近,網(wǎng)絡(luò)安全界發(fā)生了一件大事:一種名為Secure Boot的安全機制,在超過200種不同型號的設(shè)備上出現(xiàn)了問題。這個機制原本是為了保護我們的電腦不受惡意軟件的侵害,特別是那些能在電腦啟動時悄悄加載的惡意軟件。但現(xiàn)在看來,這個保護措施自己反而出了問題。
在2012年,硬件和軟件制造商聯(lián)合起來,推出了Secure Boot,這是一種旨在保護電腦不受惡意軟件侵害的安全機制。這種惡意軟件特別危險,因為它們可以在電腦啟動時加載,從而在操作系統(tǒng)和安全軟件啟動之前就運行。這種威脅最初是理論上的,但隨著時間的推移,它變得越來越真實。2007年,中國研究人員開發(fā)的ICLord Bioskit展示了BIOS rootkit的可能性和強大性。2011年,首個在野外使用的BIOS rootkit Mebromi被發(fā)現(xiàn),這進一步證明了這種威脅的嚴(yán)重性。
為了應(yīng)對這種威脅,Secure Boot的設(shè)計者們采用了一種復(fù)雜的加密技術(shù)。它利用公鑰加密技術(shù),確保只有經(jīng)過認(rèn)證的軟件才能在電腦啟動時運行。這種技術(shù)被內(nèi)置在UEFI(統(tǒng)一可擴展固件接口)中,UEFI是BIOS的繼任者。微軟和美國國家安全局等安全關(guān)鍵參與者認(rèn)為Secure Boot是保護設(shè)備安全的重要基礎(chǔ),特別是在工業(yè)控制和企業(yè)網(wǎng)絡(luò)等關(guān)鍵環(huán)境中。
然而,2022年發(fā)生了一起重大的密鑰泄露事件。一個關(guān)鍵的加密密鑰被泄露,影響了Acer、Dell、Gigabyte、Intel和Supermicro等五大設(shè)備制造商銷售的200多款設(shè)備。這個密鑰是Secure Boot的基礎(chǔ),它在GitHub上的一個公共倉庫中被發(fā)現(xiàn)。這個倉庫包含了加密形式的私鑰部分,但密碼僅為四位數(shù),很容易被破解。
這個密鑰的泄露對Secure Boot的安全性構(gòu)成了嚴(yán)重威脅。安全專家表示,這次密鑰泄露嚴(yán)重破壞了Secure Boot提供的安全性保證。這意味著,直到設(shè)備制造商或原始設(shè)備制造商提供固件更新之前,任何人都可以在系統(tǒng)啟動期間執(zhí)行任何惡意軟件或不受信任的代碼。雖然這需要一定的權(quán)限,但在很多情況下,這并不是什么難事。
研究人員還發(fā)現(xiàn)了更大的供應(yīng)鏈問題,這使得超過300款來自幾乎所有主要設(shè)備制造商的設(shè)備模型的Secure Boot完整性受到質(zhì)疑。與2022年GitHub泄露的平臺密鑰類似,還有21個平臺密鑰包含“DO NOT SHIP”或“DO NOT TRUST”的字符串。這些密鑰的存在表明,可能有更多的設(shè)備模型存在類似的安全漏洞。
這個消息對用戶和制造商來說都是一個巨大的打擊。對于用戶來說,這意味著他們的設(shè)備可能不再像他們想象的那樣安全。對于制造商來說,他們需要盡快采取措施來修復(fù)這個問題。這不僅涉及到技術(shù)層面的修復(fù),還涉及到信任的重建。用戶需要相信制造商能夠提供安全可靠的產(chǎn)品。
面對這樣的挑戰(zhàn),未來的解決方案需要從多個方面入手。首先,制造商需要加強對加密密鑰的保護,確保它們不會被輕易泄露。其次,用戶需要提高警惕,及時更新他們的設(shè)備固件,以防止?jié)撛诘陌踩{。此外,安全研究人員和制造商需要加強合作,共同開發(fā)更安全的加密技術(shù),以應(yīng)對不斷變化的網(wǎng)絡(luò)安全威脅。
這次Secure Boot的漏洞事件給我們敲響了警鐘:即使是最先進的安全措施也可能有漏洞。現(xiàn)在,我們只能希望設(shè)備制造商能盡快修復(fù)這個問題,保護我們的電腦不受這些潛在威脅的影響。同時,我們也需要認(rèn)識到,網(wǎng)絡(luò)安全是一個持續(xù)的挑戰(zhàn),需要我們不斷地努力和創(chuàng)新
觀察者網(wǎng) 訊)據(jù)美聯(lián)社12月11日報道,中國阿里云安全團隊在Web服務(wù)器軟件阿帕奇(Apache)下的開源日志組件Log4j內(nèi),發(fā)現(xiàn)一個漏洞Log4Shell。這一漏洞的存在,可以讓網(wǎng)絡(luò)攻擊者無需密碼就能訪問網(wǎng)絡(luò)服務(wù)器。
網(wǎng)絡(luò)安全專家認(rèn)為,這一漏洞潛在危害極大,甚至可能是“計算機歷史上最大的漏洞”。包括蘋果、三星以及Steam在內(nèi)的云服務(wù)都可能受到影響。阿帕奇軟件基金會已將這一漏洞的嚴(yán)重性列為最高。
阿里云團隊12月10日發(fā)布的最新預(yù)警
事件起始于上月24日,中國阿里云團隊的一名成員向阿帕奇披露了這一漏洞。隨后,奧地利和新西蘭官方的計算機應(yīng)急小組率先對這一漏洞進行了預(yù)警。
新西蘭方面稱,該漏洞正在被“積極利用”,并且概念驗證代碼也已被發(fā)布。
這次曝光的漏洞,存在于Java日志框架的Log4j,被廣泛應(yīng)用于各種應(yīng)用程序和網(wǎng)絡(luò)服務(wù),是一種程序內(nèi)的紀(jì)錄工具,保存執(zhí)行活動的過程,方便在出現(xiàn)問題時進行檢查。幾乎每個網(wǎng)絡(luò)安全系統(tǒng)都會利用某種日志框架進行紀(jì)錄,這也使得Log4j影響廣泛。
網(wǎng)絡(luò)安全管理公司Cloudflare首席安全官喬·沙利文(Joe Sullivan)表示,這一漏洞允許惡意攻擊者“遠程執(zhí)行代碼”,以獲取對其他系統(tǒng)的訪問,鑒于Log4j軟件被廣泛使用,這可能是迄今為止“最大的漏洞”。
到了本月10日,警報進一步擴大。當(dāng)天,微軟旗下游戲《我的世界》(Minecraft)發(fā)布公告稱,游戲的Java版容易受到攻擊,并建議用戶立即采取措施解決安全問題。玩家可以通過在游戲聊天框中粘貼信息的方式,在其他玩家的電腦上執(zhí)行程序。
同一天,沙利文稱公司在“過去6到10小時內(nèi)”發(fā)現(xiàn),使用這一漏洞的惡意用戶激增。
數(shù)據(jù)安全平臺LunaSec的研究人員發(fā)現(xiàn),有證據(jù)表明Steam、以及蘋果的云服務(wù)受到了影響,而帕洛阿爾托網(wǎng)絡(luò)公司(Palo Alto Network)在一篇博文中指出,推特和亞馬遜也受到了攻擊。
專家們嚴(yán)正警告了本次漏洞的潛在危害性。
網(wǎng)絡(luò)安全公司Crowdstrike高級副主席邁耶斯(Adam Meyers)表示,在美國時間10日早上,黑客已經(jīng)將漏洞“完全武器化”,還開發(fā)出利用該漏洞工具向外分發(fā)。他形容稱“互聯(lián)網(wǎng)當(dāng)下正冒火”,不法分子和黑客正爭先恐后地利用這個漏洞,而各大機構(gòu)網(wǎng)絡(luò)安全人員則爭分奪秒地努力修補。
另一家網(wǎng)絡(luò)安全公司Tenable的首席執(zhí)行官阿米特·約蘭(Amit Yoran)稱,Log4Shell是“過去十年內(nèi)最大也是最關(guān)鍵的單一漏洞”,甚至可能是“現(xiàn)代計算機歷史上最大的漏洞”。
美聯(lián)社則評論稱,這一漏洞可能是近年來發(fā)現(xiàn)的最嚴(yán)重的計算機漏洞。Log4j在全行業(yè)和政府使用的云服務(wù)器和企業(yè)軟件中“無處不在”。除非被修復(fù),否則犯罪分子、間諜乃至編程新手,都可以輕易使用這一漏洞進入內(nèi)部網(wǎng)絡(luò),竊取信息、植入惡意軟件和刪除關(guān)鍵信息等。
阿帕奇軟件基金基金會,已經(jīng)將這一漏洞的嚴(yán)重性列為10級中的最高。
國外社交媒體用戶以表情包的形式,說明Log4j的重要性
目前,各大公司已經(jīng)開始著手修復(fù)這一漏洞。根據(jù)世界最大網(wǎng)絡(luò)安全公司邁卡菲(McAfee)的說法, 最重要和最完整的緩解方法,是將log4j更新到穩(wěn)定版本2.15.0。
未來,邁卡菲還計劃使用額外的服務(wù)如(DNS)來測試該漏洞的變化。我們可能會根據(jù)結(jié)果相應(yīng)地更新本文檔。同時,邁卡菲企業(yè)已經(jīng)為利用NSP(網(wǎng)絡(luò)安全平臺)的客戶發(fā)布了一個網(wǎng)絡(luò)簽名KB95088,該簽名可檢測攻擊者利用漏洞的企圖。
12月10日,阿里云安全團隊發(fā)布公告稱,發(fā)現(xiàn)阿帕奇Log4j 2.15.0-rc1版本存在漏洞繞過,請及時更新至 Apache Log4j 2.15.0 正式版本。
本文系觀察者網(wǎng)獨家稿件,未經(jīng)授權(quán),不得轉(zhuǎn)載。
T之家報道,微軟近日緊急呼吁全球范圍內(nèi)的Windows 10與Windows 11用戶迅速采取行動,安裝最新的安全更新,以應(yīng)對一個被標(biāo)示為極為嚴(yán)重級別的TCP/IP遠程代碼執(zhí)行(RCE)漏洞。該漏洞編號為CVE-2024-38063,在CVSS 3.1評分體系下,其基礎(chǔ)評分為9.8,生命周期評分為8.5,接近滿分水平,顯示出其潛在的巨大破壞力。
據(jù)披露,這一漏洞由國內(nèi)安全公司賽博昆侖的昆侖實驗室發(fā)現(xiàn),其核心成因在于一個整數(shù)下溢錯誤,這使得攻擊者能夠通過精心構(gòu)造的數(shù)據(jù)包觸發(fā)緩沖區(qū)溢出,進而實現(xiàn)在目標(biāo)系統(tǒng)的任意代碼執(zhí)行。由于該漏洞的觸發(fā)點位于防火墻處理之前,傳統(tǒng)的防火墻策略如阻止IPv6流量并不能有效防御此次威脅,進一步加劇了安全風(fēng)險。
微軟在其公告中警告稱,未經(jīng)身份驗證的攻擊者僅需通過連續(xù)發(fā)送特制的IPv6數(shù)據(jù)包,即可在低復(fù)雜度的攻擊場景中遠程利用此漏洞。鑒于此,微軟將該漏洞的可利用性評級定為“更可能被利用”,預(yù)示著惡意行為者可能迅速開發(fā)出利用代碼,實施持續(xù)性的攻擊活動。
此次發(fā)現(xiàn)的RCE漏洞對所有默認(rèn)啟用IPv6的Windows系統(tǒng)構(gòu)成了直接威脅,且攻擊者無需事先進行用戶認(rèn)證,也不需要訪問任何本地文件或設(shè)置。更令人擔(dān)憂的是,受害者的設(shè)備無需任何用戶交互,即無需點擊鏈接、加載圖像或執(zhí)行文件,即可被攻破。鑒于其高危特性,微軟強烈建議用戶立即更新至最新版本,以規(guī)避潛在的安全風(fēng)險。
作為臨時緩解方案,若目標(biāo)計算機禁用了IPv6功能,則可免受此漏洞影響。然而,微軟也強調(diào),IPv6網(wǎng)絡(luò)協(xié)議棧自Windows Vista及后續(xù)版本以來便是系統(tǒng)的重要組成部分,隨意關(guān)閉IPv6或其相關(guān)組件可能導(dǎo)致部分Windows功能失效,故不推薦作為長期解決方案。
考慮到此漏洞的隱蔽性和易于利用的特點,各企業(yè)、學(xué)校、機構(gòu)乃至個人用戶都應(yīng)高度重視,及時應(yīng)用微軟發(fā)布的安全補丁,或開啟自動更新機制,確保自身網(wǎng)絡(luò)安全。盡管IPv6地址通常為公網(wǎng)地址,但攻擊者可能針對特定組織或群體實施精準(zhǔn)攻擊,因此,積極主動地維護系統(tǒng)安全至關(guān)重要。