近日,明朝万达安元实验室发布了2023年第八期《安全通告》。该份报告收录了2023 年8月最新的网络安全前沿新闻和最新漏洞追踪,其中重点内容包括:
网络安全前沿新闻
◆ Whiffy Recon恶意软件使用WiFi来三角测量您的位置
Smoke Loader僵尸网络背后的网络犯罪分子正在使用一种名为Whiffy Recon的新恶意软件,通过WiFi扫描和Google地理定位API来三角定位受感染设备的位置。
根据该区域WiFi接入点的数量,通过Google地理定位API进行的三角测量精度范围在20-50米(65-165 英尺)或更小,但在人口密度较低的区域,该数字会增加。
◆ 超过3,000台Openfire服务器容易受到接管攻击
数千台Openfire服务器仍然容易受到CVE-2023-32315的攻击,这是一个被积极利用的路径遍历漏洞,允许未经身份验证的用户创建新的管理员帐户。
贝恩斯表示,有一种方法可以利用该缺陷并上传插件,而无需创建管理员帐户,从而对网络犯罪分子来说更加有吸引力。
◆ 新的隐秘技术让黑客获得Windows系统权限
安全研究人员发布了NoFilter,这是一个滥用Windows过滤平台来提升用户权限的工具,将用户的权限增加到SYSTEM权限,这是Windows上的最高权限级别。
该实用程序在后利用场景中非常有用,在这种场景中,攻击者需要以更高的权限执行恶意代码,或者在其他用户已经登录到受感染设备时在受害者网络上横向移动。
◆ FBI警告称已打补丁的梭子鱼ESG设备仍遭到黑客攻击
美国联邦调查局警告说,针对关键的梭子鱼电子邮件安全网关(ESG)远程命令注入漏洞的补丁“无效”,并且已修补的设备仍在持续的攻击中受到损害。
该漏洞编号为CVE-2023-2868,于2022年10月首次被利用,为ESG设备设置后门并从受感染的系统中窃取数据。
◆ 丹麦托管公司表示在勒索软件攻击后丢失了所有客户数据
丹麦托管公司CloudNordic和AzeroCloud遭受勒索软件攻击,导致大部分客户数据丢失,并迫使托管提供商关闭所有系统,包括网站、电子邮件和客户站点。
此外,该公司的声明澄清,它不会向威胁行为者支付赎金,并已与安全专家接洽并向警方报告了这一事件。
◆ Akira勒索软件针对Cisco VPN来破坏组织
越来越多的证据表明Akira勒索软件将Cisco VPN(虚拟专用网络)产品作为攻击媒介,以破坏企业网络、窃取并最终加密数据。
Akira勒索软件是一种相对较新的勒索软件操作 ,于2023年3月推出,该组织后来添加了一个Linux加密器来针对VMware ESXi虚拟机。
◆ 亚马逊谷歌广告导致微软支持诈骗
Google搜索结果中看似合法的亚马逊广告将访问者重定向到Microsoft Defender技术支持骗局,从而锁定了他们的浏览器。
但是,点击Google广告会将用户重定向到技术支持骗局,该骗局冒充Microsoft Defender发出的警报并进入全屏模式,表明您感染了ads(exe).finacetrack(2).dll恶意软件,并使得在不终止Google Chrome进程的情况下很难退出该页面。
◆ 日本钟表制造商Seiko遭BlackCat勒索软件团伙攻击
BlackCat/ALPHV勒索软件团伙已将Seiko添加到其勒索网站,声称对这家日本公司本月早些时候披露的网络攻击负责。
并嘲笑了Seiko的IT安全性,以及泄露了看似生产计划、员工护照扫描、新型号发布计划和专门实验室测试结果的内容。最令人担忧的是,该团伙泄露了他们声称的机密技术原理图和精工手表设计的样本 。
◆ 古巴勒索软件利用Veeam攻击美国关键组织
古巴勒索软件团伙结合使用新旧工具对美国关键基础设施组织和拉丁美洲IT公司发起攻击。
黑莓的威胁研究和情报团队于2023年6月上旬发现了最新的活动,报告称古巴现在利用 CVE-2023-27532 从配置文件中窃取凭据。该特定缺陷影响Veeam Backup&Replication(VBR)产品。
◆ 美国主要能源组织遭遇二维码网络钓鱼攻击
网络钓鱼活动主要针对美国一家著名能源公司,利用二维码将恶意电子邮件放入收件箱并绕过安全措施。
这些电子邮件带有二维码的PNG或PDF附件,系统会提示收件人扫描以验证其帐户。电子邮件还指出,目标必须在2-3天内完成此步骤,以增加紧迫感。
◆ 通过恶意软件感染构建的大规模400,000个代理僵尸网络
研究人员发现了一项大规模活动,该活动向至少400,000个Windows系统提供了代理服务器应用程序。这些设备在未经用户同意的情况下充当住宅出口节点。
住宅代理对于网络犯罪分子来说很有价值,因为它们可以帮助部署来自新IP地址的大规模撞库攻击。
◆ IBM MOVEit泄露导致400万数据被盗
科罗拉多州医疗保健政策和融资部 (HCPF) 向超过400万人发出警报,称数据泄露影响了他们的个人和健康信息。
科罗拉多州HCPF是一个州政府机构,负责管理科罗拉多州健康第一(Medicaid)和儿童健康计划Plus计划,并为低收入家庭、老年人和残疾公民提供支持。
◆ MaginotDNS攻击利用DNS缓存中毒的弱检查
来自加州大学欧文分校和清华大学的研究人员团队开发了一种名为“MaginotDNS”的新型强大缓存中毒攻击,该攻击针对条件DNS(CDNS)解析器,可以危害整个TLD顶级域。
由于不同DNS软件和服务器模式(递归解析器和转发器)实施安全检查的不一致,导致大约三分之一的CDNS服务器容易受到攻击。
◆ 福特称存在WiFi漏洞的汽车仍可安全驾驶
福特警告称,许多福特和林肯汽车所使用的SYNC3信息娱乐系统存在缓冲区溢出漏洞,该漏洞可能允许远程执行代码,但表示车辆驾驶安全不会受到影响。
SYNC3是一款现代信息娱乐系统,支持车载WiFi热点、电话连接、语音命令、第三方应用程序等。
◆ 全球工业PLC受到CODESYS V3 RCE缺陷的影响
全球工业环境中使用的数百万个PLC(可编程逻辑控制器)面临CODESYS V3软件开发套件中15个漏洞的风险,这些漏洞允许远程代码执行(RCE)和拒绝服务(DoS)攻击。
超过500家设备制造商使用CODESYS V3 SDK根据IEC 61131-3标准对1,000多种PLC型号进行编程,从而允许用户开发自定义自动化序列。
◆ Dell Compellent硬编码密钥暴露VMware vCenter管理员凭证
戴尔Compellent Integration Tools for VMware(CITV)中存在未修复的硬编码加密密钥缺陷,攻击者可利用该缺陷解密存储的vCenter管理员凭据并检索明文密码。
该漏洞编号为CVE-2023-39250,是由所有安装共享的静态AES加密密钥引起的,该密钥用于加密程序配置文件中存储的vCenter凭据。
◆ EvilProxy网络钓鱼活动针对120,000名Microsoft 365用户
EvilProxy成为针对受MFA保护的帐户的更流行的网络钓鱼平台之一,研究人员发现有120,000封网络钓鱼电子邮件发送到一百多个组织,以窃取Microsoft 365帐户。
EvilProxy是一个网络钓鱼即服务平台,它使用反向代理在用户(目标)和合法服务网站之间中继身份验证请求和用户凭据。
网络安全最新漏洞追踪
■ 微软8月多个安全漏洞
漏洞概述
2023年8月8日,微软发布了8月安全更新,本次更新共修复了87个漏洞,其中包括2个已被利用的漏洞、23个远程代码执行漏洞以及6个评级为严重的漏洞。
漏洞详情
ADV230003:Microsoft Office 深度防御更新(修复CVE-2023-36884)
ADV230003:Microsoft Office 深度防御更新(修复CVE-2023-36884),Microsoft 发布了 Microsoft Office深度防御更新,以修复先前已缓解并被积极利用的CVE-2023-36884远程代码执行漏洞攻击链。CVE-2023-36884影响了多个Windows和Office产品,威胁者可以创建特制的 Microsoft Office文档并诱导受害者打开恶意文件,成功利用可能导致在受害者的上下文中远程执行代码。该漏洞已经公开披露且已发现被利用。
CVE-2023-38180 :.NET 和 Visual Studio 拒绝服务漏洞
CVE-2023-38180 :.NET 和 Visual Studio 拒绝服务漏洞,此漏洞的CVSSv3评分为7.5,可利用该漏洞导致.NET 应用程序和 Visual Studio拒绝服务,目前该漏洞已发现被利用。
CVE-2023-36895:Microsoft Outlook远程代码执行漏洞
CVE-2023-36895:Microsoft Outlook远程代码执行漏洞,此漏洞的CVSSv3评分为7.8,威胁者可通过诱导受害者下载并打开特制文件(需要用户交互),从而导致对受害者计算机执行本地攻击,成功利用该漏洞可能导致任意代码执行。
CVE-2023-29328/ CVE-2023-29330:Microsoft Teams远程代码执行漏洞
CVE-2023-29328/ CVE-2023-29330:Microsoft Teams远程代码执行漏洞,此漏洞的CVSSv3评分均为8.8,影响了Microsoft Teams 桌面版、Android 版、 iOS版和Mac 版。威胁者可以通过诱骗受害者加入其设置的恶意Teams 会议,导致在受害者用户的上下文中远程执行代码,从而能够访问或修改受害者的信息,或可能导致客户端计算机停机,利用该漏洞无需特权。
CVE-2023-35385/CVE-2023-36911/CVE-2023-36910:Microsoft消息队列远程代码执行漏洞
CVE-2023-35385/CVE-2023-36911/CVE-2023-36910:Microsoft消息队列远程代码执行漏洞,此漏洞的CVSSv3评分为9.8,可以通过发送恶意制作的MSMQ 数据包到MSMQ 服务器来利用漏洞,成功利用这些漏洞可能导致在目标服务器上远程执行代码。利用这些漏洞需要启用作为Windows 组件的Windows 消息队列服务,可以通过检查是否有名为Message Queuing的服务在运行,以及计算机上是否侦听TCP 端口1801。
CVE-2023-21709:Microsoft Exchange Server 权限提升漏洞
CVE-2023-21709:Microsoft Exchange Server 权限提升漏洞,此漏洞的CVSSv3评分为9.8,在基于网络的攻击中,可以通过暴力破解用户帐户密码以该用户身份登录。建议使用强密码来缓解暴力破解攻击。
CVE-2023-35388 /CVE-2023-38182:Microsoft Exchange Server 远程代码执行漏洞
CVE-2023-35388 /CVE-2023-38182:Microsoft Exchange Server 远程代码执行漏洞,此漏洞的CVSSv3评分为8.0,通过 LAN 访问身份验证并拥有有效 Exchange 用户凭据的威胁者可以通过 PowerShell 远程处理会话远程执行代码。
安全建议
目前微软已发布相关安全更新,建议受影响的用户尽快修复。
(一) Windows Update自动更新
Microsoft Update默认启用,当系统检测到可用更新时,将会自动下载更新并在下一次启动时安装。也可选择通过以下步骤手动进行更新:
1、点击“开始菜单”或按Windows快捷键,点击进入“设置”
2、选择“更新和安全”,进入“Windows更新”(Windows 8、Windows 8.1、Windows Server 2012以及Windows Server 2012 R2可通过控制面板进入“Windows更新”,具体步骤为“控制面板”->“系统和安全”->“Windows更新”)
3、选择“检查更新”,等待系统自动检查并下载可用更新。
4、更新完成后重启计算机,可通过进入“Windows更新”->“查看更新历史记录”查看是否成功安装了更新。对于没有成功安装的更新,可以点击该更新名称进入微软官方更新描述链接,点击最新的SSU名称并在新链接中点击“Microsoft 更新目录”,然后在新链接中选择适用于目标系统的补丁进行下载并安装。
(二) 手动安装更新
Microsoft官方下载相应补丁进行更新。
2023年6月安全更新下载链接:
https://msrc.microsoft.com/update-guide/releaseNote/2023-Jun
■ RARLAB WinRAR代码执行漏洞
漏洞概述
漏洞详情
WinRAR 是一款使用广泛、功能强大的压缩文件管理工具。该软件可用于备份数据,缩减电子邮件附件的大小,解压缩从 Internet 上下载的RAR、ZIP及其它类型文件,并且可以创建 RAR 及 ZIP 格式的压缩文件。
8月18日,监测到RARLAB WinRAR中存在一个代码执行漏洞(CVE-2023-40477),该漏洞的CVSS评分为7.8。此漏洞存在于WinRAR恢复卷的处理过程中,由于对用户提供的数据缺乏适当验证,可能导致内存访问超出已分配缓冲区的末尾。可以通过诱导受害者访问恶意页面或打开恶意文件来利用该漏洞,成功利用可能导致在受影响的目标系统上执行任意代码。
8月24日,监测到RARLAB WinRAR中存在一个代码执行漏洞(CVE-2023-38831)。该漏洞已发现被利用,以传播各种恶意软件系列,如DarkMe、GuLoader 和 Remcos RAT,目前利用详情已经公开披露。
WinRAR版本6.23之前存在可欺骗文件扩展名的漏洞,可利用该漏洞创建恶意RAR或ZIP存档,这些存档中显示看似无害的诱饵文件,例如 JPG (.jpg) 图像文件、文本文件 (.txt) 或 PDF文档 (.pdf)等文件,以及与文件同名的文件夹(包括文件扩展名),当用户打开这些文件时,将执行文件夹中的恶意脚本,导致在设备上安装恶意软件。
影响范围
RARLAB WinRAR 版本 < 6.23
安全建议
目前该漏洞已经修复,受影响用户可升级到RARLAB WinRAR最新版本6.23。
下载链接:
https://www.win-rar.com/start.html
临时措施:
对不受信任文件保持警惕,不随意打开和运行。打开或运行未知文件之前可先使用防病毒工具进行扫描。
■ Python URL解析安全绕过漏洞(CVE-2023-24329)
漏洞概述
漏洞详情
Python中的urllib.parse模块主要用于解析和操作URL,它可以将URL分解为其组成部分,或者将各个组成部分组合为URL字符串。
8月14日,监测到Python的urllib.parse组件中存在安全绕过漏洞(CVE-2023-24329),该漏洞的CVSSv3评分为7.5。
Python多个受影响版本中,当整个URL以空白字符开头时,urllib.parse会出现解析问题(影响主机名和方案的解析)。可以通过提供以空白字符开头的URL来绕过使用阻止列表实现的任何域或协议过滤方法,成功利用该漏洞可能导致任意文件读取、命令执行或SSRF等。
影响范围
Python < 3.12
Python 3.11.x < 3.11.4
Python 3.10.x < 3.10.12
Python 3.9.x < 3.9.17
Python 3.8.x < 3.8.17
Python 3.7.x < 3.7.17
安全建议
目前该漏洞已经修复,受影响用户可升级到以下版本:
Python >= 3.12
Python 3.11.x >= 3.11.4
Python 3.10.x >= 3.10.12
Python 3.9.x >= 3.9.17
Python 3.8.x >= 3.8.17
Python 3.7.x >= 3.7.17
下载链接:
https://github.com/python/cpython/tags
临时措施:
在处理URL之前添加 strip() 函数也可缓解该漏洞。
■ 通达OA SQL注入漏洞(CVE-2023-4165)
漏洞概述
漏洞详情
通达OA(Office Anywhere网络智能办公系统)是由北京通达信科科技有限公司自主研发的协同办公自动化软件,是适合各个行业用户的综合管理办公平台。
8月7日,监测到通达OA存在两个SQL注入漏洞(CVE-2023-4165和CVE-2023-4166),CVSSv3评分均为5.5,目前这些漏洞的PoC已公开,详情如下:
CVE-2023-4165:通达OA SQL注入漏洞
通达OA版本11.10之前,/general/system/seal_manage/iweboffice/delete_seal.php路径下的DELETE_STR参数存在SQL注入漏洞,可能导致通过SQL盲注(延时注入)获取数据库中的敏感信息。
CVE-2023-4166:通达OA SQL注入漏洞
通达OA版本11.10之前,/general/system/seal_manage/dianju/delete_log.php路径下的$DELETE_STR参数存在SQL注入漏洞,可能导致通过SQL盲注(延时注入)获取数据库中的敏感信息。
影响范围
通达OA < v11.10
安全建议
目前该漏洞已经修复,受影响用户可升级到以下版本:
通达OA >= v11.10
下载链接
https://www.tongda2000.com/index.php
【 持续关注网络安全,更多相关资讯敬请关注“明朝万达” 】