每日安全简讯(20230127)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 攻击者使用合法的RMM软件对美国联邦机构进行攻击

美国至少有两家联邦机构成为“大规模网络攻击”的受害者，攻击者使用合法的远程监控和管理(RMM)软件来实施网钓鱼骗局。美国网络安全局表示：“具体来说，网络犯罪分子发送了钓鱼电子邮件，导致下载合法的RMM软件，如ScreenConnect和AnyDesk，这些软件被用于退款骗局，从受害者的银行账户中窃取资金。”这些攻击发生在2022年6月中旬和9月中旬，具有财务动机，尽管威胁行为者可以将未经授权的访问权限武器化，用于开展广泛的活动，包括将该访问权限出售给其他黑客团队。


https://thehackernews.com/2023/0 ... fall-victim-to.html

---

2 Microsoft 365云服务中断影响全球用户

近日微软在Microsoft 365服务降级警报中警告称:“受影响基础设施服务的任何用户都可能无法访问多个Microsoft 365服务。”这次宕机影响了广泛的服务，包括SharePoint Online和OneDrive for Business。其他受影响的服务包括Microsoft 365管理门户网站和Microsoft Intune端点管理。微软表示，这个问题不仅影响了对其服务的直接访问，还影响了信息在其数据中心之间的流动。


https://www.govinfosecurity.com/ ... s-worldwide-a-21017

---

3 密码保险库供应商Bitwarden回应加密设计缺陷的批评

密码库供应商Bitwarden通过增强机制的默认安全配置，回应了对其用于保护用户秘密加密密钥的加密方案的新一轮批评。问题集中在用于计算用户密码库的解密密钥的PBKDF2哈希迭代次数上。在这种情况下，OAWSP建议使用PBKDF2算法和随机盐、SHA-256和600000次迭代(这个数字比以前推荐的31000次增加了)。Bitwarden表示，其数据经过200001次迭代保护，客户端为100001次迭代，服务器端为100000次迭代。但是安全研究人员警告说，虽然这听起来令人印象深刻，但服务器端迭代是无效的。更糟糕的是，老帐户只能使用低得多的安全设置(除非他们手动增加设置的迭代次数)。


https://portswigger.net/daily-sw ... sign-flaw-criticism

---

4 谷歌通知用户Chrome浏览器中的6个漏洞已被修复

谷歌通知用户，Chrome浏览器中的6个安全漏洞已被修复，其中包括外部研究人员报告的4个。其中两个是影响WebTransport和WebRTC组件的高度严重的释放后使用漏洞。这些漏洞被跟踪为CVE-2023-0471和CVE-2023-0472。影响Chrome的释放后使用漏洞通常可以被用于远程代码执行和沙箱逃逸，但在许多情况下，它们需要与其他漏洞联系在一起。最新的Chrome更新还修复了一个中等严重程度的类型混淆漏洞，该漏洞让一名研究人员获得了7500美元的奖金。这些漏洞似乎都没有被在野利用。


https://www.securityweek.com/sec ... -6-vulnerabilities/

---

5 研究人员针对Windows CryptoAPI漏洞发布了PoC

研究人员已经发布了一个概念验证利用代码（PoC），用于允许MD5碰撞证书欺骗的Windows CryptoAPI漏洞。这一漏洞被追踪为CVE-2022-34689，在2022年8月发布的安全更新中得到了解决，但微软直到10月才公开了这一漏洞，当时该警告首次发布。微软解释说:“攻击者可以操纵现有的公共x.509证书来欺骗他们的身份，并作为目标证书执行身份验证或代码签名等操作。”未经身份验证的攻击者可以在低复杂度攻击中利用此漏洞。近日，安全研究人员发布了一个PoC，并分享了一个OSQuery，以帮助防御者检测易受攻击的CryptoAPI库版本。


https://www.bleepingcomputer.com ... toapi-spoofing-bug/

---

6 法国橄榄球俱乐部Stade Francais泄露了源代码

Stade Francais是一家位于巴黎的职业橄榄球联盟俱乐部。它成立于1883年，已成为法国最成功的球队之一，在社交媒体上拥有数十万粉丝。Cybernews最近发现，托管Stade Francais官方网站的服务器通过可公开访问的.git目录泄露了源代码。该网站为球迷提供每日新闻更新、即将到来的比赛、比赛评论、票务服务和商品商店。对.git目录的访问控制不力可能会使攻击者在未经授权的情况下对俱乐部的服务器进行更改。如果攻击者利用了该漏洞，则可能会对用户数据构成风险，并可能导致服务器被接管。


https://securityaffairs.com/1413 ... ks-source-code.html

---