首頁 > 安全研究 > 安全通報 > 安全周報

信息安全周報-2020年第39周

發布時間 2020-09-28

> 本周安全態勢綜述


2020年09月21日至09月27日共收錄安全漏洞60個,值得關注的是Chrome storage越界讀代碼執行漏洞;Chrome Extensions策略繞過代碼執行漏洞;Chrome V8代碼執行漏洞;Chrome media數據驗證代碼執行漏洞;IBM Data Risk Manager FasterXML jackson-databind代碼執行漏洞。


本周值得關注的網絡安全事件是德國Tutanota遭到DDoS攻擊導致服務暫時中斷;Pradeo發布《手機銀行:法規、威脅和欺詐預防》白皮書;NSA發布針對遠程工作者和系統管理員的網絡安全指南;2020年Q2 DDoS攻擊的次數比去年同比增加570%;微軟稱已檢測到利用Zerologon漏洞發起的主動攻擊。


根據以上綜述,本周安全威脅為中。


重要安全漏洞列表


1.Chrome storage越界讀代碼執行漏洞


Chrome storage存在越界讀漏洞,允許遠程攻擊者利用漏洞提交特殊的WEB請求,誘使用戶解析,可使應用程序崩潰或可以應用程序上下文執行任意代碼。

https://chromereleases.googleblog.com/2020/09/stable-channel-update-for-desktop_21.html


2. Chrome Extensions策略繞過代碼執行漏洞


Chrome Extensions存在策略繞過漏洞,允許遠程攻擊者利用漏洞提交特殊的WEB請求,誘使用戶解析,可使應用程序崩潰或可以應用程序上下文執行任意代碼。

https://chromereleases.googleblog.com/2020/09/stable-channel-update-for-desktop_21.html


3.Chrome V8代碼執行漏洞


Chrome V8引擎存在越界寫漏洞,允許遠程攻擊者利用漏洞提交特殊的WEB請求,誘使用戶解析,可使應用程序崩潰或可以應用程序上下文執行任意代碼。

https://chromereleases.googleblog.com/2020/09/stable-channel-update-for-desktop_21.html


4. Chrome media數據驗證代碼執行漏洞


Chrome media存在數據驗證漏洞,允許遠程攻擊者利用漏洞提交特殊的WEB請求,誘使用戶解析,可使應用程序崩潰或可以應用程序上下文執行任意代碼。

https://chromereleases.googleblog.com/2020/09/stable-channel-update-for-desktop_21.html


5.IBM Data Risk Manager FasterXML jackson-databind代碼執行漏洞


IBM Data Risk Manager FasterXML jackson-databind存在反序列化漏洞,允許遠程攻擊者利用漏洞提交特殊的請求,可以應用程序上下文執行任意代碼。


https://www.ibm.com/support/pages/node/6335281


> 重要安全事件綜述


1、德國Tutanota遭到DDoS攻擊導致服務暫時中斷


1.jpg


德國端到端加密電子郵件服務提供商Tutanota遭到DDoS攻擊,導致服務暫時中斷數小時。首次直接針對Tutanota的DDoS攻擊發生在9月14日之前的那個周末,導致數百名用戶無法訪問服務,但該問題很快得到了解決。之后在Tutanota的服務器關閉后,黑客攻擊了托管Tutanota記錄的DNS提供程序,這使數百萬用戶無法訪問其Tutanota帳戶。目前,該公司正在嘗試更新其DNS記錄,并將它們托管在另一個提供商處。


原文鏈接:

https://www.bleepingcomputer.com/news/security/tutanota-encrypted-email-service-suffers-ddos-cyberattacks/


2、Pradeo發布《手機銀行:法規、威脅和欺詐預防》白皮書


2.jpg


Pradeo發布了《手機銀行:法規、威脅和欺詐預防》白皮書,介紹了有關移動銀行的使用、法律框架、風險以及保護移動銀行應用程序安全的解決方案(從開發到執行)的詳細信息。其中寫道,移動銀行服務迅速受到消費者的喜愛,到2019年底,74%的英國人和75%的美國人使用移動設備來管理其財務。但是研究表明,手機銀行應用往往沒有預期的那么安全,據RSA的欺詐和風險情報團隊最近收集的數據分析顯示,與手機應用相關的欺詐行為在2020年第一季度翻了一番。


原文鏈接:

https://www.helpnetsecurity.com/2020/09/21/whitepaper-mobile-banking-regulations-threats-and-fraud-prevention


3、NSA發布針對遠程工作者和系統管理員的網絡安全指南


3.jpg


美國國家安全局(NSA)發布了兩份網絡安全信息表(CSIs),為國家安全系統(NSS)和國防部(DoD)工作人員和系統管理員提供了關于在家工作期間保護網絡安全和應對事件的建議。第一份名為受損個人網絡指標和緩解措施,旨在提供有關遠程工作者如何識別和減輕其個人網絡危害的詳細信息。第二份名為執行帶外網絡管理,其向系統管理員提供了如何隔離管理流量和運營流量的信息。


原文鏈接:

https://www.securityweek.com/nsa-issues-cybersecurity-guidance-remote-workers-system-admins


4、2020年Q2 DDoS攻擊的次數比去年同比增加570%


4.png


根據Nexusguard報告,DDoS攻擊的次數與去年同期相比增加了570%。攻擊者采用了更精細的攻擊方式,以發動各種放大和基于UDP的攻擊,用流量淹沒目標網絡,這使CSP很難通過傳統的基于閾值的方法進行檢測和緩解。Nexusguard還發現了一種新的趨勢,即攻擊者采用混合攻擊媒介來發起更廣泛的基于UDP的攻擊,目的是提高CSP檢測和區分惡意流量與合法流量的難度。


原文鏈接:

https://www.helpnetsecurity.com/2020/09/23/bit-and-piece-ddos-attacks-increased-570-in-q2-2020/


5、微軟稱已檢測到利用Zerologon漏洞發起的主動攻擊


5.png


微軟安全情報團隊表示,其已檢測到利用Zerologon漏洞(CVE-2020-1472 )發起的主動攻擊。自荷蘭安全公司Secura BV在9月14日披露了有關Zerologon漏洞的詳細信息后,已有多個武器化的PoC開發代碼在網上公開。微軟并沒有公布有關此次攻擊的細節,但是發布了用于攻擊的文件散列。因此安全專家就建議,那些域名控制器暴露的公司應盡快讓系統離線,以便對其進行補丁。


原文鏈接:

https://www.zdnet.com/article/microsoft-says-it-detected-active-attacks-leveraging-zerologon-vulnerability/

上一篇 下一篇