联想修复安全启动问题和任意代码执行漏洞

梨花淡白柳深青，柳絮飞时花满城。

各位 Buffer 早上好，今天是 5 月 9 日星期三，农历三月廿四。今天得 BUF 早餐铺内容主要有： Synack 勒索软件利用多种高级技术躲避检测；联想修复安全启动问题和任意代码执行漏洞；罗技 Harmony Hub 中的漏洞可被用于攻击本地网络的其他设备；黑客使用初始密码，控制日本数十台摄像头；Positive Technologies 最新报告：73％ 的 ICS 工控系统易受黑客攻击；多种手机APP称可“直连央行征信”，用户面临安全风险。

安全资讯早知道，两分钟听完最新安全快讯~

以下请看详细内容：

近日，研究人员发现 SynAck 勒索软件的最新变种利用多种新颖且复杂的技术躲避检测。通常情况下，为了能够在被感染系统中存在更长的时间，攻击者通常会添加多种防御技术来识别检测工具的审查。SynAck 勒索软件就部署了“常用技术”，并为新的变种添加了 Process Doppelgänging 代码注入技术。这种技术最早出现在 Black Hat 欧洲 2017 大会上，利用这种技术的攻击方式对所有 Windows 平台都有效，而且能够攻击主流的安全产品。利用这项技术，SynAck 勒索软件能够伪装成存储在磁盘上的合法程序，最终运行恶意代码，且不会更改可能引发警报的文件。

此外，SynAck 还使用混淆技术、常见识别技术，甚至还会测试目标系统的键盘语言设置，来躲避检测。如果系统默认语言设置为西里尔文，这款软件就不会执行。[来源：Securityaffairs]

联想上周五发布了针对其 ThinkPad 系列产品和 System x 服务器产品的两个补丁。其中一个漏洞与安全启动过程中的身份验证缺陷有关；另一个漏洞则是任意代码执行漏洞。

第一个高危的安全启动漏洞（CVE-2017-3775）是联想内部测试团队发现的，受影响的有近十几个供企业使用的联想系统，包括 System x、Flex System 和一台高密度 NeXtScale nx360 M5 型服务器。在受影响的 Lenovo 服务器型号中，某些 BIOS / UEFI 版本在安全启动模式启动之前未正确验证签名代码。因此，对系统进行物理访问的攻击者可以在设备中启动未签名的恶意代码。

此外，联想的 MapDrv 实用程序中存在缓冲区溢出漏洞（CVE-2018-9063），这个程序为 System Update 提供了与网络共享相关的功能。 具有本地访问权限的管理员可以使用 MapDrv 实用程序连接或断开网络共享。但是研究人员发现，MapDrv（C：\ Program Files \ Lenovo \ System Update \ mapdrv.exe）可能被攻击者利用。攻击者会输入量级很大的用户 ID 或密码来溢出程序的缓冲区， 这会导致系统执行任意代码。不过这个漏洞影响并不太严重，因为成功利用需要管理员权限，而且不能远程利用。不过联想还是建议用户及时安装补丁，保护系统安全。[来源： Threatpost]

FireEye 红队（Red Team）的研究人员发现了罗技 Harmony Hub 物联网设备的多个漏洞，漏洞主要包括不适当的证书验证；不安全的更新过程；开发者在生产固件镜像中留下的调试标志以及空 root 密码。攻击者可以利用这些漏洞，通过 SSH 来获取设备 root 权限。