找回密码
 注册创意安天

每日安全简讯(20200910)

[复制链接]
发表于 2020-9-9 20:05 | 显示全部楼层 |阅读模式
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。


1 美国哈特福德公立学校遭到勒索软件攻击

根据哈特福德公立学校(Hartford Public Schools)发表的一份声明,勒索软件攻击影响了学校的几个内部IT系统,造成了长时间的停机。IT人员一直在努力恢复服务,但是这些服务未能在预定于9月8日的新学年的第一天及时完成。哈特福德公立学校在发给家长的信息中表示,远程学习课程也已暂停。学区没有提供信息系统修复的时间表,并表示将通知家长们什么时候可以开始新的学年。

学校.jpg
https://www.zdnet.com/article/ci ... -ransomware-attack/


2 巴基斯坦电力供应商K-Electric遭勒索软件攻击

K-Electric负责为拥有2200万人口的卡拉奇市供电。该公司雇佣了一万多名员工,是巴基斯坦最大的电力公司。K-Electric是NetWalker团伙的最新目标,该团伙要求赎金380万美元。从昨天开始,在NetWalker植入勒索软件并破坏了电力供应商的网络之后,K-Electric的系统部分处于离线状态。因此,客户无法访问公司的在线服务、查看自己的账户状态、支付账单、报告问题等。

electric-power-EDP-696x392.jpg
https://www.technadu.com/pakista ... -ransomware/198606/


3 研究人员发现攻击者滥用云监控工具进行攻击

TeamTNT是一个网络犯罪组织,其目标是包括Docker和Kubernetes实例在内的云环境。在最近的一次由Intezer观察到的攻击中,TeamTNT通过滥用Weave Scope来使用一种新技术,该工具可为用户提供对其云环境的完全访问权限,并与Docker, Kubernetes,分布式云操作系统(DC/OS)和AWS弹性计算云(ECS)集成在一起。攻击者安装此工具是为了映射受害者的云环境,并执行系统命令,而无需在服务器上部署恶意代码。

微信图片_20200909200940.png
https://www.intezer.com/blog/clo ... duct-cyber-attacks/


4 研究人员发现Google Maps导出功能存在漏洞

Wix.com应用程序安全负责人Zohar Shachar发现了Google Maps导出功能中的跨站点脚本漏洞。Shachar说,最初的漏洞源于Google Maps功能,该功能允许用户创建自己的地图。构建地图后,用户可以将其导出为多种格式。当地图导出为KML时,Shachar发现服务器响应中包含一个CDATA标签。CDATA标签表明文档的某个部分是通用字符数据(而不是非字符数据),并确保浏览器不会呈现代码。但是,他发现通过添加特殊字符,可以很容易地“关闭”CDATA标签。具体来说,通过在有效负载的开头添加']]> '(也就是' map name '的开头),可以从CDATA中转义并添加任意XML内容(将其呈现为XML),从而直接进入XSS。

谷歌地图.jpg
https://threatpost.com/bug-in-go ... ing-attacks/159006/


5 Adobe修复Framemaker和InDesign的漏洞

Adobe已发布安全更新,以解决十二个关键漏洞,攻击者可能会利用这些漏洞在运行Adobe InDesign,Adobe Framemaker和Adobe Experience Manager漏洞版本的设备上执行任意代码。总共修复了18个安全漏洞,其余的都是重要的严重性漏洞,它们可能会通过存储的跨站点脚本漏洞导致浏览器中的JavaScript任意执行,或者通过使用不必要的特权执行导致敏感信息泄露。

adobe.jpg
https://www.bleepingcomputer.com ... ign-and-framemaker/


6 微软发布2020年9月安全更新修复129个漏洞

作为本月周二补丁的一部分,微软今天发布了一批新的安全更新,以修复新发现的129个安全漏洞,这些漏洞影响到Windows操作系统和相关软件的不同版本。该公司的各种产品——Microsoft Windows、Edge浏览器、Internet Explorer、ChakraCore、SQL Server、Exchange Server、Office、ASP——共有129个漏洞。NET, OneDrive, Azure DevOps, Visual Studio和Microsoft Dynamics都收到了新的补丁,23个被列为关键修补程序,105个为重要修补程序,一个为中度修补程序。

微软.jpg
https://thehackernews.com/2020/09/patch-tuesday-september.html


您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-28 09:28

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表