白癜风是怎么样的 http://baijiahao.baidu.com/s?id=1684414714911368070&wfr=spider&for=pc近日,明朝万达安元实验室发布了年第一期《安全通告》。该份报告收录了年1月最新的网络安全前沿新闻和最新漏洞追踪,其中重点内容包括:
网络安全前沿新闻NEW01
Google将支付万美元以结束跟踪用户位置的诉讼
Google被要求向DC支付万美元,向印第安纳州支付万美元,此前各州起诉该公司,指控该公司在未经用户明确同意的情况下跟踪用户的位置。
谷歌还被指控采用暗模式,这是一种在欺骗用户从而侵犯其隐私和在他们不知情或未确认的情况下过度共享信息行为的设计选择。
02
黑客利用窃取的银行信息诱骗受害者下载BitRAT恶意软件
Qualys安全人员观察到一种新的恶意软件活动,该软件使用从银行窃取的敏感信息作为网络钓鱼电子邮件的诱饵来投放名为BitRAT的远程访问木马。
最早该公司发现了一个数据库转储的证据,其中包含,条记录,据说这些记录是通过利用SQL注入错误获得的。
0
RaspberryRobinWorm不断进化以攻击欧洲的金融和保险部门
欧洲的金融和保险业已成为RaspberryRobin蠕虫的目标,该恶意软件在执行后继续拓展其后续利用能力的同时。还拥有反检测的机制。
RaspberryRobin,也称为QNAP蠕虫,被多个威胁行为者用作在目标网络中立足的手段。该框架通过受感染的USB驱动器和其他方法传播,最近被用于针对电信和*府部门的攻击。
04
Facebook因强迫用户接受定向广告而被DPC罚款4.14亿美元
爱尔兰数据保护委员会(DPC)已对MetaPlatforms处以.9亿欧元(约合4.14亿美元)的罚款,原因是其处理用户数据以提供个性化广告,这可能对其以广告推动的商业模式造成重大打击。
DPC的裁决意味着Meta不再被允许依赖合同——即接受其服务条款——作为处理个人数据用于行为广告的法律依据,实际上认为该公司的广告行为是非法的。
05
SpyNote再次来袭:针对金融机构的Android间谍软件
至少自2年10月以来,金融机构正成为一种名为SpyNote的新版Android恶意软件的目标,它结合了间谍软件和银行木马的特征。
SpyNote(又名SpyMax)功能丰富,具有多种功能,可以任意安装软件;收集短信、电话、视频和录音;跟踪GPS位置;甚至阻碍卸载应用程序的执行;它还遵循其他银行恶意软件的作案手法,请求访问服务的权限。
06
Rackspace确认Play勒索软件团伙对最近的违规行为负责
云服务提供商Rackspace周四证实,名为Play的勒索软件团伙对上个月的违规行为负责。
这起发生在2年12月2日的安全事件利用了一个以前未知的安全漏洞来获得对RackspaceHostedExchange电子邮件环境的初始访问权限。
07
Dridex恶意软件现在使用新的感染方法攻击macOS系统
根据最新研究,臭名昭著的Dridex银行恶意软件的一个变种已将目光投向了Apple的macOS操作系统,该操作系统使用了一种以前未记录的感染方法。
该恶意软件也被认为是GameoverZeus的继任者,它本身是另一个名为Zeus的银行木马的后续版本。以前针对Windows的Dridex活动利用网络钓鱼电子邮件发送的启用宏的MicrosoftExcel文档来部署有效负载。
08
微软揭示了4个针对macOS的勒索软件家族使用的策略
微软已经阐明了四种不同的勒索软件系列——KeRanger、FileCoder、MacRansom和EvilQuest——已知它们会影响ApplemacOS系统。
这些勒索软件系列的初始向量涉及Windows制造商所称的“用户辅助方法”,其中受害者下载并安装木马化的应用程序,或者,它也可以作为第二阶段的有效负载到达,由受感染主机上已有的恶意软件投放,或作为供应链攻击的一部分。
09
数百万辆汽车面临风险,16个主要汽车品牌发现API漏洞
影响来自16个不同制造商的数百万辆汽车的多个漏洞可能被滥用来解锁、启动和跟踪汽车,并影响车主的隐私。
这些安全漏洞存在于为讴歌、宝马、法拉利、福特、创世纪、本田、现代、英菲尼迪、捷豹、起亚、路虎、梅赛德斯-奔驰、日产、保时捷、劳斯莱斯、丰田以及软件提供动力的汽车API中来自Reviver、SiriusXM和Spireon。
10
DarkPinkAPT组织以亚太地区的*府和*方为目标
根据亚太地区进行的最新研究,亚太地区的*府和*事组织正成为高级持续威胁(APT)攻击者Drakpink的目标。
Darkpink大部分攻击都针对柬埔寨、印度尼西亚、马来西亚、菲律宾、越南以及波斯尼亚和黑塞哥维那的*事机构、*府部门和机构以及宗教和非营利组织,据报道,一次未成功的入侵是针对一个未具名的欧洲国家设在越南的发展项目机构。
11
澳大利亚医疗保健行业成为最新Gootkit恶意软件攻击的目标
Gootkit也称为Gootloader,众所周知,它采用搜索引擎优化(SEO)中*策略(又名垃圾索引)进行初始访问。它通常通过破坏和滥用合法基础设施并使用常见关键字为这些网站播种来发挥作用。
与其他同类恶意软件一样,Gootkit能够从浏览器窃取数据、执行浏览器中的对手(AitB)攻击、键盘记录、截屏和其他恶意操作。
12
推特否认黑客指控,保证泄露的用户数据不是来自其系统
推特周三表示,其调查发现“没有证据”表明在线销售的用户数据是通过利用其系统中的任何安全漏洞获得的。
这家社交媒体巨头进一步表示,该漏洞“与之前报道的事件无关,也与任何新事件无关”,并补充说没有密码被泄露。据说12月和1月发布的两个数据集是相同的,后者删除了重复的条目。
1
网络犯罪分子在恶意软件分发中使用多语言文件以躲避监视
StrRAT和Ratty等远程访问特洛伊木马以混合语言和恶意Java存档(JAR)文件的形式进行分发,再次凸显了威胁行为者如何不断寻找新的隐蔽方式。
“防御者应该同时监视‘java’和‘javaw’进程。如果这样的进程将‘-jar’作为参数,则作为参数传递的文件名应被视为JAR文件,而不管文件扩展名或Linux的输出文件命令。”
14
TikTok因违反Cookie法被法国监管机构罚款万美元
流行的短视频托管服务TikTok因违反cookie同意规则而被法国数据保护监管机构罚款万欧元(约合万美元),使其成为继亚马逊、谷歌、Meta和微软之后面临类似处罚的最新平台。
“让选择退出机制变得更加复杂实际上是在阻止用户拒绝cookie,并鼓励他们更喜欢‘全部接受’按钮的便利性,”CNIL辩称,称这违反了《法国数据保护法》。
15
微软Azure服务缺陷可能导致云资源遭到未授权访问
四种不同的MicrosoftAzure服务被发现容易受到服务器端请求伪造(SSRF)攻击,这些攻击可能被利用来获得对云资源的未授权访问。
为了减轻此类威胁,建议组织验证所有输入,确保服务器配置为仅允许必要的入站和出站流量,避免错误配置,并遵守最小特权原则(PoLP)。
16EarthBogle运动在中东和北非释放NjRAT特洛伊木马
一项名为EarthBogle的持续活动正在利用地缘*治主题的诱饵向中东和北非的受害者提供NjRAT远程访问木马。
包含木马的网络钓鱼电子邮件通常是根据受害者的兴趣定制的,其中加载了恶意附件以激活感染例程。这采用MicrosoftCabinet(CAB)存档文件的形式,其中包含用于部署下一阶段有效负载的VisualBasic脚本投放器。
17
三星GalaxyStore应用程序被发现容易受到潜在的应用程序安装和欺诈
三星的Android版GalaxyStore应用程序中披露了两个安全漏洞,本地攻击者可能会利用这些漏洞来偷偷安装任意应用程序或将潜在受害者引导至网络上的欺诈性登录页面。
这些问题被跟踪为CVE--和CVE--4,由NCCGroup发现,并于2年11月和2年12月通知了韩国财阀。三星将这些漏洞归类为中度风险,并在版本4.5.49.8中发布了修复程序。
18
WhatsApp因违反数据保护法被罚款万欧元
爱尔兰数据保护委员会(DPC)周四对Meta的WhatsApp处以万欧元的新罚款,理由是其在处理用户个人信息时违反了数据保护法。
由隐私非营利组织NOYB提起的投诉称,WhatsApp违反了规定,强迫其用户“同意处理他们的个人数据以改善服务和安全”,“使其服务的可访问性以用户接受更新了服务条款。”
19
LastPass母公司GoTo遭受数据泄露,客户的备份受到损害
LastPass所有者GoTo(前身为LogMeIn)周二透露,身份不明的威胁行为者能够在2年11月的一起事件中窃取一些客户数据的加密备份以及其中一些备份的加密密钥。
“受影响的信息因产品而异,可能包括帐户用户名、加盐和散列密码、部分多因素身份验证(MFA)设置,以及一些产品设置和许可信息。
网络安全最新漏洞追踪BUG01
微软1月多个安全漏洞
漏洞概述
年1月10日,微软发布了1月安全更新,本次更新修复了包括1个0day漏洞在内的98个安全漏洞,其中有11个漏洞评级为“严重”。
漏洞详情
本次发布的安全更新涉及.NETCore、DBuilder、MicrosoftExchangeServer、MicrosoftOffice、MicrosoftOfficeSharePoint、WindowsCryptographicServices、WindowsKernel、WindowsLayer2TunnelingProtocol、WindowsNTLM、WindowsRPCAPI、WindowsSecureSocketTunnelingProtocol(SSTP)、WindowsVirtualRegistryProvider等多个产品和组件。
本次修复的漏洞中,9个为提取漏洞,个为远程代码执行漏洞,10个为信息泄露漏洞,10个为拒绝服务漏洞,4个为安全功能绕过漏洞,以及2个欺骗漏洞。
微软本次共修复了1个被利用的0day漏洞,其中CVE--已被积极利用,CVE--已经公开披露。
CVE--:WindowsAdvancedLocalProcedureCall(ALPC)特权提升漏洞
WindowsAdvancedLocalProcedureCall(ALPC)特权提升漏洞,此漏洞的CVSSv评分为8.8,可能导致浏览器沙箱逃逸并提升权限,成功利用该漏洞可以获得SYSTEM权限,目前该漏洞已经检测到漏洞利用。
CVE--:WindowsSMBWitnessService特权提升漏洞
WindowsSMBWitnessService特权提升漏洞,此漏洞的CVSSv评分为8.8,可以通过制作恶意脚本执行对RPC主机的RPC调用,导致在服务器端提升权限,成功利用该漏洞可以执行仅限于特权帐户的RPC功能,目前该漏洞已经公开披露。
CVE--:MicrosoftSharePointServer安全功能绕过漏洞
MicrosoftSharePointServer安全功能绕过漏洞,此漏洞的CVSSv评分为5.,未经身份验证的用户可以与目标SharePoint服务器建立匿名连接来利用该漏洞。
CVE--/CVE--:MicrosoftCryptographicServices特权提升漏洞
MicrosoftCryptographicServices特权提升漏洞,此漏洞的CVSSv评分为7.8,成功利用可以获得SYSTEM权限。
CVE--:MicrosoftCryptographicServices特权提升漏洞
MicrosoftCryptographicServices特权提升漏洞,此漏洞的CVSSv评分为8.8,经过本地身份验证的用户可以将恶意数据发送到本地CSRSS服务,以将其特权从AppContainer提升到SYSTEM。
CVE--/CVE--/CVE--/CVE--6/CVE--:WindowsLayer2TunnelingProtocol(L2TP)远程代码执行漏洞
WindowsLayer2TunnelingProtocol(L2TP)远程代码执行漏洞,此漏洞的CVSSv评分均为8.1,成功利用这些漏洞需要赢得竞争条件或提前准备目标环境,未经身份验证的主机可以向RAS服务器发送恶意连接请求,导致在RAS服务器计算机上远程执行代码。
CVE--8:Windows安全套接字隧道协议(SSTP)远程代码执行漏洞
Windows安全套接字隧道协议(SSTP)远程代码执行漏洞,此漏洞的CVSSv评分为8.1,成功利用该漏洞需要赢得竞争条件,可以通过向SSTP服务器发送恶意PPTP数据包来利用该漏洞,成功利用可在服务器端远程执行代码。
CVE--:Windows安全套接字隧道协议(SSTP)远程代码执行漏洞
Windows安全套接字隧道协议(SSTP)远程代码执行漏洞,此漏洞CVSSv评分为8.1,成功利用该漏洞需要赢得竞争条件,未经身份验证的主机可以向RAS服务器发送恶意连接请求,导致在RAS服务器计算机上远程执行代码。
安全建议
目前微软已发布相关安全更新,建议受影响的用户尽快修复。
自动更新:
MicrosoftUpdate默认启用,当系统检测到可用更新时,将会自动下载更新并在下一次启动时安装。
手动更新:
1、点击“开始菜单”或按Windows快捷键,点击进入“设置”。
2、选择“更新和安全”,进入“Windows更新”。(Windows8、Windows8.1、WindowsServer以及WindowsServerR2可通过控制面板进入“Windows更新”,具体步骤为“控制面板”-“系统和安全”-“Windows更新”)
、选择“检查更新”,等待系统将自动检查并下载可用更新。
4、更新完成后重启计算机,可通过进入“Windows更新”-“查看更新历史记录”查看是否成功安装了更新。对于没有成功安装的更新,可以点击该更新名称进入微软官方更新描述链接,点击最新的SSU名称并在新链接中点击“Microsoft更新目录”,然后在新链接中选择适用于目标系统的补丁进行下载并安装。
02
JsonWebToken远程代码执行漏洞(CVE-2-)
漏洞概述
漏洞详情
JsonWebToken是一个受欢迎的开源库,用于创建、签名和验证JsonWeb令牌。
2年12月21日,node-jsonwebtoken项目发布安全公告,修复了JsonWebToken中的一个远程代码执行漏洞(CVE-2-),该漏洞的CVSSv评分最高为9.8。
JsonWebToken8.5.1及之前版本中,由于jwt.verify()函数中存在不安全的输入验证漏洞,如果能够修改jwt.verify()函数的密钥检索参数(参考readme链接中的secretOrPublicKey参数),则可以利用该漏洞在主机上写入任意文件并远程执行任意代码。
影响范围
JsonWebToken版本=8.5.1
安全建议
目前该漏洞已经修复,受影响用户可及时升级到JsonWebToken9.0.0版本。
下载链接:
