首頁 > 安全研究 > 安全通報 > 安全簡訊

微軟發布11月安全更新修復3個已被利用的漏洞

發布時間 2023-11-15
1、微軟發布11月安全更新修復3個已被利用的漏洞


微軟在11月14日發布了本月的周二補丁,總計修復了58個漏洞,包括5個0day。此次修復的0day中,Windows云文件微型篩選器驅動程序提權漏洞(CVE-2023-36036)、Windows DWM核心庫提權漏洞(CVE-2023-36033)和Windows SmartScreen安全功能繞過漏洞(CVE-2023-36025)已被利用,Microsoft Office安全功能繞過漏洞(CVE-2023-36413)和ASP.NET Core拒絕服務漏洞(CVE-2023-36038)也已被公開披露。


https://www.bleepingcomputer.com/news/microsoft/microsoft-november-2023-patch-tuesday-fixes-5-zero-days-58-flaws/


2、SektorCERT披露丹麥的基礎設施遭到大規模攻擊


據11月14日報道,丹麥關鍵部門的非營利網絡安全中心SektorCERT披露,其關鍵基礎設施遭到了有史以來最大規模的網絡攻擊。第一波攻擊于5月11日發起,短暫停歇后,第二波攻擊于5月22日開始,SektorCERT于5月22日意識到這些攻擊。攻擊者利用Zyxel防火墻中的漏洞(CVE-2023-28771),入侵了22家從事能源基礎設施運營的公司。SektorCERT認為,攻擊者掌握了目標的詳細信息,很可能是通過之前未被發現的偵察活動收集的。并且這些攻擊可能是多個團伙執行的,其中至少有一個可歸因于Sandworm。


https://securityaffairs.com/154156/apt/denmark-critical-infrastructure-record-attacks.html


3、Royal已入侵至少350個目標并勒索超過2.75億美元


11月13日,FBI和CISA發布了關于勒索軟件Royal的聯合網絡安全咨詢(CSA)。該咨詢指出,自2022年9月以來,Royal已攻擊全球350多個目標,提出了超過2.75億美元的勒索要求。釣魚郵件是Royal進行初始訪問的最成功的載體之一。有跡象表明,Royal可能正在為品牌重塑和/或衍生變體做準備,勒索軟件Blacksuit具有許多與Royal相似的編碼特征。


https://www.bleepingcomputer.com/news/security/fbi-royal-ransomware-asked-350-victims-to-pay-275-million/


4、Hunters聲稱已收集Homeland公司超過200GB的數據


據媒體11月13日報道,Hunters International將美國物業管理公司Homeland添加到了其網站中。攻擊者聲稱已收集183793個文件,共204.1GB,還在網站上發布了一份文件樣本作為勒索證據。樣本文件包含租戶的出生日期、地址、年收入和租金詳細信息等個人信息。Hunters透露攻擊發生于10月26日,他們滿足Homeland的要求提供解密工具演示和泄露數據樣本后沒有收到任何回復,還表示該公司需要在11月18日之前做出回應。


https://www.databreaches.net/property-management-firm-homeland-inc-allegedly-hacked-hackers-claim-to-have-hundreds-of-thousands-of-ssn-of-tenants/


5、AhnLab檢測到利用Ddostf攻擊MySQL服務器的活動


AhnLab于11月14日稱,最近發現在MySQL服務器上安裝Ddostf的活動。DDdostf是一種DDoS bot,對特定目標執行DDoS攻擊,于2016年左右首次被發現。在可公開訪問的系統中,掃描程序會搜索使用3306/TCP端口的系統,然后執行暴力攻擊或字典攻擊,還可能訪問管理員帳戶憑據。如果系統運行的是存在漏洞的未修復版本,攻擊者可以利用漏洞來執行命令,而無需上述過程。目標系統的感染日志表明,除了Ddostf之外,目標系統上還被安裝了惡意UDF DLL。


https://asec.ahnlab.com/en/58878/


6、Cado發現針對Docker Engine API的僵尸網絡OracleIV 


11月13日,Cado披露了最近發現的一起針對公開Docker Engine API實例的新活動。在此活動中,攻擊者利用Docker容器中的錯誤配置來傳播編譯為ELF可執行文件的Python惡意軟件。該惡意軟件本身充當DDoS bot代理,能夠通過多種方法進行DoS攻擊。在新的OracleIV DDoS僵尸網絡惡意軟件中,攻擊者通過HTTP POST請求啟動對Docker API的訪問。這會觸發docker pull命令,從Dockerhub獲取指定鏡像。


https://www.cadosecurity.com/oracleiv-a-dockerised-ddos-botnet/

上一篇 下一篇