本周關鍵詞

▼

Wordpress 漏洞  |  Windows10 藍屏  

macOS 惡意軟件 | 女黑客被無故扣污名

有些漏洞，明明已經修復了，卻依然造成不小影響；有的漏洞，明明能造成不小影響，有人卻遲遲不去修復。

Wordpress內容注入漏洞致超67000個網站遭黑產利用

前不久，雷鋒網報道過博客管理系統(tǒng) WordPress 在4.7.1 版本存在一個嚴重漏洞，導致攻擊者可以在沒有密碼登錄的情況下強行修改網站的文章內容。在該篇報道之前，WordPress 團隊已經發(fā)布了4.7.2版本，修復了該漏洞。雷鋒網當時也提醒：有相當一部分網站沒有開啟自動更新，考慮到 WordPress 的使用者甚多，受影響的網站數量依然不容小覷。

果不其然，安全公司 Sucuri 披露：”自上周一該漏洞細節(jié)公開后，攻擊范圍不斷擴大，最近每天趨于3000次。超過67,000的網站內容已經被篡改?！?攻擊狀況呈現這樣的趨勢：

攻擊者精心構造一個向目標站點REST API發(fā)起的HTTP請求，可以修改文章的標題和內容。也就是說可以在你的網站上掛上他們的文字和圖片，比如賭博網站的廣告，以及一些羞羞的內容。

據雷鋒網了解，在發(fā)動攻擊的團伙中有一個叫“w4l3XzY3”的，因此你通過Google搜索"by w4l3XzY3"，就可以瀏覽一些被他們攻擊過的站點。

這是一個漏洞雖已被修復，但仍造成大規(guī)模影響的例子。相反的是，最近微軟被爆出來一個“人人都可以把電腦玩兒藍屏”的漏洞，漏洞爆出來好幾個月，微軟卻依然不緊不慢，非要按部就班等到2月14號才發(fā)布補丁。

人人都可以把 Windows 玩藍屏的漏洞，微軟卻不急著修復

早在 2016 年 9 月 25 日，安全專家 Laurent Gaffie 就發(fā)現了一個 Windows Server 的嚴重安全漏洞，但是在其向微軟發(fā)出警告以后，微軟卻遲遲沒有任何動作。這可把 Laurent 惹怒了，于是他在網上大肆公布該漏洞的細節(jié)，并發(fā)出抗議表示：微軟你看不起本黑客提交的漏洞？

然而微軟真的很淡定地表示：“在我們的安全政策中，對于低風險的問題修復，將安排在下周二（即2月14日）。” 言外之意就是該漏洞確實很“低風險”不足為懼。

然而據外媒報道，攻擊者可以利用該漏洞遠程將受害者的 Win10 電腦置于藍屏，雷鋒網也實測成功（演示視頻見于雷鋒網報道：《人人都可以把 Windows 玩藍屏的漏洞，微軟為什么不急著修復？》）。

那么為什么微軟不發(fā)布緊急更新，而要等到2月14號再發(fā)布呢？雷鋒網與 2016 年微軟 MSRC Top 100 榜單上貢獻度排行第 8 的百度安全實驗室的資深安全工程師黃正取得了聯(lián)系，他表示：

如果是微軟的遠程代碼執(zhí)行的 0day 漏洞被公開，微軟應該會出緊急補丁，微軟甚至會為 Adobe Flash 的 0day 漏洞推送緊急補丁，CVE-2017-0016 這個漏洞的攻擊效果是遠程藍屏，我想微軟評估危害沒有那么大，所以不推緊急補丁，這個漏洞對普通網民影響是很小的，因為445、139端口默認是被防火墻保護起來的。

也就是說，微軟認為該漏洞只是造成藍屏，因此影響不太大，要等到定期發(fā)布更新時間在一并推出補丁。

上周除了 Windows ，蘋果電腦的macOS 也出現了不大不小“幺蛾子”，值得讀者們警惕。

新款 macOS 惡意軟件耍起了 Windows 平臺的“老伎倆”

外媒稱，研究人員發(fā)現了兩款新型 macOS 病毒，其利用了 Word 文檔的“宏”（macro）功能來隱藏和執(zhí)行惡意代碼，一個不留神，它們就會在你的筆記本上扎根和竊取數據。這些都是曾經在 Windows 平臺上耍過的“老伎倆”。

攻擊者會引誘粗心的用戶打開已被感染的 Word 文檔，惡意軟件會在加載惡意宏文件后被立即執(zhí)行。

萬幸的是，識別這些受感染文件并不困難，因為它們的“打開方式”畫風很不一樣 —— 雖然系統(tǒng)會彈出許可請求，但只要在這一步剎住車，就可以阻止惡意軟件的傳播。

但是萬一，你還是“手滑”點擊了“運行”，那么接下來的事情就無法控制了。攻擊者可以在背后監(jiān)視你、調取你的瀏覽器歷史記錄、或者啟動繼發(fā)感染（下載額外的惡意軟件）。

相較于這個老伎倆，另一款惡意軟件“更加先進”。它并沒有利用 Word 文檔作為載體，而是偽裝成一款合法的應用程序。

該病毒會提示用戶下載并安裝一個虛假的軟件更新，然后開始竊取用戶的 Keychain，通過釣魚手段騙得用戶名和密碼（以及其它憑證），最終將數據傳回給攻擊者。

對于 macOS 用戶來說，避免此類攻擊的最佳方式，就是慎從第三方或不被信任的網站下載軟件，而是直接前往蘋果 App Store、或者應用程序制作者的官方網站。否則你就要有一雙能識破黑客伎倆的慧眼，畢竟“藝高人膽大”嘛。

最近國內一位女黑客火了，倒不是因為技術有多高，而是因為一年不洗澡，還倒賣銀行卡被抓，我想這可能是女黑客形象被黑得最慘的一次，而且中間還出現了一個插曲。

女“黑客”一年不洗澡，真正的女黑客被張冠李戴扣污名

據南方網報道，女黑客曾某儀年僅22，卻像40多歲的婦女，她在網上結識了一幫盜刷銀行卡的人，于是她開始窩在房間里，每天瘋狂地加QQ群，到處搜索銀行卡信息，再把這些信息賣給專門盜刷銀行卡的人。

落網當天，辦案民警發(fā)現她的房間簡直就是一個垃圾場，床上堆著臟兮兮衣服；地上是快餐盒、易拉罐。而她的電腦里發(fā)現了包含有“四大件”的銀行卡信息50多萬條。

女黑客本人將近1米7的個子，頭發(fā)一把一把地粘在一起，凌亂地披散著。民警伸手拉她，一拉就是一手死皮。其家人說，她已一年沒出門，一年沒洗澡，她也不許家人進她的房間，平時吃飯由家人將飯送到房間門口。據報道，生活上一塌糊涂的曾某儀，在網上幾乎無所不能，從技校畢業(yè)后網上自學成為一個黑客，除了賣銀行卡信息，還做走私車買賣中介。

就這樣“女黑客一年不洗澡”的新聞刷爆網絡，戲劇性的一幕出現了：網站在報道該新聞時配發(fā)了知名網絡安全公司啟明星辰ADLab負責人孫薇的圖片，導致這位真正的美女黑客被扣污名，一時間黑客全炸開了鍋。

一位多奇趣的美女，一位會照顧人的姐姐，一位搞管理的黑客，一位懂技術的總監(jiān)。一夜之間卻和“一年不洗澡不出門，瘋狂竊取別人信息的女‘黑’客”的人牽扯到一起，這讓了解她的圈內朋友都感覺無法接受和憤慨。

雖然該門戶網很快被下發(fā)了侵權通知書，然后當天下午刪除了相關照片，但依然對其形象造成了不小的影響。孫薇對自己“無故躺槍”表示有些無奈，她說：“這個一年不洗澡女黑客新聞事件里的女主角，其實最多只能算“黑產業(yè)鏈”的一分子，連黑帽都算不上的，而把這樣的人冠以‘黑客’，我個人覺得不是很貼切?！?/p>

此前采訪過孫薇，配圖被誤用的媒體“安在”也表示，對于此次事件將繼續(xù)追溯到底，以還網絡安全從業(yè)群體之清白。

宅客頻道對此表示，不要對安全從業(yè)者、黑客群體有什么不好的刻板印象，其實很多男黑客都是帥氣逼人又有才華又有錢的高富帥，女黑客也有不少身嬌體柔、溫文爾雅的大美女，不信你去看看雷鋒網宅客頻道的黑客報道。

雷峰網原創(chuàng)文章，未經授權禁止轉載。詳情見轉載須知。