头条：WordPress Captcha被曝存在后门

21

Dec,2017

声明：本文由长城网际编译，转载请注明“转自长城网际”，并上微信号CECGW-weixin和二维码。

※ 看！你比别人先知道这么多！

Ⅰ WordPress Captcha被曝存在后门

Ⅱ WIN10面部识别系统可被欺骗

Ⅲ Facebook，WhatsApp都将被欧洲监管

Ⅳ 当局抓捕恶意软件传播团伙

Ⅴ 由于系统效率不高，安全专家每月浪费40个小时

详情请见下文

1

WordPress Captcha被曝存在后门

【信 源】Securityaffairs

WordFence的安全专家发现，最近更新了安装在30多万个网站上的流行的WordPress Captcha插件，存在隐藏的后门。 WordPress团队立即从官方WordPress插件库中删除插件，并为受影响的客户提供了清理版本。

WordPress还阻止了发布更新的插件的作者，重设包括防火墙规则，以阻止来自同一作者的Captcha和其他插件。

WordFence已经与WordPress插件团队合作来修补插件的4.4.5之前的版本。

专家发现一个代码触发一个自动更新过程，从下载ZIP文件，然后提取并安装自己修改在WordPress网站上运行的Captcha插件的安装。

在被移除的时候，Captcha已经有超过30万次的主动安装，所以它的移除显着影响了许多用户。“后门文件允许攻击者或者插件作者获得未经授权的管理访问您的网站。

这个后门创建一个用户ID为1的会话（WordPress首次安装时创建的默认管理员用户），设置身份验证Cookie，然后删除自己。”

2

WIN10面部识别系统可被欺骗

【信 源】Securityaffairs

笔测公司Syss的安全专家发现，被称为Hello的Windows 10面部识别安全功能可以以最简单的方式——使用授权用户的照片进行欺骗。

“微软在Windows 10中面对身份验证是一种企业级的身份验证机制，作为Windows 核心组件，被集成到Windows Biometric Framework（WBF）中。

Windows面部认证使用专门配置用于近红外（IR）成像的相机来验证和解锁Windows设备以及解锁Microsoft Passport。

对用户来说坏消息是，即使他们已经安装了十月份发布的固定版本（build 1703或1709），该技术也是有效的。在这种情况下，用户需要从头开始设置面部识别，以抵御攻击。由于在某些Windows 10版本中生物识别面部识别的不安全实施，可以通过使用授权人员修改后的打印照片的简单欺骗攻击来绕过Windows Hello面部验证。”

由研究人员设计的攻击既可以在默认配置下启用，也可以在Windows Hello中启用“增强的反欺骗”功能。

3

Facebook，WhatsApp都将被欧洲监管

【信 源】Securityweek

法国隐私监管机构，国家计算和自由委员会（CNIL）已经发布了关于WhatsApp的正式通知。它要求Facebook公司停止将个人数据转移给美国的母公司，除非有这样的法律依据。特别是，WhatsApp必须获得“用户同意”（在欧洲法律的意义上）来收集和传输这些数据。

CNIL周二发布通知。同一天，强大的德国竞争管理机构Bundeskartellamt（联邦卡特尔办公室或FCO）向Facebook发出警告，称“Facebook正在滥用（它的）主导地位，使其社交网络的条件允许无限制地积累使用第三方网站产生的各种数据。”

不管是否巧合，欧洲正在警告美国的大型科技公司，事实上，任何与欧洲或在欧洲内部进行交易的公司，都在认真对待数据保护法。

4

当局抓捕恶意软件传播团伙

【信源】Securityweek

作为全球网络犯罪打击行动的一部分，据欧洲刑警组织上周逮捕了五名涉嫌成为网络犯罪集团成员的罗马尼亚国民，他们集中精力散播勒索软件。

据欧洲刑警组织透露，其中三人涉嫌传播CTB-Locker（Curve-Tor-Bitcoin Locker，也被称为Critroni）勒索软件，另外两人则在与美国相关的平行勒索软件调查中被捕。

此次行动被称为“Bakovia”，由罗马尼亚警方，罗马尼亚和荷兰检察机关，荷兰国家警察局，英国国家犯罪调查局，美国联邦调查局等执行，并且受到了欧洲网络犯罪中心（EC3）和联合网络犯罪行动特别工作组（J-CAT）的支持。

5

由于系统效率不高，安全专家每月浪费40个小时

【信 源】Infosecurity-magazine

大多数IT决策者认为，由于软件不足，大部分网络安全专业人员平均每周浪费10个小时。

Widmeyer调查了来自美国，英国和亚太地区的751名IT决策者的调查，其中超过三分之一的人表示，他们的团队每天至少花费三个小时的时间处理应该由更好的软件处理的任务。

这项研究进一步发现，绝大多数（88％）的受访者认为内部威胁是捍卫其组织的一个危险和日益严峻的问题。

调查结果是网络安全人员没有跟上需求。到2021年，全世界估计有350万个空缺的网络安全职位。许多网络安全专业人士的工作时间较长，以弥补效率低下和缺乏职位： IT专业人员平均每周工作52小时。

声明

本文内容由国外媒体发布，不代表本公司立场和观点。