每日安全简讯(20200807)
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。1 Microsoft Teams更新机制可被用于传播恶意软件
近年来,网络犯罪分子使用“Living off the Land”(LotL)策略和工具已成为网络安全领域的一种日益增长的趋势。安全研究人员发现Microsoft Teams桌面应用程序中的更新机制可用于从远程服务器下载和执行恶意文件。坏消息是,这个问题不容易解决,因为它是一个设计缺陷。之前的解决方案是限制其通过URL进行更新的能力,然而更新程序允许通过共享文件夹或本地文件夹进行本地连接以进行产品更新。
https://securityaffairs.co/wordpress/106821/hacking/microsoft-teams-updater-malware.html
2 研究人员发现了一种控制交通信号灯的简单方法
在周四举行的Defcon黑客大会上,荷兰安全研究人员展示了他们关于“智能交通”系统漏洞的研究成果,他们可以通过互联网利用该系统漏洞控制多个不同城市的交通信号灯。他们的黑客技术会利用不存在的自行车欺骗驶近十字路口的车辆,让交通系统给这些自行车绿灯,给试图从垂直方向穿过的其他车辆红灯。他们警告说,这项简单的技术可能会被用来骚扰那些在空十字路口等待的司机。如果智能交通系统在更大的规模上得到实施,利用此漏洞有可能造成大范围的交通堵塞。
https://www.wired.com/story/hacking-traffic-lights-netherlands/
3 Wowza Streaming Engine产品被发现4个0day
研究人员发现了4个新漏洞,这些漏洞已在2019年底至2020年7月之间由制造商WOWZA Streaming Engine解决。团队发现的漏洞分别为CVE-2019-19454任意文件下载漏洞,CVE-2019-19455目录遍历漏洞,CVE-2019-19453和CVE-2019-19456两个XSS漏洞(前两个具为高危,后两个为中危)。研究人员在实验室测试期间发现了这些问题,并与供应商在协调漏洞披露过程中进行了及时处理。
https://securityaffairs.co/wordpress/106804/hacking/wowza-streaming-engine-zerodays.html
4 WordPress聊天插件被发现高危漏洞
威胁情报小组在The Official Facebook Chat Plugin(一个安装在80,000多个站点上的WordPress插件)中发现了一个漏洞。该漏洞使具有低级特权的攻击者可以将自己的Facebook Messenger帐户连接到运行该插件的任何网站,并与受影响网站上的访问者进行聊天。Facebook于2020年7月28日发布了补丁。研究人员在他们的博客中强调了他们的发现,强烈建议立即将网站升级到1.6版本,以防止任何试图利用该漏洞的攻击。
https://www.itsecurityguru.org/2020/08/05/serious-bug-found-in-official-facebook-wordpress-chat-plugin-allows-attackers-to-intercept-messages/
5 FBI发布Windows 7寿命终止警告
FBI周一向美国私营部门的合作伙伴发送了一份私人行业通知(PIN),内容涉及在Windows7操作系统今年达到寿命终止(EOL)后继续使用该系统的危险。在企业中继续使用Windows7可能会让网络犯罪分子进入计算机系统。随着时间的推移,由于缺乏安全更新,Windows7变得更容易被利用。
https://www.zdnet.com/article/fbi-issues-warning-over-windows-7-end-of-life/
6 外卖平台UberEats用户信息在暗网泄漏
受害者是美国在线食品订购和交付平台UberEats,威胁情报公司的安全研究人员在暗网上发现了该平台的用户记录信息。安全团队在暗网能够发现黑客泄露UberEats的交付合作伙伴和客户的详细信息,公开的记录包括例如登录凭据、姓名、联系电话、旅行详细信息、银行卡详细信息、账户创建日期之类的信息。
https://cybleinc.com/2020/08/04/user-records-of-ubereats-leaked-on-darkweb/
页:
[1]