火絨安全周報：Petya隻為破壞不為牟利 微軟承認源代碼泄露

本周，代號為"Petya"的勒索病毒肆虐全球，根據外國媒體報道，俄羅斯石油公司Rosneft、烏克蘭國家儲蓄銀行和政府係統都受到了攻擊，僅俄、烏兩國就有80多家公司被該病毒感染，就連烏克蘭副總理的電腦也不幸中招。其他受影響的國家包括英國、印度、荷蘭、西班牙、丹麥等。

經火絨實驗室深度分析，由於病毒作者精心設計製作了傳播、破壞的功能模塊，勒索贖金的模塊卻製作粗糙、漏洞百出。我們認為Petya不是傳統的勒索病毒，而是披著勒索病毒外衣的反社會人格的惡性病毒，就像當年臭名昭著的CIH等惡性病毒一樣，損人不利己，以最大範圍的傳播和攻擊破壞電腦係統為目的。

針對Petya勒索病毒火絨實驗室也發布了詳細分析報告以及科普問答，有興趣的朋友可以進入火絨官方網站或微信公眾號等平台查看。

近日，BetaArchive網站上出現了大量的微軟源代碼，足有1.2TB。微軟公司公開承認此事，並稱這些文件源於和合作夥伴及oem廠商源代碼分享計劃的一部分，不屬於核心代碼。安全專家表示，微軟用戶對此不必恐慌，但微軟應對此次的泄露審查並加強防範。

PatchGuard內核保護係統可有效的防止內核模式驅動改動任何內容並防禦第三方代碼。但是，來自CyberArk的安全研究人員近期發現，利用IntelCPU的功能，可以繞過PatchGuard進行攻擊。CyberArk此前曾向微軟報告了此發現，但微軟表示，他們可能會在常規bug修複周期中修複該發現，但不會將GhostHook視為安全漏洞。

近日，一名為neex的白帽子在HackerOne平台上報了FFmpeg的漏洞，該漏洞利用FFmpeg的HLS播放列表處理方式，可導致本地文件曝光。Google，Yahoo，Youtube等門戶、視聽網站以及支持流轉碼服務的業務也被曝出存在該漏洞。火絨實驗室建議，黑客可利用此漏洞讀取本地任意文件，危害較大，國內支持流轉碼的網站應迅速排查，將FFmpeg升級至最新版本。