每日安全简讯(20210215)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 Chess网站中漏洞允许攻击者访问任何账户

一位IT安全研究员偶然在Chess.com（一个非常受欢迎的在线国际象棋比赛网站和应用程序）的API中发现了一个反射型XSS漏洞。该漏洞可被利用来访问该网站的任何账户，它也可以用于通过其管理面板获得对该网站的完全访问权限。攻击者还可以提取“连接到Google” URL并使用自己的帐户进行身份验证，然后使用XSS钩子和HTTP请求，将受害者的chess.com帐户绑定到攻击者的帐户。


https://www.hackread.com/vulnera ... r-records-accessed/

---

2 微软修复了Windows Defender中的权限提升漏洞

Windows Defender中被发现一个严重的安全漏洞，Windows Defender中是Windows的一个反恶意软件组件，每个Windows版本都预装了这个组件。这个漏洞可以让攻击者通过恶意升级特权来实施复杂的攻击。值得注意的是，这个漏洞被忽视了12年，直到最近才第一次被发现。之所以这么长时间没人注意它，是因为激活它的机制非常特殊。该漏洞在最新的更新中已被修复，但如果新机器没有更新到最新版本，它仍然可能被利用。微软建议用户及时更新设备。


https://www.hackread.com/12-year ... n-windows-defender/

---

3 俄罗斯搜索引擎公司Yandex电子邮箱遭入侵

俄罗斯互联网和搜索公司Yandex今天宣布，该公司的一名系统管理员已启用对数千个用户邮箱的未经授权的访问。该公司在对其安全团队的例行检查中发现了内部漏洞。调查显示，该员工的行为导致了近5000个Yandex电子邮件收件箱遭入侵。Yandex表示，管理员这么做是“为了个人利益”，这表明他们有经济动机。目前还不清楚这名员工何时开始向第三方提供未经授权的访问权限，但通过这种方式被入侵的收件箱总数已达4887个。


https://www.bleepingcomputer.com ... ess-to-user-emails/

---

4 法院文件显示FBI可访问iPhone的秘密Signal消息

与纽约最近一起枪支走私案件有关的法庭文件显示，FBI可能拥有获取iPhone上的秘密Signal信息的工具。该文件显示，当iPhone设备处于“partial AFU(首次解锁后)”模式时，加密信息可以被拦截。法庭文件中包含了2020年被指控在纽约进行枪支走私活动的男子之间的Signal信息截图。截图中还有一些元数据，这不仅表明手机上的Signal消息被解密了，而且是在“partial AFU”中完成提取的。


https://securityaffairs.co/wordp ... ignal-messages.html

---

5 研究人员发现RDP攻击尝试次数大幅增加

ESET显示，2020年新冠大流行继续影响网络犯罪格局，最值得注意的是，家庭办公的转变导致远程桌面协议(RDP)攻击的进一步增长，尽管与前几个季度相比速度有所放缓。2020年第一季度至第四季度，遥测技术记录的RDP攻击次数增加了惊人的768%。ESET首席研究官称，RDP的安全性不可低估，尤其是由于勒索软件通常是利用RDP漏洞进行部署的，对私营和公共部门都构成巨大的威胁。


https://www.helpnetsecurity.com/ ... ack-attempts-surge/

---

6 研究人员揭示约会应用程序如何滋生网络犯罪

2020年，全球超过2.7亿成年人使用约会应用程序，几乎五分之二(39%)的美国成年人表示在网上结识他们的伴侣。然而，影响应用程序声誉的主要因素是平台上存在的机器人，约会应用程序上存在的机器人会让用户陷入网络骗局中。平台上虚假账户大量产生，可以吸引用户并传播垃圾邮件，链接到非法或露骨的网站，或引诱用户进入骗局。


https://www.zdnet.com/article/da ... ots-cause-problems/

---