本周《绝命毒师》即将播出。 今天我们将讨论:猫头鹰在看着你,微软Word在大街上和我们有趣的新游戏,两个真相和一个谎言。
以下是我们讨论过的每篇文章中的一些亮点:
猫头鹰在看着你
- 最近发表的一项安全分析得出结论,Meeting Owl Pro设备对其连接的网络以及注册和管理设备的人的个人信息构成了不可接受的风险
- Meeting Owl Pro是一款视频会议设备,配有360度摄像头和麦克风,视频和音频自动聚焦在说话的人身上
- 当有人打断讲话时,声音会放大
- 它可以像真正的猫头鹰一样旋转头部
- 这个装置的缺点有很多:
- Meeting Owl Pro用户的姓名、电子邮件地址、IP地址和地理位置都存储在一个数据库中,任何了解系统工作原理的人都可以访问该数据库
- 这些数据可以被用来绘制网络拓扑或社会工程或还原员工
- 任何能够访问设备的人都可以访问进程间通信通道(IPC),并可能被恶意行为者或黑客利用
- 蓝牙功能没有密码,但即使有一个选项,黑客也可以在不提供它的情况下禁用它
- 任何了解该系统的人都可以捕获私人白板会话的图像并下载
- 客户在注册期间输入的详细信息以及随后的最近连接都存储在数据库中,访问这些信息也不需要密码
- 只需要一个有效的会议猫头鹰序列号
- 发现这一点的研究人员开发了一个脚本,可以自动向数据库显示每一个可能的序列号,服务器则响应每个已注册的序列号的详细信息
- 这些漏洞是由一家名为modzero的瑞士/德国公司发现的,该公司是一家执行穿透测试、代码分析和各种其他安全类型服务的安全咨询公司
- 他们正在为一个不知名的客户做一些视频会议技术的分析,当他们把这台猫头鹰放在ole检查台上时,他们开始发现这些问题
- 当漏洞被发现后,他们在今年1月中旬联系了猫头鹰的制造商,报告了他们的发现
- Owl Meeting Pro的制造商Owl Labs承认,当这篇文章最初发表时,他们什么也没做
- 他们说他们会在6月进行修复,他们说他们会这么做:
- 用RESTful API检索PII数据将不再可能
- 实施MQTT服务限制以保护物联网通信
- 将设备从一个帐户转移到另一个帐户时,在UI中从以前的所有者删除对PII的访问
- 限制或取消对交换机端口暴露的访问
- 修复了Wi-Fi AP绑定模式
- 在播客录制的时候,我们不确定哪些补丁已经到位
- 至于下一步的措施,他们列出的缓解措施听起来并不像是要涵盖该设备的所有漏洞
- 随着时间的推移,大部分甚至所有的漏洞都有可能被修补,尽管这看起来更像是“回到绘图板”的时刻
微软Word在大街上
- 微软(Microsoft)分享了一些缓解措施,以阻止利用新发现的Microsoft Office零日漏洞远程执行恶意代码的攻击
- 该错误使用Microsoft Word函数检索远程HTML文件,然后使用Microsoft内部诊断工具以用户拥有的任何权限执行文件中的代码。
- 黑客的马修·希更进一步,我发现了通过ms搜索窗口的利用途径
- 它最初绕过了微软的捍卫者和其他端点检测软件,不过捍卫者现在有了它的签名
- 它还绕过了Office的Protected View
- 这个漏洞被戏称为“Follina”凯文·博蒙特这是对最初上传样本中提到的“0438”的致敬,因此得名于它是意大利Follina的邮政编码
- 该漏洞于2022年5月27日被发现,当时Nao_sec今年4月,东京的一个网站发现了一个来自白俄罗斯IP的有趣的VirusTotal上传
- 协议漏洞实际上在几年前Benjamin Altpeter的一篇论文中有详细描述,但没有人真正注意到它们,直到有人(可能是一个中国的APT组织)开始使用它们将word文档武器化
- 对于此错误可用的解决方案,您可以通过玩弄注册表键来禁用MSDT URL协议;要么手动,要么使用脚本
- 如果你不确定你在做什么,尽管联系IT专业人士-搅乱注册表键会迅速破坏很大的方式
- 目前还没有补丁;微软是否会发布这个带外补丁,或者等到补丁周二,也就是6月14日,这将是很有趣的
- 目前,这个问题只影响Windows计算机,包括PC和服务器,但重要的是要记住,任何漏洞都可以作为一个轴心点
- 举个例子,如果你的工作电脑是mac,而你的个人电脑是PC,如果攻击者攻击了你的PC,他们可以很容易地转移到同一网络上的mac,然后转移到公司系统
- 这是企业安全经常做不到的地方之一——他们没有告诉用户,个人的妥协往往会导致商业的失败
- 我们只能看到你的工作设备,但重要的是要强调在你的整个数字生活中良好的安全实践是至关重要的
- 在录音时间(6月6日),微软不认为这是一个安全风险
- 看起来调查报告的MSRC工作人员在复制报告时遇到了麻烦,因此过早地关闭了该问题
- 我们可以想象,中国证监会是多么努力地从一堆草堆中整理出重大的安全问题,但他们肯定错过了一个大问题
两个事实和一个谎言
介绍《绝命毒师》的最新片段。我们要玩一个你们可能都很熟悉的游戏叫做两个事实和一个谎言,有一个有趣的转折。每周,我们都会准备三篇文章的标题,其中两篇是真实的,另一篇是,你猜对了,一个谎言。
你一定要收听我们的节目才能知道!
当前的记分板
本周帽衫/好衣量表
猫头鹰在看着你(Ian):9.5/10的连帽衫
(Tim):10/10的连帽衫
微软Word在大街上(Ian):7/10的连帽衫
(Tim):7/10的连帽衫
以上就是本周的全部内容,大家可以在推特上找到我们@domaintools在美国,我们的播客中提到的所有文章都会包含在我们的播客概述中。请在太平洋时间周三上午9点收看我们的节目,届时我们将发布下一期播客和博客。
*特别感谢John Roderick为我们带来的不可思议的播客音乐!