2FA, HACK VÀ VÁ
Không có trình phát âm thanh bên dưới? Nghe trực tiếp trên Soundcloud.
Với Doug Aamoth và Paul Ducklin. Nhạc giới thiệu và kết thúc bởi Edith Mudge.
Bạn có thể lắng nghe chúng tôi trên Soundcloud, Podcast của Apple, Google Podcasts, Spotify, người may quần áo và bất cứ nơi nào tìm thấy podcast tốt. Hoặc chỉ cần thả URL của nguồn cấp dữ liệu RSS của chúng tôi vào podcatcher yêu thích của bạn.
ĐỌC BẢNG BIỂU
CHÓ. Thực thi mã từ xa, thực thi mã từ xa và mã 2FA trên đám mây.
Tất cả những điều đó và hơn thế nữa, trên podcast Naked Security.
[CHẾ ĐỘ ÂM NHẠC]
Chào mừng mọi người đến với podcast.
Tôi là Doug Aamoth; anh ấy là Paul Ducklin.
[Trớ trêu] Paul, hạnh phúc Ngày thực thi mã từ xa gửi bạn, bạn của tôi.
VỊT. Có vẻ như là ngày, tuần, tháng, năm, Doug.
Dù sao thì tuần này cũng có khá nhiều câu chuyện về RCE.
CHÓ. Tất nhiên…
Nhưng trước khi đi sâu vào vấn đề đó, chúng ta hãy đi sâu vào Lịch sử công nghệ phân khúc.
Tuần này, vào ngày 26 tháng 1998 năm XNUMX, thế giới điện toán đã bị tàn phá bởi virus CIH, còn được gọi là SpaceFiller.
Đó SpaceFiller cái tên có lẽ thích hợp nhất.
Thay vì viết thêm mã vào cuối tệp, vốn là dấu hiệu nhận biết hoạt động độc hại, loại vi-rút này có tốc độ khoảng 1KB, thay vào đó lại lấp đầy các khoảng trống trong mã hiện có.
Virus này là một tệp thực thi của Windows, có thể lấp đầy megabyte dung lượng ổ cứng đầu tiên bằng các số 0, xóa sạch bảng phân vùng một cách hiệu quả.
Sau đó, tải trọng thứ hai sẽ cố gắng ghi vào BIOS để phá hủy nó.
Có vẻ ác ý, Paul!
Ngày này 20 năm trước! Chúng ta có thể học được gì từ virus CIH…
VỊT. Nó chắc chắn có.
Và điều thú vị là ngày 26 tháng XNUMX là ngày mà nó thực sự *không phải* là một loại virus – thời gian còn lại trong năm nó lây lan.
Và, thực sự, không chỉ, như bạn nói, nó còn cố gắng xóa sạch phần đầu tiên trên đĩa cứng của bạn…
…bạn có thể hoặc có thể khôi phục, nhưng nó đã lấy đi bảng phân vùng và thường là một phần lớn trong bảng phân bổ tệp của bạn, vì vậy chắc chắn máy tính của bạn không thể khởi động được nếu không có sự trợ giúp nghiêm túc.
Nhưng nếu nó ghi đè lên BIOS của bạn, thì nó đã cố tình ghi rác ngay gần phần khởi động của chương trình cơ sở, để khi bạn bật máy tính vào lần tiếp theo, lệnh mã máy thứ hai mà nó cố thực hiện khi bật nguồn sẽ khiến máy tính bị lỗi. treo.
Vì vậy, bạn hoàn toàn không thể khởi động máy tính của mình để khôi phục chương trình cơ sở hoặc khởi động lại chương trình cơ sở.
Và đó mới chỉ là sự khởi đầu của kỷ nguyên mà chip BIOS không còn nằm trong ổ cắm, nơi bạn có thể rút chúng ra khỏi bo mạch chủ nếu bạn biết mình đang làm gì, khởi động lại chúng và đặt chúng trở lại.
Chúng được hàn vào bo mạch chủ.
Nếu bạn thích, “Không có bộ phận nào mà người dùng có thể sử dụng được bên trong.”
Vì vậy, khá nhiều người không may mắn bị tấn công không chỉ bị xóa sạch dữ liệu và máy tính của họ không thể khởi động được về mặt vật lý mà còn không thể sửa được và về cơ bản phải đi mua bo mạch chủ mới, Doug.
CHÓ. Và loại virus này tiến bộ đến mức nào?
Có vẻ như có rất nhiều thứ mà có lẽ mọi người chưa từng thấy trước đây hoặc nó thực sự quá cực đoan.
VỊT. Ý tưởng lấp đầy không gian không phải là mới…
…vì mọi người đã học cách ghi nhớ kích thước của một số tệp hệ thống quan trọng.
Vì vậy, bạn có thể ghi nhớ, nếu bạn là người dùng DOS, kích thước của COMMAND.COM
, chỉ trong trường hợp nó tăng lên.
Hoặc bạn có thể ghi nhớ kích thước của, chẳng hạn, NOTEPAD.EXE
, và sau đó bạn có thể thỉnh thoảng nhìn lại nó và nói, “Nó không hề thay đổi; chắc là ổn thôi.”
Bởi vì, rõ ràng, với tư cách là một máy quét chống vi-rút của con người, bạn không đào sâu vào tập tin mà chỉ nhìn lướt qua nó.
Vì thế thủ thuật này khá nổi tiếng.
Điều chúng tôi chưa từng thấy trước đây là nỗ lực có tính toán và có chủ ý này không chỉ nhằm xóa sạch nội dung trên đĩa cứng của bạn (điều đó thật đáng ngạc nhiên và đáng buồn là rất phổ biến vào thời đó như một tác dụng phụ), mà thực sự là để hạ gục toàn bộ máy tính của bạn. và làm cho máy tính không thể sử dụng được.
Không thể phục hồi.
Và buộc bạn phải đến cửa hàng phần cứng và thay thế một trong các bộ phận.
CHÓ. Không vui.
Không vui vẻ gì cả!
Vì vậy, hãy nói về điều gì đó hạnh phúc hơn một chút.
Tôi muốn sao lưu Google Authenticator của mình Chuỗi mã 2FA tới Đám mây của Google…
…và tôi không có gì phải lo lắng vì chúng đã được mã hóa trong quá trình truyền tải, phải không Paul?
VỊT. Đây là một câu chuyện hấp dẫn, vì Google Authenticator được sử dụng rất rộng rãi.
Một tính năng mà nó chưa bao giờ có là khả năng sao lưu tài khoản 2FA của bạn và cái gọi là hạt giống ban đầu của chúng (những thứ giúp bạn tạo mã sáu chữ số) vào đám mây để nếu bạn mất điện thoại hoặc bạn mua điện thoại mới điện thoại, bạn có thể đồng bộ hóa chúng trở lại thiết bị mới mà không cần phải thiết lập lại mọi thứ.
Và gần đây Google đã thông báo: “Cuối cùng thì chúng tôi cũng sẽ cung cấp tính năng này”.
Tôi thấy một câu chuyện trên mạng có tiêu đề là Google Authenticator bổ sung một tính năng quan trọng được chờ đợi từ lâu sau 13 năm
Vì vậy mọi người đều vô cùng phấn khích về điều này!
[CON GÁI]
Và nó khá tiện dụng.
Việc mọi người làm là…
…bạn biết đấy, những mã QR xuất hiện cho phép bạn thiết lập hạt giống ngay từ đầu cho một tài khoản?
CHÓ. [CƯỜI] Tất nhiên, tôi luôn chụp ảnh mình.
VỊT. [GROANS] Vâng, bạn hướng máy ảnh của bạn vào nó, nó sẽ quét nó, sau đó bạn nghĩ, “Nếu tôi cần lại thì sao? Trước khi rời khỏi màn hình đó, tôi sẽ chụp một bức ảnh về nó, sau đó tôi sẽ có một bản sao lưu.”
Đừng làm thế!
Bởi vì điều đó có nghĩa là ở đâu đó trong số các email của bạn, trong số các bức ảnh của bạn, trong tài khoản đám mây của bạn, về cơ bản là một bản sao không được mã hóa của hạt giống đó.
Và đó là chìa khóa tuyệt đối cho tài khoản của bạn.
Vì vậy, nó sẽ giống như viết mật khẩu của bạn ra một tờ giấy và chụp ảnh nó – có lẽ không phải là một ý tưởng hay.
Vì vậy, việc Google xây dựng tính năng này (bạn hy vọng là an toàn) vào chương trình Authenticator của họ cuối cùng đã được nhiều người coi là một chiến thắng.
[TẠM DỪNG KỊCH]
Nhập @mysk_co (người bạn tốt của chúng tôi Tommy Mysk, người mà chúng tôi đã nói đến nhiều lần trước đây trên podcast).
Họ nhận ra, “Chắc chắn có một số loại mã hóa dành riêng cho bạn, chẳng hạn như cụm mật khẩu… tuy nhiên khi tôi đồng bộ hóa, ứng dụng không yêu cầu tôi nhập mật mã; nó không cung cấp cho tôi lựa chọn đưa một cái vào, giống như trình duyệt Chrome thực hiện khi bạn đồng bộ hóa những thứ như mật khẩu và chi tiết tài khoản.”
Và, lạ thay, @mysk_co nhận thấy rằng khi họ lấy lưu lượng TLS của ứng dụng và giải mã nó, điều sẽ xảy ra khi nó đến Google…
…có những hạt giống bên trong!
Tôi rất ngạc nhiên khi Google không tích hợp tính năng đó, “Bạn có muốn mã hóa mật khẩu này bằng mật khẩu bạn chọn để ngay cả chúng tôi cũng không thể lấy được hạt giống của bạn không?”
Bởi vì, nếu không, nếu những hạt giống đó bị rò rỉ hoặc bị đánh cắp hoặc nếu chúng bị thu giữ theo lệnh khám xét hợp pháp, bất kỳ ai lấy được dữ liệu từ đám mây của bạn sẽ có thể có những hạt giống ban đầu cho tất cả tài khoản của bạn.
Và thông thường đó không phải là cách mọi việc diễn ra.
Bạn không cần phải là một kẻ vô lại vô pháp luật mới muốn giữ bí mật những thứ như mật khẩu và hạt giống 2FA của mình với mọi người và bất kỳ ai.
Vì vậy, lời khuyên của họ, lời khuyên của @mysk_co (và tôi sẽ thứ hai về điều này) là "Đừng sử dụng tính năng đó cho đến khi Google đến dự tiệc với cụm mật khẩu mà bạn có thể thêm nếu muốn."
Điều đó có nghĩa là nội dung đó sẽ được bạn mã hóa *trước khi* nó được mã hóa để đưa vào kết nối HTTPS nhằm gửi tới Google.
Và điều đó có nghĩa là Google không thể đọc hạt giống ban đầu của bạn, ngay cả khi họ muốn.
CHÓ. Được rồi, điều tôi thích nhất trên thế giới để nói trên podcast này: chúng tôi sẽ để mắt đến điều đó.
Câu chuyện tiếp theo của chúng ta là về một công ty tên là PaperCut.
Nó cũng là về một thực thi mã từ xa.
Nhưng nó thực sự là một mẹo nhỏ đối với công ty này vì tính minh bạch quá cao.
Rất nhiều điều xảy ra trong câu chuyện này. Paul… hãy đào sâu hơn và xem chúng ta có thể tìm thấy gì.
Lỗ hổng bảo mật PaperCut đang bị tấn công – nhà cung cấp kêu gọi khách hàng vá
VỊT. Hãy để tôi làm một mea culpa tới PaperCut-the-công ty.
Khi tôi nhìn thấy dòng chữ PaperCut và sau đó tôi thấy mọi người đang nói, “Ồ, dễ bị tổn thương; thực thi mã từ xa; tấn công; kịch mạng”…
CHÓ. [CƯỜI] Tôi biết chuyện này sẽ đi đến đâu!
VỊT. … Tôi nghĩ PaperCut là một BWAIN, một lỗi có cái tên ấn tượng.
Tôi nghĩ, “Đó là một cái tên hay; Tôi cá với bạn rằng nó liên quan đến máy in và nó sẽ giống như Heartbleed, LogJam, ShellShock hoặc PrintNightmare – đó là PaperCut!”
Trên thực tế, đó chỉ là tên của công ty.
Tôi nghĩ ý tưởng này là nhằm giúp bạn cắt giảm lãng phí, chi phí không cần thiết cũng như tính không xanh trong việc sử dụng giấy của bạn, bằng cách cung cấp dịch vụ quản lý máy in trong mạng của bạn.
Việc “cắt giảm” có nghĩa là bạn đang cắt giảm chi phí của mình.
Thật không may, trong trường hợp này, điều đó có nghĩa là những kẻ tấn công có thể xâm nhập vào mạng vì có một cặp lỗ hổng được phát hiện gần đây trong các công cụ quản trị trên máy chủ của họ.
Và một trong những lỗi đó (nếu bạn muốn theo dõi thì đó là CVE-2023-27350) cho phép thực thi mã từ xa:
Lỗ hổng này có khả năng cho phép kẻ tấn công không được xác thực thực thi mã từ xa trên máy chủ ứng dụng Papercut. Điều này có thể được thực hiện từ xa và không cần phải đăng nhập.
Về cơ bản, hãy cho nó biết lệnh bạn muốn chạy và nó sẽ chạy lệnh đó cho bạn.
Tin tốt: họ đã vá cả hai lỗi này, bao gồm cả lỗi siêu nguy hiểm này.
Lỗi thực thi mã từ xa… họ đã vá vào cuối tháng 2023 năm XNUMX.
Tất nhiên, không phải ai cũng áp dụng các bản vá.
Và, lạ thay, vào giữa khoảng tháng 2023 năm XNUMX, họ nhận được báo cáo rằng có ai đó đã tham gia vào việc này.
Tôi cho rằng kẻ gian đã xem xét các bản vá, tìm ra điều gì đã thay đổi và nghĩ: “Ồ, điều đó dễ khai thác hơn chúng ta nghĩ, hãy sử dụng nó! Thật là một cách thuận tiện để vào!”
Và các cuộc tấn công bắt đầu.
Tôi tin rằng lần sớm nhất họ tìm thấy cho đến nay là ngày 14 tháng 2023 năm XNUMX.
Và vì vậy, công ty đã đi theo con đường của mình, thậm chí còn đặt một biểu ngữ trên đầu trang web của mình với nội dung: “Thông báo khẩn cấp cho khách hàng của chúng tôi: vui lòng áp dụng bản vá”.
Những kẻ lừa đảo đã hạ cánh trên đó, và nó sẽ không được tốt.
Và theo các nhà nghiên cứu mối đe dọa trong nhóm Sophos X-Ops, chúng tôi đã có bằng chứng về việc các nhóm tội phạm khác nhau đang sử dụng nó.
Vì vậy, tôi tin rằng chúng tôi đã biết về một cuộc tấn công có vẻ như đó là nhóm ransomware Clop; một vụ khác mà tôi tin là do nhóm ransomware LockBit thực hiện; và cuộc tấn công thứ ba trong đó kẻ gian lợi dụng việc khai thác để tấn công bằng tiền điện tử – nơi chúng đốt điện của bạn nhưng lại lấy đi tiền điện tử.
Và thậm chí tệ hơn, tôi vừa nhận được thông báo từ một trong những nhà nghiên cứu mối đe dọa của chúng tôi vào sáng nay [2023-04-26] rằng ai đó, Chúa phù hộ cho họ, đã quyết định rằng “vì mục đích phòng thủ và nghiên cứu học thuật”, điều thực sự quan trọng là tất cả chúng ta phải có truy cập vào tập lệnh Python 97 dòng…
…cho phép bạn khai thác điều này theo ý muốn, [IRONIC] chỉ để bạn có thể hiểu nó hoạt động như thế nào.
CHÓ. [GROAN] Aaaargh.
VỊT. Vì vậy, nếu bạn chưa vá…
CHÓ. Xin hãy nhanh lên!
Điều đó nghe có vẻ tệ!
VỊT. “Xin hãy nhanh lên”… Tôi nghĩ đó là cách diễn đạt bình tĩnh nhất, Doug.
CHÓ. Chúng ta sẽ tiếp tục quá trình thực thi mã từ xa và điểm dừng tiếp theo là Giao diện Chrome.
A ngày số 0 nhân đôi, một liên quan đến hình ảnh và một liên quan đến JavaScript, Paul.
Nhân đôi số không ngày trong Chrome và Edge – hãy kiểm tra phiên bản của bạn ngay bây giờ!
VỊT. Thật vậy, Doug.
Tôi sẽ đọc những điều này trong trường hợp bạn muốn theo dõi chúng.
Chúng tôi đã có CVE-2023-2033, và nghĩa là, theo thuật ngữ, Gõ nhầm lẫn trong V8 trong Google Chrome.
Và chúng ta có CVE-2023-2136, Tràn số nguyên trong Skia trong Google Chrome.
Để giải thích, V8 là tên của “công cụ” JavaScript mã nguồn mở, nếu bạn muốn, nằm ở cốt lõi của trình duyệt Chrome và Skia là thư viện xử lý đồ họa được dự án Chrome sử dụng để hiển thị nội dung đồ họa và HTML.
Bạn có thể tưởng tượng rằng sự cố với các lỗi có thể kích hoạt ở phần kết xuất đồ họa hoặc phần xử lý JavaScript của trình duyệt của bạn…
…đó chính là những bộ phận được thiết kế để tiêu thụ, xử lý và trình bày nội dung *đến từ các trang web không đáng tin cậy từ xa*, ngay cả khi bạn chỉ nhìn vào chúng.
Và vì vậy, chỉ cần trình duyệt chuẩn bị cho bạn xem, bạn có thể mắc phải không phải một lỗi mà là cả hai lỗi này.
Tôi hiểu rằng một trong số chúng, JavaScript, về cơ bản cung cấp khả năng thực thi mã từ xa, nơi bạn có thể khiến trình duyệt chạy mã mà lẽ ra nó không được phép.
Và cái còn lại cho phép cái thường được gọi là lối thoát hộp cát.
Vì vậy, bạn chạy mã của mình và sau đó bạn vượt ra ngoài các giới hạn được cho là hạn chế mã chạy bên trong trình duyệt.
Mặc dù các lỗi này được phát hiện riêng biệt và được vá riêng biệt vào ngày 14 tháng 2023 năm 18 và ngày 2023 tháng XNUMX năm XNUMX, bạn không thể không thắc mắc (vì chúng là số XNUMX) liệu chúng có thực sự được ai đó sử dụng kết hợp hay không.
Bởi vì bạn có thể tưởng tượng: một cho phép bạn *đột nhập* trình duyệt và cái còn lại cho phép bạn *đột nhập* trình duyệt.
Vậy là bạn đang ở trong tình huống tương tự như khi chúng ta nói chuyện gần đây về những điều đó. Ngày số 0 của Apple, trong đó một cái nằm trong WebKit, trình kết xuất trình duyệt, do đó điều đó có nghĩa là trình duyệt của bạn có thể bị hỏng khi bạn đang xem một trang…
…và cái còn lại nằm trong kernel, nơi mã trong trình duyệt có thể đột ngột nhảy ra khỏi trình duyệt và chôn vùi ngay trong phần điều khiển chính của hệ thống.
Hiện tại, chúng tôi không biết, trong các trường hợp lỗi của Chrome và Edge, liệu chúng có được sử dụng cùng nhau hay không, nhưng điều đó chắc chắn có nghĩa là rất rất đáng để kiểm tra xem các bản cập nhật tự động của bạn có thực sự được xử lý hay không!
CHÓ. Có, tôi xin lưu ý rằng tôi đã kiểm tra Microsoft Edge và nó được cập nhật tự động.
Tuy nhiên, có thể có một nút bật tắt cập nhật bị tắt theo mặc định – nếu bạn có kết nối theo đồng hồ đo, tức là nếu ISP của bạn có giới hạn hoặc nếu bạn đang sử dụng mạng di động – thì bạn sẽ không tự động nhận được các bản cập nhật trừ khi bạn chủ động bật nó lên.
Và việc chuyển đổi không có hiệu lực cho đến khi bạn khởi động lại trình duyệt của mình.
Vì vậy, nếu bạn là một trong những người luôn mở trình duyệt của mình và không bao giờ tắt hoặc khởi động lại nó, thì…
…vâng, rất đáng để kiểm tra!
Những trình duyệt đó hoạt động rất tốt với các bản cập nhật tự động, nhưng nó không phải là thứ nhất định.
VỊT. Đó là một điểm rất tốt, Doug.
Tôi đã không nghĩ về điều đó.
Nếu bạn đã tắt cài đặt kết nối được đo lường đó thì có thể bạn sẽ không nhận được bản cập nhật.
CHÓ. Được rồi, CVE từ Google hơi mơ hồ vì chúng thường đến từ bất kỳ công ty nào.
Vì vậy, Phil (một trong những độc giả của chúng tôi) đã hỏi… anh ấy nói rằng một phần của CVE nói rằng điều gì đó có thể xảy ra “thông qua một trang HTML được tạo thủ công.”
Anh ấy nói điều này vẫn còn quá mơ hồ.
Vì vậy, một phần, ông nói:
Tôi đoán là tôi nên giả sử, vì V8 là nơi có điểm yếu, JavaScript-plus-HTML, chứ không chỉ một số HTML bị hỏng, có thể giữ được con trỏ lệnh CPU không? Đúng hay sai?
Và sau đó anh ấy tiếp tục nói rằng CVE là “Cho đến giờ tôi vẫn vô dụng trong việc tìm ra manh mối về chuyện này.”
Vì thế Phil hơi bối rối, có lẽ nhiều người trong chúng ta ở đây cũng vậy.
Paul?
VỊT. Vâng, tôi nghĩ đó là một câu hỏi hay.
Tôi hiểu trong trường hợp này tại sao Google không muốn nói quá nhiều về lỗi.
Họ đang ở trong môi trường hoang dã; chúng là những ngày không; kẻ lừa đảo đã biết về chúng; chúng ta hãy thử giữ nó dưới mũ của chúng ta một thời gian.
Bây giờ, tôi đoán lý do họ vừa nói "trang HTML được tạo thủ công" không phải để gợi ý rằng chỉ riêng HTML (mã HTML "dấu ngoặc nhọn/thẻ/dấu ngoặc nhọn" phát thuần túy, nếu bạn muốn) có thể gây ra lỗi.
Tôi nghĩ điều Google đang cố gắng cảnh báo bạn là việc chỉ nhìn - duyệt "chỉ đọc" - tuy nhiên có thể khiến bạn gặp rắc rối.
Ý tưởng về một lỗi như thế này, bởi vì đó là việc thực thi mã từ xa, là: bạn nhìn xem; trình duyệt cố gắng trình bày nội dung nào đó theo cách được kiểm soát của nó; nó phải an toàn 100%.
Nhưng trong trường hợp này, nó có thể 100% *nguy hiểm*.
Và tôi nghĩ đó chính là điều họ đang muốn nói.
Và thật không may, ý tưởng “các CVE” là “vô dụng đối với tôi”, thật đáng buồn, tôi thấy điều đó thường xảy ra.
CHÓ. [CƯỜI] Bạn không đơn độc, Phil!
VỊT. Chúng chỉ là một vài câu lảm nhảm và biệt ngữ về an ninh mạng.
Ý tôi là, đôi khi, với CVE, bạn truy cập vào trang và nó chỉ thông báo: “Mã định danh lỗi này đã được bảo lưu và thông tin chi tiết sẽ được cung cấp sau”, điều này gần như tệ hơn là vô dụng. [CƯỜI]
Vì vậy, điều này thực sự đang muốn nói với bạn, theo một cách biệt ngữ, là *chỉ cần nhìn*, chỉ xem một trang web được cho là an toàn (bạn chưa chọn tải xuống bất cứ thứ gì; bạn chưa chọn tải xuống bất kỳ thứ gì). thực hiện bất cứ điều gì; bạn chưa cho phép trình duyệt lưu tệp)... chỉ quá trình chuẩn bị trang trước khi bạn nhìn thấy nó cũng có thể đủ khiến bạn gặp nguy hiểm.
Tôi nghĩ đó chính là ý nghĩa của “nội dung HTML được tạo ra”.
CHÓ. Được rồi, cảm ơn bạn rất nhiều, Paul, vì đã làm sáng tỏ điều đó.
Và cảm ơn bạn rất nhiều, Phil, vì đã gửi nó.
Nếu bạn có một câu chuyện, nhận xét hoặc câu hỏi thú vị mà bạn muốn gửi, chúng tôi rất muốn đọc nó trên podcast.
Bạn có thể gửi email tới tips@sophos.com, bạn có thể nhận xét về bất kỳ bài viết nào của chúng tôi hoặc bạn có thể đánh giá chúng tôi trên mạng xã hội: @nakedsecurity.
Đó là chương trình của chúng tôi cho ngày hôm nay; cảm ơn rất nhiều vì đã lắng nghe
Đối với Paul Ducklin, tôi là Doug Aamoth, sẽ nhắc bạn cho đến lần sau hãy…
CẢ HAI. Giữ an toàn!
[CHẾ ĐỘ ÂM NHẠC]
- Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
- PlatoAiStream. Thông minh dữ liệu Web3. Kiến thức khuếch đại. Truy cập Tại đây.
- Đúc kết tương lai với Adryenn Ashley. Truy cập Tại đây.
- nguồn: https://nakedsecurity.sophos.com/2023/04/27/s3-ep132-proof-of-concept-lets-anyone-hack-at-will/
- : có
- :là
- :không phải
- :Ở đâu
- $ LÊN
- 100% an toàn
- 13
- 14
- 1998
- 2023
- 26
- 2FA
- a
- có khả năng
- Có khả năng
- Giới thiệu
- Tuyệt đối
- học tập
- truy cập
- Theo
- Tài khoản
- Trợ Lý Giám Đốc
- hoạt động
- hoạt động
- thực sự
- thêm vào
- Thêm
- quản trị viên
- quản lý
- tiên tiến
- tư vấn
- Sau
- chống lại
- cách đây
- Tất cả
- phân bổ
- cho phép
- cô đơn
- Đã
- được rồi
- Ngoài ra
- am
- giữa
- an
- và
- công bố
- Một
- bất kì
- bất kỳ ai
- bất cứ nơi nào
- ứng dụng
- Apple
- Các Ứng Dụng
- áp dụng
- Đăng Nhập
- Tháng Tư
- APT
- LÀ
- bài viết
- AS
- At
- tấn công
- Các cuộc tấn công
- Nỗ lực
- âm thanh
- tác giả
- Tự động
- tự động
- trở lại
- sao lưu
- cờ
- Về cơ bản
- BE
- bởi vì
- được
- trước
- Bắt đầu
- được
- Tin
- phía dưới
- Đặt cược
- lớn
- Một chút
- cả hai
- Nghỉ giải lao
- trình duyệt
- trình duyệt
- Duyệt
- Bug
- lỗi
- xây dựng
- ghi
- nhưng
- mua
- by
- tính
- gọi là
- máy ảnh
- CAN
- Có thể có được
- mũ lưỡi trai
- trường hợp
- trường hợp
- Nguyên nhân
- nhất định
- chắc chắn
- kiểm tra
- đã kiểm tra
- kiểm tra
- Snacks
- sự lựa chọn
- lựa chọn
- cơ rôm
- trình duyệt chrome
- crom
- Thanh toán bù trừ
- đám mây
- cụm
- mã
- COM
- kết hợp
- Đến
- đến
- bình luận
- Chung
- công ty
- các thành phần
- máy tính
- máy tính
- nhầm lẫn
- nhầm lẫn
- liên quan
- Kết nối
- liên tục
- ăn
- nội dung
- nội dung
- điều khiển
- kiểm soát
- Tiện lợi
- Mát mẻ
- Trung tâm
- bị hỏng
- có thể
- Couple
- khóa học mơ ước
- che
- CPU
- quan trọng
- Crooks
- Cryptojacking
- khách hàng
- Cắt
- cắt
- cve
- An ninh mạng
- dữ liệu
- ngày
- Ngày
- quyết định
- Mặc định
- phòng thủ
- thiết kế
- phá hủy
- chi tiết
- thiết bị
- ĐÃ LÀM
- khác nhau
- ĐÀO
- phát hiện
- do
- làm
- Không
- làm
- thực hiện
- dont
- DOS
- xuống
- tải về
- đáng kể
- Rơi
- dễ dàng hơn
- Cạnh
- hiệu lực
- hiệu quả
- hay
- điện
- mã hóa
- mã hóa
- cuối
- đủ
- Kỷ nguyên
- thoát
- chủ yếu
- thành lập
- Ngay cả
- Mỗi
- mọi người
- tất cả mọi thứ
- bằng chứng
- kích thích
- thi hành
- thực hiện
- hiện tại
- chi phí
- Giải thích
- Khai thác
- thêm
- cực
- mắt
- hấp dẫn
- Đặc tính
- vài
- hình
- Tập tin
- Các tập tin
- điền
- đầy
- Cuối cùng
- Tìm kiếm
- Tên
- Sửa chữa
- theo
- Trong
- Buộc
- tìm thấy
- người bạn
- từ
- vui vẻ
- Đám
- nói chung
- tạo ra
- được
- nhận được
- được
- cho
- Go
- Đi
- đi
- tốt
- làm tốt lắm
- Google Chrome
- đồ họa
- tuyệt vời
- tấn
- hack
- có
- Xử lý
- tiện dụng
- Treo
- xảy ra
- vui mừng
- Cứng
- phần cứng
- mũ
- Có
- có
- he
- tiêu đề
- chảy máu
- giúp đỡ
- tại đây
- Đánh
- tổ chức
- mong
- Độ đáng tin của
- HTML
- HTTPS
- Nhân loại
- i
- ý tưởng
- định danh
- if
- hình ảnh
- hình ảnh
- quan trọng
- ấn tượng
- in
- Bao gồm
- tăng
- thay vì
- thú vị
- trong
- ISP
- IT
- ITS
- chính nó
- biệt ngữ
- JavaScript
- Việc làm
- nhảy
- chỉ
- Giữ
- Key
- Loại
- Biết
- nổi tiếng
- Họ
- một lát sau
- Nhảy qua
- LEARN
- học
- Rời bỏ
- cho phép
- Thư viện
- nằm
- Lượt thích
- Listening
- ít
- đăng nhập
- chờ đợi từ lâu
- Xem
- nhìn
- tìm kiếm
- NHÌN
- thua
- Rất nhiều
- yêu
- máy
- thực hiện
- Chủ yếu
- làm cho
- quản lý
- nhiều
- Tháng Ba
- nghĩa là
- có nghĩa
- tin nhắn
- microsoft
- Microsoft cạnh
- Tên đệm
- Might
- di động
- tháng
- chi tiết
- buổi sáng
- hầu hết
- nhiều
- Âm nhạc
- âm nhạc
- An ninh trần trụi
- Podcast bảo mật khỏa thân
- tên
- Gần
- Cần
- mạng
- Tuy nhiên
- Mới
- tin tức
- tiếp theo
- Thông thường
- không
- thông báo
- tại
- of
- off
- cung cấp
- thường
- on
- ONE
- Trực tuyến
- có thể
- mở
- mã nguồn mở
- or
- gọi món
- Nền tảng khác
- nếu không thì
- vfoXNUMXfipXNUMXhfpiXNUMXufhpiXNUMXuf
- ra
- bên ngoài
- kết thúc
- trang
- Giấy
- một phần
- các bộ phận
- bên
- Mật khẩu
- Mật khẩu
- Vá
- Các bản vá lỗi
- paul
- người
- PHIL
- điện thoại
- Hình ảnh
- Thể chất
- Những bức ảnh
- mảnh
- Nơi
- plato
- Thông tin dữ liệu Plato
- PlatoDữ liệu
- Play
- máy nghe nhạc
- xin vui lòng
- Podcast
- Podcasts
- Điểm
- có thể
- bài viết
- có khả năng
- chuẩn bị
- trình bày
- có lẽ
- Vấn đề
- quá trình
- xử lý
- chương trình
- dự án
- cho
- cung cấp
- mục đích
- đặt
- Đặt
- Python
- mã qr
- câu hỏi
- ransomware
- Đọc
- độc giả
- có thật không
- lý do
- gần đây
- Phục hồi
- xa
- vẽ
- thay thế
- Báo cáo
- nhà nghiên cứu
- Ltd
- tương ứng
- REST của
- rss
- chạy
- chạy
- an toàn
- Nói
- tương tự
- sandbox
- Lưu
- nói
- nói
- Màn
- Tìm kiếm
- Thứ hai
- Bí mật
- an toàn
- an ninh
- xem
- hạt giống
- hạt giống
- dường như
- đã xem
- phân khúc
- thu giữ
- gửi
- gửi
- nghiêm trọng
- định
- thiết lập
- một số
- Cửa hàng
- nên
- hiển thị
- Tắt
- đơn giản
- kể từ khi
- tình hình
- Kích thước máy
- kích thước
- Snap
- So
- cho đến nay
- Mạng xã hội
- một số
- một cái gì đó
- một nơi nào đó
- Soundcloud
- Không gian
- Spotify
- lan tràn
- phần mềm gián điệp
- Bắt đầu
- bắt đầu
- Bắt đầu
- ở lại
- Vẫn còn
- ăn cắp
- Dừng
- dừng lại
- Những câu chuyện
- Câu chuyện
- trình
- như vậy
- phải
- thật ngạc nhiên
- hệ thống
- bàn
- Hãy
- dùng
- Thảo luận
- nói
- nhóm
- nói
- hơn
- cảm ơn
- việc này
- Sản phẩm
- thế giới
- cung cấp their dịch
- Them
- sau đó
- Đó
- Kia là
- họ
- điều
- điều
- nghĩ
- Thứ ba
- điều này
- tuần này
- những
- nghĩ
- mối đe dọa
- thời gian
- thời gian
- TLS
- đến
- bây giờ
- bên nhau
- quá
- công cụ
- hàng đầu
- theo dõi
- giao thông
- Train
- quá cảnh
- minh bạch
- cố gắng
- kích hoạt
- rắc rối
- Quay
- kiểu
- thường
- Dưới
- hiểu
- sự hiểu biết
- không may
- độc đáo
- Cập nhật
- cập nhật
- Cập nhật
- thúc giục
- URL
- us
- Sử dụng
- sử dụng
- đã sử dụng
- người sử dang
- sử dụng
- nhà cung cấp
- rất
- xem
- Virus
- Lỗ hổng
- dễ bị tổn thương
- muốn
- Sự bảo đảm
- là
- Chất thải
- Đường..
- we
- điểm yếu
- web
- bộ web
- Website
- tuần
- TỐT
- là
- Điều gì
- khi nào
- liệu
- cái nào
- trong khi
- CHÚNG TÔI LÀ
- bất cứ ai
- tại sao
- rộng rãi
- Hoang dã
- sẽ
- cửa sổ
- lau
- với
- không có
- từ
- Công việc
- công trinh
- thế giới
- tệ hơn
- giá trị
- sẽ
- viết
- viết
- Sai
- năm
- năm
- nhưng
- bạn
- trên màn hình
- zephyrnet
- không