三星承认 Galaxy 设备可以通过剪贴板虫洞泄露密码

快速阅读: 据《The Register》最新报道，三星承认部分Galaxy设备密码以明文存储；微软修复Exchange漏洞以应对中国黑客攻击；思科发现新网络威胁组织”Toymaker”；VulnCheck称漏洞利用速度加快；MITRE发布ATT&CK v17，新增多种虚拟化及朝鲜远程办公骗局攻击技术。

三星提醒：部分Galaxy设备密码以明文存储

三星提醒用户，其部分Galaxy设备会以明文形式存储密码。一名网名为“OicitrapDraz”的用户在三星社区论坛的帖子中报告了这一问题。

“我经常从我的密码管理器复制密码，”OicitrapDraz于4月14日写道，“为什么三星的剪贴板会以明文形式保存所有内容且没有过期时间？这是一个巨大的安全问题。”

三星官方回应：

我们理解您对剪贴板行为及其可能影响敏感内容的担忧。One UI中的剪贴板历史记录是在系统层面管理的。您的关于更多控制剪贴板数据的建议——例如自动清除或排除选项——已被记录并提交给相关团队考虑。

在此期间，我们建议在需要时手动清除剪贴板历史记录，并使用安全输入方法处理敏感信息。

One UI是三星安装在其Galaxy智能手机和平板电脑上的定制Android皮肤。三星的帖子指出，这些设备的用户在将敏感信息复制到剪贴板时需要格外小心——尤其是现在攻击者知道密码和其他敏感信息可能会被获取。

— Simon Sharwood

上周，Cybernews的研究人员发现了一个开放的AWS S3桶，其中包含超过2100万张由员工监控软件供应商WorkComposer捕获的屏幕截图。

号称提供“人工智能驱动的时间跟踪和生产力分析”的WorkComposer产品可以通过包括定时截图等方法来监控员工的工作上网行为。

Cybernews在所谓的“未受保护的Amazon S3桶”中发现了数百万张这些截图。该媒体没有解释桶的安全缺陷，但可以假设它被设置为允许公共访问——这是许多组织多年来犯下的错误。

但这不是一个可原谅的错误，因为自2022年以来，亚马逊云服务默认已阻止公共访问，并建议用户检查其云存储是否对未经授权的方不可访问。

如果WorkComposer暴露了桶，那是一个大错，说明它并未遵循已知的最佳信息安全实践。

— Simon Sharwood

微软终于修补了中国黑客利用的Exchange漏洞……在2023年

微软详细说明了其安全未来计划（SFI）的进展，其中最引人注目的是，该公司终于引入了旨在关闭中国网络犯罪分子用于入侵美国政府Exchange账户的攻击途径的更改。

在其首份SFI报告中，于2024年9月发布，微软指出，其已更新Entra ID和Microsoft账户（MSA）访问令牌签名密钥流程以使用基于硬件的安全模块（HSM）。正如我们当时所注意到的，这意味着密钥管理的所有方面——生成、存储和自动访问令牌轮换——将在HSM内进行。

在上周发布的最新报告中，微软宣布已将其MSA签名服务迁移到Azure保密虚拟机（VM），并且正在将Entra ID签名服务转移到同一平台。

在其首份SFI报告中，于2024年9月发布，微软指出，其已更新Entra ID和Microsoft账户（MSA）访问令牌签名密钥流程以使用基于硬件的安全模块（HSM）。正如我们当时所注意到的，这意味着密钥管理的所有方面——生成、存储和自动访问令牌轮换——将在HSM内进行。

“这些改进中的每一个都有助于减轻我们怀疑攻击者在2023年Storm-0558攻击中使用的攻击向量，”雷德蒙德表示。

终于完成这件事了，微软，真好。

对于不熟悉Storm-0558情况的人来说，它涉及中国特工窃取微软消费者签名密钥并用其伪造访问Exchange Online账户的令牌，其中包括前商务部长吉娜·雷蒙多以及众多国务院和商务部雇员的账户。

事实证明，被美国网络安全审查委员会批评为“一连串可避免的错误”的疏忽安全实践也使微软容易受到俄罗斯网络间谍的另一场袭击，后者访问了高级主管的电子邮件账户。这些事件最终导致公司总裁布拉德·史密斯被召至国会，就雷德蒙德的安全问题作出回答。

SFI是微软对此类混乱局面的回应。

“我们在每个支柱和目标上都取得了进展，”微软在上周的更新中提到。“在28个目标中，有5个接近完成，11个取得了重大进展，其余的我们也在继续取得进展。”

旧Fortinet漏洞被新方法攻击，其补丁未能防止

信号门解决了吗？报告称记者的电话号码意外保存为特朗普官员的名字

据报道，甲骨文健康警告存在信息泄露风险的老化服务器

谷歌邮件被狡猾的网络钓鱼者重用DKIM凭据欺骗

诈骗者已经开始利用教皇弗朗西斯去世的机会

网络钓鱼者已经开始利用公众的悲痛和好奇心，试图从中获利。

Check Point指出发现了一项在线活动，诱使用户点击有关已故教皇的假新闻链接，将其重定向到一个兜售诈骗礼品卡的虚假Google页面。Check Point研究人员指出，这是一种经典骗局，旨在诱骗受害者交出个人信息或付款。

“公众的好奇心和情感反应使这些时刻成为攻击者下手的最佳时机，”Check Point的研究人员写道。

新晋初始访问代理登场

思科的塔洛斯威胁情报小组观察到一个新的初始访问代理（IAB）在企业网络中活动。

被称为“Toymaker”的这个团伙，塔洛斯首次在2023年观察到它，似乎专注于破坏公司系统并窃取凭据——然后将其出售给其他网络犯罪集团以完成任务。

根据塔洛斯的说法，Toymaker利用易受攻击的互联网暴露系统部署其自定义构建的后门，称为“LAGTOY”，用于在受感染机器上创建反向shell并执行命令。在最初的侦察、凭据盗窃和植入部署阶段后，通常在一星期内，Toymaker就会从网络中消失，除了凭据外，没有任何进一步移动或数据外泄的迹象。

塔洛斯观察到，在Toymaker离开后的几周内，专门从事双重勒索攻击的“仙人掌”勒索软件团伙出现并开始工作。

根据塔洛斯的说法，Toymaker利用易受攻击的互联网暴露系统部署其自定义构建的后门，称为“LAGTOY”，用于在受感染机器上创建反向shell并执行命令。在最初的侦察、凭据盗窃和植入部署阶段后，通常在一星期内，Toymaker就会从网络中消失，除了凭据外，没有任何进一步移动或数据外泄的迹象。

有关Toymaker的妥协指标（IOCs）和技术细节可在塔洛斯的报告中找到。

一天内多个新CVE被攻击

威胁情报公司VulnCheck发现，2025年第一季度公开披露了159个已知被利用的漏洞，其中28.3%的漏洞在披露后一天内就被利用。

报告显示，大多数快速被利用的CVE与内容管理系统和网络边缘设备有关，其次是操作系统、开源软件和服务器平台。

VulnCheck指出，2025年初的漏洞利用速度“略快于2024年”，显示了威胁行为者如何迅速利用漏洞，而防御者尚未反应。

MITRE推出ATT&CK v17

MITRE推出了其ATT&CK框架的新版本，该知识库编译了对手的战术和技术，以帮助信息安全专业人员建立防御措施。

新版17号增加了34种VMware ESXi虚拟机管理程序攻击技术，反映了MITRE所说的“虚拟化基础设施攻击的增加”。

另一个新增条目详细描述了朝鲜远程办公骗局，突出了威胁行为者如何部署远程访问工具以在敏感系统中创建隐藏后门。

电子邮件轰炸、恶意的复制粘贴使用以及绑定挂载用于隐藏恶意进程也是新增内容。

下一个主要版本ATT&CK 18预计会在10月发布。

(以上内容均由Ai生成)