Aggregator

Better Auth 库中发现账户接管漏洞影响用户安全

HackerNews
9 months 2 weeks ago
HackerNews 编译,转载请注明出处: 在 Better Auth 库中发现了一个关键的安全漏洞,Better Auth 是一个流行的 TypeScript 身份验证框架。该漏洞可能允许攻击者绕过安全措施并潜在地接管用户账户。 该漏洞存在于 trustedOrigins 保护功能中,该功能旨在将重定向限制为受信任的网站。然而,发现了一种绕过方法,允许攻击者利用此功能将用户重定向到恶意网站。 根据安全公告:“发现了一种绕过 trustedOrigins 安全功能的方法。这适用于通配符或绝对 URL 的 trustedOrigins 配置,使受害者的网站面临开放重定向漏洞,攻击者可以通过更改 ‘callbackURL’ 参数值为攻击者拥有的网站来窃取受害者的重置密码令牌。” 攻击者可以通过开放重定向利用此漏洞,攻击者制作恶意链接并将其发送给受害者。当受害者点击链接时,他们将被重定向到攻击者控制的网站,可能允许攻击者窃取受害者的重置密码令牌并接管其账户。 该漏洞源于处理 trustedOrigins 的中间件中对回调 URL 的验证不当。攻击者可以制作恶意负载,例如: https://demo.better-auth.com/api/auth/reset-password/x?callbackURL=/ /example.com 这利用了 URL 解析的方式,允许攻击者将受害者重定向到外部域名。一旦受害者点击链接,他们的密码重置令牌将被发送到攻击者的网站,导致账户完全被攻陷。 另一种利用方法涉及库中 trustedOrigins 处理中使用的弱正则表达式模式:[^/\\]*?\.example\.com[/\\]*? 攻击者可以使用如下负载:http:attacker.com?.example.com/ 由于 : 和 ? 是 URL 中的特殊字符,浏览器将 http: 解释为 URL 方案的一部分,而不是纯文本,导致意外重定向到攻击者的网站。 Better Auth 项目已发布 1.1.21 版本来解决此漏洞。强烈建议所有 Better Auth 库的用户尽快更新到最新版本,以保护自己免受潜在攻击。   消息来源:Security Online; 本文由 HackerNews.cc 翻译整理,封面来源于网络;   转载请注明“转自 HackerNews.cc”并附上原文
hackernews

美国追回 2021 年铀金融黑客攻击中被盗的 3100 万美元

HackerNews
9 months 2 weeks ago
HackerNews 编译,转载请注明出处: 美国当局追回了 2021 年对铀金融(Uranium Finance)网络攻击中被盗的 3100 万美元加密货币,铀金融是一个基于币安智能链(Binance Smart Chain)的去中心化金融(DeFi)协议。 铀金融是一个建立在币安 BNB 链上的去中心化金融(DeFi)协议,作为自动化做市商(AMM),类似于 Uniswap。 该平台于 2021 年 4 月推出,但黑客迅速利用其智能合约中的漏洞窃取资产,导致其过早死亡,造成数百万美元的投资者损失。 区块链情报公司 TRM 实验室今天报告称,已协助纽约南区(SDNY)和国土安全调查局(HSI)圣地亚哥追踪并追回被盗资产,这是近年来最重要的追回行动之一。 “2023 年 2 月,TRM 与执法部门密切合作,仔细追踪被盗资产在多个区块链上的流动,识别关键的洗钱模式,并为执法部门提供可操作的情报,” TRM 实验室的报告中写道。 “到 2023 年 3 月,该团队已经绘制出攻击者试图模糊资金的企图,将其与 Tornado Cash 交易和跨链交换联系起来。” “因此,执法部门能够在 2025 年 2 月成功扣押 3100 万美元的未追回资金。” 被盗资金在 2021 年 4 月的两次攻击中被盗,导致超过 5370 万美元的损失。 第一次攻击发生在 2021 年 4 月 6 日,利用奖励分配系统中的漏洞,导致 140 万美元的盗窃。 黑客后来归还了 100 万美元,保留了 385,500 美元,这些资金通过 Tornado Cash 洗钱。 第二次攻击发生在 2021 年 4 月 28 日,利用铀金融交易逻辑中的单字符编码错误,使攻击者能够通过操纵余额窃取 5200 万美元。 被盗资金通过去中心化交易所洗钱,转换为各种加密货币,并在休眠钱包中存储多年。 如今,超过一半的金额已被追回,美国纽约南区要求受害者通过电子邮件 [email protected] 联系,以领取部分追回的加密货币。   消息来源:Bleeping Computer; 本文由 HackerNews.cc 翻译整理,封面来源于网络;   转载请注明“转自 HackerNews.cc”并附上原文
hackernews

勒索软件团伙利用 Paragon 分区管理器漏洞发动 BYOVD 攻击

HackerNews
9 months 2 weeks ago
HackerNews 编译,转载请注明出处: 微软发现了 Paragon 分区管理器的五个 BioNTdrv.sys 驱动程序漏洞,其中一个被勒索软件团伙利用进行零日攻击,以在 Windows 系统中获取 SYSTEM 权限。 这些易受攻击的驱动程序被用于 “自带易受攻击驱动程序”(BYOVD)攻击,威胁行为者将内核驱动程序放到目标系统上以提升权限。 “具有本地访问权限的攻击者可以利用这些漏洞提升权限或在受害者的机器上造成拒绝服务(DoS)场景,”CERT/CC 的警告中解释道。 “此外,由于攻击涉及一个微软签名的驱动程序,攻击者可以利用自带易受攻击驱动程序(BYOVD)技术来利用系统,即使未安装 Paragon 分区管理器。” 由于 BioNTdrv.sys 是内核级驱动程序,威胁行为者可以利用漏洞以与驱动程序相同的权限执行命令,绕过保护和安全软件。 微软研究人员发现了所有五个漏洞,并指出其中一个是 CVE-2025-0289,被勒索软件团伙利用进行攻击。然而,研究人员并未披露哪些勒索软件团伙将此漏洞作为零日漏洞利用。 “微软观察到威胁行为者(TAs)在 BYOVD 勒索软件攻击中利用这一弱点,特别是使用 CVE-2025-0289 来实现 SYSTEM 级权限提升,然后执行进一步的恶意代码,”CERT/CC 的公告中写道。 “Paragon Software 已经修复了这些漏洞,并且易受攻击的 BioNTdrv.sys 版本已被微软的易受攻击驱动程序阻止列表阻止。” 微软发现的 Paragon 分区管理器漏洞如下: CVE-2025-0288:由于 ‘memmove’ 函数处理不当导致的任意内核内存写入,允许攻击者写入内核内存并提升权限。 CVE-2025-0287:由于输入缓冲区中缺少对 ‘MasterLrp’ 结构的验证,导致空指针解引用,启用任意内核代码执行。 CVE-2025-0286:由于用户提供的数据长度验证不当导致的任意内核内存写入,允许攻击者执行任意代码。 CVE-2025-0285:由于未验证用户提供的数据,导致任意内核内存映射,通过操纵内核内存映射实现权限提升。 CVE-2025-0289:由于在传递给 ‘HalReturnToFirmware’ 之前未验证 ‘MappedSystemVa’ 指针,导致不安全的内核资源访问,可能会导致系统资源被攻陷。 前四个漏洞影响 Paragon 分区管理器 7.9.1 及更早版本,而 CVE-2025-0298(正在被积极利用的漏洞)影响 17 及更早版本。 建议该软件的用户升级到最新版本,其中包含 BioNTdrv.sys 版本 2.0.0,解决了上述所有漏洞。 然而,需要注意的是,即使未安装 Paragon 分区管理器的用户也并非安全无虞。BYOVD 战术并不依赖于软件在目标机器上存在。 相反,威胁行为者将易受攻击的驱动程序包含在他们自己的工具中,允许他们将其加载到 Windows 中并提升权限。 微软已更新其 “易受攻击驱动程序阻止列表”,以阻止该驱动程序在 Windows 中加载,因此用户和组织应确认保护系统已激活。 您可以通过进入 “设置”→“隐私和安全”→“Windows 安全”→“设备安全”→“核心隔离”→“微软易受攻击驱动程序阻止列表”,并确保该设置已启用,来检查阻止列表是否已启用。 Windows 易受攻击驱动程序阻止列表设置 来源:BleepingComputer Paragon Software 网站上的一则警告也指出,用户必须在今天之前升级 Paragon 硬盘管理器,因为它使用了相同的驱动程序,而该驱动程序将在今天被微软阻止。 虽然目前尚不清楚哪些勒索软件团伙正在利用 Paragon 漏洞,但 BYOVD 攻击在网络犯罪分子中越来越受欢迎,因为它允许他们轻松获得 Windows 设备的 SYSTEM 权限。 已知利用 BYOVD 攻击的威胁行为者包括 Scattered Spider、Lazarus、BlackByte 勒索软件、LockBit 勒索软件等。 因此,启用微软易受攻击驱动程序阻止列表功能非常重要,以防止易受攻击的驱动程序在您的 Windows 设备上被利用。   消息来源:Bleeping Computer; 本文由 HackerNews.cc 翻译整理,封面来源于网络;   转载请注明“转自 HackerNews.cc”并附上原文
hackernews

CVE-2024-44185 | Apple Safari Web Content denial of service (Nessus ID 211602)

Vuldb Updates
9 months 2 weeks ago
A vulnerability, which was classified as problematic, has been found in Apple Safari. This issue affects some unknown processing of the component Web Content Handler. The manipulation leads to denial of service. The identification of this vulnerability is CVE-2024-44185. The attack may be initiated remotely. There is no exploit available. It is recommended to upgrade the affected component.
vuldb.com

CVE-2024-44185 | Apple iOS/iPadOS Web Content denial of service (Nessus ID 211602)

Vuldb Updates
9 months 2 weeks ago
A vulnerability, which was classified as problematic, was found in Apple iOS and iPadOS. Affected is an unknown function of the component Web Content Handler. The manipulation leads to denial of service. This vulnerability is traded as CVE-2024-44185. It is possible to launch the attack remotely. There is no exploit available. It is recommended to upgrade the affected component.
vuldb.com

CVE-2024-44185 | Apple tvOS Web Content denial of service (Nessus ID 211602)

Vuldb Updates
9 months 2 weeks ago
A vulnerability has been found in Apple tvOS and classified as problematic. Affected by this vulnerability is an unknown functionality of the component Web Content Handler. The manipulation leads to denial of service. This vulnerability is known as CVE-2024-44185. The attack can be launched remotely. There is no exploit available. It is recommended to upgrade the affected component.
vuldb.com

CVE-2024-44185 | Apple visionOS Web Content denial of service (Nessus ID 211602)

Vuldb Updates
9 months 2 weeks ago
A vulnerability was found in Apple visionOS and classified as problematic. Affected by this issue is some unknown functionality of the component Web Content Handler. The manipulation leads to denial of service. This vulnerability is handled as CVE-2024-44185. The attack may be launched remotely. There is no exploit available. It is recommended to upgrade the affected component.
vuldb.com

CVE-2024-44206 | Apple watchOS URL Protocol behavioral workflow (Nessus ID 212176)

Vuldb Updates
9 months 2 weeks ago
A vulnerability was found in Apple watchOS. It has been classified as critical. This affects an unknown part of the component URL Protocol Handler. The manipulation leads to enforcement of behavioral workflow. This vulnerability is uniquely identified as CVE-2024-44206. It is possible to initiate the attack remotely. There is no exploit available. It is recommended to upgrade the affected component.
vuldb.com

CVE-2024-44206 | Apple macOS URL Protocol behavioral workflow (Nessus ID 212176)

Vuldb Updates
9 months 2 weeks ago
A vulnerability was found in Apple macOS. It has been declared as critical. This vulnerability affects unknown code of the component URL Protocol Handler. The manipulation leads to enforcement of behavioral workflow. This vulnerability was named CVE-2024-44206. The attack can be initiated remotely. There is no exploit available. It is recommended to upgrade the affected component.
vuldb.com

CVE-1999-0685 | Netscape Communicator 4.06/4.5/4.6/4.51/4.61 EMBED Element memory corruption (EDB-19486 / BID-618)

Vuldb Updates
9 months 2 weeks ago
A vulnerability, which was classified as critical, was found in Netscape Communicator 4.06/4.5/4.6/4.51/4.61. This affects an unknown part of the component EMBED Element Handler. The manipulation leads to memory corruption. This vulnerability is uniquely identified as CVE-1999-0685. It is possible to initiate the attack remotely. Furthermore, there is an exploit available. It is recommended to upgrade the affected component.
vuldb.com

Managed ad