研究人员发现可利用Chrome Sync功能窃取用户数据；巴西能源公司Copel和Eletrobras遭到勒索软件攻击

安全研究人员Bojan Zdrnja发现黑客可滥用Google Chrome Sync功能来窃取用户数据。Chrome Sync可在用户登录Google帐户后自动同步其书签、历史记录、密码和其他设置。Zdrnja表示黑客利用伪装为Forcepoint Endpoint Chrome Windows扩展的恶意附件与远程命令和控制（C＆C）服务器进行通信，以从目标浏览器窃取用户数据。此外，为了防止该扩展被Google删除，黑客没有使用Chrome Web Store，而是将扩展放在本地的一个文件夹中，然后直接从Chrome进行安装。

微软警告近几个月以来利用OAuth Office 365的钓鱼攻击活动增多。OAuth网络钓鱼是一种基于应用程序的攻击变体，攻击者诱使目标点击恶意OAuth应用以窃取其Office 365帐户凭证。这些攻击活动为2020年9月至12月之间的两轮攻击活动的一部分，其中之一冒充了墨西哥的税收管理服务来针对西班牙人，另一轮针对了组织的投资团队。为此，微软采取了法律行动，关闭了托管恶意应用程序的6个域名，并禁用了发现的恶意OAuth应用。

巴西两家主要的能源公司Copel和Eletrobras于上周遭到勒索软件攻击。就Eletrobras而言，攻击发生在其Eletronuclear子公司，影响了部分服务器，但是其核电厂Angra 1和Angra 2的运营没有受到影响。Copel则表示其感染了Darkside勒索软件，黑客称其已窃取了超过1000GB的敏感数据，例如纯文本密码、备份方案、时间表以及高层管理人员和客户的个人详细信息。

以色列物联网安全公司Vdoo的研究人员在Realtek RTL8195A Wi-Fi模块中发现了6个漏洞，这些漏洞可能已被用来获得root权限并控制设备的无线通信。其中最为严重的是远程堆栈溢出漏洞（CVE-2020-9395），可被用来接管设备。此外，研究人员还发现了拒绝服务漏洞和多个可执行任意代码的漏洞（CVE-2020-25853、CVE-2020-25854、CVE-2020-25855、CVE-2020-25856和CVE-2020-25857）。目前， Realtek已发布针对这些漏洞的安全更新。

Unit42发布了有关CVE-2020-25213漏洞的分析报告。该漏洞源于WordPress File Manager插件可将elFinder库的connector.minimal.php.dist上的文件扩展名重命名为.php，并直接执行。由于没有访问限制，因此任何浏览Web服务器的人都可以执行上传的文件。攻击者通常利用这个漏洞上传webshell，以安装用于加密劫持攻击的恶意软件Kinsing。

Claroty发布了2020下半年度ICS风险和漏洞的回顾报告。该报告统计了来自59个ICS供应商的449个漏洞（全年共893个），2018全年共披露了672个漏洞，而2019年为716个。报告指出，ICS披露信息比2018年同比增长了近33％，披露最多的行业为关键的制造业、能源行业、水和废水行业以及商业设施。此外，所披露的ICS漏洞中有72％可被远程利用，有47％的漏洞影响了Levels 1和2的Purdue模型，有76％的漏洞不需要身份验证即可进行利用。

信息安全那些事儿~

长按二维码关注