每日安全简讯(20241119)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 攻击者利用SVG附件传播恶意代码以规避检测
威胁行为者越来越多地利用SVG(可缩放矢量图形)文件在网络攻击中规避检测,通过展示钓鱼表单或传播恶意软件来实施攻击。不同于传统的JPG和PNG格式依赖像素点构成图像,SVG文件以文本形式描述数学公式,生成线条、形状和图案。这种结构使SVG文件在浏览器中打开时可以动态生成图像,同时能够在不同分辨率下保持高质量,适用于多种设备和应用场景。然而,这种灵活性也被攻击者滥用。SVG文件能够嵌入HTML代码和JavaScript脚本,例如通过<foreignObject>元素,在图形加载时执行恶意代码。安全研究人员发现,不法分子利用SVG文件伪装为看似无害的附件,例如嵌入伪造的Excel表单和登录页面,诱骗用户输入凭据后将数据发送至攻击者服务器。这种技术突破了传统的安全检测手段,给用户带来严重风险。
https://www.bleepingcomputer.com/news/security/phishing-emails-increasingly-use-svg-attachments-to-evade-detection/
2 超过400万个WordPress网站因漏洞面临严重风险
超过400万个WordPress网站因使用“Really Simple Security”插件而受到影响,该插件被发现存在严重的认证绕过漏洞,允许攻击者远程获取站点的完整管理员权限。漏洞影响所有启用了两步验证功能的站点,可被大规模脚本化用于自动化攻击。Wordfence威胁情报团队于2024年11月6日首次披露了该漏洞,并与插件开发团队合作推送了安全补丁更新。专业版补丁于11月12日发布,免费版于11月14日推送。由于漏洞的严重性(CVSS评分9.8),WordPress官方团队协助强制更新至修复版本9.1.2,保护大部分站点免受攻击。然而,未授权的专业版用户可能无法自动更新,因此建议所有用户尽快验证站点是否已更新到最新版本。此外,托管服务商被建议强制更新客户网站并扫描文件系统,以确保无未修复版本仍在运行。
https://www.wordfence.com/blog/2024/11/really-simple-security-vulnerability/
3 Microsoft Power Pages配置错误可能导致敏感数据大规模泄露
SaaS安全公司AppOmni近日发现,微软Power Pages存在配置漏洞,导致多个组织的敏感数据被公开泄露。Power Pages作为一个低代码平台,每月有超过2.5亿用户使用,其灵活性和可操作性定制性在吸引企业的同时,也增加了配置错误的风险。研究指出,问题的核心在于对访问控制设置的不当配置。Power Pages依赖站点级、表级和列级权限进行分层控制,但当组织未正确设置这些权限时,敏感数据可能被公开访问。例如,英国国家健康服务(NHS)因配置问题泄露了超过110名员工的个人信息,包括电子邮件、电话号码和家庭地址。AppOmni强调,当Web API设置为允许访问表内所有列(如Webapi/<object>/fields值设置为*)时,数据泄露的风险进一步放大。这种情况可能影响包括金融、医疗、汽车等多个行业的机构、数据损失规模巨大。
https://hackread.com/microsoft-power-pages-misconfigurations-data-leak/
4 美国AnnieMac抵押贷款公司数据泄露影响17.1万名客户
美国抵押贷款公司AnnieMac Home Mortgage近日披露,其系统在8月21日至23日遭入侵,导致约17.1万名客户的敏感数据被查看或复制。泄露信息包括客户姓名及社会安全号码(SSN)。 目前,公司称尚无证据显示这些数据已被篡改或出现在暗网中。事件发生后,AnnieMac立即展开调查,确认系统安全并评估旅行的数据内容。针对类似事件,公司已加强安全措施,联系相关州和联邦监管机构报告。同时,旅行客户携带12个月由CyEx提供信用监控及身份皮肤保护服务。AnnieMac在全美范围内运营,提供信贷的贷款产品,包括针对低收入或信用评级较低客户的特殊方案,如“一成首付”计划及支持政府的联邦住房管理局公司以帮助客户实现梦想为真理,但此次数据泄露事件传递隐私与安全保障能力敲响警钟。
https://www.theregister.com/2024/11/15/anniemac_data_breach/
5 纽约法院批准针对One Brooklyn的150万美元数据泄露和解方案
纽约州法院初步批准了一项150万美元的和解方案,针对One Brooklyn Health System因2022年11月网络攻击导致超过23.5万人敏感健康数据泄露的集体诉讼案。此次数据泄露事件涉及该系统下的三家医院和多个护理机构。攻击者在2022年7月至11月期间,未经授权获取了患者、员工及其家属的个人信息,包括姓名、社会安全号码、医疗记录和保险信息等。原告指控One Brooklyn未能有效保护个人信息,并违反纽约州消费者保护法,且延迟通知受影响个人。虽然One Brooklyn否认所有指控,但同意采取额外安全措施,以避免类似事件再次发生。根据和解方案,受影响人员可申请高达2500美元的补偿,包括实际经济损失及因应对事件耗费的时间费用。此外,集体成员还可选择两年的信用监控服务。此次和解还包括为8位原告提供每人1000美元的补偿,同时律师将获得50万美元的费用。
https://www.govinfosecurity.com/one-brooklyn-agrees-to-15m-settlement-in-2022-hack-lawsuit-a-26830
6 Helix比特币洗钱服务运营者被判处三年监禁
美国俄亥俄州男子拉里·迪恩·哈蒙(Larry Dean Harmon),因运营暗网搜索引擎Grams及其关联的比特币混币服务Helix,被判处三年监禁。哈蒙自2014年起通过Helix服务洗钱超过354000枚比特币,当时价值约3.11亿美元,现价值约320亿美元。Helix通过混合和交换用户比特币,掩盖其资金来源,为暗网市场的非法交易提供便利。2016年,哈蒙与当时最大的暗网市场Alphabay合作,使其业务更为猖獗。然而,Alphabay于2017年被取缔,哈蒙也在几年后关闭了Grams和Helix。2020年,他因涉嫌洗钱和无证经营货币传输业务被捕,面临20余年的刑期。案件的曲折不仅于此。哈蒙的弟弟利用其登录凭据盗取了712枚被查封的比特币,并挥霍无度,最终被判四年零三个月监禁。作为案件的核心,哈蒙于2021年认罪,承认与暗网供应商合谋洗钱,并同意没收价值超4亿美元的比特币和其他财产。
https://www.theregister.com/2024/11/16/helix_bitcoin_mixer/
页:
[1]