设为首页

创意安天

 找回密码
 注册创意安天
创意安天»论坛 社区服务 傲气安天 IT综合信息区 每日安全简讯(20220927)
返回列表 发新帖

每日安全简讯(20220927)

[复制链接]
发表于 2022-9-26 20:33 | 显示全部楼层 |阅读模式
免责声明:以下内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表安天实验室观点,因此第三方对以下内容进行分享、传播等行为,以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的,若产生法律责任,译者与安天实验室一律不予承担。

1 Lazarus组织使用BYOVD技术发起新的攻击活动

自2009年以来,Lazarus组织不仅攻击了韩国,而且攻击了美洲、亚洲和欧洲的各个国家。2022 年初,Lazarus组织对韩国的国防、金融、媒体和制药行业进行了APT(高级持续威胁)攻击。研究人员发现近期Lazarus组织使用rootkit恶意软件,利用易受攻击的驱动程序内核模块直接读取和写入内核内存区域。因此,系统内的所有监控系统,包括AV(反病毒)都被禁用。这种技术被称为“BYOVD(自带易受攻击的驱动程序)”方法,主要在硬件供应公司的易受攻击的驱动程序模块上执行。使用最新的Windows操作系统,不再加载未签名的驱动程序。但是,攻击者可以使用这种合法签名的易受攻击的驱动程序来轻松控制内核区域。
1.png
https://asec.ahnlab.com/en/38993/

2 研究人员在谷歌Play商店发现伪装成应用程序的Harley木马

Google Play商店中的应用程序下隐藏着许多恶意软件,这些恶意软件看似无害,但实际上是恶意程序。研究人员发现一种流行的恶意软件,称为Trojan Subscribers,它能在用户不知情的情况下注册付费服务。近3年,在Google Play商店中发现了190多个应用程序感染了Harly Trojan,此类应用程序的下载量超过480万次。 为了将病毒传播到不同的系统,威胁参与者下载原始应用程序并将其恶意代码放入其中,然后以其他名称将它们重新上传到Google Play商店。
2.png
https://www.cysecurity.news/2022/09/harley-trojan-affecting-users-by.html

3 Netlify中的漏洞可能导致XSS、SSRF攻击

Netlify中的一个漏洞可能允许攻击者在任何部署在Netlify的网站上实现持久性跨站点脚本(XSS) 或完全响应的服务器端请求伪造。Netlify是一个Web开发平台,还为网站提供托管和无服务器后端服务。本次发现的安全漏洞CVE-2022-39239,允许攻击者通过发送特制标头绕过源图像域允许列表,导致处理程序加载并返回任意图像。由于响应是全局缓存的,因此图像将被提供给访问者,而无需设置这些标头。因此,攻击者可以通过请求带有嵌入脚本的恶意SVG文件来实现XSS,然后从站点域提供该文件。
 3.png
https://portswigger.net/daily-swig/netlify-vulnerable-to-xss-ssrf-attacks-via-cache-poisoning

4 研究人员发现影响数百万设备的固件漏洞

固件安全公司Binarly发现了一批严重的固件漏洞,这些漏洞可能允许攻击者持续访问数百万受影响的设备中的任何一个。该公司的研究人员在Insyde Software提供的InsydeH2O UEFI固件中发现了七个新的安全漏洞。受影响的代码被其他数十家公司使用,包括惠普、戴尔、英特尔、微软、富士通、Framework和Siemens等主要供应商。利用新漏洞需要本地特权操作系统访问,但其中许多仍被赋予“高危”等级。这些漏洞与系统管理模式(SMM)有关,它们可能导致信息泄露或任意代码执行。
 4.png
https://www.securityweek.com/new-firmware-vulnerabilities-affecting-millions-devices-allow-persistent-access

5 加密货币交易所使用的npm包遭到泄露

由加密货币交易所dYdX发布并被至少44个加密货币项目使用的多个npm包似乎已被泄露。dydX由以太坊区块链提供支持,是一个去中心化交易平台,为超过35种流行的加密货币提供永久交易选项,包括比特币(BTC)和以太(ETH)。有问题的软件包是从dYdX工作人员的npm帐户发布的,被研究人员发现其中包含非法代码,安装后会在系统上运行信息窃取程序。
5.png
https://www.bleepingcomputer.com/news/security/npm-packages-used-by-crypto-exchanges-compromised/

6 Windows 11 Insider默认启用SMB身份验证速率限制器

微软宣布,Windows 11 SMB服务器现在可以更好地抵御暴力破解攻击。从最新的Windows 11 Insider开发版本开始,默认启用了SMB身份验证速率限制器,并调整了一些设置以降低此类攻击的效率。随着Windows 11 Insider Preview Build 25206 Dev Channel的发布,SMB服务现在默认在每次失败的入站NTLM身份验证之间间隔2秒。这意味着,如果攻击者之前每秒从客户端发送300次暴力破解攻击,持续5分钟(90000个密码),那么相同数量的尝试现在至少需要50小时。
 6.png
https://www.bleepingcomputer.com/news/microsoft/windows-11-gets-better-protection-against-smb-brute-force-attacks/
回复

举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

小黑屋|手机版|Archiver|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-4-26 00:36

Powered by Discuz! X3.4

© 2001-2023 Discuz! Team.

快速回复 返回顶部 返回列表