网络安全前沿新闻
Google被要求向 DC 支付 950 万美元,向印第安纳州支付 2000 万美元,此前各州起诉该公司,指控该公司在未经用户明确同意的情况下跟踪用户的位置。
谷歌还被指控采用暗模式,这是一种在欺骗用户从而侵犯其隐私和在他们不知情或未确认的情况下过度共享信息行为的设计选择。
黑客利用窃取的银行信息诱骗受害者下载 BitRAT 恶意软件
Qualys安全人员观察到一种新的恶意软件活动,该软件使用从银行窃取的敏感信息作为网络钓鱼电子邮件的诱饵来投放名为 BitRAT 的远程访问木马。
最早该公司发现了一个数据库转储的证据,其中包含 418,777 条记录,据说这些记录是通过利用 SQL 注入错误获得的。
Raspberry Robin Worm 不断进化以攻击欧洲的金融和保险部门
欧洲的金融和保险业已成为Raspberry Robin蠕虫的目标,该恶意软件在执行后继续拓展其后续利用能力的同时。还拥有反检测的机制。
Raspberry Robin,也称为 QNAP 蠕虫,被多个威胁行为者用作在目标网络中立足的手段。该框架通过受感染的 USB 驱动器和其他方法传播,最近被用于针对电信和政府部门的攻击。
Facebook 因强迫用户接受定向广告而被DPC罚款4.14亿美元
爱尔兰数据保护委员会 (DPC) 已 对 Meta Platforms处以 3.9 亿欧元(约合4.14 亿美元)的罚款,原因是其处理用户数据以提供个性化广告,这可能对其以广告推动的商业模式造成重大打击。
DPC 的裁决意味着 Meta 不再被允许依赖合同——即接受其服务条款——作为处理个人数据用于行为广告的法律依据,实际上认为该公司的广告行为是非法的。
SpyNote 再次来袭:针对金融机构的 Android 间谍软件
至少自 2022 年 10 月以来,金融机构正成为一种名为 SpyNote的新版 Android 恶意软件的目标,它结合了间谍软件和银行木马的特征。
SpyNote(又名 SpyMax)功能丰富,具有多种功能,可以任意安装软件;收集短信、电话、视频和录音;跟踪 GPS 位置;甚至阻碍卸载应用程序的执行;它还遵循其他银行恶意软件的作案手法,请求访问服务的权限。
Rackspace确认Play勒索软件团伙对最近的违规行为负责
云服务提供商 Rackspace 周四证实,名为 Play 的勒索软件团伙对上个月的违规行为负责。
这起发生在 2022 年 12 月 2 日的安全事件利用了一个以前未知的安全漏洞来获得对 Rackspace Hosted Exchange 电子邮件环境的初始访问权限。
Dridex 恶意软件现在使用新的感染方法攻击 macOS 系统
根据最新研究,臭名昭著的 Dridex 银行恶意软件的一个变种已将目光投向了Apple 的 macOS 操作系统,该操作系统使用了一种以前未记录的感染方法。
该恶意软件也被认为是 Gameover Zeus的继任者,它本身是另一个名为Zeus的银行木马的后续版本。以前针对Windows的Dridex 活动利用网络钓鱼电子邮件发送的启用宏的 Microsoft Excel 文档来部署有效负载。
微软揭示了4个针对macOS的勒索软件家族使用的策略
微软已经阐明了四种不同的勒索软件系列 ——KeRanger 、FileCoder、MacRansom 和 EvilQuest——已知它们会影响Apple macOS系统。
这些勒索软件系列的初始向量涉及 Windows 制造商所称的“用户辅助方法”,其中受害者下载并安装木马化的应用程序,或者,它也可以作为第二阶段的有效负载到达,由受感染主机上已有的恶意软件投放,或作为供应链攻击的一部分。
数百万辆汽车面临风险,16个主要汽车品牌发现 API 漏洞
影响来自 16 个不同制造商的数百万辆汽车的多个漏洞可能被滥用来解锁、启动和跟踪汽车,并影响车主的隐私。
这些安全漏洞存在于为讴歌、宝马、法拉利、福特、创世纪、本田、现代、英菲尼迪、捷豹、起亚、路虎、梅赛德斯-奔驰、日产、保时捷、劳斯莱斯、丰田以及软件提供动力的汽车 API 中来自 Reviver、SiriusXM 和 Spireon。
Dark Pink APT 组织以亚太地区的政府和军方为目标
根据亚太地区进行的最新研究,亚太地区的政府和军事组织正成为高级持续威胁 (APT) 攻击者Drak pink的目标。
Dark pink大部分攻击都针对柬埔寨、印度尼西亚、马来西亚、菲律宾、越南以及波斯尼亚和黑塞哥维那的军事机构、政府部门和机构以及宗教和非营利组织,据报道,一次未成功的入侵是针对一个未具名的欧洲国家设在越南的发展项目机构。
澳大利亚医疗保健行业成为最新 Gootkit 恶意软件攻击的目标
Gootkit 也称为 Gootloader, 众所周知,它采用搜索引擎优化 (SEO) 中毒策略(又名垃圾索引)进行初始访问。它通常通过破坏和滥用合法基础设施并使用常见关键字为这些网站播种来发挥作用。
与其他同类恶意软件一样,Gootkit 能够从浏览器窃取数据、执行浏览器中的对手 (AitB) 攻击、键盘记录、截屏和其他恶意操作。
推特否认黑客指控,保证泄露的用户数据不是来自其系统
推特周三表示,其调查发现“没有证据”表明在线销售的用户数据是通过利用其系统中的任何安全漏洞获得的。
这家社交媒体巨头进一步表示,该漏洞“与之前报道的事件无关,也与任何新事件无关”,并补充说没有密码被泄露。据说12月和1月发布的两个数据集是相同的,后者删除了重复的条目。
网络犯罪分子在恶意软件分发中使用多语言文件以躲避监视
StrRAT 和 Ratty 等远程访问特洛伊木马以混合语言和恶意 Java 存档 ( JAR ) 文件的形式进行分发,再次凸显了威胁行为者如何不断寻找新的隐蔽方式。
“防御者应该同时监视‘java’和‘javaw’进程。如果这样的进程将‘-jar’作为参数,则作为参数传递的文件名应被视为 JAR 文件,而不管文件扩展名或 Linux 的输出'文件'命令。”
TikTok因违反Cookie法被法国监管机构罚款 540 万美元
流行的短视频托管服务 TikTok 因违反 cookie 同意规则而被法国数据保护监管机构罚款 500 万欧元(约合 540 万美元),使其成为继亚马逊、谷歌、Meta和微软之后面临类似处罚的最新平台。
“让选择退出机制变得更加复杂实际上是在阻止用户拒绝 cookie,并鼓励他们更喜欢‘全部接受’按钮的便利性,”CNIL 辩称,称这违反了《法国数据保护法》。
微软 Azure 服务缺陷可能导致云资源遭到未授权访问
四种不同的 Microsoft Azure 服务被发现容易受到服务器端请求伪造 ( SSRF ) 攻击,这些攻击可能被利用来获得对云资源的未授权访问。
为了减轻此类威胁,建议组织验证所有输入,确保服务器配置为仅允许必要的入站和出站流量,避免错误配置,并遵守最小特权原则 ( PoLP )。
Earth Bogle 运动在中东和北非释放 NjRAT 特洛伊木马
一项名为 Earth Bogle 的持续活动正在利用地缘政治主题的诱饵向中东和北非的受害者提供 NjRAT 远程访问木马。
包含木马的网络钓鱼电子邮件通常是根据受害者的兴趣定制的,其中加载了恶意附件以激活感染例程。这采用 Microsoft Cabinet (CAB) 存档文件的形式,其中包含用于部署下一阶段有效负载的 Visual Basic 脚本投放器。
三星GalaxyStore应用程序被发现容易受到潜在的应用程序安装和欺诈
三星的 Android 版 Galaxy Store 应用程序中披露了两个安全漏洞,本地攻击者可能会利用这些漏洞来偷偷安装任意应用程序或将潜在受害者引导至网络上的欺诈性登录页面。
这些问题被跟踪为 CVE-2023-21433 和 CVE-2023-21434 ,由 NCC Group发现 ,并于 2022 年 11 月和 2022 年 12 月通知了韩国财阀。三星将这些漏洞归类为中度风险,并在版本 4.5.49.8 中发布了修复程序。
WhatsApp 因违反数据保护法被罚款 550 万欧元
爱尔兰数据保护委员会 (DPC) 周四对 Meta 的 WhatsApp 处以 550 万欧元的新罚款,理由是其在处理用户个人信息时违反了数据保护法。
由隐私非营利组织 NOYB 提起的投诉称,WhatsApp 违反了规定,强迫其用户“同意处理他们的个人数据以改善服务和安全”,“使其服务的可访问性以用户接受更新了服务条款。”
LastPass 母公司 GoTo 遭受数据泄露,客户的备份受到损害
LastPass 所有者 GoTo(前身为 LogMeIn)周二透露,身份不明的威胁行为者能够在 2022 年 11 月的一起事件中窃取一些客户数据的加密备份以及其中一些备份的加密密钥。
“受影响的信息因产品而异,可能包括帐户用户名、加盐和散列密码、部分多因素身份验证 (MFA) 设置,以及一些产品设置和许可信息。
网络安全最新漏洞追踪
微软1月多个安全漏洞
漏洞概述
2023年1月10日,微软发布了1月安全更新,本次更新修复了包括1个0 day漏洞在内的98个安全漏洞,其中有11个漏洞评级为“严重”。
漏洞详情
本次发布的安全更新涉及.NET Core、3D Builder、Microsoft Exchange Server、Microsoft Office、Microsoft Office SharePoint、Windows Cryptographic Services、Windows Kernel、Windows Layer 2 Tunneling Protocol、Windows NTLM、Windows RPC API、Windows Secure Socket Tunneling Protocol (SSTP)、Windows Virtual Registry Provider等多个产品和组件。
本次修复的漏洞中,39个为提取漏洞,33个为远程代码执行漏洞,10个为信息泄露漏洞,10个为拒绝服务漏洞,4个为安全功能绕过漏洞,以及2个欺骗漏洞。
微软本次共修复了1个被利用的0 day漏洞,其中CVE-2023-21674已被积极利用,CVE-2023-21549已经公开披露。
CVE-2023-21674:Windows Advanced Local Procedure Call (ALPC)特权提升漏洞
Windows Advanced Local Procedure Call (ALPC)特权提升漏洞,此漏洞的CVSSv3评分为8.8,可能导致浏览器沙箱逃逸并提升权限,成功利用该漏洞可以获得SYSTEM 权限,目前该漏洞已经检测到漏洞利用。
CVE-2023-21549:Windows SMB Witness Service特权提升漏洞
Windows SMB Witness Service特权提升漏洞,此漏洞的CVSSv3评分为8.8,可以通过制作恶意脚本执行对 RPC 主机的 RPC 调用,导致在服务器端提升权限,成功利用该漏洞可以执行仅限于特权帐户的 RPC功能,目前该漏洞已经公开披露。
CVE-2023-21743:Microsoft SharePoint Server 安全功能绕过漏洞
Microsoft SharePoint Server 安全功能绕过漏洞,此漏洞的CVSSv3评分为5.3,未经身份验证的用户可以与目标 SharePoint 服务器建立匿名连接来利用该漏洞。
CVE-2023-21551/CVE-2023-21730:Microsoft Cryptographic Services特权提升漏洞
Microsoft Cryptographic Services特权提升漏洞,此漏洞的CVSSv3评分为7.8,成功利用可以获得SYSTEM 权限。
CVE-2023-21561:Microsoft Cryptographic Services特权提升漏洞
Microsoft Cryptographic Services特权提升漏洞,此漏洞的CVSSv3评分为8.8,经过本地身份验证的用户可以将恶意数据发送到本地 CSRSS 服务,以将其特权从 AppContainer 提升到 SYSTEM。
CVE-2023-21556/CVE-2023-21555/CVE-2023-21543/CVE-2023-21546/CVE-2023-21679:Windows Layer 2 Tunneling Protocol (L2TP) 远程代码执行漏洞
Windows Layer 2 Tunneling Protocol (L2TP) 远程代码执行漏洞,此漏洞的CVSSv3评分均为8.1,成功利用这些漏洞需要赢得竞争条件或提前准备目标环境,未经身份验证的主机可以向RAS服务器发送恶意连接请求,导致在RAS服务器计算机上远程执行代码。
CVE-2023-21548:Windows 安全套接字隧道协议 (SSTP) 远程代码执行漏洞
Windows 安全套接字隧道协议 (SSTP) 远程代码执行漏洞,此漏洞的CVSSv3评分为8.1,成功利用该漏洞需要赢得竞争条件,可以通过向 SSTP 服务器发送恶意PPTP数据包来利用该漏洞,成功利用可在服务器端远程执行代码。
C VE-2023-21535:Windows 安全套接字隧道协议 (SSTP) 远程代码执行漏洞
Windows 安全套接字隧道协议 (SSTP) 远程代码执行漏洞,此漏洞CVSSv3评分为8.1,成功利用该漏洞需要赢得竞争条件,未经身份验证的主机可以向 RAS 服务器发送恶意连接请求,导致在RAS 服务器计算机上远程执行代码。
安全建议
目前微软已发布相关安全更新,建议受影响的用户尽快修复。
自动更新:
Microsoft Update默认启用,当系统检测到可用更新时,将会自动下载更新并在下一次启动时安装。
手动更新:
1、点击“开始菜单”或按Windows快捷键,点击进入“设置”。
2、选择“更新和安全”,进入“Windows更新”。(Windows 8、Windows 8.1、Windows Server 2012以及Windows Server 2012 R2可通过控制面板进入“Windows更新”,具体步骤为 “控制面板”->“系统和安全”->“Windows更新” )
3、选择“检查更新”,等待系统将自动检查并下载可用更新。
4、更新完成后重启计算机,可通过进入“Windows更新”->“查看更新历史记录”查看是否成功安装了更新。对于没有成功安装的更新,可以点击该更新名称进入微软官方更新描述链接,点击最新的SSU名称并在新链接中点击“Microsoft 更新目录”,然后在新链接中选择适用于目标系统的补丁进行下载并安装。
JsonWebToken远程代码执行漏洞(CVE-2022-23529)
| CVE ID | CVE-2022-23529 | 发现时间 | 2023-01-10 |
| 类 型 | 输入验证不当 | 等 级 | 高危 |
| 远程利用 | 是 | 影响范围 | |
| 攻击复杂度 | 低 | 用户交互 | 无 |
| PoC/EXP | 在野利用 |
漏洞详情
JsonWebToken是一个受欢迎的开源库,用于创建、签名和验证 Json Web 令牌。
2022年12月21日,node-jsonwebtoken项目发布安全公告,修复了JsonWebToken中的一个远程代码执行漏洞(CVE-2022-23529),该漏洞的CVSSv3评分最高为9.8。
JsonWebToken 8.5.1及之前版本中,由于jwt.verify()函数中存在不安全的输入验证漏洞,如果能够修改jwt.verify()函数的密钥检索参数(参考readme链接中的secretOrPublicKey参数),则可以利用该漏洞在主机上写入任意文件并远程执行任意代码。
影响范围
JsonWebToken版本 <= 8.5.1
安全建议
目前该漏洞已经修复,受影响用户可及时升级到JsonWebToken 9.0.0版本。
下载链接:
https://github.com/auth0/node-jsonwebtoken/tags
注:仅当允许不受信任的实体修改用户控制的主机上的jwt.verify()的密钥检索参数时,用户才会受到影响
Centos Web Panel 7远程命令执行漏洞(CVE-2022-44877)
| CVE ID | CVE-2022-44877 | 发现时间 | 2023-01-06 |
| 类 型 | 命令执行 | 等 级 | 高危 |
| 远程利用 | 是 | 影响范围 | |
| 攻击复杂度 | 低 | 用户交互 | 无 |
| PoC/EXP | 已公开 | 在野利用 |
漏洞详情
CentOS Web Panel(CWP)是一个开源的Linux控制面板软件,用于部署虚拟主机环境。
1月6日,研究人员披露了CWP7(CWP for CentOS 7)中的一个远程命令执行漏洞(CVE-2022-44877),该漏洞的PoC/EXP已公开。
Centos Web Panel 7 版本0.9.8.1147之前在/login/index.php组件中存在漏洞,可能导致在未经身份验证的情况下通过精心设计的 HTTP 请求执行任意系统命令或代码。
影响范围
Centos Web Panel 7 版本 < 0.9.8.1147
安全建议
目前该漏洞已经修复,受影响用户可升级到Centos Web Panel 7版本0.9.8.1148。
下载链接:
https://control-webpanel.com/changelog
Apache Kylin命令注入漏洞(CVE-2022-43396)
| CVE ID | CVE-2022-43396 | 发现时间 | 2023-01-03 |
| 类 型 | 命令注入 | 等 级 | 高危 |
| 远程利用 | 是 | 影响范围 | |
| 攻击复杂度 | 低 | 用户交互 | 无 |
| PoC/EXP | 在野利用 |
漏洞详情
Apache Kylin是一个开源的分布式分析引擎,旨在为Apache Hadoop提供SQL接口和多维分析(OLAP),支持超大数据集。
2022年12月30日,Apache发布安全公告,披露了Apache Kylin中的一个命令注入漏洞(CVE-2022-43396)。
该漏洞源于Apache Kylin命令注入漏洞(CVE-2022-24697)修复措施的安全绕过(黑名单绕过),恶意用户可以通过控制conf的kylin.engine.spark-cmd参数来执行命令。
影响范围
Apache Kylin版本 < 4.0.3
安全建议
目前该漏洞已经修复,Apache Kylin 2.x 、3.x 、4.x用户可及时升级到4.0.3 版本或应用补丁。
下载链接:
https://kylin.apache.org/download/
补丁链接:
https://github.com/apache/kylin/pull/2011
评论