首頁 > 安全研究 > 安全通報 > 安全簡訊

Microsoft DNS配置錯誤導致Hotmail郵件發送失敗

發布時間 2023-08-22

1、Microsoft DNS配置錯誤導致Hotmail郵件發送失敗


據媒體8月18日報道,全球范圍內的Hotmail用戶在發送電子郵件時遇到問題。在Microsoft錯誤配置域的DNS SPF記錄后,郵件被標記為垃圾郵件或未送達。該問題始于17日深夜,顯示錯誤消息“此錯誤與發件人策略框架(SPF)有關。目標郵件系統對郵件的SPF記錄的評估導致錯誤。請與您的域注冊商合作,確保您的SPF記錄配置正確”。該問題源于Microsoft刪除了hotmail.com SPF記錄中的"include:spf.protection.outlook.com"。目前,該問題已經得到解決。


https://www.bleepingcomputer.com/news/microsoft/hotmail-email-delivery-fails-after-microsoft-misconfigures-dns/


2、Ivanti Sentry中的漏洞CVE-2023-38035已被利用


據8月21日報道稱,Ivanti Sentry(以前稱為MobileIron Sentry)中的一個API身份驗證繞過漏洞(CVE-2023-38035)已被利用。未經身份驗證的攻擊者可通過MobileIron配置服務(MICS)使用的8443端口訪問管理門戶配置API,可以利用限制不足的Apache HTTPD配置繞過身份驗證控制來實現。成功利用后,攻擊者可以在運行Ivanti Sentry 9.18及更低版本的系統上更改配置、運行系統命令或寫入文件。目前供應商已發布安全更新修復此漏洞。


https://www.bleepingcomputer.com/news/security/ivanti-warns-of-new-actively-exploited-mobileiron-zero-day-bug/


3、澳大利亞auDA否認NoEscape竊取其15 GB數據的說法


媒體8月21日稱,管理澳大利亞域名.au的機構auDA否認其發生了數據泄露。該機構被視為澳大利亞關鍵基礎設施,有400多萬個域名注冊在.au上。8月11日,勒索團伙NoEscape聲稱攻擊了該機構并竊取了15 GB敏感數據,其中包括個人信息等。auDA稱他們檢查了NoEscape公開的文件,這些文件并沒有存儲在他們的系統上。并表示數據泄露的來源是一個澳大利亞個體商戶,其服務器于8月10日遭到攻擊。隨后,攻擊者批判了auDA的回應,并威脅"將出售余額超過4000美元的銀行賬戶的訪問權限"。


https://therecord.media/australia-domain-name-admin-denies-data-breach


4、ESET披露旨在竊取全球Zimbra賬戶的大規模釣魚活動


8月17日,ESET披露了針對Zimbra Collaboration電子郵件服務器的大規模釣魚活動。該活動至少從4月起就一直在進行,旨在竊取全球范圍內Zimbra賬戶的憑據。被攻擊的目標主要位于波蘭,其次是厄瓜多爾和意大利。釣魚郵件冒充Zimbra管理員,通知用戶即將進行郵件服務器更新,這將導致帳戶暫時停用,并要求收件人打開附加的HTML文件了解更多信息。打開后是一個偽造的Zimbra登錄頁面,誘使目標輸入賬戶的憑證。然后,用戶輸入的信息將通過HTTPS POST請求發送到攻擊者的服務器。


https://www.welivesecurity.com/en/eset-research/mass-spreading-campaign-targeting-zimbra-users/


5、Sysdig發現針對GitLab的挖礦和代理劫持活動LABRAT


Sysdig在8月17日稱其發現了被稱為LABRAT的加密貨幣挖掘和代理劫持活動。攻擊者利用GitLab漏洞(CVE-2021-22205)獲得對容器的初始訪問權限,還利用未被檢測到的基于簽名的工具、復雜的跨平臺惡意軟件、繞過防火墻的C2工具以及基于內核的rootkit來隱藏其存在。此外,攻擊者濫用合法服務TryCloudflare來混淆他們的C2。該活動主要通過代理劫持和加密貨幣挖礦來賺取收入。


https://sysdig.com/blog/labrat-cryptojacking-proxyjacking-campaign/


6、Rapid7發布關于2023年年中威脅態勢的回顧報告


8月17日,Rapid7發布了2023年年中威脅態勢的回顧報告。2023年上半年,研究團隊跟蹤了1500多起勒索攻擊事件,這些攻擊大部分是由LockBit(35.3%)、ALPHV/BlackCat(14.2%)和Clop(11.9%)執行的。最常見的初始訪問技術是遠程訪問,占比39%,其次是漏洞利用(27%)。40%的事件是由于MFA缺失或執行不一致導致的,尤其是在VPN、VDI和SaaS產品上。79起攻擊歸因于與國家相關的攻擊者,其中約四分之一(24%)利用了面向公眾的應用程序的漏洞。


https://www.rapid7.com/blog/post/2023/08/17/rapid7s-mid-year-threat-review/

上一篇 下一篇