每日安全简讯(20240810)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 安天发布微软RDL RCE漏洞临时缓解工具


微软7月修复了3个Windows Server远程桌面授权服务（RDL）远程代码执行漏洞，漏洞编号分别是CVE-2024-38077、CVE-2024-38074和CVE-2024-38076。其中，CVE-2024-38077影响面最大，影响到17个Windows Server版本，CVE-2024-38074影响了13个Windows Server版本，CVE-2024-38076影响了7个Windows Server版本。Windows Server是微软公司推出的一款服务器操作系统，专为服务器环境设计，提供了丰富的功能和强大的网络管理能力，适合用于企业建站、网络应用、数据库管理等多个方面。
安天CVE-2024-38077 漏洞应急处置工具是专项针对该漏洞的检测与处置工具，可用于检查当前系统是否受到该漏洞影响，并提供应急处置和补丁下载功能。此工具已上传至安天垂直响应平台（https://vs2.antiy.cn/）。

https://mp.weixin.qq.com/s/yVyxcnBXcQ0hRFN5VboNKw

---

2 Rhysida勒索软件团伙声称入侵特拉华州Bayhealth医院

Rhysida勒索软件团伙声称已入侵特拉华州的Bayhealth医院，并在其Tor泄漏网站上列出该医院为受害者。Bayhealth是一家技术先进的非营利性医疗系统，拥有近4000名员工和超过450名医生及200名高级执业临床医生。Rhysida团伙声称已从医院窃取数据，并要求25个比特币以避免泄露。该团伙泄露了被盗护照和身份证的截图作为入侵证明。该团伙表示：“只剩7天时间，抓住机会竞标独特且令人印象深刻的数据。准备好钱包，购买独家数据。我们只卖给一个人，不会转售，你将是唯一的拥有者！”Rhysida勒索软件团伙自2023年5月起活跃，已攻击包括教育、医疗、制造、信息技术和政府部门在内的多个行业的62家公司。

https://securityaffairs.com/166749/cyber-crime/rhysida-ransomware-bayhealth-hospital.html

---

3 Nexera DeFi协议遭黑客攻击致180万美元被盗

Nexera去中心化金融（DeFi）协议遭到重大安全漏洞攻击，导致约180万美元的数字资产被盗。加密安全公司Cyvers详细披露了此次攻击，黑客通过复杂操作控制了Nexera的代理合约，并利用"withdraw admin"功能转移了平台上全部的NXRA代币（共计3250万NXRA代币）。Cyvers在X（Twitter）上发布声明，检测到代理合约被一个地址接管并升级，随后该地址使用"withdraw admin"功能转移了所有NXRA代币。事件发生后，Nexera迅速暂停了NXRA代币合约和去中心化交易所上的交易，并积极与中心化交易所合作暂停交易活动，Kucoin和MEXC已实施这些措施。

https://hackread.com/nexera-defi-protocol-hacked-smart-contract-exploit/

---

4 WhatsUp Gold关键安全漏洞遭受活跃攻击

Progress Software的WhatsUp Gold网络监控应用程序发现了一个严重的安全漏洞CVE-2024-4885（CVSS评分：9.8），目前正遭受活跃攻击，用户需立即更新到最新版本以防范风险。该漏洞影响2023.1.3之前发布的版本，是一个未经身份验证的远程代码执行漏洞。根据公司在2024年6月底发布的公告，漏洞存在于WhatsUp.ExportUtilities.Export.GetFileWithoutZip方法中，该方法允许使用iisapppool\nmconsole权限执行命令。研究人员指出，漏洞源于GetFileWithoutZip方法在使用前未对用户提供的路径进行充分验证，攻击者可以利用这一行为在服务账户上下文中执行代码。研究人员已经发布了漏洞的概念验证（PoC）利用代码。研究人员自2024年8月1日起观察到针对该漏洞的攻击尝试，监测到来自6个源IP的CVE-2024-4885漏洞利用回调尝试。

https://summoning.team/blog/progress-whatsup-gold-rce-cve-2024-4885/

---

5 Windows降级攻击将已修复漏洞变成零日漏洞

研究人员开发了一种Windows降级攻击，使得即使是完全打过补丁的Windows机器也会在隐蔽、持久和不可逆的情况下变得脆弱。受BlackLotus UEFI bootkit启发，该攻击利用Windows更新过程中的漏洞，使Windows安全机制和端点安全解决方案无法检测。研究人员发现，Windows更新过程通过机器在更新文件夹中发出更新请求开始，一旦微软的更新服务器验证其完整性，更新文件夹和更新操作列表（Pending.xml）会被保存到服务器控制的文件夹中，操作列表将在系统重启时执行。通过测试不同方法，他发现了注册表中的操作列表路径和包含解析该列表的可执行文件（poqexec.exe）的密钥PoqexecCmdline，并注意到该密钥不受Trusted Installer的强制控制，这使他能够控制所有更新操作。经过一系列操作，他实现了使完全打过补丁的Windows机器易受成千上万已修复漏洞的攻击，将其变成零日漏洞，使“完全打过补丁”这一术语在任何Windows机器上都变得毫无意义。

https://www.safebreach.com/blog/downgrade-attacks-using-windows-updates

---

6 Cisco警告过时IP电话存在关键远程代码执行零日漏洞

Cisco警告称，其已停止支持的Small Business SPA 300和SPA 500系列IP电话的基于Web的管理界面存在多个关键远程代码执行（RCE）零日漏洞。由于这些设备未提供修复补丁且无缓解措施，用户需尽快迁移到更新且有支持的型号。Cisco披露了五个漏洞，其中三个被评为关键（CVSS v3.1评分：9.8），两个为高严重性（CVSS v3.1评分：7.5）。关键漏洞分别为CVE-2024-20450、CVE-2024-20452和CVE-2024-20454，这些缓冲区溢出漏洞允许未经身份验证的远程攻击者通过发送特制的HTTP请求，在目标设备的操作系统上以root权限执行任意命令。Cisco在公告中警告说：“成功利用这些漏洞可能允许攻击者溢出内部缓冲区，并以root权限执行任意命令。”高严重性漏洞CVE-2024-20451和CVE-2024-20453则由于对HTTP数据包检查不足，允许恶意数据包导致受影响设备的拒绝服务。这五个漏洞影响所有在SPA 300和SPA 500系列IP电话上运行的软件版本，无论其配置如何，且这些漏洞相互独立，可以单独被利用。

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-spa-http-vulns-RJZmX2Xz

---