每日安全简讯(20240912)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 RansomHub组织利用TDSSKiller安全工具进行攻击

卡巴斯基创建了一种名为TDSSKiller的工具，该工具可以扫描系统中是否存在rootkit和bootkit。研究人员最近发现RansomHub勒索组织滥用TDSSKiller工具，通过命令行脚本或批处理文件与内核级服务进行交互，从而禁用运行在机器上的Malwarebytes反恶意软件服务（MBAMService）。然后，RansomHub组织部署LaZagne凭证收集工具，从各种应用程序数据库中提取登录信息，用于在网络中进行横向移动。

https://www.threatdown.com/blog/new-ransomhub-attack-uses-tdskiller-and-lazagne-disables-edr/

---

2 微软在9月补丁日发布安全更新

微软在2024年9月补丁日发布安全更新，修复了79个安全漏洞，其中包括4个被利用的漏洞。已被利用的4个漏洞包括：CVE-2024-38014（Windows安装程序特权提升漏洞）、CVE-2024-38217（Windows Web查询标记安全功能绕过漏洞）、CVE-2024-38226（Microsoft Publisher安全功能绕过漏洞）、CVE-2024-43491（Windows Update远程代码执行漏洞）。所有的安全漏洞包括：30个权限提升漏洞、4个安全功能绕过漏洞、23个远程代码执行漏洞、11个信息泄露漏洞、8个拒绝服务漏洞、3个欺骗漏洞。

https://www.bleepingcomputer.com/news/microsoft/microsoft-september-2024-patch-tuesday-fixes-4-zero-days-79-flaws/

---

3 Ivanti修复多个产品中的安全漏洞

Ivanti修复了其Endpoint Management软件（EPM）中的安全漏洞，该安全漏洞（CVE-2024-29847）是由代理门户中不受信任数据的反序列化引起，可让未经身份验证的攻击者在核心服务器上获得远程代码执行权限。此外，Ivanti还修复了Ivanti EPM、Workspace Control（IWC）和Cloud Service Appliance（CSA）中的多个安全漏洞，这些漏洞在修复之前未被恶意利用。

https://www.bleepingcomputer.com/news/security/ivanti-fixes-maximum-severity-rce-bug-in-endpoint-management-software/

---

4 MindsDB修复CVE-2024-24759安全漏洞

MindsDB是一个用于构建AI应用程序的开源平台，该平台修复了一个安全漏洞，该漏洞可能允许攻击者绕过安全措施并发起各种攻击。该漏洞被标识为CVE-2024-24759，CVSS评分为9.3，涉及利用DNS重绑定技术绕过服务器端的请求伪造（SSRF）保护。该漏洞允许攻击者绕过SSRF保护，可能使攻击者访问敏感数据、执行任意代码，甚至发起拒绝服务攻击。MindsDB开发团队在v23.12.4.3中发布了一个补丁，该补丁通过实施更强大的DNS验证措施来防止DNS重绑定攻击，从而修复了该漏洞。

https://securityonline.info/mindsdb-fixes-critical-cve-2024-24759-dns-rebinding-attack-bypasses-security-protections

---

5 伦敦Charles Darwin School遭受勒索软件攻击

位于伦敦南部的Charles Darwin School因遭受勒索软件攻击被迫暂时关闭。此次事件导致约1300名学生在本周前半段时间无法使用他们的教育设施。这次攻击被认定为勒索攻击，学校的IT系统遭到破坏，导致无法访问包括电子邮件和互联网服务在内的关键服务。该校已聘请网络安全专家进行全面的数据影响评估，以确定攻击者可能访问了哪些信息。

https://cybersecuritynews.com/london-high-school-ransomware-attack/

---

6 图克斯伯里市议会遭受网络攻击

图克斯伯里市议会遭受网络攻击，其系统仍处于关闭状态。议会首席执行官表示，他们认为此次事件已得到控制，并且没有证据表明数据遭到泄露。该市居民被告知在部分服务受影响期间不要向议会发送电子邮件。该议会已暂停工作面试，并表示在处理事件期间无法处理正式投诉或信息请求。议会首席执行官称，在安全的情况下，该议会将采取基于风险的方式重新上线服务，并将在此过程中进行密切监控。

https://www.bbc.com/news/articles/cg4y7gxxnddo

---