近日,明朝万达安元实验室发布了年第十一期《安全通告》。该份报告收录了年11月最新的网络安全前沿新闻和最新漏洞追踪,其中重点内容包括:
网络安全前沿新闻美国禁止销售华为、海康威视、中兴和大华设备美国政府通过联邦通信委员会(FCC)禁止销售中国电信和视频监控供应商华为、中兴、海能达、海康威视和大华的设备。
理由是联邦通信委员会通过了新规则,禁止被认为对国家安全构成不可接受风险的通信设备被授权在美国进口或销售。
勒索软件团伙攻击了比利时市政当局RagnarLocker勒索软件团伙发布了他们认为是Zwijndrecht市政府的窃取数据,但结果证明是从Zwijndrecht地方警察局窃取的。
据报道泄露的数据暴露了数千个车牌、罚款、犯罪报告文件、人员详细信息、调查报告等。
乌克兰的新型勒索软件攻击与俄罗斯Sandworm黑客有关本月首次发现针对乌克兰组织的新型勒索软件攻击与臭名昭著的俄罗斯军事威胁组织Sandworm有关。
ESET的实验室说:“本次攻击与Sandworm之前进行的攻击有相似之处:用于从域控制器分发.NET勒索软件的PowerShell脚本几乎与去年4月在Industroyer攻击能源部门的脚本相同”。
新的WindowsServer更新导致域控制器冻结、重新启动Microsoft正在检查LSASS内存泄漏(由在11月补丁发布的WindowsServer更新引起)可能导致某些域控制器冻结和重新启动。
LSASS(本地安全机构子系统服务的缩写)负责在Windows系统上实施安全策略,并处理访问令牌创建、密码更改和用户登录。如果此服务崩溃,登录用户将立即失去对计算机上Windows帐户的访问权限,并且系统会报错重启。
黑客修改流行的OpenVPNAndroid应用程序以包含间谍软件至少自年以来,与此网络间谍活动相关的威胁行为者一直在使用适用于Android的虚假VPN软件引诱受害者,该软件是合法软件SoftVPN和OpenVPN的木马化版本。
研究人员表示,该活动具有“高度针对性”,旨在窃取联系人和通话数据、设备位置以及来自多个应用程序的信息。
伪造的MSIAfterburner带有挖矿程序、信息窃取程序Windows游戏玩家和高级用户正成为伪造的MSIAfterburner下载门户的目标,用加密货币挖矿和RedLine信息窃取恶意软件感染用户。
MSIAfterburner是一个GPU实用程序,可让您配置超频、创建风扇配置文件、执行视频捕获以及监控已安装显卡的温度和CPU使用率。
Ducktail黑客现在使用WhatsApp来钓鱼Facebook广告帐户被追踪为Ducktail的网络犯罪活动一直在劫持Facebook商业账户,造成高达美元的广告信用损失。
该团伙在使用恶意软件窃取与Facebook相关的信息并劫持相关企业帐户以运行他们自己的广告。
网络犯罪团伙越来越多地采用Aurora信息窃取恶意软件网络犯罪分子越来越多地转向一种名为“Aurora”的基于Go的新型信息窃取程序,以从浏览器和加密货币应用程序中窃取敏感信息,直接从磁盘中窃取数据,并加载额外的有效负载。
Aurora受欢迎程度突然上升的原因是它的低检测率和普遍未知的状态,使得它的感染不太可能被发现。
谷歌发布条YARA规则来检测CobaltStrike攻击谷歌云威胁情报团队开源了YARA规则和VirusTotal妥协指标(IOC)集合,以帮助防御者检测其网络中的CobaltStrike组件。
CobaltStrike是自年以来合法的渗透测试工具。它被设计为一个攻击框架,供红队扫描其组织的基础设施以发现漏洞和安全漏洞。
安装量超过00万的应用程序泄露了“管理员”API密钥研究人员发现1,个移动应用程序泄露了AlgoliaAPI密钥,存在泄露敏感内部服务和存储的用户信息的风险。
在这些应用程序中,有2个暴露了管理机密,包括57个唯一的管理密钥,使攻击者能够访问敏感的用户信息或修改应用程序索引记录和设置。
美国指控BEC嫌疑人针对联邦医疗保健计划美国司法部(DOJ)指控10名被告涉嫌参与针对全国众多受害者的商业电子邮件泄露(BEC)计划,其中包括Medicare和Medicaid等美国联邦资助计划。
美国司法部表示,为了诱使目标相信付款是支付到合法账户,医院的电子邮件地址,要求公共和私人健康保险计划切换到新的银行账户(由同谋控制)来发送付款医疗服务。
Twitter源代码表明端到端加密的DM即将到来据报道Twitter正在为社交媒体平台上用户之间交换的直接消息(DM)添加端到端加密(E2EE)。
这是一项深受欢迎且需求量很大的功能,它将有助于保护私人通信免受任何人影响。
研究人员发布了Backstage预授权RCE漏洞的利用细节旧版本的SpotifyBackstage开发门户构建器容易受到严重(CVSS评分:9.8)未经身份验证的远程代码执行漏洞的影响,允许攻击者在公开暴露的系统上运行命令。
恶意代码被注入到Backstage的Scaffolder插件渲染引擎的修改函数中,在虚拟机的上下文中运行,并由调用未定义函数的错误触发。
个网站用于在品牌假冒计划中诱捕用户一个名为“Fangxiao”的恶意营利组织创建了一个包含多个网络域的庞大网络,这些网络域冒充知名品牌将用户重定向到宣传广告软件应用程序、约会网站或“免费”赠品的网站。
通常Fangxiao受害者会被重定向到用Triada木马或其他恶意软件感染他们的网站。
研究员发现Android手机绕过锁屏的方法网络安全研究员DavidSchütz意外地找到了一种方法来绕过已打好补丁的GooglePixel6和Pixel5智能手机上的锁屏,使任何可以物理访问设备的人都可以解锁它。
利用该漏洞绕过Android手机的锁屏只需简单的五步,不会超过几分钟。
新的BadBazaarAndroid恶意软件针对中国网络名为“BadBazaar”的先前未记录的Android间谍软件工具被发现针对中国的少数民族和宗教少数群体,尤其是新疆的维吾尔人。
这些应用程序在讲维吾尔语的Telegram频道上得到推广,恶意用户在这些频道中将它们作为可信赖的软件推荐给其他成员。
Worok黑客使用隐写术在PNG中隐藏新的恶意软件一个被追踪为“Worok”的威胁组织将恶意软件隐藏在PNG图像中,以在不发出警报的情况下用信息窃取恶意软件感染受害者的机器。
在Worok的案例中,Avast表示威胁行为者使用了一种称为“最低有效位(LSB)编码”的技术,该技术将小块恶意代码嵌入到图像像素的最不重要位中。
网络安全最新漏洞追踪01微软11月多个安全漏洞漏洞概述
年11月8日,微软发布了11月安全更新,本次更新修复了包括6个0day漏洞在内的68个安全漏洞,其中有11个漏洞评级为“严重”。
漏洞详情
本次发布的安全更新涉及.NETFramework、Azure、LinuxKernel、MicrosoftExchangeServer、MicrosoftOffice、WindowsHyper-V、VisualStudio、WindowsALPC、WindowsKerberos、WindowsMarkoftheWeb(MOTW)、WindowsNetworkAddressTranslation(NAT)、WindowsODBCDriver、WindowsPoint-to-PointTunnelingProtocol、WindowsPrintSpoolerComponents、WindowsScripting和WindowsWin2K等多个产品和组件。
本次修复的68个漏洞(不包括2个OpenSSL漏洞)中,27个为提取漏洞,16个为远程代码执行漏洞,11个为信息泄露漏洞,6个为拒绝服务漏洞,4个为安全功能绕过漏洞,以及个欺骗漏洞。
微软本次共修复了6个被积极利用的0day漏洞,其中CVE--已被公开披露。
CVE--:WindowsScriptingLanguages远程代码执行漏洞
WindowsScriptingLanguages远程代码执行漏洞,此漏洞的CVSS评分为8.8,影响了JScript9脚本语言和多个Windows版本,利用该漏洞需与用户交互,目前已检测到漏洞利用。
CVE--:WindowsMarkoftheWeb安全功能绕过漏洞
WindowsMarkoftheWeb安全功能绕过漏洞,此漏洞的CVSS评分为5.4,利用该漏洞需与用户交互。可以制作恶意文件来规避MarkoftheWeb(MOTW)防御,从而导致MicrosoftOffice中的受保护视图等依赖MOTW标记的安全功能受到影响。该漏洞已经公开披露,且已检测到漏洞利用。
CVE--:WindowsPrintSpooler特权提升漏洞
WindowsPrintSpooler特权提升漏洞,此漏洞的CVSS评分为7.8,影响了Windows后台打印程序,成功利用该漏洞的本地恶意用户可以获得SYSTEM权限,目前已经检测到漏洞利用。
CVE--:WindowsCNGKeyIsolationService特权提升漏洞
WindowsCNGKeyIsolationService特权提升漏洞,此漏洞的CVSS评分为7.8,影响了WindowsCNG密钥隔离服务,成功利用该漏洞的本地恶意用户可以获得SYSTEM权限,目前已经检测到漏洞利用。
CVE--:MicrosoftExchangeServer特权提升漏洞
MicrosoftExchangeServer特权提升漏洞,此漏洞的CVSS评分为8.8,微软于年9月0日首次披露该漏洞(MicrosoftExchangeProxyNotShell漏洞),成功利用该漏洞可以提升权限,并在目标系统中运行PowerShell,但必须经过身份验证,该漏洞已经检测到漏洞利用。
CVE--:MicrosoftExchangeServer远程代码执行漏洞
MicrosoftExchangeServer远程代码执行漏洞,此漏洞的CVSS评分为8.8,微软于年9月0日首次披露该漏洞(MicrosoftExchangeProxyNotShell漏洞),经过身份验证的恶意用户可以通过网络调用在服务器帐户的上下文中触发恶意代码,导致远程代码执行,该漏洞已经检测到漏洞利用。
安全建议
目前微软已发布相关安全更新,建议受影响的用户尽快修复。
自动更新:
MicrosoftUpdate默认启用,当系统检测到可用更新时,将会自动下载更新并在下一次启动时安装。
手动更新:
1、点击“开始菜单”或按Windows快捷键,点击进入“设置”。
2、选择“更新和安全”,进入“Windows更新”。(Windows8、Windows8.1、WindowsServer以及WindowsServerR2可通过控制面板进入“Windows更新”,具体步骤为“控制面板”-“系统和安全”-“Windows更新”)
、选择“检查更新”,等待系统将自动检查并下载可用更新。
4、更新完成后重启计算机,可通过进入“Windows更新”-“查看更新历史记录”查看是否成功安装了更新。对于没有成功安装的更新,可以点击该更新名称进入微软官方更新描述链接,点击最新的SSU名称并在新链接中点击“Microsoft更新目录”,然后在新链接中选择适用于目标系统的补丁进行下载并安装。
02ApacheMINASSHD反序列化漏洞(CVE--)漏洞概述
漏洞详情
ApacheMINA是一个能够帮助用户开发高性能和高可扩展性网络应用程序的框架,ApacheMINASSHD是支持客户端和服务器端的SSH协议的综合Java库。
11月15日,Apache发布安全公告,修复了ApacheMINASSHD中的一个Java反序列化漏洞(CVE--)。
ApacheMINASSHD2.9.1及之前版本中,类
org.apache.sshd.server.keyprovider.SimpleGeneratorHostKeyProvider使用不安全的Java反序列化来加载序列化的java.security.PrivateKey,当数据不可信时,可能导致代码执行。
影响范围
ApacheMINASSHD版本=2.9.1
安全建议
目前该漏洞已经修复,受影响用户可以升级到ApacheMINASSHD版本2.9.2。
下载链接: