联想UEFI固件驱动程序漏洞​影响100多种笔记本电脑型号

4月21日，星期四，您好！中科汇能与您分享信息安全快讯：

Emotet僵尸网络切换到64位模块发行量正在激增

Emotet恶意软件的发行量正在激增，很可能很快就会切换到新的有效负载，而这些负载目前被较少的反病毒引擎检测到。监控僵尸网络的安全研究人员发现，上个月携带恶意有效载荷的电子邮件增加了十倍。Emotet是一种自传播的模块化木马，可以在主机上保持持久性。它用于窃取用户数据、执行网络侦察、横向移动或投放额外的有效载荷，尤其是钴打击和勒索软件。人们发现，自今年年初以来，它的增长缓慢但稳定，但其运营商现在可能正在加快步伐。

QNAP敦促客户禁用路由器上的UPnP端口转发

台湾硬件供应商QNAP近日敦促客户禁用路由器上的通用即插即用（UPnP）端口转发，以防止其网络连接存储（NAS）设备受到互联网攻击。UPnP是一组不安全的网络协议，没有加密和身份验证，支持设备之间的对等通信。它还允许他们动态加入和离开网络，获取IP地址，宣传他们的能力，并了解网络上的其他UPnP设备及其能力。对于那些需要在不直接访问互联网的情况下访问NAS设备的用户，QNAP建议在QVPN服务应用程序或QuWAN SD-WAN解决方案提供的QNAP设备上启用路由器的VPN功能（如果可用）、myQNAPcloud链接服务和VPN服务器。

实时语音隐藏算法阻止麦克风监听

哥伦比亚大学（Columbia University）的研究人员开发了一种新算法，可以阻止通过智能手机、语音助手和连接设备中的麦克风进行恶意音频窃听。该算法可以预测性地工作。它可以推断用户接下来会说什么，并实时生成阻塞性的背景声音（耳语）来掩盖声音。目前，该系统仅适用于英语，成功率约为80%。噪音的音量相对较低，最大限度地减少了用户干扰，并允许进行舒适的对话。实际测试表明，无论使用何种软件和麦克风的位置，该系统都可以通过自动语音识别技术使语音无法识别。

新的隐身BotenaGo恶意软件变种针对DVR设备

威胁分析人员发现了BotenaGo僵尸网络恶意软件的一个新变种，这是迄今为止最隐蔽的一个，运行时没有被任何反病毒引擎发现。BotenaGo是一种相对较新的恶意软件，使用谷歌的开源编程语言Golang编写。僵尸网络的源代码已经公开了半年左右，因为它是在2021年10月泄露的。从那时起，出现了几个变种，而最初的变种继续活跃，并增加了针对数百万物联网设备池的攻击。Nozomi Networks实验室的研究人员最近发现了一种新的BotenaGo变体，它似乎源于泄露的源代码。

联想UEFI固件驱动程序漏洞影响100多种笔记本电脑型号

联想发布了一份关于影响其至少100款笔记本电脑的统一可扩展固件接口（UEFI）的漏洞的安全建议。总共发现了三个安全问题，其中两个问题允许攻击者禁用对存储UEFI固件的SPI闪存芯片的保护，并关闭UEFI安全引导功能，从而确保系统在引导时只加载原始设备制造商（OEM）信任的代码。成功利用第三个漏洞，即CVE-2021-3970，可使本地攻击者以提升的权限执行任意代码。这三个漏洞都是ESET研究人员发现的，并于去年10月向联想负责地报告。它们影响了100多种消费类笔记本电脑型号，包括IdeaPad 3、Legion 5 Pro-16ACH6和Yoga Slim 9-14ITL05，这可能会导致数百万用户使用易受攻击的设备。

数量猛增，LinkedIn已成为网络钓鱼者的最爱

近日，网络安全公司 Check Point发布报告称，职场类社交软件LinkedIn在今年第一季度的网络钓鱼活动急剧升温，目前已占全球网络钓鱼数量的52%，位居排行榜首位。在 Check Point提供的一个示例中，攻击者通过发送带有官方标识和样式，并带有虚假联系方式的钓鱼报价单邮件，诱导用户点击“接受”，这时会导向一个仿冒的LinkedIn 登录页面，如果用户输入自身账户信息，便会被攻击者“盗号”。近来，针对社交平台的网络钓鱼正在快速上升，攻击者可能会使用窃取到的帐户来执行高效的鱼叉式网络钓鱼攻击，发布指向恶意软件站点的链接，或将间谍软件直接发送给目标用户。对于带有职场属性的LinkedIn，攻击者可能旨在对高价值目标、特定公司和组织的员工进行鱼叉式网络钓鱼攻击。

新发现的零点击iPhone漏洞被NSO间谍软件利用

近期，Citizen Lab的数字威胁研究人员发现了一种新的零点击iMessage漏洞利用，该漏洞利用会被用于在加泰罗尼亚政治家、记者和活跃分子等人群的iPhone上安装NSO 公司的间谍软件。在此之前是未知的名为HOMAGE的iOS零点击安全漏洞，该漏洞会影响iOS 13.2之前的部分版本（最新的稳定 iOS 版本为 15.4）。在2017年至2020年期间，它曾和Kismet iMessage漏洞利用以及WhatsApp漏洞一起，针对65人以上的活动安装NSO Pegasus间谍软件。在这些受害者中，包括欧洲议会(MEP)的加泰罗尼亚议员、自2010年以来的每一位加泰罗尼亚总统，以及加泰罗尼亚立法者、法学家、记者和民间社会组织成员及其家人。经过调查后，Citizen Lab表示没有在这些受害的加泰罗尼亚人里看到任何针对运行高于13.1.3的iOS版本的设备的HOMAGE漏洞实例，所以该漏洞极有可能已在iOS 13.2中修复。

INCONTROLLER/PIPEDREAM：攻击工业控制系统的恶意软件

虽然美国相关部门没有在警告中提及黑客组织名称及使用的恶意软件，但Dragos将恶意软件跟踪为PIPEDREAM，Mandiant则将恶意软件跟踪为INCONTROLLER。PIPEDREAM是威胁组织CHERNOVITE开发的针对工业控制系统的恶意软件。PIPEDREAM是一个模块化的ICS攻击框架，攻击者可以利用它来根据目标和环境造成中断或破坏。CHERNOVITE组织的PIPEDREAM恶意软件可以执行38%的已知ICS攻击技术和83%的已知ICS攻击战术。PIPEDREAM可以操纵各种工业控制PLC和工业软件，包括欧姆龙（Omron）和施耐德（Schneider）控制器，并且可以攻击无处不在的工业技术，包括CODESYS、Modbus和OPC UA。总之，PIPEDREAM可以影响全球相当大比例的工业资产。PIPEDREAM目前没有利用任何Schneider或Omron漏洞，而是利用本机功能。

付费用户流失20万，Netflix要大范围打击账号密码共享

Netflix近日报告称，今年第一季度流失了20万订户，这是该公司10多年来首次出现付费用户下降。而其股价也在随后几个小时内下跌了25%以上。该公司悲观的预测第二季度将再失去200万用户。这家全球最大的流媒体视频公司，将订户增长停滞归咎于竞争加剧、密码共享、通货膨胀等。随后，Netflix发出警告称，要在全球范围内打击账号共享行为。以后如果想借用家人、朋友、或者不熟悉的人的密码恐怕没那么容易了。Netflix表示，估计有超过3000万美国和加拿大家庭使用共享密码访问其内容。在全球范围内，可能有超过1亿户家庭使用共享密码。在季度致股东的信中，Netflix承认，它有意允许大量的户外密码共享，因为这有助于让用户对这项服务上瘾。但由于来自迪士尼、华纳兄弟探索频道(Warner Bros. Discovery)、派拉蒙环球(Paramount Global)、nbc环球(NBCUniversal)、苹果电视+ (Apple TV+)等流媒体公司的竞争侵蚀了Netflix的增长，Netflix表示希望数百万共享密码的家庭开始付费。

2021年零日漏洞在野利用状况：数量创纪录，传统漏洞为主

谷歌Project Zero研究人员表示，2021年共追踪到58起“在野”发生的零日漏洞利用案例。这是该小组自2014年成立以来，发现并披露零日漏洞利用案例最多的一年。在此之前，追踪案例量最多的2015年共发现28起，尚不足2021年的一半。Project Zero安全研究员Maddie Stone在近日发布的报告中表示，“相较于2020年的25起，去年攀升速度确实相当显著。”新的软件漏洞一直在持续被发现、披露及修复，而且大多能够抢在黑客团伙实际利用之前。而Project Zero主要关注由黑客团伙首先发现并利用的漏洞，也就是软件厂商需要尽快修复的“零日漏洞”。Stone对2021年零日漏洞案例发现总量上升给出了解释。从好的一面来说，数字增长能是由于对零日漏洞的检测和披露增加，而不是对它们的使用增加。坏的一面来看，“恶意黑客采取的手段跟前几年其实没有太大变化”“他们仍能依靠相同的漏洞模式与利用技术，在同样的攻击面上顺利得手。”

信息来源：人民网 国家计算机网络应急技术处理协调中心 国家信息安全漏洞库 今日头条 360威胁情报中心 中科汇能GT攻防实验室 安全牛 E安全 安全客 NOSEC安全讯息平台  火绒安全 亚信安全 奇安信威胁情报中心 卡巴斯基 MACFEE  Symantec 白帽汇安全研究院   安全帮

本文版权归原作者所有，如有侵权请联系我们及时删除

原文始发于微信公众号（汇能云安全）：联想UEFI固件驱动程序漏洞​影响100多种笔记本电脑型号