《绝命毒师》将于本周播出。今天我们讨论:猫头鹰在看着你,微软Word在大街上,以及我们有趣的新游戏,两个真理和一个谎言。
以下是我们讨论过的每篇文章中的一些亮点:
猫头鹰在看着你
- 最近发布的一项安全分析得出结论,Meeting Owl Pro设备对其连接的网络以及注册和管理这些网络的人的个人信息构成了不可接受的风险
- Meeting Owl Pro是一款视频会议设备,配有360度摄像头和麦克风,视频和音频会自动聚焦在说话的人身上
- 当一个人打断说话时,它会放大
- 它可以像真正的猫头鹰一样旋转头部
- 这个设备有很多缺点:
- Meeting Owl Pro用户的姓名、电子邮件地址、IP地址和地理位置都存储在一个数据库中,任何了解系统工作原理的人都可以访问该数据库
- 这些数据可以被用来绘制网络拓扑,或者进行社会工程或还原员工
- 任何访问设备的人都可以访问进程间通信通道(IPC),并可能被恶意行为者或黑客利用
- 蓝牙功能没有密码,但即使有这个选项,黑客也可以在不提供密码的情况下禁用它
- 任何了解系统的人都可以获取私人白板会话的图像并下载
- 客户在注册期间输入的详细信息以及随后的最近连接都存储在数据库中,访问这些信息也不需要密码
- 所需要的只是一个有效的Meeting Owl序列号
- 发现这一点的研究人员开发了一个脚本,自动向数据库显示每一个可能的序列号,服务器响应每个已注册的序列号的详细信息
- Meeting Owl Pro用户的姓名、电子邮件地址、IP地址和地理位置都存储在一个数据库中,任何了解系统工作原理的人都可以访问该数据库
- 这些漏洞是由一家名为modzero的瑞士/德国公司发现的,该公司是一家执行渗透测试、代码分析和各种其他安全类型服务的安全咨询公司
- 他们正在为一个不知名的客户做一些视频会议技术的分析,当他们把这只猫头鹰放在检查台上时,他们开始发现这些问题
- 当漏洞被发现时,他们在今年1月中旬与猫头鹰的制造商取得了联系,并报告了他们的发现
- Owl Meeting Pro的制造商Owl实验室承认,当这篇报道最初发表时,他们没有修复任何东西
- 他们说他们将在6月份进行修复,他们说他们将这样做:
- RESTful API检索PII数据将不再可能
- 实现MQTT服务限制以确保物联网通信的安全
- 当将设备从一个帐户转移到另一个帐户时,在UI中从以前的所有者删除对PII的访问权限
- 限制访问或删除访问总机端口暴露
- 修复了Wi-Fi AP的捆绑模式
- 截至播客录制的时间,我们不确定哪些修复措施已经到位
- 他们说他们将在6月份进行修复,他们说他们将这样做:
- 关于接下来的步骤,他们列出的缓解措施听起来并不能覆盖这个设备中的所有漏洞
- 随着时间的推移,大部分甚至所有的漏洞都有可能被修补,尽管这看起来更像是“回到画板”的时刻
微软Word在大街上
-
- 微软分享了一些缓解措施,以阻止利用新发现的Microsoft Office零日漏洞来远程执行恶意代码的攻击
- 此错误使用Microsoft Word函数检索远程HTML文件,然后使用Microsoft内部诊断工具以用户拥有的任何权限执行文件中的代码。
- 黑客的马修·希更进一步,通过ms搜索窗口找到了一个利用路径
- 它最初绕过了微软卫士和其他端点检测软件,不过卫士现在有了签名
- 它还绕过了Office的受保护视图
- 这个漏洞被戏称为“Follina”凯文·博蒙特在最初上传的示例中出现了“0438”,因此得名,因为它是意大利Follina的邮政编码
- 该漏洞于2022年5月27日被发现,当时Nao_sec今年4月,我从一个白俄罗斯IP上发现了一个有趣的VirusTotal上传
- 这些协议漏洞实际上在几年前本杰明·阿尔特彼得(Benjamin Altpeter)的一篇论文中有详细描述,但没有人真正注意到它们,直到有人(可能是一个中国APT组织)开始使用它们来武器化word文档
- 对于这个错误,您可以通过玩弄注册表键来禁用MSDT URL协议;可以手动,也可以使用脚本
- 如果你不确定你在做什么,但是,联系IT专业人士-搞乱注册表项会很快在很大程度上破坏事情
- 目前还没有补丁;微软是否会发布这个带外补丁,还是等到6月14日的补丁星期二,这将是非常有趣的
- 目前,这个问题只影响Windows电脑,包括PC和服务器,但重要的是要记住,任何漏洞都可以作为一个轴心点
- 举个例子,如果你有一台mac作为工作电脑,但有一台PC作为个人电脑,而攻击者侵入了你的PC,他们可以很容易地转移到同一网络上的mac,然后转移到公司系统
- 这是企业安全经常做不到的地方之一——他们没有告诉用户,个人的妥协往往会导致商业问题
- 我们只能看到你的工作设备,但重要的是要强调,在你的整个数字生活中,良好的安全措施是多么关键
- 举个例子,如果你有一台mac作为工作电脑,但有一台PC作为个人电脑,而攻击者侵入了你的PC,他们可以很容易地转移到同一网络上的mac,然后转移到公司系统
- 在录制时(6月6日),微软不认为这是一个安全风险
- 看起来调查该报告的MSRC工作人员在复制该报告时遇到了麻烦,过早地关闭了该问题
- 我们只能想象MSRC是如何超负荷工作,试图从草堆中筛选出实质性的安全问题,但他们肯定错过了一个大问题
两个真理和一个谎言
介绍最新一期《绝命毒师》我们要玩一个你们可能都很熟悉的游戏,叫做两个真相和一个谎言,有一个有趣的转折。每周,我们都会准备三篇文章标题,其中两篇是真实的,一篇是,你猜对了,一个谎言。
你将会找到答案!
当前的记分板
本周帽衫/糖果量表
猫头鹰在看着你
(Ian):9.5/10的连帽衫
(Tim):10/10的连帽衫
微软Word在大街上
(Ian):7/10的连帽衫
(Tim):7/10的连帽衫
这就是我们本周的全部内容,你可以在推特上找到我们@domaintools,我们播客中提到的所有文章都会出现在我们的播客综述中。太平洋时间周三上午9点,我们将发布下一期播客和博客。
*特别感谢John Roderick为我们提供了令人难以置信的播客音乐!
