首頁 > 安全研究 > 安全通報 > 安全簡訊

Microsoft Windows DWM 零日漏洞被大規模利用

發布時間 2024-05-16
1. Microsoft Windows DWM 零日漏洞被大規模利用


5月15日,微軟發布五月補丁更新,總共 59 個 CVE ,至少有一個眾所周知的漏洞已被大規模利用,并且確實已經被 QakBot 所使用。本月披露的缺陷影響了計算 kahuna 的整個產品組合,包括 Windows、Office、.NET Framework 和 Visual Studio;微軟365;電力商業智能;DHCP 服務器;Microsoft Edge(基于 Chromium);和 Windows 移動寬帶?;?Chromium 的 Edge 瀏覽器受到 CVE-2024-4761 的影響,這是 Google 今天修補的一個主動利用的 Chrome 零日漏洞,這是一個嚴重的沙箱逃逸錯誤,應立即修補。


https://www.darkreading.com/vulnerabilities-threats/microsoft-windows-dwm-zero-day-mass-exploit


2. 西門子 Ruggedcom Crossbow 中多個任意代碼執行漏洞


5月14日,西門子 Ruggedcom Crossbow 中發現了多個漏洞,其中最嚴重的漏洞可能允許任意代碼執行。西門子 Ruggedcom Crossbow 訪問管理解決方案旨在為工業控制系統提供網絡安全合規性。成功利用其中最嚴重的漏洞可能會允許在登錄用戶的上下文中執行任意代碼。根據與用戶關聯的權限,攻擊者可以安裝程序;查看、更改或刪除數據;或創建具有完全用戶權限的新帳戶。與具有管理用戶權限的用戶相比,其帳戶配置為在系統上擁有較少用戶權限的用戶受到的影響可能更小。受影響的系統包括Ruggedcom Crossbow 5.5 之前的版本。


https://www.cisecurity.org/advisory/multiple-vulnerabilities-in-siemens-ruggedcom-crossbow-could-allow-for-arbitrary-code-execution_2024-055


3. 佛蒙特州通過數據隱私法允許消費者起訴公司


5月14日,佛蒙特州立法機構周五通過了該國最強大的綜合數據隱私法之一,其中允許個人起訴侵犯其隱私權的公司——這是現有類似州法律中前所未有的規定。該法案包括數據最小化要求,這極大地限制了公司可以收集和使用的個人數據,并禁止公司出售消費者的敏感數據,允許個人在認為企業這樣做時提起訴訟。私人訴訟權允許個人要求他們認為侵犯其權利的公司承擔責任,而無需依賴國家當局采取行動。伊利諾伊州生物識別隱私法中包含的類似條款引發了一波指控企業瀆職的集體訴訟。佛蒙特州法案的私人訴訟權需要在兩年后重新授權,并適用于處理超過 100,000 條消費者記錄的任何企業或個人。該立法還制定了嚴格的公民權利保障措施以防止歧視。加州強大的綜合數據隱私法還允許個人起訴他們認為侵犯其權利的企業,但該條款僅適用于數據泄露,不適用于數字隱私。


https://therecord.media/vermont-passes-data-privacy-law?&web_view=true


4. Android 惡意軟件冒充 WhatsApp 等APP竊取數據


5月15日,SonicWall Capture Labs 威脅研究團隊報告稱,威脅行為者正在使用惡意 Android 應用程序來冒充 Google、Instagram、Snapchat、WhatsApp 和 X 等流行的在線服務。這些應用程序旨在從易受攻擊的 Android 手機中竊取敏感數據,包括聯系人、短信、通話記錄和密碼。這些應用程序看起來合法,因為它們使用熟悉的徽標和名稱來欺騙毫無戒心的用戶并隱藏在眾目睽睽之下。打開時,應用程序請求訪問兩個權限:Android Accessibility Service 和設備管理權限。如果受害者授予這些權限,應用程序就可以獲得設備的完全控制權。然后,惡意應用程序與黑客控制的 C2 服務器建立連接,接收附加指令。它可以讀取消息、通話記錄、訪問通知數據、發送消息、安裝惡意軟件以及打開惡意網站以進行網絡釣魚。


https://www.hackread.com/android-malware-whatsapp-instagram-snapchat-data/


5. Ebury僵尸網絡惡意軟件已感染40萬臺Linux服務器


5月14日,一個名為“Ebury”的惡意軟件僵尸網絡已感染了近 400,000 臺 Linux 服務器,截至 2023 年底,約有 100,000 臺服務器仍受到威脅。ESET 研究人員十多年來一直在跟蹤這種出于經濟動機的惡意軟件操作,并在 2014 年和 2017 年再次警告有效負載功能的重大更新。ESET 自 2009 年以來一直關注的 Ebury 感染情況,顯示感染量隨著時間的推移而增長。最近的 Ebury 攻擊表明,攻擊團伙傾向于破壞托管提供商,并對在受感染提供商上租用虛擬服務器的客戶進行供應鏈攻擊。最初的危害是通過憑證填充攻擊進行的,使用竊取的憑證登錄服務器。一旦服務器受到威脅,惡意軟件就會從wtmp 和 known_hosts 文件中竊取入站/帶外 SSH 連接列表,并竊取 SSH 身份驗證密鑰,然后使用這些密鑰嘗試登錄其他系統。 


https://www.bleepingcomputer.com/news/security/ebury-botnet-malware-infected-400-000-linux-servers-since-2009/


6. 黑客濫用 GoTo 會議工具部署 Remcos RAT


5月14日,在一次復雜的網絡攻擊活動中發現黑客利用在線會議平臺 GoToMeeting 傳播名為 Remcos 的遠程訪問木馬。這一令人震驚的發展突顯了網絡犯罪分子利用可信軟件突破安全防御并未經授權訪問受害者系統的不斷演變的策略。攻擊機制涉及操縱 GoToMeeting(一種被企業廣泛用于虛擬會議的工具)作為 Remcos RAT 的渠道。Remcos 是一種強大的惡意軟件,攻擊者可以利用它遠程控制受感染的計算機、竊取敏感信息,甚至部署其他惡意負載。攻擊者巧妙地在看似合法的 GoToMeeting 通知中偽裝了 Remcos 有效負載。毫無戒心的用戶相信這些通知是真實的,因此被誘騙在他們的系統上執行惡意軟件。一旦安裝,Remcos 就會授予攻擊者對受感染計算機的完全控制權,使他們能夠在不被發現的情況下進行間諜活動、數據盜竊和進一步的惡意活動。Remcos 的隱秘性和復雜性,加上對 GoToMeeting 的廣泛信任,使得這種攻擊特別陰險且難以應對。


https://gbhackers.com/hackers-abuse-goto-meeting-tool/

上一篇 下一篇