悬镜安全丨第四期 全球一周安全情报（8.13-8.19）

纵观全球态势，感知安全天下。悬镜安全精心筛选过去一周全球安全大事。

1、Oracle数据库产品中存在一个关键漏洞

上周五（8月10日），甲骨文公司发布了新的安全补丁，以修复其Oracle数据库产品的一个重大漏洞。该漏洞编号为CVE-2018-3110，CVSS评分为9.9，影响Windows上的Oracle Database 11.2.0.4、12.2.0.1和12.1.0.2和Unix或Linux上运行的12.1.0.2。

该漏洞存在于Oracle数据库服务器的Java VM组件，经过远程身份验证的攻击者可以利用它来完全控制产品，并建立对底层服务器的shell访问权限。利用此漏洞允许低特权攻击者通过Oracle Net的网络访问创建会话特权，从而危及Java VM，甚至可能使攻击者完全接管Java VM。攻击也可能会对其它产品产生重大影响。甲骨文公司强烈建议客户立即安装补丁以修复该漏洞。

原文链接：https://securityaffairs.co/wordpress/75310/hacking/cve-2018-3110-oracle-database.html

2、研究者称Faxploit攻击成为突破企业网络入口

Check Point研究人员上周在DEF CON 26安全会议上透露，最近在广泛使用的G3传真协议中发现的两个漏洞，可以将传真机转变为黑客进入企业网络的入口点。

该攻击被命名为Faxploit。Faxploit在处理DHT和COM标记的传真协议组件中利用了两个缓冲区溢出CVE-2018-5924和CVE-2018-5925。攻击者可以将格式错误的传真图像发送到传真机，其中包含漏洞的代码，然后获得目标设备的远程代码执行权限，从而允许黑客运行自己的代码并接管机器，进行包括下载和部署其他黑客工具，扫描本地网络并危及附近的设备的后续活动。

研究人员表示Faxploit是只需要受害者的传真号码就可定位组织的简单攻击，通过谷歌进行简单搜索，有超过3亿个传真号码正在被使用，均可以成为攻击者目标。

攻击代码通过电话线进行，而不是互联网连接，因没有相关安全软件对传入传真进行扫描，所以Faxploit将几乎不可能阻止。目前，惠普已在8月1日对此漏洞发布补丁，其它供应商将在未来几个月内测试他们的设备并发布补丁。

原文链接：https://research.checkpoint.com/sending-fax-back-to-the-dark-ages/

3、微软Cortana漏洞可致未授权控制浏览器访问

McAfee发布Windows锁定屏幕上启用的Microsoft Cortana存在漏洞的报告。该漏洞为CVE-2018-8253，允许对设备进行物理访问的攻击者进行两种未经授权的浏览，第一种为攻击者可以强制Microsoft Edge导航到攻击者控制的URL，第二种为攻击者可以通过使用受保护的受害者凭据去使用受限版本的Internet Explorer 11。

研究人员采用对Windows 10设备的完整登录旁路机制的分析发现，Cortana权限提升会导致锁定屏幕上的强制导航，虽然不允许攻击者解锁设备，但是它确实允许有物理访问权的人在设备仍然锁定的时候导航到攻击者选择的页面，导致攻击者可使用存储在浏览器高速缓存中的凭证来危害系统或冒充用户，将Cortana指向他们无法解锁的域名，并控制这个域，就可以在访问计算机的浏览器上运行想要的任何JavaScript。目前新的漏洞现已在微软8月更新补丁中得到解决。

原文链接：https://securingtomorrow.mcafee.com/mcafee-labs/microsoft-cortana-allows-browser-navigation-without-login-cve-2018-8253/

4、32000个智能家居和企业面临数据泄露风险

网络安全公司Avast最新研究发现，由于配置错误的MQTT协议，超过49000条消息排队遥测传输（MQTT）服务器在网上公开可见，其中超过32000个服务器没有密码保护，存在数据泄露的风险。MQTT协议用于通过智能家庭集线器互连和控制智能家居设备，用户通过设置一台服务器实施MQTT协议。

Avast的安全研究员Martin Hron称黑客可以通过五种方式滥用配置不当的MQTT服务器：使用Shodan IoT搜索引擎找到开放和未受保护的MQTT服务器以读取使用MQTT传输的消息；利用控制智能家居控制面板的仪表板运行与MQTT服务器相同的IP地址；访问公开的智能集线器软件，Home Assistant软件；使用工具和应用程序为基于MQTT的智能家居创建仪表板，以控制其连接的设备；开放和不安全的SMB共享，通过MQTT跟踪用户的位置。

原文链接：http://www.itsecurityguru.org/2018/08/17/32000-smart-homes-businesses-risk-leaking-data/

5、安全人员发现安卓应用程序的新攻击面

近日，安全厂商Checkpoint的研究人员发现安卓操作系统中应用程序使用外存资源的一个漏洞。如果应用程序对外存使用不够谨慎，则有可能使设备对多种攻击敞开大门。

外存不受安卓内建的沙盒保护，而是对所有应用程序共享，SD卡是典型的外存，主要用于在应用程序之间或设备与PC之间共享文件（如共享手机图片库中的照片）。

这为恶意攻击提供了新的攻击面，如果应用程序在使用外存时没有提供足够的保护，攻击者可以进入并操纵外存中的数据，Check Point研究人员称之为“（坏）人在磁盘上”（Man-in-the-Disk，MitD）攻击。用户从应用程序提供者处下载、升级应用程序或数据时，数据会先下载到外部存储，然后到达应用程序—这使恶意程序有机会在应用程序读取之前对数据进行篡改。

恶意程序可伪装为看似无害的应用程序，并要求外存访问权限。一旦获得，就可暗中监视经过外部存储的数据，并对其进行复制、修改、删除等操作。

研究人员测试并证实可受MitD攻击的应用程序包括谷歌翻译、Yandex翻译、谷歌Voice Typing、谷歌Text-to-Speech、小米浏览器等。其中前三个应用程序没有对从外存中读取的数据进行完整性检查；而小米浏览器的问题则是将升级程序放在外存中，研究人员证实可用恶意软件将其替换。研究人员称已告知相关开发团队。

原文链接：https://blog.checkpoint.com/2018/08/12/man-in-the-disk-a-new-attack-surface-for-android-apps/

6、macOS被暴露在通过鼠标点击的攻击中

安全公司Digita Security的首席研究官Patrick Wardle在Def Con会议上分享了他发现的macOS中的0day漏洞。该漏洞可突破最新macOS，去年10月发布的 High Sierra的安全措施--“用户辅助内核扩展加载”。该措施强制要求用户手动点击系统安全设置界面中的“允许”按钮来批准加载任何内核扩展，以阻止恶意软件利用合成的鼠标点击动作伪装用户的点击。

然而，High Sierra操作系统误将连续两个合成的鼠标点击解释为鼠标的“按下”和“松开”事件。

更糟糕的是，解释的结果还将该“按下”事件当作直接来自操作系统（而不是合成结果），因此不会被过滤掉。换言之，High Sierra煞费苦心的设置，其实通过连续两个合成点击就可轻易突破。

该问题仅影响High Sierra，因为它是使用操作系统版本实现Apple的用户辅助内核扩展加载。后续的MacOS Mojave版本中没有这一漏洞。

原文链接：https://securityaffairs.co/wordpress/75293/hacking/synthetic-mouse-click-attack.html

悬镜，北京安普诺信息技术有限公司旗下基于DevSecOps【云+端】一站式安全加固解决方案的云主机安全品牌，由北京大学白帽黑客团队“Xmirror”主导创立，核心业务主要包括悬镜云卫士、云鉴漏洞扫描云平台等自主创新产品与政企安全服务，专注为媒体云、政务云、教育云等平台用户提供创新灵活的自适应主机安全综合解决方案。