每日安全简讯(20190815）

1 安天发布微软远程桌面服务RCE漏洞预警

微软发布了八月份补丁更新，修复漏洞中包含远程桌面服务中的远程代码执行（RCE）漏洞，漏洞ID为CVE-2019-1181和CVE-2019-1182。这两个漏洞与之前修复的“BlueKeep”漏洞（CVE-2019-0708）一样，攻击者利用漏洞无需用户的交互，即可实施攻击，可用于传播类似“WannaCry”（魔窟）的蠕虫病毒。受影响的Windows版本是Windows 7 SP1、Windows Server 2008 R2 SP1、Windows Server 2012、Windows 8.1、Windows Server 2012 R2以及所有受支持的Windows 10版本，包括服务器版本。目前还未发现该漏洞被第三方利用。安天智甲可以帮助用户检测是否受漏洞影响，并安装补丁程序修复漏洞。


https://mp.weixin.qq.com/s/0WMdIEMoWUMDdygEB8kpgQ

---

2 三种恶意软件利用多种漏洞攻击路由器设备

趋势科技研究人员在近三个星期内，发现三种恶意软件Neko、Mirai和Bashlite的新变种。2019年7月22日，研究人员发现Neko僵尸网络变种，该变种可用于各种处理器架构的版本，并暴力破解了易受攻击的证书。Neko可执行多个后门命令来破坏路由器正确处理和响应信息的能力，包括执行shell命令、启动用户数据报协议、UDP泛洪攻击。Neko附带扫描程序能够查找多个漏洞，包括GPON路由器RCE漏洞、ThinkPHP RCE漏洞、Linksys E系列的RCE漏洞等等，用来传播到其它设备中。2019年7月30日，研究人员发现Mirai变种“Asher”，该变种通过BusyBox感染设备， BusyBox是一个工具集，适用于运行在存储、运算和网络等资源有限的设备（比如路由器）上。Asher使用telnet登录凭据暴力破解登录路由器，并利用GPON路由器RCE漏洞、MVPower Shell的RCE漏洞和Realtek SDK的RCE漏洞传播。2019年8月6日，研究人员发现针对路由器的僵尸网络Bashlite变种“Ayedz”，Ayedz通过端口46216将有关受感染设备信息发送回主机IP地址。Ayedz能够运行后门命令来启动DDoS攻击和泛洪攻击。


https://blog.trendmicro.com/tren ... al-routers-devices/

---

3 新版本PsiXBot使用短链接搜索DNS服务器

Proofpoint研究人员发现新版PsiXBot恶意软件的攻击活动。新版PsiXBot检查受感染机器的安装语言，如果是俄语将退出，使用短链接收集每个C&C域的当前DNS服务器，具体过程为：首先对要使用的DNS服务器的十六进制编码的IP地址的非预期GET请求；Ping到DNS服务器IP地址以获取连接状态；对.bit域的DNS查询，返回C＆C IP地址；Ping到C＆C IP地址以获取连接状态；最后收集到C＆C域的HTTPS流量。新版本PsiXBot还包含多个新模块，可实现删除正在运行的僵尸网络进程、监视剪贴板中加密货币钱包地址并窃取、表单抓取、使用Microsoft Outlook发送出站电子邮件等功能。


https://www.proofpoint.com/us/th ... -dns-infrastructure

---

4 安卓木马Cerberus利用加速度计识别模拟器

2019年6月，ThreatFabric研究人员在地下论坛发现新安卓恶意软件Cerberus，幕后开发者有一个专用的Twitter帐户，用于发布有关Cerberus内容，以对租用该恶意软件业务进行宣传。Cerberus除了带有标准的有效载荷和使用字符串混淆之外，还使用计步器逃避检测。攻击者使用设备加速度计传感器，实现了一个简单的计步器，用来测量受害者的运动，来判断被感染的设备是否属于真实个人。一旦达到预先设定的值将运行恶意软件。首次运行，该木马会隐藏其程序图标，然后向受害者申请某些看似正常的服务权限。然后禁用Google预装的防病毒解决方案Play Protect。利用具有与多数安卓恶意软件相同的功能，窃取信息发送至C2。一旦不明真相的受害者确认了这些"看似"正常的服务访问权限，Cerberus在后台，冒充这些正常程序，并用自身来覆盖这些正常程序的显示窗口，以欺骗受害者提供个人银行账户信息。


https://www.threatfabric.com/blo ... the-underworld.html

---

5 8个HTTP/2协议漏洞致网站易遭受DoS攻击

HTTP网络协议的最新版本HTTP/2存在8个严重漏洞，导致多个流行的Web服务器容易遭受到拒绝服务（DoS）攻击。Netflix披露8个漏洞为"数据流"漏洞CVE-2019-9511、“封包洪流”漏洞CVE-2019-9512、“资源循环”漏洞CVE-2019-9513、“重置泛洪”漏洞CVE-2019-9514、“设置泛洪”漏洞CVE-2019-9515 、“0长度标题泄漏”漏洞CVE-2019-9516 、“内部数据缓冲”漏洞CVE-2017-9519、“请求数据/报头泛洪”漏洞CVE-2019-9518。目前互联网上40％的网站在使用HTTP/2协议，这些漏洞可被利用来对数百万在线服务和网站运行DoS攻击，受影响供应商包括Apache、Microsoft的IIS、NGINX等。Netflix表示这些漏洞允许少量低带宽恶意会话阻止连接参与者进行额外的工作。攻击可能会耗尽资源，导致同一台计算机上的其他连接或进程也可能受到影响或崩溃。目前以上漏洞已被修复。


https://thehackernews.com/2019/08/http2-dos-vulnerability.html

---

6 英特尔发布补丁更新修复多个高严重性漏洞

英特尔今天发布了安全更新，以修补可能被利用实现权限提升、拒绝服务（DoS）条件或信息泄露的高严重性问题。其中针对多个NUC Kit套件的固件，以及使用相同的BIOS运行的计算卡和计算棒，受到漏洞CVE-2019-11140影响。该漏洞由于验证不充分导致，允许攻击者具有特权用户权限进行本地访问。受影响型号包括英特尔 NUC Kit套件NUC7i7DNx、NUC7i5DNx、NUC7i3DNx、英特尔计算卡CD1IV128MK、Intel计算棒STK2MV64CC 。英特尔还修复了CPU实用程序中的高严重性CVE-2019-11163，和基于Web的RAID管理软件中信息泄露漏洞CVE-2019-0173。


https://www.bleepingcomputer.com ... -high-severity-bug/

---