボックス」は、アプリケーションを分離して安全に実行するための軽量のデスクトップ環境を提供します。 「Windows Sandbox」環境にインストールされたソフトウェアは「Sandboxed」のままで、ホストマシンとは別に実行されます。 「サンドボックス」は一時的なものです。それを閉じると、すべてのアプリケーションとファイル、および状態が削除されます。 「Windows Defender Application Guard(WDAG)」とは何ですか? 「Windows Defender Application...

マイクロソフトは、ログオン時にEdgeブラウザーアプリを自動的に起動することを停止するための情報を提供します

「WindowsにサインインしたときにMicrosoft Edgeを起動したくない場合は、Windowsの設定でこれを変更できます」とMicrosoft Edgeのサポートに関する最近公開されたドキュメントで述べています。  そのため、これまでは、Windowsアカウントにログオンした後、システムのサインイン設定を微調整してアプリまたはログオンを自動的に再起動し、このアクティビティを停止できるように、Webブラウザーを表示するEdgeユーザーが自動的に起動します。 そのためには、Windows 10、2004を実行しているデバイスを使用しているユーザーは、メニューからアプリを開き、> オプションに移動して、をオフにする必要があります。サインイン後に再起動します。」 の下のオプション。 古いバージョンのWindowsを搭載したデバイスでは、プライバシーの下にある「サインイン情報を使用してデバイスの設定を自動的に完了し、アップデートまたは再起動後にアプリを再び開く」オプションが見つかります。このオプションを無効にすると、サインイン時にEdgeブラウザーが自動的に起動しなくなります。 これらの手順は、ユーザーが自動起動リストに追加しなかった場合でも、新しいChromiumベースのブラウザーがWindows起動で自動的に起動するように影響する既知の問題について調査しました。この調査は、レドモンドのエッジ開発チームによって行われました。 マイクロソフトのコミュニティマネージャーであるFawkes Serafinski氏は、「edge:// settings /での選択に関係なく、ユーザーがPCを起動してWindowsにログインすると、Microsoft Edgeの一部のバージョンが自動的に起動することをコミュニティから聞いた。始めるとき" Microsoftが6月初旬に発表したように、ChromiumベースのEdgeブラウザーは、Windows 10、1803以降を実行しているデバイスを使用しているすべての顧客に対して、ウィンドウの更新とともに自動的に展開を開始しました。この自動更新の一部として、新しいEdgeブラウザーがレガシーEdge Webブラウザーに取って代わり、削除できません。会社はこれについて言います: 「現在のバージョンのMicrosoft EdgeはOSのUXサーフェスから非表示になります。これには、設定、アプリケーション、ファイルまたはプロトコルのサポートダイアログボックスが含まれます。現在のバージョンのMicrosoft...