《安联智库-网安周报》2022-04-03

1、勒索软件攻击给软件巨头Atento造成4210万美元损失

近期，纽约一个广泛使用的在线评分和考勤系统遭到黑客攻击，这可能是美国历史上学生个人数据最大的一次曝光。犯罪分子于1月闯入Illuminate Education IT系统，并获得了约820,000名现任和前任纽约市公立学校学生个人数据的数据库的访问权限。

Illuminate Education是一家位于加利福尼亚州的纳税人资助的软件公司。该公司创建了流行的IO Classroom、Skedula和PupilPath平台，纽约市教育部使用它来跟踪成绩和出勤率。

本次的黑客攻击涉及可追溯到2016-17学年的信息，教育部于上周五宣布了该事件，事件中泄露的数据包括学生的姓名、出生日期、种族、家庭语言和学生证号码，同时还包含班级和教师的时间表以及关于学生获得免费午餐或特殊教育服务的数据。

近日，某畅销的摄像头品牌Wyze Cam被曝存在三个严重的安全漏洞，黑客利用这些漏洞可以执行任意代码，完全控制摄像头，并且访问设备中的视频资源。更糟糕的是，这些漏洞是在三年前被发现的，最后一个漏洞直到近段时间才完成修复。

这三个安全漏洞的具体信息如下：

漏洞一：CVE-2019-9564，可绕过身份安全验证；

漏洞二：CVE-2019-12266，基于堆栈的缓冲区溢出，可远程控制摄像头

漏洞三：无编号，可远程接管设备，并访问SD卡中的视频资源；

如果黑客将以上三个漏洞综合利用，那么就可以轻松绕过设备的身份验证，入侵目标摄像头，最终实现实时监控摄像头。这意味着，使用者的一举一动都会清晰的出现在黑客的视野中，再无任何的隐私。

近日，苹果发布了一个紧急安全补丁，以解决两项被积极利用以入侵iPhone、iPad和Mac的零日漏洞。

这两项漏洞均由匿名研究人员发现并报告，苹果公司表示在iOS 15.4.1、iPadOS 15.4.1和macOS Monterey 12.3.1的发布中已解决了该两项漏洞，并建议用户尽快安装安全更新。

第一项漏洞是存在于英特尔显卡驱动程序中的超权限读取问题，追踪代码为CVE-2022-22674，该漏洞允许恶意应用程序读取内核内存。

第二项漏洞是一个越界写入问题，影响AppleAVD媒体解码器，追踪代码为CVE-2022-22675。该漏洞同样允许恶意应用程序读取内核内存，从而使应用程序能够使用内核特权执行任意代码。

其实，自2022年1月以来，苹果公司已经解决了三个被积极利用的零日漏洞。1月，公司解决的两项零日漏洞追踪代码分别为CVE-2022-22587和CVE-2022-22594，攻击者可以利用其在受攻击的设备上运行任意代码。2月，解决的是WebKit中一个影响iOS、iPadOS、macOS和Safari的零日漏洞，追踪代码为CVE-2022-22620，可以通过处理恶意制作的网页内容触发，从而导致任意代码执行。