找回密码
 注册创意安天

每日安全简讯(20190516)

[复制链接]
发表于 2019-5-15 20:54 | 显示全部楼层 |阅读模式
1 安天发布Windows远程代码执行漏洞预警

2019年5月14日微软官方发布了对远程桌面服务(Remote Desktop Services)的关键远程代码执行漏洞CVE-2019-0708的安全补丁,受影响的Windows系统版本在启用了远程桌面服务时容易遭受远程代码执行攻击。该漏洞不需要用户交互,即该漏洞可以被利用发起蠕虫类攻击,类似WannaCry(魔窟)勒索蠕虫事件。虽然目前没有发现对该漏洞的利用,但之后攻击者很可能将该漏洞利用加入到恶意代码中,就像MS17-010(永恒之蓝)漏洞一样。微软在2017年3月14日发布MS17-010漏洞补丁,2017年5月12日WannaCry(魔窟)利用永恒之蓝漏洞进行传播。安天建议用户尽快安装此漏洞的补丁或禁用远程桌面服务,并且启用网络级身份验证(NLA)。安天智甲终端防御系统与安天资产安全运维系统组合使用,可以充分减少暴露面,形成威胁防御响应的基础框架。
1.png

https://www.antiy.com/response/20190515.html


2 巴西威胁组织使用新驱动程序FileDelete

开发银行恶意软件“Banload”的巴西威胁组织在活动中使用新驱动程序,内部命名FileDelete用于删除反恶意软件和银行保护软件的驱动程序和可执行文件。FileDelete驱动程序通过Golang加载程序利用PowerShell安装到本地目录,并于2019年3月31日签署了Thawte签名证书。FileDelete采用内核模式,可以删除AVG、Trusteer Rapport、Avast和scpbrad产品。此功能通过名为FileDelete.sys的内部驱动程序实现。
2.jpg

https://www.sentinelone.com/blog ... king-malware-fraud/


3 Best of the Web脚本被注入键盘记录器

黑客入侵了Best of the Web使用的Trust Seal脚本并注入了两个键盘记录器,用于嗅探访客的键盘记录,其中一个是在4月24日添加的,另一个是在上周。Trust Seal脚本托管在亚马逊的内容分发网络(CDN)上,研究人员向Best of the Web披露此事后, 该公司承认其脚本遭到破坏。该公司表示立即采取行动解决问题,并且正在联系受影响的所有客户。
3.png

https://www.bleepingcomputer.com ... upply-chain-attack/


4 Magecart组织将窃取脚本注入两家供应商

研究人员发现CloudCMS和Picreel两家基于网络的供应商被注入Magecart窃取脚本。CloudCMS是一个内容管理系统,用于创建和管理Web内容,攻击者在3月10日将恶意脚本插入CloudCMS脚本。只有CloudCMS 1.5.23版本受到破坏,因此影响20%使用CloudCMS的站点。Picreel是一个分析提供商,用于记录网站上的用户行为,以提高在线商店的转换率。Magecart组织5月10日修改了Picreel用于启动跟踪功能的一个主要脚本,但修改过程中破坏了文件的JavaScript语法,数百个网站加载了脚本但未实现其恶意功能。
4.jpg

https://www.riskiq.com/blog/labs/cloudcms-picreel-magecart/


5 英特尔为Zombieload安全漏洞发布微补丁

Zombieload是英特尔新一类安全漏洞,即微架构数据采样(MDS),可能被利用窃取CPU内部数据。当处理器无法自行处理的大量数据时,芯片从其微程序请求帮助以防止崩溃。通常,应用程序、虚拟机(VM)和容器只能看到自己的数据,但Zombieload漏洞可以使攻击者能够在英特尔处理器上跨越正常边界监视数据。英特尔已经发布了微补丁用于清除处理器的缓冲区,从而防止读取数据。对于Zombieload漏洞,有三个攻击路径可实现边信道攻击。四个漏洞分别为:CVE-2018-12126、CVE-2018-12127、CVE-2018-12130和CVE-2019-11091。
5.png

https://www.zdnet.com/article/linux-vs-zombieload/


6 超2.5万台Linksys路由器可泄露敏感信息

研究人员发现25,617台Linksys智能Wi-Fi路由器泄露敏感信息,包括MAC地址、名称和操作系统、WAN设置、防火墙状态、固件更新设置和DDNS设置。易受攻击的路由器中,其中近一半(11,834个)位于美国。路由器中存在的漏洞CVE-2014-8244允许未经身份验证的攻击者远程访问敏感信息,可以通过向特定的JNAP端点发送请求来利用。研究人员还发现大多数智能路由器使用默认密码,容易受到攻击。
6.jpg

https://cyware.com/news/security ... nformation-3cc88d1d



您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-28 23:49

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表