找回密码
 注册创意安天

每日安全简讯(20180820)

[复制链接]
发表于 2018-8-19 21:47 | 显示全部楼层 |阅读模式
1 360揭示Darkhotel组织攻击活动技术细节

360威胁情报中心近日通过大数据关联分析,能够确认由趋势科技科技发现微软VBScript引擎漏洞攻击与Darkhotel组织有关。360与该0day漏洞和2018年4月360首次发现Darkhotel组织利用影响IE浏览器并通过Office文档进行攻击的“双杀”漏洞进行对比,发现使用了多个相同的攻击技术,包括解密URL的代码和判断网络回来数据的合法性的地方。不同处为此次攻击中动态修改加载的DLL的上线URL和ID和ByPASS uac的方法在DLL里。360威胁情报中心还关联到一个新的DarkHotel使用的劫持Windows操作系统模块的后门mstfe.dll,并发现新的C2。从本次事件可以看出,该攻击团伙在近年中保持着相当高的活跃度,为了达成攻击目的甚至会不惜使用0day漏洞进行攻击。另一方面,以Office文档作为0day攻击载体依然是当前最为流行的攻击方式,而通过微软Office来利用第三方模块0day漏洞的攻击面已经成为黑客研究的热点。
11.jpg

https://ti.360.net/blog/articles ... 8373-and-darkhotel/


2 研究人员指出蜂窝网关可被用于跟踪车辆

安全研究人员已经发现了超过100000个暴露在互联网的蜂窝网关,包括向世界广播确切地理位置的网络。这些特殊装置适用于车队车辆,警车,救护车等,它们的坐标位于其内置Web服务器从其公共IP地址提供的网页上,攻击者可以利用插入路由器的设置,使用端口扫描和搜索引擎(例如Shodan.io)找到、检查和跟踪车辆。位置信息从错误配置的蜂窝网关泄漏,用于通过蜂窝网络将车辆中的设备连接到互联网,或提供通过蜂窝连接将连接路由到外部的WiFi。F5 Labs的Sierra称,在发现的网管中,列出了加州公路巡逻队,丹麦国家警察局,南威尔士警察局,西雅图消防局以及其他许多人作为其客户。结合F5 Labs在2016年10月下旬机场感染Bashlight恶意软件时,发现49962个面向互联网的Sierra Wireless网关,其中84%位于美国。到今年7月,这个数量高达105,400台主机,在欧洲有相当数量。显然非运营商错误配置,而是恶意攻击者。
22.jpg

https://www.theregister.co.uk/2018/08/18/cellular_gateway_snafu/


3 飞利浦医疗数据产品被发现代码执行漏洞

根据本周发布的ICS-CERT警报称,飞利浦IntelliSpace心血管(ISCV)系列医疗数据管理产品中的漏洞(CVE-2018-14787)将允许攻击者升级特权和执行任意代码。具有本地访问ISCV / Xcelera服务器的攻击者可以使用该漏洞获取管理访问权限,打开包含经过身份验证的用户具有写入权限的可执行文件的文件夹,执行泄露恶意软件、后门程序、勒索软件或任何其它类型的错误代码,以吸取各种机密的患者信息,包括医疗图像和完整的诊断细节。如果系统未正确分区,也可进入网络的其它部分。受影响的产品是ISCV 3.1、Xcelera 4.1或更早版本。飞利浦称,补丁计划于2018年10月与ISCV版本3.2一起发布。
33.png

https://threatpost.com/philips-v ... information/136669/


4 美国马里兰州医疗信息系统存在严重漏洞

卫生和人类服务部(HHS)在审计马里兰(Maryland)州用于管理医疗补助计划的计算机系统的安全性后。发现其存在使数据和信息系统暴露于未经授权的访问和关键操作的中断的漏洞。尽管马里兰州为医疗补助管理信息系统(MMIS)建立了安全计划,但由于未能对MMIS数据和系统实施足够的控制,基础设施仍然存在大量重大系统漏洞。HHS监察长办公室(OIG)使用漏洞评估软件扫描程序的基础设施(网络设备,服务器,数据库,网站)以寻找安全漏洞。去年,弗吉尼亚州,阿拉巴马州,北卡罗来纳州和马萨诸塞州的医疗补助管理信息系统的也发现大量缺陷。
44.png

https://www.bleepingcomputer.com ... information-system/


5 Mozilla删除23个可窥探用户的Firefox插件

Mozilla近日删除了23个Firefox附加组件,这些附加组件可以窥探用户并将数据发送到远程服务器。被阻止的附加组件列表包括以安全为中心的Web安全,有超过220,000名用户在使用。Mozilla浏览器工程师Rob Wu称这些附加组件在addons.mozilla.org(AMO)上不再可用,并且已经在安装它们的用户的浏览器中被禁用。Wu使用webextaware从AMO中检索Firefox附加组件,发现这些有问题的组件分为两组,一组为类似于Web安全附加组件,在安装时,会向远程服务器发送请求以获取另一台服务器的URL,还可激活远程代码执行(RCE)功能。另一组为第一组的进化版本,增加了混淆性。
55.png

https://www.bleepingcomputer.com ... t-snooped-on-users/


6 泄露文档显示NSA已破解大量高潜力VPN

美国国家安全局成功地打破了一些“高潜力”虚拟专用网络,包括媒体机构半岛电视台,伊拉克军队和互联网服务机构,以及一些航空公司订座系统的加密。虚拟专用网络(VPN)使用加密连接使用户能够通过Internet访问并连接到专用网络,并且早在2006年,NSA就能够破解属于大型组织的敏感VPN。美国国家安全局拒绝评论与此相关的推测消息。
66.jpg

https://theintercept.com/2018/08 ... l-jazeera-sidtoday/

您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-29 09:54

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表