首頁 > 安全研究 > 安全通報 > 安全周報

信息安全周報-2019年第49周

發布時間 2019-12-16

>本周安全態勢綜述


2019年12月09日至15日共收錄安全漏洞57個,值得關注的是Google Chrome WebAudio代碼執行漏洞; CA Release Automation DataManagement反序列化代碼執行漏洞;Advantech DiagAnywhere Server文件傳輸服務棧溢出漏洞;Micrsoft Windows Hyper-V遠程代碼執行漏洞;Adobe Acrobat和Reader CVE-2019-16445內存錯誤引用代碼執行漏洞。


本周值得關注的網絡安全事件是莫斯科城市監控系統訪問權限在暗網出售;科羅拉多州IT服務商CTS遭到勒索軟件攻擊;勒索軟件Snatch可通過安全模式重啟來繞過殺毒軟件;微軟警告犯罪團伙GALLIUM攻擊全球的電信公司;惡意軟件Krampus-3PC主要瞄準iphone用戶。


根據以上綜述,本周安全威脅為。


>重要安全漏洞列表


1. Google Chrome WebAudio代碼執行漏洞


Google Chrome WebAudio存在安全漏洞,允許遠程攻擊者利用漏洞提交特殊的WEB請求,可使應用程序崩潰或執行任意代碼,目前已經在野利用。

https://chromereleases.googleblog.com/2019/10/stable-channel-update-for-desktop_31.html


2. CA Release Automation DataManagement反序列化代碼執行漏洞


CA Release Automation DataManagement service存在反序列化漏洞,允許遠程攻擊者利用漏洞提交特殊的請求,可以應用程序上下文執行任意代碼。


https://seclists.org/bugtraq/2019/Dec/16


3. Advantech DiagAnywhere Server文件傳輸服務棧溢出漏洞


Advantech DiagAnywhere Server文件傳輸服務存在棧溢出漏洞,允許遠程攻擊者利用漏洞提交特殊的請求,可使應用程序崩潰或執行任意代碼。

https://www.auscert.org.au/bulletins/ESB-2019.4660/


4. Micrsoft Windows Hyper-V遠程代碼執行漏洞


Micrsoft Windows Hyper-V存在未明安全漏洞,允許遠程攻擊者利用漏洞提交特殊的請求,可使應用程序崩潰或執行任意代碼。

https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2019-1471


5. Adobe Acrobat和Reader CVE-2019-16445內存錯誤引用代碼執行漏洞


Adobe Acrobat和Reader處理內存存在釋放后使用漏洞,允許遠程攻擊者利用漏洞提交特殊的文件請求,誘使用戶解析,可使應用程序崩潰或執行任意代碼。

https://helpx.adobe.com/security/products/acrobat/apsb19-55.html


>重要安全事件綜述


1、莫斯科城市監控系統訪問權限在暗網出售



MBKh Media調查記者Andrey Kaganskikh發現莫斯科城市監控系統和面部識別數據的訪問權限正在地下論壇和聊天室中出售。Andrey表示賣方是執法人員/政府官員,可以登錄莫斯科城市監視系統的數據處理和存儲集成中心(YTKD)。購買了攝像頭權限的用戶將會收到指向城市CCTV系統的一個鏈接,該鏈接可訪問所有公共攝像頭,其可用時間為5天。此外,具有無限訪問權限的登錄憑據價格為30000盧布(470美元)。調查人員測試了其照片,賣方返回了238張圖片,這些圖片來自140臺攝像頭,還列出了捕捉到的具體地址和時間,但返回的照片都不是調查人員的,這可能與攝像頭的數量和算法有關,系統對其面部特征的評估相似度為67%。


原文鏈接:

https://www.bleepingcomputer.com/news/security/moscow-cops-sell-access-to-city-cctv-facial-recognition-data/


2、科羅拉多州IT服務商CTS遭到勒索軟件攻擊



科羅拉多州IT服務商CTS遭勒索軟件攻擊,波及100多家牙科診所。CTS專為牙科診所提供IT服務,包括網絡安全、數據備份和IP語音電話等。該公司于11月25日遭到攻擊,導致100多家牙科診所的計算機感染了勒索軟件Sodinokibi。CTS拒絕了攻擊者索要70萬美元贖金的要求,由于系統不斷中斷,目前許多牙科診所仍然無法正常營業。


原文鏈接:

https://krebsonsecurity.com/2019/12/ransomware-at-colorado-it-provider-affects-100-dental-offices/


3、勒索軟件Snatch可通過安全模式重啟來繞過殺毒軟件



勒索軟件Snatch正在使用一種前所未見的技巧來繞過殺毒軟件,具體來說,它可以將受害者的計算機以安全模式重新啟動,然后運行加密過程。大多數殺毒軟件都無法在Windows安全模式下啟動,因此Snatch難以被檢測到。根據Sophos Labs的報告,該勒索軟件通過Windows注冊表項添加了一個在安全模式下啟動的服務,該服務將運行Snatch。研究人員警告稱這種模式可能會被其它勒索軟件所模仿。Snatch自2018年夏季以來一直活躍,其主要進行針對性的攻擊。與大多數勒索軟件不同,Snatch還會竊取受感染系統上的文件。


原文鏈接:

https://www.zdnet.com/article/snatch-ransomware-reboots-pcs-in-windows-safe-mode-to-bypass-antivirus-apps/


4、微軟警告犯罪團伙GALLIUM攻擊全球的電信公司



微軟威脅情報中心(MSTIC)警告犯罪團伙GALLIUM正在針對世界各地的電信服務商進行持續不斷的攻擊。該犯罪團伙進行了多個攻擊活動,MSTIC觀察到針對東南亞、歐洲和非洲的電信運營商的攻擊。GALLIUM主要通過未打補丁的WildFly/JBoss服務器進行入侵,一旦滲透到組織的網絡中,GALLIUM便開始利用自定義的惡意軟件在企業網絡中橫向移動和收集域憑據。GALLIUM還使用SoftEther VPN軟件來增強對目標網絡的訪問和保持持久性。根據MSTIC的報告,GALLIUM的TTP和該組織使用的部分域與2018年的Operation SoftCell相同。


原文鏈接:

https://www.bleepingcomputer.com/news/security/microsoft-warns-of-gallium-threat-group-attacking-global-telcos/


5、惡意軟件Krampus-3PC主要瞄準iphone用戶



一個針對iPhone用戶的惡意廣告重定向活動已經影響了100多個出版商網站,其中包括在線報紙網站和國際每周新聞雜志網站等。根據DSO團隊的說法,該惡意軟件Krampus-3PC偽裝成雜貨店的酬賓廣告,從用戶那里收集會話和cookie信息,并且在用戶點擊廣告時重定向至一個收集個人信息的虛假網站。攻擊者首先在廣告平臺Adtechstack上投放廣告,然后利用平臺的API插入惡意代碼,這些惡意廣告隨后被分發給大量網站。Krampus-3PC會將收集到的用戶信息發送至C2域名boostsea2[.]com。目前尚不清楚攻擊者的身份。


原文鏈接:

https://threatpost.com/krampus-3pc-malware-iphone-users/151043/

上一篇 下一篇