设为首页

 找回密码
 注册创意安天
创意安天»论坛 社区服务 傲气安天 IT综合信息区 每日安全简讯(20181113)
返回列表 发新帖

每日安全简讯(20181113)

[复制链接]
发表于 2018-11-12 22:14 | 显示全部楼层 |阅读模式
1 研究人员发现TrickBot变体增加pwgrab模块

FortiGuard研究人员在收集的样本中发现了一个新的TrickBot变体,它带有一个新模块pwgrab,旨在从浏览器以及几个软件应用程序中窃取凭据、自动填充数据、历史记录等。TrickBot恶意软件系列已经存在多年,主要窃取受害者的网上银行信息。新的TrickBot变体使用恶意宏VBS代码通过Excel文件(最初命名为“Sep_report.xls”)进行传播,该代码在受害者在Microsoft Excel中打开文件时执行。VBA代码受密码保护,以“Workbook_Open”函数开始,该函数在打开Excel文件时自动调用。然后它从Text控件读取数据。Powershell代码下载文件保存在本地临时文件夹中,命名为pointer.exe,也就是TrickBot。与之前的版本一样,恶意软件将自身安装到系统“任务计划程序”中,自动运行。然后TrickBot会加载pwgrab32,pwgrab32会从受感染计算机上获取密码等信息。
 1.png

https://www.fortinet.com/blog/th ... -module-pwgrab.html

2 安全厂商发现投放信息窃取恶意软件URSNIF的样本

10月下旬,Cymulate的安全研究人员展示了一个概念验证(PoC),攻击者可以利用Microsoft Office中的在线视频功能来传播恶意软件,这是一个逻辑漏洞,影响Microsoft Word 2013及更高版本,允许攻击者从外部来源(如YouTube和其他类似媒体平台)嵌入在线视频。趋势科技研究人员在VirusTotal中确定了一个样本(由趋势科技检测为TROJ_EXPLOIT.AOOCAI),用于投放信息窃取恶意软件URSNIF。PoC和恶意软件使用Microsoft Word中使用的DOCX文件类型,这是一种可扩展标记语言(XML)文件,可以包含文本,对象,样式,格式和图像。它们存储为单独的文件,并打包在DOCX文件中。发现的样本修改了在src参数下编写的URL ,将其替换为成功重定向时加载和运行的脚本中的Pastebin URL。该脚本访问另一个恶意URL以下载并执行URSNIF恶意软件的版本。与PoC不同,实际的恶意软件样本更简单,可能更有效。它会在单击视频帧时直接访问恶意URL。然后它会加载一个自动下载最终有效负载的恶意脚本。
 2.png

https://blog.trendmicro.com/tren ... ts-embedded-videos/

3 研究人员披露利用WP GDPR插件中漏洞的攻击

研究人员发现WP GDPR合规插件中的特权升级漏洞被攻击者利用。WP GDPR1.4.2之前的版本在执行其内部操作save_setting 进行配置更改时无法执行功能检查。如果攻击者向此端点提交任意选项和值,则输入字段将存储在受影响站点的数据库的选项表中。除了存储任意选项值之外,插件还使用提供的选项名称和值执行调用do_action() ,攻击者可以利用它来执行任意WordPress操作。研究人员发现攻击者直接修改受影响插件上的设置。通过启用新用户注册并将新用户的默认身份更改为Administrator,然后登录并在新受感染的设备上执行任何操作。此外还有一种漏洞利用方法,将恶意软件注入WP-Cron的时间表中,攻击者可以建立一个持久的后门,但是这种方法依赖另一个WordPress插件WooCommerce。
 3.png

https://www.wordfence.com/blog/2 ... -compliance-plugin/

4 VMware发布安全更新修复一个栈未初始化漏洞

VMware发布了ESXi,Workstation和Fusion更新,解决了未初始化的堆栈内存使用问题。漏洞被分配标识符CVE-2018-6981和CVE-2018-6982,可能允许guest虚拟机在主机上执行代码。启用vmxnet3的虚拟适配器会出现此问题。非vmxnet3虚拟适配器不受这些漏洞的影响。
 4.png

https://www.vmware.com/security/advisories/VMSA-2018-0027.html

5 印度IRCTC用近两年的时间修复了访问权限漏洞

印度最大的电子商务网站印度铁路餐饮和旅游公司(IRCTC)花了将近两年的时间来修复一个安全漏洞,攻击者可利用这个漏洞不受限制地访问乘客的个人信息,如姓名、年龄、性别和保险提名人等乘客详细信息。IRCTC负责印度铁路的餐饮,旅游和在线售票业务,每天可预定出约60万张车票。该漏洞存在两年,尚不清楚是否有乘客数据被盗。
 5.png

https://economictimes.indiatimes ... leshow/66581292.cms

6 佛罗里达州卫生部数据泄露暴露多地患者个人信息

佛罗里达州卫生部报告了一项数据泄露事件,可能影响包括埃斯坎比亚、圣罗莎、奥卡卢萨和沃尔顿县的部分患者的个人信息,包括姓名、心理状态和医疗情况。卫生部调查发现黑客10月8日至10月16日访问了儿童医疗服务员工的Microsoft Outlook 365帐户。目前没有发现任何客户信息被盗用,也没有任何证据表明社会保障号码、银行账户、信用卡以及其他财务信息被访问。该部门已经重置受影响员工的登录凭据。
 6.jpg

https://www.pnj.com/story/news/2 ... al-info/1946263002/


               
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-29 06:38

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表