每日安全简讯(20230529)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 QBot恶意软件利用Windows 10写字板程序感染计算机

QBot恶意软件行动已开始利用Windows 10写字板程序中的DLL劫持漏洞感染计算机，利用合法程序逃避安全软件的检测。DLL是一种库文件，其中包含可同时被多个程序使用的函数。启动应用程序时，它将尝试加载任何所需的DLL。它通过在特定的Windows文件夹中搜索DLL并在找到后加载它来执行此操作。但是，Windows应用程序会优先考虑与可执行文件位于同一文件夹中的DLL，先加载它们。DLL劫持是指威胁行为者创建与合法DLL同名的恶意DLL，并将其放置在早期Windows搜索路径中，通常与可执行文件位于同一文件夹中。当该可执行文件启动时，它将加载恶意软件DLL而不是合法DLL，并在其中执行任何恶意命令。

https://www.sentinelone.com/labs/operation-magalenha-long-running-campaign-pursues-portuguese-credentials-and-pii/

---

2 研究人员开发了一种名为“热像素”的新型攻击

佐治亚理工学院、密歇根大学和波鸿鲁尔大学的一组研究人员开发了一种名为“热像素”的新型攻击，它可以从目标浏览器中显示的内容中检索像素并推断导航历史。该攻击利用现代片上系统(SoC)和图形处理单元(GPU)上的数据相关计算时间，并应用它们从Chrome和Safari上访问过的网页中偷偷提取信息。研究人员发现，现代处理器难以在功耗要求和散热限制与高执行速度之间取得平衡。这导致指向特定指令和操作的不同行为模式。这些模式很容易通过内部传感器测量来检测，这些测量通常可以通过软件访问，并且根据设备类型，可以帮助辨别在目标设备上查看的内容，准确度高达94%。

https://www.bleepingcomputer.com/news/security/hot-pixels-attack-checks-cpu-temp-power-changes-to-steal-data/

---

3 瑞士大型跨国企业ABB确认遭受勒索软件攻击、数据盗窃

瑞士大型跨国企业ABB已确认其部分系统受到勒索软件攻击的影响，此前该公司将其描述为“IT安全事件”。它还透露，攻击者从受感染的设备中窃取了数据，如果他们的信息在事件中受到影响，它将通知受影响的个人。“ABB已确定未经授权的第三方访问了某些ABB系统，部署了一种无法自我传播的勒索软件，并泄露了某些数据，”该公司在一份新闻稿中表示。“ABB将在必要时与受影响的各方进行沟通，例如，包括特定客户、供应商和/或个人身份信息受到影响的个人。”“迄今为止，取证调查没有发现任何客户系统受到直接影响的证据，也没有客户报告这种情况已经发生，”ABB在发送给受影响客户的通知中表示。

https://www.bleepingcomputer.com/news/security/us-govt-contractor-abb-confirms-ransomware-attack-data-theft/

---

4 GitLab强烈建议尽快修补最高严重性漏洞

GitLab已发布紧急安全更新版本16.0.1，以解决被跟踪为CVE-2023-2825的最高严重性（CVSS v3.1 分数：10.0）路径遍历缺陷。GitLab是一个基于Web的Git存储库，面向需要远程管理其代码的开发团队，拥有大约3000万注册用户和100万付费客户。最新更新中解决的漏洞是由一位名为“ pwnie ”的安全研究人员发现的，他在该项目的HackOne漏洞赏金计划中报告了该问题。它影响GitLab社区版(CE)和企业版(EE)版本16.0.0，但所有早于此的版本均不受影响。该漏洞源于路径遍历问题，当嵌套在至少五个组中的公共项目中存在附件时，该问题允许未经身份验证的攻击者读取服务器上的任意文件。

https://www.bleepingcomputer.com/news/security/gitlab-strongly-recommends-patching-max-severity-flaw-asap/

---

5 CISA警告政府机构注意最近修补的Barracuda零日漏洞

CISA警告称，上周有人利用最近修补的零日漏洞入侵Barracuda电子邮件安全网关(ESG)设备。Barracuda表示，其安全解决方案已被全球超过200000家组织使用，其中包括三星、三菱、卡夫亨氏和达美航空等知名公司。美国网络安全机构还根据这一积极利用的证据，将漏洞(CVE-2023-2868)添加到其野外利用的安全漏洞目录中。该公司表示，对受损设备的调查仅限于其ESG产品，并建议受影响的客户审查他们的环境，以确保攻击者无法访问其网络上的其他设备。因此，联邦机构也必须将CISA的警报作为警告，检查其网络是否存在入侵迹象。

https://www.bleepingcomputer.com/news/security/cisa-warns-govt-agencies-of-recently-patched-barracuda-zero-day/

---

6 微软在Microsoft Defender上引入名为“性能模式”的新功能

微软在Windows 11上为开发人员引入了名为“性能模式”的新Microsoft Defender功能，旨在减少分析存储在Dev Drives上的文件时防病毒扫描的影响。在今年的Microsoft Build大会上推出的Dev Drive是一种新型Windows 11存储卷，它使用公共预览版中提供的弹性文件系统，并为开发人员提供增强的性能和防止数据损坏的弹性。这些以开发人员为中心的存储卷旨在存储大型数据集，例如源代码存储库、构建输出或中间文件以及程序包缓存（例如 Npm、Nuget）。正如微软Windows和设备首席产品官Panos Panay所说，Dev Drive和Defender性能模式的组合可以将构建速度提升高达30%。

https://learn.microsoft.com/en-us/microsoft-365/security/defender-endpoint/microsoft-defender-endpoint-antivirus-performance-mode?view=o365-worldwide#manage-performance-mode

---