首頁 > 安全研究 > 安全通報 > 安全簡訊

微軟遠程注冊表客戶端漏洞CVE-2024-43532公開

發布時間 2024-10-24
1. 微軟遠程注冊表客戶端漏洞CVE-2024-43532公開


10月22日,針對微軟遠程注冊表客戶端的漏洞CVE-2024-43532現已公開,該漏洞利用Windows注冊表客戶端實現中的回退機制,在SMB傳輸不可用時依賴于舊傳輸協議,并降低身份驗證過程的安全性,從而控制Windows域。該漏洞影響Windows服務器版本2008至2022以及Windows 10和11。攻擊者可通過攔截NTLM身份驗證握手并將其轉發到Active Directory證書服務(ADCS)等服務,創建新的域管理員帳戶。CVE-2024-43532源于遠程注冊表客戶端在處理RPC身份驗證時的問題,當SMB傳輸不可用時,客戶端會切換到較舊的協議并使用弱身份驗證級別。Akamai研究員Stiv Kupchik于2月1日向微軟披露了該漏洞,但最初被駁回,后于6月中旬重新提交并得到確認,微軟于三個月后發布了修復程序。目前,Kupchik已發布有效的概念驗證代碼,并在No Hat安全會議上解釋了利用過程。Akamai的報告還提供了檢測易受攻擊的機器和監視特定RPC調用的方法。


https://www.bleepingcomputer.com/news/security/exploit-released-for-new-windows-server-winreg-ntlm-relay-attack/


2. Gophish工具包被濫用于制作針對俄語片區用戶的RAT木馬


10月22日,Gophish這一開源網絡釣魚工具包正被不法分子利用,以制作并傳播DarkCrystal RAT(DCRat)和PowerRAT等遠程訪問木馬,主要目標是俄語片區用戶,包括俄羅斯及其周邊國家如烏克蘭、白俄羅斯、哈薩克斯坦、烏茲別克斯坦和阿塞拜疆。Gophish原本被設計用于組織測試網絡釣魚防御能力,但攻擊者卻借此制作偽裝成Yandex Disk鏈接和VK社交網絡頁面的網絡釣魚郵件。這些郵件誘導用戶下載包含DCRat或PowerRAT惡意木馬的Microsoft Word文檔或嵌入JavaScript的HTML文件。一旦受害者打開文檔并啟用宏,就會觸發惡意Visual Basic (VB)腳本,進而下載并執行HTA文件和PowerShell加載器。這些腳本包含PowerRAT的base64編碼數據塊,解碼后在受害者機器上執行。除了系統偵察,該惡意軟件還會收集驅動器序列號并連接到俄羅斯遠程服務器接收指令。若未獲響應,則執行嵌入的PowerShell腳本。DCRat作為一種模塊化惡意軟件,能竊取數據、捕獲屏幕截圖和擊鍵,提供遠程控制,并下載執行其他文件。


https://thehackernews.com/2024/10/gophish-framework-used-in-phishing.html


3. Grandoreiro銀行木馬:全球金融威脅持續升級


10月22日,卡巴斯基實驗室最近發布的一份報告顯示,Grandoreiro銀行木馬已成為全球重大金融威脅。該木馬起源于巴西,自2016年以來一直活躍,旨在竊取銀行憑證并繞過安全措施。盡管執法部門已努力打擊,但Grandoreiro的攻擊范圍已顯著擴大,現已針對45個國家的1700家銀行和276個加密貨幣錢包,顯示出其真正的全球威脅性。在西班牙,Grandoreiro造成的經濟損失估計達350萬歐元,但報告指出其可能帶來的利潤超過1.1億歐元。Grandoreiro木馬不斷創新策略,使用域生成算法創建新的命令和控制服務器,采用密文竊取加密增加分析難度,并引入沙盒規避技術如跟蹤鼠標移動以模仿合法用戶交互,欺騙反欺詐系統。其模塊化特性允許多個操作員創建針對特定地區或金融機構的碎片化版本。自2022年以來,卡巴斯基觀察到該木馬創建了較小、較輕的版本,專注于較少的目標,特別是在墨西哥。Grandoreiro通常以惡意軟件即服務的形式運行,其傳播受到控制,只有值得信賴的合作伙伴才能訪問源代碼。


https://securityonline.info/1700-banks-45-countries-grandoreiro-trojan-expands-its-reach/


4. 黑客利用gRPC協議在Docker API上部署加密貨幣挖礦程序


10月22日,Trend Micro 研究人員發現了一種新型網絡攻擊手段,攻擊者利用 Docker 遠程 API 服務器上的 gRPC 協議(通過 h2c 明文 HTTP/2)來部署 SRBMiner 加密貨幣挖礦程序,目標是挖掘 Ripple Labs 開發的 XRP 加密貨幣。攻擊流程始于掃描易受攻擊的 Docker API 服務器,隨后檢查其可用性和版本,并發送 gRPC/h2c 升級請求以遠程操縱 Docker 功能而不被發現。一旦建立控制,攻擊者便使用合法基礎映像構建 Docker 映像,在 /usr/sbin 目錄中部署挖礦程序,并從 GitHub 下載惡意軟件。他們還提供了 Ripple 錢包地址以收集挖出的加密貨幣。此次攻擊之所以令人擔憂,是因為使用 h2c 上的 gRPC 協議可繞過安全層,使安全工具難以檢測到加密礦工的部署。這表明網絡犯罪分子的策略在不斷演變,他們正在尋找創新方法來利用 Docker 等容器化環境。因此,保護 Docker 遠程 API 和監控異?;顒幼兊糜葹橹匾?。


https://securityonline.info/cryptojacking-alert-hackers-exploit-grpc-and-http-2-to-deploy-miners/


5. CISA將Microsoft SharePoint漏洞列為已知被利用漏洞


10月23日,美國網絡安全和基礎設施安全局(CISA)已將Microsoft SharePoint的一個反序列化漏洞CVE-2024-38094(CVSS v4評分:7.2)納入其已知被利用漏洞(KEV)目錄中。該漏洞允許擁有站點所有者權限的攻擊者通過SharePoint Server注入并執行任意代碼。據微軟公告,此漏洞源于SharePoint Server Search組件的輸入驗證錯誤,使得未經身份驗證的用戶也能通過發送特制HTTP請求來利用漏洞,進而在服務器上執行任意代碼,可能接管整個系統。根據具有約束力的操作指令22-01,要求聯邦機構(FCEB)必須在規定截止日期前解決已發現的漏洞,以保護網絡免受目錄中漏洞的攻擊。CISA特別要求聯邦機構在2024年11月12日前修復此SharePoint漏洞。同時,專家也建議私人組織審查CISA的漏洞目錄,并及時解決其基礎設施中存在的相應漏洞,以確保網絡安全。


https://securityaffairs.com/170157/security/u-s-cisa-adds-microsoft-sharepoint-flaw-known-exploited-vulnerabilities-catalog.html


6. 北非電子競技平臺ESNA用戶數據遭黑客泄露


10月24日,在比賽前夕,名為“Shooked”的黑客于2024年10月23日在Breach Forums上泄露了北非電子競技(ESNA)平臺超過18萬名用戶的個人數據,該數據轉儲大小為3GB,并聲稱是“完整數據庫”。此次泄露發生在ESNA比賽于摩洛哥開賽的前一天。ESNA是一個旨在促進北非地區競技游戲發展的平臺,組織了包括FC25、Free Fire、街頭霸王6等熱門游戲的錦標賽。據分析,泄露的數據包含超過900萬行,但去重后唯一用戶記錄為180,000條,包括用戶身份、國家、用戶名、IP地址、時間戳、會話ID、WordPress URL和電子郵件地址等信息,但不包括密碼或財務信息。盡管如此,用戶仍被建議更改密碼以防萬一,并警惕可能由此次泄露引發的網絡釣魚攻擊。目前,ESNA組織尚未對此事作出回應,但用戶應保持警惕,以防網絡犯罪分子利用此次泄露進行惡意活動。


https://hackread.com/hackers-leak-esport-north-africa-user-record-before-tournament/

上一篇 下一篇