1、RSA身份驗證SDK（軟體開發工具包）出現兩個關鍵漏洞，急需修補！

第一個漏洞--CVE-2017-14377，影響Apache Web伺服器的RSA 身份認證。遠端使用者不需要身份認證，而只需通過傳送一個巧妙構思的資料包觸發驗證錯誤，這樣就可以訪問搭到目標主機上的資源。

由於 Apache Web 伺服器在RSA身份驗證代理時，輸入驗證時存在漏洞，遠端惡意使用者可能會繞過使用者身份驗證，並獲得對代理保護的資源的未經授權的訪問。未經授權的使用者所能獲取的許可權級別取決於正在使用代理的基礎應用程式所設定的授權策略。詳見安全公告

只有當Apache Web 伺服器的RSA身份驗證代理 配置為 使用 TCP協議與RSA 認證管理伺服器進行通訊時，漏洞才會存在。作為UDP協議作為預設設定的話，就不會受到攻擊。請參閱RSA 認證代理 8.x 用於 Apache Web 伺服器的安裝和配置指南，查詢相關配置資訊細節。

通過配置認證代理使用UDP來暫時解決這個問題，RSA已經在下面這個地址釋出了補丁：

https://community.rsa.com/community/products/securid/authentication-agent-web-apache

第二個嚴重漏洞--CVE-2017-14378會影響RSA身份驗證代理SDK的C版本，使用該SDK開發的任何相關係統都將遭受該漏洞，該漏洞不會影響SDK的Java版本。

版本為8.5和 8.7 的RSA身份驗證代理SDK 中，TCP非同步模式實現時存在錯誤處理漏洞，攻擊者可以在特定的某些情形下利用這些漏洞繞過身份驗證。

版本為 8.5 和 8.6 的針對C的RSA身份驗證代理API / SDK 中存在錯誤處理漏洞，可能導致在某些特定情形下繞過身份驗證。當在TCP非同步模式下使用API​​ / SDK並且API / SDK的返回值沒有被應用程式正確處理時，將會發生此問題。詳見安全公告。

正確處理API / SDK返回值的話，（RSA身份驗證代理API 中對於 C開發人員指南中記錄的編碼指南）不會受到攻擊。SDK的C版本補丁可以在下面的網址中找到：

https://community.rsa.com/docs/DOC-40601#agents

來源: securityaffairs

本文由看雪翻譯小組 fyb波編譯

---

Ursnif 木馬變種採用了新的程式注入技術

報導稱有黑客目前正在測試針對澳大利亞銀行的 Ursnif 木馬變種，其中使用了新的程式注入技術。

IBM X-Force 的研究人員表示，今年夏天開始，他們在野外發現有新的惡意軟體團伙在測試 Ursnif（或稱為 Gozi）木馬變種，相較之前版本這些樣本有了明顯技術上的提升。

IBM 安全顧問 Limor Kessem 在對 Ursnif 木馬樣本的分析文章中寫道：“這一發現非常重要，它表明又有新的黑客團伙加入了網路犯罪，並且專門針對澳大利亞，此前，TrickBot 和 Dridex 等惡意軟體團伙已在該地區站穩了腳跟。”

Kessem 還介紹說：“此變種最值得注意的地方是程式注入方式和攻擊策略的改變。”

在攻擊中，受害者被重定向到黑客團伙控制的虛假網站，為了確保位址列中顯示正確的 URL 和數字證照，惡意軟體會保持與合法銀行網站的實時連線。惡意者通過注入頁面來竊取登入證照、身份驗證碼和其他個人身份資訊，從而避免觸發銀行的欺詐檢測機制。

另外，FireEye 的研究人員在上週發的報告中表示，他們也一直在追蹤相同的 Ursnif 木馬變種。

FireEye 也注意到該變種使用了惡意 TLS(Thread Local Storage) 回撥技術來實現程式的注入。

“我們最近遇到一個 Ursnif/Gozi-ISFB 樣本，它通過控制 TLS 回撥來注入子程式。雖然許多惡意程式使用 GetThreadContext/SetThreadContext 或 CreateRemoteThread 這些 API 來改變注入時的程式上下文，但此樣本中使用了較少人知道的 TLS 回撥技術。” 來自 FireEye 威脅研究團隊的 Abhay Vaish 和 Sandor Nemes 寫道。

多年來，Ursnif 木馬一直把攻擊地區限在日本、北美、歐洲和澳大利亞，它是在 07 年時發現的，原先主要針對英文的網上銀行電匯系統。這種狀況在 10 年時發生了變化，當時木馬的原始碼被意外洩露了，這直接導致了 Ursnif 木馬變種的發展。

在最近針對澳大利亞銀行的行動中，Ursnif 黑客團伙通過包含虛假電子訂單的垃圾郵件來欺騙受害者。

“當點選郵件中的 “稽核文件” 按鈕後，會下載一個名為 YourMYOBSupply_Order.zip 的 ZIP 檔案，” FireEye 介紹道。“而 ZIP 檔案中包含一個惡意的 JavaScript 指令碼，它會下載並執行 Ursnif/Gozi-ISFB 木馬。”

FireEye 和 X-Force 都表示，從這個樣本可以看出，有新的惡意軟體團伙改進了 Ursnif 的程式碼，使其更具隱匿性，並且能夠逃避殺軟的特徵檢測。

X-Force 補充道：“從 16 到 17 年間，Ursnif（或稱為 Gozi）木馬在變種發展上一直處於領先。”

此外，10月份時，Ursnif 團伙曾把日本作為首要的攻擊地區之一，且行動中的目標不僅僅是銀行，還包括了網路郵件系統、雲端儲存服務、貨幣兌換平臺和電子商務網站。

原文連結：https://threatpost.com/ursnif-trojan-adopts-new-code-injection-technique/129072/

本文由看雪翻譯小組 BDomne 編譯

---

為讓朋友早點出獄，他黑進監獄網路

上週，一個來自密歇根的人承認黑進了沃什特諾縣的監獄網路，並修改了朋友的記錄，企圖使其早點出獄。

Konrads Voits，來自密歇根安阿伯鎮 ，27歲，今年早些時候被FBI逮捕。

社工獄警

據外國媒體調查，該男子於今年1月24日到3月10日期間使用郵件釣魚和電話社工的方式，誘騙獄警在其電腦上下載並執行惡意軟體。

他使用“Daniel Greene”的名字，發郵件給獄警，假裝希望能夠得到法庭記錄。而後註冊了一個域名與官方網址（ewashtenaw.org）相似的網站"ewashtenavv.org" 。

但是郵件釣魚並不成功。於是在2月中旬，Voits 改變策略，打電話給當地獄警。

他裝成"T.L." and "A.B.,"這兩個人現實中均在監獄的IT部門工作。
他讓預警們訪問特定網站並下載、安裝可執行程式，稱“升級監獄的系統”。

其中一些獄警成功落入圈套，下載了惡意軟體。因此，Voits得以成功進入當地監獄網路，並得到了當地的敏感資訊，如X監獄系統、搜尋口供書、超過1600個地方政府官員個人資訊，包括使用者名稱、密碼、email和其他資訊等。

警方稱，Voits一看到資料後，立即進入X監獄系統，修改了幾個朋友的記錄，企圖讓他們早點出獄。

獄警立刻注意到資料被篡改，並迅速報警FBI。當地監獄也立即請專業的網路安全公司清理其IT網路。

Voits將面臨10年的牢獄生涯和25萬美元罰款，並沒收所有用來攻擊的電子裝置，包括一個膝上型電腦、四個手機、一個電路板和數目不詳的比特幣。

目前，他仍被拘留中。法院判決2018年4月5號進行量刑庭審。

來源：bleepingcomputer
本文由看雪翻譯小組 哆啦咪 編譯