找回密码
 注册创意安天

每日安全简讯(20200314)

[复制链接]
发表于 2020-3-13 22:11 | 显示全部楼层 |阅读模式
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。


1 安天剖析微软SMBv3高风险漏洞并发布免疫工具

2020年3月11日,微软在3月的安全更新中发布了一个位于Server Message Block 3.1.1(SMBv3)网络通信协议的远程代码执行漏洞,漏洞编号为CVE-2020-0796,但并未在更新中修复此漏洞。次日,微软发布CVE-2020-0796专项补丁。该漏洞是由于SMBv3协议中处理压缩消息时未进行严格安全检查所导致的。针对服务器,攻击者可以通过发送特制数据包至目标服务器以利用此漏洞;针对客户端,攻击者可以通过配置恶意SMBv3服务器,并诱使用户连接到该服务器以利用此漏洞。该漏洞存在被恶意代码利用进行大范围传播的风险,威胁等级高。安天针对此漏洞发布了免疫工具,使用此工具可禁用SMBv3压缩功能,以阻止攻击者对CVE-2020-0796漏洞的利用,同时也可以通过工具下载相应补丁,修复漏洞。
微信图片_20200313221011.jpg

https://mp.weixin.qq.com/s/ookMcCu3p-ie6hk7I7Tlnw


2 新勒索软件CoronaVirus通过假冒网站分发

MalwareHunterTeam发现一种名为CoronaVirus的新勒索软件,其通过假冒的合法网站WiseCleaner分发。WiseCleaner为Windows系统实用程序网站,该勒索软件假装成该网站中的推广系统优化软件和实用工具,用户在该站点上的下载是无效的,但实际已下载名为WSHSetup.exe的文件。该恶意文件执行后,从远程网站下载各种文件,安装的第一程序为Kpot信息窃取木马,它将尝试从Web浏览器、消息程序、VPN、FTP、电子邮件帐户、游戏帐户以及其它服务中窃取Cookie和登录凭据,并发送到攻击者远控站点。安装第二个文件是CoronaVirus勒索软件,它将加密计算机上的文件。加密的文件将被重命名,使其继续使用相同的扩展名,但是文件名将更改为攻击者的电子邮件地址。然后释放勒索信,要求支付0.008比特币。
encrypted-files.jpg

https://www.bleepingcomputer.com ... r-kpot-infostealer/


3 研究人员发现新勒索软件PXJ的攻击活动

IBM X-Force IRIS发现了新勒索软件PXJ(也称为XVFXGW)的攻击活动。该勒索软件使用“PXJ”作为加密文件扩展名,而备用名称XVFXGW既基于勒索软件创建的互斥量“ XVFXGW DOUBLE SET”,又位于勒索信中列出的电子邮件地址。研究人员发现的两个样本中一个使用UPX打包,另一个没有进行打包。新样本的通信URL包含一个称为“token”的参数,该参数具有Base64编码,研究人员猜测这可能是某种流量检查。
ransomnote.png

https://securityintelligence.com ... ed-by-x-force-iris/


4 C-U公共卫生区网站被NetWalker勒索软件攻击

美国Champaign-Urbana(C-U)公共卫生区的网站被一种名为NetWalker勒索软件攻击。该网站管理员表示该网站将与地方政府合作,以发布有关导致COVID-19的病毒的重要信息,但此次攻击导致网站不能正常发布信息。有公司人员表示NetWalker隐藏了Windows的一项基本功能,以逃避反病毒检测。网站管理员称卫生部门的电子邮件帐户、环境健康记录和病人电子医疗记录仍然是安全可用的,所有这些都在六个月前被转移到云存储中。攻击发生后,该地区立即通知联邦调查局和国土安全部,并正在与一家咨询公司合作调查并恢复网站。
5e6970e48165d.image.jpg

https://www.news-gazette.com/new ... 0-8bd9e8800e27.html


5 WordPress插件漏洞允许黑客注入恶意代码

研究人员在WordPress Popup Builder插件中发现了两个漏洞。 Popup Builder插件已安装在超十万个网站。第一个为XSS漏洞(CVE-2020-10196),允许未经身份验证的攻击者将恶意JavaScript注入任何已发布的弹出窗口中,然后在每次弹出窗口加载时都将执行该恶意JavaScript。另一个漏洞(CVE-2020-10195)允许任何登录用户(甚至包括订户等具有最小权限的用户)导出所有新闻通讯订户的列表、系统配置信息,并授权访问插件的各种功能。Wordfence目前已修复了以上漏洞。
Popup_Builder_plugin.jpg

https://www.wordfence.com/blog/2 ... -over-100000-sites/


6 Zyxel网络管理软件中存在数十个安全漏洞

专家发现Zyxel Cloud CNM SecuManager中存在16个安全漏洞,Zyxel Cloud CNM SecuManager是一款全面的网络管理软件,可提供集成控制台来管理包括ZyWALL USG和VPN系列在内的安全网关。漏洞如下:硬编码的SSH服务器密钥、MySQL中的后门帐户、Ejabberd中的硬编码证书和后门访问、无需身份验证即可打开ZODB存储、MyZyxel“云”硬编码的秘密、硬编码的机密,API、管理员帐户的预定义密码、对“云”的不安全管理、xmppCnrSender.py日志转义序列注入、xmppCnrSender.py没有身份验证和明文通信、错误的HTTP请求导致Zope超出范围访问、Web界面上的XSS、私人SSH密钥、后门API、后门管理访问和RCE、具有chroot访问权限的预认证RCE。供应商尚未发布有关专家报告的漏洞的任何建议。
Zyxel-Cloud-CNM-SecuManager.png

https://securityaffairs.co/wordp ... umanager-flaws.html

您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-28 16:40

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表