微软研究人员：OAuth 应用程序被用来自动进行网络钓鱼攻击及挖掘加密货币

微软研究人员：OAuth应用程序被用来自动进行网络钓鱼攻击及挖掘加密货币微软研究人员发现了一系列网络事件，OAuth应用程序被用来自动进行网络钓鱼攻击、破坏企业电子邮件以及隐蔽地挖掘加密货币。黑客的目标是缺乏强大身份验证机制的账户。他们通过被劫持的账户创建了具有高权限的新OAuth应用程序，使恶意软件能够在用户不知情的情况下访问系统。在一个案例中，用户名Storm-1283的攻击者利用OAuth部署虚拟机进行加密货币挖矿。根据攻击持续时间的长短，损失从1万美元到150万美元不等。

在过去的几周里，一个新的网络钓鱼活动已经开始针对使用二维码的电子银行用户。

在过去的几周里，一个新的网络钓鱼活动已经开始针对使用二维码的电子银行用户。这些网络钓鱼电子邮件经过精心制作，带有银行徽标、结构良好的内容和通常一致的风格，非常难以辨人。攻击者使用二维码而不是按键将受害者重定向到钓鱼站点。此事再次提醒了QR码普及的危险性。尤其是不太可能受到安全控制保护的移动用户，一定要当心。https://cofense.com/blog/german-users-targeted-in-digital-bank-heist-phishing-campaigns/#ThreatIntelligence#QRcodes

微软详解Windows 11增强钓鱼保护功能：可识别恶意站点/应用

微软详解Windows11增强钓鱼保护功能：可识别恶意站点/应用上周，微软开始推广Windows112022Update功能更新，引入了一系列新的功能。其中一项就是EnhancedPhishingProtection，该工具旨在识别攻击者用来诱骗用户登录凭证的恶意站点或应用程序。PC版：https://www.cnbeta.com/articles/soft/1321081.htm手机版：https://m.cnbeta.com/view/1321081.htm

研究人员完全攻克AMD fTPM 确认存在电压故障注入漏洞

研究人员完全攻克AMDfTPM确认存在电压故障注入漏洞一份新的研究论文解释了AMDSoC中的漏洞，这些漏洞可能让攻击者中和其TPM实现的任何安全性。攻击可以暴露TPM守护的任何加密信息或其他凭证。可信平台模块（TPM）为CPU增加了一个安全层，它封锁了加密密钥和证书等敏感信息，使黑客更难访问它们。在使用该功能的系统中，它是用于登录Windows的PIN背后的机制。传统上，TPM包含在主板上的一个物理芯片，但许多处理器也包含一个基于软件的版本，称为固件TPM（fTPM），用户可以通过BIOS激活。当微软强制要求安装和接收Windows11的官方更新时，这一安全功能引发了争议。许多旧的CPU，本来可以毫无问题地处理Windows11，但缺乏TPM的计算机会迫使所有者要么进行昂贵的升级，要么采用有点复杂的方法来规避这一要求。TPM早期的问题使微软的坚持显得更加糟糕，但柏林工业大学-SecT和弗劳恩霍夫SIT的研究人员最近发现了一个可以完全消除fTPM的漏洞。成功的攻击可以实现任意代码执行和提取加密信息。一种攻击方法涉及电压故障注入攻击，其中操纵电源可以迫使Zen2或Zen3CPU接受虚假信息，使攻击者能够操纵固件。另一种是更简单的ROM攻击，利用Zen1和Zen+处理器中一个不可修补的缺陷。这些漏洞严重威胁到完全依赖TPM的安全方法，如BitLocker。研究人员认为，一个强大的密码比TPM和PIN码更安全。对用户来说，幸运的是，这些攻击需要对目标系统进行数小时的物理访问，这意味着它们不涉及通过恶意软件的远程感染。该漏洞主要是丢失或被盗设备的问题。电压故障涉及约200美元的专用硬件来操纵主板，但实现ROM攻击只需要一个SPI闪存编程器。...PC版：https://www.cnbeta.com.tw/articles/soft/1357917.htm手机版：https://m.cnbeta.com.tw/view/1357917.htm

研究人员发现汽车甚至应急车辆存在严重漏洞 品牌包括宝马、奔驰、本田、日产

研究人员发现汽车甚至应急车辆存在严重漏洞品牌包括宝马、奔驰、本田、日产根据研究人员SamCurry的最新报告，多个漏洞可能让攻击者远程跟踪和控制不同制造商的警车、救护车和消费者车辆。这次更新是在11月的类似通知之后进行的。这些弱点源自于控制超过1500万台设备（其中大部分是车辆）的GPS和Telematics的公司的网站--SpireonSystems。研究人员描述Spireon公司的网站已经过时，可以通过一些巧妙的方法用管理员账户登录。在那里，他们可以远程跟踪和控制警车、救护车和商业车辆的车队。攻击者可以解锁汽车，启动它们的引擎，禁用它们的点火开关，向整个车队发送导航命令，并控制固件更新，从而有可能发送恶意软件载荷。SiriusXM的远程系统漏洞可以让黑客只用每辆车的车辆识别码就能偷走Acura、Honda、Infiniti和Nissan的车辆。他们还可以访问客户的个人信息。新报告揭示了起亚、现代和Genesis车型也有类似危险。此外，配置错误的单点登录系统使研究人员能够访问宝马、奔驰和劳斯莱斯的内部企业系统。这些缺陷并没有授予直接的车辆访问权。但是，攻击者仍然可以侵入奔驰的内部通信，访问宝马经销商的信息，并劫持宝马或劳斯莱斯的员工账户，法拉利网站的安全漏洞也让研究人员进入管理权限并删除所有客户信息。研究人员还发现，大多数（不是全部）加州数字车牌都容易受到攻击者的攻击。去年该州将数字车牌合法化后，一家名为Reviver的公司可能处理了所有的车牌，Reviver的内部系统出现了安全故障。数字车牌持有者可以使用Reviver更新他们的车牌，并远程报告他们被盗。然而，漏洞允许攻击者赋予普通的Reviver账户以更高的权限，可以跟踪、改变和删除系统中的任何条目。Curry的最新博客文章为那些对细枝末节感兴趣的人广泛地详述了他和其他黑客在研究时所使用的方法：https://samcurry.net/web-hackers-vs-the-auto-industry/他的团队在披露之前向受影响的公司报告了这些漏洞。至少其中一些公司确认发布了安全补丁。...PC版：https://www.cnbeta.com.tw/articles/soft/1338013.htm手机版：https://m.cnbeta.com.tw/view/1338013.htm

MIT 研究人员发现苹果 M1 芯片无法修复的硬件漏洞

MIT研究人员发现苹果M1芯片无法修复的硬件漏洞MIT研究人员发现苹果M1芯片存在一个无法修复的硬件漏洞，允许攻击者突破最后一道安全防线。漏洞存在于M1芯片硬件层安全机制PAC（pointerauthenticationcodes）中。PAC旨在加大向硬件内存注入恶意代码的难度，为抵御缓冲区溢出漏洞增加一层防御。但MIT的研究人员开发出了一种新颖的硬件攻击Pacman，利用预测执行泄露PAC验证结果。研究人员证明该攻击对系统内核也有效。攻击是在本地进行的，攻击者需要登陆进系统并安装一个定制的kext，操作难度很大。——IEEESpectrum，solidot