信息安全周報-2021年第24周
發布時間 2021-06-15> 本周安全態勢綜述
2021年06月07日至06月13日共收錄安全漏洞73個,值得關注的是Microsoft Windows Defender CVE-2021-31985代碼執行漏洞;Rockwell Automation ISaGRAF CVE-2020-25176 IXL協議代碼執行漏洞;SAP NetWeaver ABAP Server CVE-2021-27632內存破壞漏洞;Schneider Electric IGSS CGF越界寫漏洞;Microsoft Windows TCP/IP安全繞過漏洞。
本周值得關注的網絡安全事件是美國Cox Media遭到勒索攻擊,電視和電臺直播中斷;INKY披露以防范勒索軟件為主題的新一輪釣魚活動;黑客在暗網公開包含84億密碼的集合RockYou2021;FBI追回Colonial Pipeline支付的230萬美元贖金;Microsoft安全更新,修復7個0day在內的50個漏洞。
根據以上綜述,本周安全威脅為中。
> 重要安全漏洞列表
1.Microsoft Windows Defender CVE-2021-31985代碼執行漏洞
Microsoft Windows Defender存在安全漏洞,允許遠程攻擊者利用漏洞提交特殊的請求,可以應用程序上下文執行任意代碼。
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2021-31985
2.Rockwell Automation ISaGRAF CVE-2020-25176 IXL協議代碼執行漏洞
Rockwell Automation ISaGRAF IXL協議處理文件名存在安全漏洞,允許遠程攻擊者利用漏洞提交特殊的請求,可以應用程序上下文執行任意代碼。
https://us-cert.cisa.gov/ics/advisories/icsa-20-280-01
3.SAP NetWeaver ABAP Server CVE-2021-27632內存破壞漏洞
SAP NetWeaver ABAP Server存在內存破壞漏洞,允許遠程攻擊者利用漏洞提交特殊的請求,可使應用程序崩潰或以應用程序上下文執行任意代碼。
https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=578125999
4.Schneider Electric IGSS CGF越界寫漏洞
Schneider Electric IGSS CGF文件處理存在越界寫漏洞,允許遠程攻擊者利用漏洞提交特殊的文件請求,誘使用戶解析,可使應用程序崩潰或以應用程序上下文執行任意代碼。
https://us-cert.cisa.gov/ics/advisories/icsa-21-159-04
5.Microsoft Windows TCP/IP安全繞過漏洞
Microsoft Windows Windows TCP/IP存在安全漏洞,允許遠程攻擊者利用漏洞提交特殊的請求,可繞過安全限制未授權訪問。
https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-31970
> 重要安全事件綜述
1、美國Cox Media遭到勒索攻擊,電視和電臺直播中斷
美國最大的媒體集團之一Cox Media Group(CMG)遭到勒索攻擊,部分電視和電臺直播中斷。該公司擁有33家電視臺、54個廣播電臺、多個跨平臺流媒體視頻平臺和數字平臺。Inside Radio稱攻擊發生在6月3日上午,其對CMG的多個電臺進行了隨機檢查,發現電臺網站仍可訪問,但在線流媒體已離線,并提示“音頻暫時不可用”。這是勒索軟件團伙第二次攻擊美國主要的媒體公司,2019年9月,CBS旗下的廣播網絡Entercom遭到攻擊,導致部分廣播電臺中斷。
原文鏈接:
http://www.insideradio.com/free/cox-media-group-stations-still-offline-a-day-after-apparent-malware-attack/article_7c619380-c506-11eb-9b7b-4f6576d00aa0.html
2、INKY披露以防范勒索軟件為主題的新一輪釣魚活動
郵件安全平臺INKY披露以防范勒索軟件為主題的新一輪釣魚活動。近期對Colonial Pipeline的勒索軟件攻擊激發了新的釣魚活動,該活動的郵件均為有針對性的緊急通知,建議收件人點擊鏈接以安裝系統更新,來檢測并防范最新的勒索軟件。攻擊者使用的域名為ms-sysupdate[.]com和selectionpatch [.]com,這很容易被誤認為是合法域名,其還使用了Cobalt Strike。
原文鏈接:
https://www.bleepingcomputer.com/news/security/phishing-uses-colonial-pipeline-ransomware-lures-to-infect-victims/
3、黑客在暗網公開包含84億密碼的集合RockYou2021
某黑客在暗網發布了100GB的TXT文件,其中包含84億個密碼,這些密碼可能是從之前的泄露事件中合并而來的。黑客稱其中包含的所有密碼長度均為6-20個字符,刪除了非ASCII字符和空格。其還表示該集合包含820億個密碼,但經過研究人員測試,其中只有8459060239個是唯一的,這似乎是有史以來最大的密碼集合。該集合被稱為RockYou2021,大概是參考了2009年發生的RockYou數據泄露事件,黑客竊取了超過3200萬用戶的密碼。
原文鏈接:
https://cybernews.com/security/rockyou2021-alltime-largest-password-compilation-leaked/
4、FBI追回Colonial Pipeline支付的230萬美元贖金
美國FBI和DOJ聯合追回了Colonial Pipeline支付的大半贖金。5月7日,該公司遭到了DarkSide勒索軟件攻擊燃料管道關閉,為此其支付了總計440萬美元的贖金,此次追回了其中的230萬美元。DOJ表示,他們通過審查比特幣公共分類賬,跟蹤了多次比特幣轉賬,并確定大約63.7比特幣已轉移到特定地址,而FBI擁有該地址的私鑰或大致等效的地址。美國司法部還稱,事實上聯邦調查局從一開始就設了圈套。
原文鏈接:
https://threatpost.com/fbi-claws-back-millions-darksides-ransom/166705/
5、Microsoft安全更新,修復7個0day在內的50個漏洞
Microsoft發布了6月份的周二安全更新,修復了包括7個0day在內的50個漏洞。此次修復的0day包括Windows內核信息泄露漏洞(CVE-2021-31955)、Windows NTFS提權漏洞(CVE-2021-31956)、Microsoft DWM提權漏洞(CVE-2021-33739)、Windows MSHTML平臺RCE漏洞(CVE-2021-33742)、Microsoft增強型加密提供程序提權漏洞(CVE-2021-31199和CVE-2021-31201)和Windows遠程桌面服務拒絕服務漏洞(CVE-2021-31968)。其中,前6個0day已在過去被利用過。
原文鏈接:
https://www.bleepingcomputer.com/news/microsoft/microsoft-june-2021-patch-tuesday-fixes-6-exploited-zero-days-50-flaws/