FOX-IT 证实遭中间人攻击；Robot攻击现身；14亿份密码在暗网流通

周五：著名安全厂商 FOX-IT证实遭中间人攻击

位于荷兰的著名安全厂商 Fox-IT （Fox-IT 公司向全球的大型企业提供IT安全管理和威胁情报服务）12月15日披露称，一小部分 Fox-IT 用户遭受不知名黑客的中间人攻击。这起安全事件发生在9月19日且持续了10小时24分钟。

Fox-IT 公司指出，一名攻击者劫持了公司的域名，随后用它以Fox-IT公司的名义获取SSL证书。之后，攻击者将域名指向受其控制的一个私有 VPS 服务器并进行了中间人攻击，劫持到本来应流向 Fox-IT 域名的流量，随后将用户重定向至真正的 Fox-IT服务器上。

攻击者总共拦截了9名用户的凭证信息以及12份文件，受影响用户数量少是因为 Fox-IT 公司在事件发生的最初5个小时内就检测到了域名劫持和中间人攻击活动并禁用了其双因素验证服务，从而有效地阻止了其它用户的登录操作以及其它关键文件和数据泄露。

Fox-IT 还快速通知受影响用户并重置了遭拦截的密码，不过遭拦截的密码不起作用是因为 Fox-IT 在登录过程中采用的是双因素验证。另外，Fox-IT 公司表示遭拦截的文件中不包含“机密”文件，也不包含敏感信息。在中间人的攻击，拦截的重要性不高的文件和数据包括一个手机号码、ClientPortal 用户的姓名和邮件地址子集，以及ClientPortal 账户名称。

消息来源：bleepingcomputer

论双因素验证的重要性

周三：史上最大规模密码泄露事件，14亿份密码在暗网流通

黑客总是第一个发现最薄弱的环节并迅速获得访问用户网络账户的权限。网民在多家服务中复用同样的密码让黑客有机会使用数据泄露中收集的凭证黑进他人账户。安全公司 4iQ 发现暗网上（同时也在Torrent上发布）流传着一个新的数据库。该数据库中包含14亿明文用户名和密码！

研究人员表示这个 41 GB的庞大数据库包含14亿用户名、邮件和密码组合，它们很可能是分散的，被分到两到三个目录中。这个庞大文档最近的更新时间是今年11月底，且这些数据并非来自新的数据泄露事件，而是来自过去发生的252次数据泄露和凭证列表。

消息来源：thehackernews

强烈建议用户不要在多个平台上复用密码，或使用简单密码。

周二：Robot攻击现身

三名研究人员发现以前的RSA密码攻击的变体ROBOT攻击，能在某些情况下获得解密HTTPS 敏感流量的私钥。“ROBOT”的全称是“Blichenbacher Oracle 攻击的回归 (Return of Blichenbacher’s Oracle Threat)”，它基于差不多20多年前针对RSA 算法的Blichenbacher攻击。

Blichenbacher攻击：Blichenbacher发现，如果这个会话密钥是通过 RSA 算法加密且填充系统是 PKCS#11.5，那么攻击者就能将一个随机会话密钥发送到 TLS 服务器并询问是否有效。服务器会以“是”或“否”来回应。也就是说，通过暴力攻击，攻击者就能够测出会话密钥并解密TLS (HTTPS) 服务器和客户端（浏览器）之间的所有 HTTPS 信息。

ROBOT 攻击：目前出现的另外一个变体是 ROBOT攻击，它也是基于 TLS 创建者在1998年及以后所部署的对抗措施。研究人员表示，问题在于，TLS 标准非常复杂而很多服务器设备供应商未正确执行 TLS 标准 (RFC 5246) 的 7.4.7.1章的内容，即对抗原始Bleichenbacher 攻击的措施。

但值得注意的是：攻击者通过 ROBOT 攻击获取的并非是 TLS 服务器密钥，而是每个客户端连接的个人会话密钥。也就是说，攻击者无法访问通用解密密钥，而只是访问某个 HTTPS 会话的一次性密钥。要解密大量 HTTPS 流量，ROBOT 攻击也要投入大量计算能力。

消息来源：安全客

暴力攻击解密每次连接的会话密钥需要大量算力，Robot攻击实施起来并非易事。但仍建议启用最新TLS协议，并使用全面支持TLS标准的服务器设备。

周一：多款惠普笔记本电脑中发现内置键盘记录器

研究员 ZwClose在推特上表示，已在多款惠普笔记本电脑中发现内置键盘记录器，目前他已公开研究成果。ZwClose指出，攻击者可通过这些键盘记录器记录消费者的每次键击并窃取敏感数据如密码、账户信息以及信用卡详情。

这个键盘记录器被指内嵌在 SynTP.sys 中，是惠普笔记本电脑 Synaptics 触摸板驱动的一部分，这导致460多款笔记本电脑机型易遭攻击。尽管这个键盘记录器组件默认禁用，但黑客可通过公开可获取的开源工具绕过用户账户控制 (UAC) “设置一个注册表键值”来启用。

研究员ZwClose在上个月将这个键盘记录器组件问题告知惠普，后者证实了键盘记录器的存在，不过表示它实际上只是不小心留下的“一个调试痕迹”，目前已删除。

惠普在安全公告中指出，某些 Synaptics 触摸板驱动中出现一个潜在的安全漏洞，影响所有使用Synaptics的设备，并指出这个键盘记录器是一个潜在的安全隐患，需要获取管理员权限才能利用这个漏洞。 Synaptics 或惠普均未利用这个问题访问消费者数据”。

这并非惠普笔记本电脑中第一次存在键盘记录器，早在今年5月份，一款惠普音频驱动中就被指存在内置键盘记录器，会静默记录所有的用户键击并将它们存储在可读文件中。

消息来源：thehackernews

官方称“纯属第二次失误”

关于沃通

沃通WoTrus专注数字证书行业十余年,是工信部许可的电子认证服务机构，致力于PKI技术研究和产品应用，为构建安全可信的互联网环境，持续提供全球信任的SSL证书、代码签名证书等数字证书产品，以及互联网安全应用产品。