首頁 > 安全研究 > 安全通報 > 安全簡訊

Windows Server 更新導致域控制器崩潰并重新啟動

發布時間 2024-03-22

1. Windows Server 更新導致域控制器崩潰并重新啟動


3月21日,由于 Windows Server 2016 和 Windows Server 2022 的 2024 年 3 月累積更新中引入了本地安全機構子系統服務 (LSASS) ,受影響的服務器正在凍結并重新啟動。LSASS 是一項 Windows 服務,用于執行安全策略并處理用戶登錄、訪問令牌創建和密碼更改。正如許多管理員警告的那樣,在安裝周二發布的 KB5035855 和 KB5035857 Windows Server 更新后,具有最新更新的域控制器將由于 LSASS 內存使用量增加而崩潰并重新啟動。在 Microsoft 正式承認此內存泄露問題之前,建議管理員從其域控制器卸載有問題的 Windows Server 更新。


https://www.bleepingcomputer.com/news/microsoft/new-windows-server-updates-cause-domain-controller-crashes-reboots/


2. 朝鮮 Kimsuky 網絡犯罪團伙已開始使用新策略開展活動


3月21日,據信息安全供應商 Rapid7 稱,朝鮮臭名昭著的 Kimsuky 網絡犯罪團伙已開始使用新策略開展活動。該團伙也被稱為 Black Banshee、Thallium、APT 43 和 Velvet Chollima——長期以來一直試圖從政府機構和智庫等機構獲取信息,Rapid7 不確定該團伙如何分發其最新攻擊,但確信有效負載包括有毒的 Microsoft 編譯 HTML 幫助 (CHM) 文件以及 ISO、VHD、ZIP 和 RAR 文件。CHM 文件可以包含文本、圖像和超鏈接。Kimsuky 可能對它們更感興趣,因為它們可以執行 JavaScript。Rapid7 的研究人員破解了其中一個 CHM 文件,他們認為這是 Kimsuky 的作品,并發現了“一個使用 HTML 和 ActiveX 在 Windows 計算機上執行任意命令的示例,通常用于惡意目的”。


https://www.theregister.com/2024/03/21/kimsuky_chm_file_campaign/


3. 威脅行為者利用 JETBRAINS TEAMCITY 漏洞傳播惡意軟件


3月20日,趨勢科技研究人員發現利用 JetBrains TeamCity 中最近披露的漏洞CVE-2024-27198  (CVSS 評分:9.8)和CVE-2024-27199(CVSS 評分 7.3)安全漏洞來部署多個惡意軟件的攻擊活動。CVE-2024-27198 是 TeamCity Web 組件中的一個身份驗證繞過漏洞,由替代路徑問題 ( CWE-288 ) 引起,CVSS 基本評分為 9.8(嚴重)。CVE-2024-27199是 TeamCity Web 組件中的一個身份驗證繞過漏洞,由路徑遍歷問題 ( CWE-22 ) 引起,CVSS 基本評分為 7.3(高)。這些漏洞可能使未經身份驗證的攻擊者能夠通過 HTTP(S) 訪問 TeamCity 服務器來繞過身份驗證檢查并獲得對該 TeamCity 服務器的管理控制。


https://securityaffairs.com/160823/breaking-news/jetbrains-teamcity-flaws-actively-exploited.html


4. 新的循環 DoS 攻擊可能會影響多達 30萬個系統


3月20日,一種名為“循環 DoS”的新拒絕服務攻擊針對應用層協議,可以將網絡服務配對到無限通信循環中,從而產生大量流量。該攻擊由CISPA 亥姆霍茲信息安全中心的研究人員設計,使用用戶數據報協議 (UDP),影響估計 300,000 臺主機及其網絡。此次攻擊可能是由于 UDP 協議實現中的一個漏洞(目前跟蹤為CVE-2024-2169 )造成的,該漏洞容易受到 IP 欺騙,并且不提供足夠的數據包驗證。利用該漏洞的攻擊者會創建一種自我延續的機制,該機制會無限制地產生過多的流量,并且無法阻止它,從而導致目標系統甚至整個網絡出現拒絕服務 (DoS) 情況。循環 DoS 依賴于 IP 欺騙,并且可以從發送一條消息以啟動通信的單個主機觸發。


https://www.bleepingcomputer.com/news/security/new-loop-dos-attack-may-impact-up-to-300-000-online-systems/


5. 伊朗黑客聲稱已入侵以色列的核設施


3月21日, 一個與伊朗有關的黑客組織聲稱在“匿名”黑客宣布的一起事件中破壞了以色列敏感核設施的計算機網絡,以抗議加沙戰爭。黑客聲稱從西蒙·佩雷斯·內蓋夫核研究中心竊取并發布了數千份文件,包括 PDF、電子郵件和 PowerPoint 幻燈片。這個秘密設施內有一個與以色列未公開的核武器計劃有關的核反應堆,歷史上一直是哈馬斯火箭的目標。該組織在社交媒體消息中解釋了他們的意圖,聲稱“我們不像嗜血的內塔尼亞胡和他的恐怖軍隊那樣,我們以沒有平民受到傷害的方式進行這次行動?!?盡管有這一聲明,該組織在另一條社交媒體消息中表示,它“無意進行核爆炸,但這次行動很危險,任何事情都可能發生”,同時還發布了一段描繪核爆炸和呼吁撤離人員的動畫視頻。


https://news.hitb.org/content/iranian-hackers-claim-have-breached-israeli-nuclear-facility


6. 研究人員稱 AceCryptor 惡意軟件在歐洲激增


3月21日,作為針對歐洲各地組織的活動的一部分,已經發現了涉及 AceCryptor 工具的數千個新感染,黑客混淆惡意軟件并將其植入系統而不被防病毒軟件檢測到。ESET 的研究人員花了數年時間跟蹤 AceCryptor,他們周三表示,最近的攻擊活動與之前的迭代不同,因為攻擊者擴展了內部打包的惡意代碼類型。AceCryptor 通常與名為 Remcos或 Rescoms 的惡意軟件一起使用,這是一種強大的遠程監視工具,研究人員已發現該工具多次用于針對烏克蘭的組織。除了 Remcos 和另一個熟悉的工具 SmokeLoader 之外,ESET 表示,現在還發現 AceCryptor 分發 STOP 勒索軟件和 Vidar 竊取程序等惡意軟件。ESET 根據目標國家/地區發現了一些差異。烏克蘭的攻擊使用了SmokeLoader,而波蘭、斯洛伐克、保加利亞和塞爾維亞的攻擊則使用了Remcos。 


https://therecord.media/acecryptor-malware-surge-europe-remcos

上一篇 下一篇