2022年3月第2期(2022.3.4-2022.3.10)
1.盛荣华赴新浪微博调研并召开推进“清朗”系列专项行动工作座谈会
3月9日,中央网信办副主任、国家网信办副主任盛荣华一行赴新浪微博围绕“清朗”系列专项行动推进情况进行调研,并就进一步做好今年专项行动召开部分重点网站平台工作座谈会,听取意见建议。盛荣华指出,去年以来,中央网信办认真贯彻落实党中央决策部署,把开展“清朗”系列专项行动作为治理网络乱象、营造清朗网络空间的重要举措,精心谋划部署,狠抓任务落实。经过一年的专项整治,网上“饭圈”、互联网账号运营等网络乱象得到有效遏制,网站平台履行主体责任意识进一步增强,网络乱象人人喊打的舆论氛围日渐浓厚,专项行动取得了积极成效。盛荣华强调,开展2022年“清朗”系列专项行动,要做到“专”“严”“实”。
2.全国信安标委公布《2022年网络安全国家标准需求清单》
为加强网络安全国家标准在国家网络安全保障工作中的基础性、规范性、引领性作用,全国信息安全标准化技术委员会秘书处坚持问题导向,调研国家网络安全重点工作和技术产业发展需求,研究形成了2022年网络安全国家标准需求清单。
《数据安全评估机构能力要求》《大型互联网企业个人信息保护监督机构要求》《敏感个人信息处理安全要求》《数据安全风险评估方法》《个人信息跨境传输认证要求》《关键信息基础设施安全测评要求》《数据交易服务安全要求》《人工智能计算平台安全框架》等在列。
3.工业和信息化部印发《车联网网络安全和数据安全标准体系建设指南》
日前,工业和信息化部印发《车联网网络安全和数据安全标准体系建设指南》(简称“指南”),提出到2023年底,初步构建起车联网网络安全和数据安全标准体系。重点研究基础共性、终端与设施网络安全、网联通信安全、数据安全、应用服务安全、安全保障与支撑等标准,完成50项以上急需标准的研制。到2025年,形成较为完善的车联网网络安全和数据安全标准体系。完成100项以上标准的研制,提升标准对细分领域的覆盖程度,加强标准服务能力,提高标准应用水平,支撑车联网产业安全健康发展。
4.CVE-2022-0847 Linux 内核提权漏洞
发现新管道缓冲区结构的“标志”成员在 Linux 内核中的 copy_page_to_iter_pipe 和 push_pipe 函数中正确初始化的方式存在缺陷,因此可能包含陈旧值。非特权本地用户可以使用此漏洞写入由只读文件支持的页面缓存中的页面,从而提升他们在系统上的权限。它是自 5.8 以来 Linux 内核中的一个漏洞,它允许覆盖任意只读文件中的数据。这会导致权限提升,因为非特权进程可以将代码注入根进程。
5.CVE-2021-40444:Microsoft MSHTML RCE
该漏洞存在于 Internet Explorer 引擎 MSHTML 中。尽管现在很少有人使用 IE,但旧浏览器仍然是现代操作系统的一个组件,其他一些程序使用其引擎来处理 Web 内容。特别是 Word 和 PowerPoint 等 Microsoft Office 应用程序依赖于它。
攻击者可以在 Microsoft Office 文档中创建一个恶意的 ActiveX 控件,供 MSHTML 浏览器呈现引擎使用。在准备好嵌入在 MS Office 文档中的恶意 ActiveX 控件后,攻击者必须将恶意文档交付给用户。攻击者大多使用网络钓鱼 (MITRE ATT&CK T1566) 技术将恶意文档作为文档的附件或链接传送。之后,用户必须打开恶意文档才能触发漏洞利用。
侧信道内存攻击目前在现实中并不常见,原因在于这种攻击通常具有高度的复杂性,不仅需要定制攻击程序,还要对电信号(electric signaling)的工作原理以及操纵模式非常了解。但是,研究人员发现,一些高级攻击者已经开始利用该技术对高价值目标发起针对性攻击。
阻止这种攻击的传统方法是,一次只允许一个程序使用内存控制器,但这会大大降低计算速度。麻省理工学院的研究团队目前成功设计出了一种新方法,该方法允许内存共享继续存在,同时提供针对此类侧信道攻击的安全防护能力。这种新方法,将程序的内存请求“塑造”成预定义的模式,并混淆程序实际需要使用内存控制器的时间,从而扰乱攻击者的视线。
近日,美国联邦调查局、网络安全和基础设施安全局联合发布了一份告警称,Ragnar Locker勒索组织正大规模攻击美国关键基础设施。截至2022年1月,FBI已经确定,在受攻击的10个关键基础设施中,至少有52个关键基础设施被入侵,涉及关键制造业、能源、金融服务、政府和信息技术领域等领域。
Ragnar Locker勒索组织的终止托管服务提供商 (MSP) 使用的是远程管理软件,包括ConnectWise、Kaseya,以此远程管理那些受感染的企业。而且这还有利于攻击者躲避系统检测,确保远程登录的管理员不会干扰或阻止勒索软件部署过程。
8.SharkBot恶意软件隐藏在Google Play中的Android防病毒软件
SharkBot银行恶意软件已渗透到Android官方应用程序库Google Play Store,并伪装成了具有系统清理功能的防病毒软件。尽管特洛伊木马应用尚未普及,它在Play Store中的出现表明,恶意软件分销商仍然可以绕过谷歌的自动防御,在撰写本文时,该应用程序仍在谷歌商店中。SharkBot和其他安卓银行特洛伊木马的显著区别之一是使用了相对较新的组件,该组件利用“直接回复”功能来进行通知。SharkBot现在可以拦截新的通知,用直接来自指挥控制系统的消息回复它们。SharkBot是由NCC集团的研究人员在Google Play中发现的,他们发布了对该恶意软件的详细技术分析。
9.Coinbase正封锁超25000个与俄罗斯有关的加密货币地址
近日,流行的加密货币交易所 Coinbase宣布,正在封锁25000多个与俄罗斯自然人和实体相关的加密货币地址。根据Coinbase发布的公告,这些封锁的地址中绝大部分是主动调查发现,并表示一旦确定了这些地址,还将与政府共享,以进一步支持制裁。
Coinbase 会根据受制裁个人或实体的名单检查账户申请,包括由美国、英国、欧盟、联合国、新加坡、加拿大和日本等其他国家维护的名单。虽然加密货币可以匿名,但交易是公开且可以追踪、溯源,这让制裁相关账户变得更加容易。但其它的加密公司拒绝封锁与俄罗斯实体相关的加密地址。
