安全资讯报告

高度严重的Rust编程错误可能导致文件、目录删除

Rust编程语言的维护者发布了一个针对高严重性漏洞的安全更新,该漏洞可能被恶意方滥用,以未经授权的方式从易受攻击的系统中清除文件和目录。

Rust安全响应工作组(WG)在2021年1月20日发布的公告中表示:“攻击者可以利用此安全问题诱使特权程序删除攻击者无法访问或删除的文件和目录。”

Rust1.0.0到Rust1.58.0受此漏洞影响。该漏洞被追踪为CVE-2022-21658(CVSS评分:7.3),归功于安全研究员HansKratz,该团队在上周发布的Rust1.58.1版本中推出了修复程序。

具体来说,问题源于在名为“std::fs::remove_dir_all”的标准库函数中执行不正确的检查以防止递归删除符号链接(又名symlinks)。这会导致竞争条件,反过来,攻击者可以通过滥用他们对特权程序的访问来删除敏感目录,从而可靠地利用这种条件。

新闻来源:

https://thehackernews.com/2022/01/high-severity-rust-programming-bug.html

加拿大外交部被黑,部分服务中断

加拿大政府外交和领事关系部加拿大全球事务部上周遭到网络攻击。虽然关键服务仍可访问,但目前无法访问某些在线服务,因为政府系统继续从攻击中恢复。

在一份声明中,加拿大财政部秘书处(TBS)、加拿大共享服务部和通信安全机构共同证实,上周某个时间发生了涉及加拿大全球事务部的网络事件。该攻击于1月19日被发现,之后采取了缓解措施。

加拿大政府进一步表示,已经采取了缓解措施并且系统正在恢复,有一些互联网和基于互联网的服务的访问不可用,没有迹象表明任何其他政府部门受到了这次袭击的影响,事件背后的威胁行为者尚未揭晓。

新闻来源:

https://www.bleepingcomputer.com/news/security/canadas-foreign-affairs-ministry-hacked-some-services-down/

TrickBot恶意软件使用新技术逃避检测

臭名昭著的TrickBot恶意软件背后的网络犯罪运营商再次加大了赌注,通过添加多层防御来绕过反恶意软件产品来微调其技术。

TrickBot最初是一种银行木马,现已发展成为一种多用途的犯罪软件即服务(CaaS),被各种行为者用来提供额外的有效载荷,例如勒索软件。迄今为止,已经确定了100多种TrickBot变体,其中之一是“Trickboot”模块,可以修改受感染设备的UEFI固件。

2020年秋季,微软与少数美国政府机构和私人安全公司联手应对TrickBot僵尸网络,在全球范围内关闭了大部分基础设施,以阻碍其运营。

但事实证明,TrickBot不受删除尝试的影响,运营商迅速调整他们的技术,通过网络钓鱼和恶意垃圾邮件攻击传播多阶段恶意软件,更不用说通过与Shathak(又名TA551)等其他附属公司合作来扩展他们的分销渠道扩大规模。

最近,涉及Emotet的恶意软件活动已将TrickBot作为“交付服务”触发感染链,将Cobalt Strike后门投放到受感染的系统上。截至2021年12月,估计有149个国家/地区的140,000名受害者被TrickBot感染。

IBM Trusteer观察到的新更新与用于窃取银行凭证和浏览器cookie的实时Web注入有关。这通过在尝试导航到银行门户时将受害者引导到钓鱼网址来实现,这是所谓的浏览器中间人攻击的一部分。

还使用了一种服务器端注入机制,该机制拦截来自银行服务器的响应并将其重定向到攻击者控制的服务器,该服务器反过来在网页中插入额外的代码,然后再将其转发回客户端。

新闻来源:

https://thehackernews.com/2022/01/trickbot-malware-using-new-techniques.html

随着物联网攻击的增加,专家担心更严重的威胁

随着针对物联网设备的攻击不断增加,威胁研究人员警告公司要确保他们了解自己的设备并制定适当的流程来维护和保护它们。

在1月25日的一篇博客文章中,威胁情报公司Intel471表示,2020年和2021年对物联网设备的攻击激增,导致机密信息被盗,并创建了用于发起分布式拒绝服务(DDoS)攻击的大规模僵尸网络。该公司还看到主要的恶意软件代码库Mirai和Gafgyt被用来破坏连接设备,其中Mirai的变体是在地下论坛上向目标公司出售非法访问权限的最流行方式。

英特尔471首席情报官Michael DeBolt表示,随着攻击者转向更注重利润的动机,这种威胁今年只会增加。

物联网市场的两个趋势正在融合,从而产生一个重大的安全问题。大量设备的制造商正在添加用于管理和更新的连接功能,并提供额外的服务,从而在大多数组织中导致更大的攻击面。然而,这些设备的管理并没有跟上步伐,使得其中许多设备容易受到攻击。

例如,根据Cynerio1月20日的一份报告,在医疗领域,医疗环境中53%的联网医疗设备和其他物联网设备存在严重漏洞。静脉泵和病人监护仪是医院中最常见的连接设备,占平均医疗环境中物联网设备的57%。

物联网设备中的漏洞远远超出家庭路由器和消费产品。由于许多这些连接的设备都基于相同的操作系统(例如Linux或Wind River System的VxWorks),因此各种医疗设备、制造控制器和监控系统(仅举几例)也经常被发现存在漏洞。对物联网控制器或监控设备的攻击很容易导致公用事业、医院或智能建筑和城市基础设施内的运营停止,从而使任何赎金需求变得更加重要。

新闻来源:

https://www.darkreading.com/iot/as-iot-attacks-increase-experts-fear-more-serious-threats

黑客使用新的恶意软件打包程序DTPacker来避免检测

一个名为DTPacker的以前未记录的恶意软件打包程序分发多个远程访问特洛伊木马(RAT)和信息窃取程序,如Agent Tesla,Ave Maria,AsyncRAT和FormBook,以掠夺信息并促进后续攻击,该恶意软件使用多种混淆技术来逃避防病毒,沙盒和分析。

涉及打包程序的攻击链依赖于网络钓鱼电子邮件作为初始感染媒介。这些邮件包含恶意文档或压缩的可执行附件,打开后,会部署打包程序以启动恶意软件。

打包程序与下载器的不同之处在于,它们携带了混淆的有效载荷,以一种充当"保护二进制文件的盔甲"的方式向安全解决方案隐藏其真实行为,并使逆向工程更加困难。

DTPacker的不同之处在于它的功能是两者兼而有之。它的名字来源于这样一个事实,即它使用了两个唐纳德·特朗普主题的固定键-"trump2020"和"Trump2026"-来解码最终提取和执行最终有效负载的嵌入式或下载资源。

新闻来源:

https://thehackernews.com/2022/01/hackers-using-new-malware-packer.html

安全漏洞威胁

在polkit的pkexec中发现本地提权漏洞(CVE-2021-4034)

研究人员今天警告说,Polkit的pkexec组件中的一个漏洞被识别为CVE-2021-4034(PwnKit),漏洞存在于所有主要Linux发行版的默认配置中,可以被利用来获得系统root权限。

CVE-2021-4034被命名为PwnKit,其起源已被追踪到12年前pkexec的初始提交,这意味着所有Polkit版本都受到影响。作为Polkit开源应用程序框架的一部分,该框架协商特权和非特权进程之间的交互,pkexec允许授权用户以另一个用户的身份执行命令,作为sudo的替代方案。

研究人员发现,pkexec程序可以被本地攻击者用来增加Ubuntu,Debian,Fedora和CentOS默认安装的权限。PwnKit也可能在其他Linux操作系统上被利用。PwnKit是"Polkit中的内存损坏漏洞,它允许任何非特权用户使用默认polkit配置在易受攻击的系统上获得系统root权限。”

在Qualys发布PwnKit的技术细节后不到三个小时,互联网已出现一个漏洞利用POC。经验证,该POC可以利用获取系统root权限。研究人员在ARM64系统上进一步测试了它,表明它也适用于该架构。

Ubuntu已经推送了PolicyKit的更新,以解决版本14.04和16.04ESM(扩展安全维护)以及更新版本18.04、20.04和21.04中的漏洞。用户只需运行标准系统更新,然后重新启动计算机即可使更改生效。

Redhat还为工作站和企业产品上的polkit提供了安全更新,用于支持的架构,以及扩展生命周期支持、TUS和AUS。

对于尚未推送修补程序的操作系统,临时缓解措施是使用以下命令剥离pkexec的读/写权限:

chmod0755/usr/bin/pkexec

新闻来源:

https://www.bleepingcomputer.com/news/security/linux-system-service-bug-gives-root-on-all-major-distros-exploit-released/

黑客利用MSHTML漏洞监视政府和国防目标

网络安全研究人员周二结束了一场多阶段的间谍活动,目标是监督国家安全政策的高级政府官员和西亚国防工业的个人。

该攻击是独一无二的,因为它利用Microsoft OneDrive作为命令和控制(C2)服务器,并分为多达六个阶段,以尽可能隐藏,Trellix-一家在安全公司McAfee Enterprise和FireEye合并后创建的新公司-在与黑客新闻分享的一份报告中说。

"这种类型的通信使恶意软件在受害者的系统中不被注意,因为它只会连接到合法的Microsoft域,而不会显示任何可疑的网络流量,"Trellix解释说。

据说,与秘密行动相关的初步活动迹象早在2021年6月18日就开始了,9月21日和29日报告了两名受害者,随后在10月6日至8日的短短三天内又报告了17名受害者。

Trellix将这些攻击适度地归因于总部位于俄罗斯的APT28组织,该组织是2020年SolarWinds妥协背后的威胁行为者,基于源代码以及攻击指标和地缘政治目标的相似性。

感染链始于执行包含MSHTML远程执行代码漏洞(CVE-2021-40444)的Microsoft Excel文件,该文件用于运行恶意二进制文件,该文件充当称为Graphite的第三阶段恶意软件的下载程序。

DLL可执行文件使用OneDrive作为C2服务器,通过Microsoft Graph API检索其他stager恶意软件,最终下载并执行Empire,这是一个基于PowerShell的开源后开发框架,被威胁行为者广泛滥用用于后续活动。

如果有的话,这一发展标志着对MSTHML渲染引擎缺陷的持续利用,微软和SafeBreach Labs披露了多个活动,这些活动已经将漏洞武器化,以植入恶意软件并分发自定义Cobalt Strike Beacon加载器。

新闻来源:

https://thehackernews.com/2022/01/hackers-exploited-mshtml-flaw-to-spy-on.html

严重的编程错误或致文件删除、黑客使用新恶意软件逃避检测|1月26日全球网络安全热点相关推荐

  1. 伊朗加油站遭网络攻击致瘫痪、Babuk勒索软件源代码泄露|10月28日全球网络安全热点

    安全资讯报告 电子邮件泄露事件致英国公司损失1.4亿英镑 根据英国国家经济犯罪中心(NECC)的最新数据,在过去12个月中,报告的商业电子邮件泄露(BEC)事件已达到4600起,给个人和企业造成了1. ...

  2. Puma遭遇勒索攻击致数据泄漏、微软修复48个安全漏洞|2月9日全球网络安全热点

    安全资讯报告 Puma在Kronos勒索软件攻击后遭受数据泄露 运动服装制造商Puma在2021年12月对其北美劳动力管理服务提供商之一Kronos发起勒索软件攻击后,遭到数据泄露. 本月早些时候向几 ...

  3. [置顶] 卡巴斯基2009许可文件、卡巴斯基2009kav版授权key(8月25日更新)

    本站提供:最新卡巴斯基2009key.卡巴斯基2009激活授权文件key.卡巴斯基2009许可文件,卡巴斯基2009反病毒kav8.0版激活授权文件key,卡巴斯基激活码,卡巴斯基授权文件.经黑名单亲 ...

  4. 记2015年11月14日全球编程静修日(Global Day of Coderetreat)

    昨天有幸参加了记2015年11月14日全球编程静修日(Global Day of Coderetreat)北京站第一场的活动,活动共有近20位道友到场.特别感谢组织者伍斌_ben, Mr.D.Q, 何 ...

  5. 互联网早报 | 8月26日 星期三 | 蚂蚁集团递交招股文件;TikTok首次披露用户数据;滴滴开辟首个欧洲市场...

    今日看点 ✦ 蚂蚁集团递交招股文件:2019年营收1206亿元,净利润180.7亿元 ✦ 覆盖"云-边-网-端",腾讯云率先公布完整5G产品矩阵 ✦ 滴滴正式在俄罗斯推出快车服务, ...

  6. 魅蓝e2 改android,魅族4月26日发布魅蓝E2究竟要删除什么?

    标签:魅族(1007) 是的,在今天,魅族终于宣布了本月演唱会的具体时间--4月24日. --题记 早在之前,一众KOL就纷纷吐槽魅族将要发布魅蓝5x,并且李楠也在微信群中透露说"再发一台P ...

  7. 天池在线编程 2020年9月26日 日常周赛题解

    文章目录 1. K步编辑 2. 折纸 3. 字符串的不同排列 4. 硬币排成线 题目地址,请点这 1. K步编辑 给出一个只含有小写字母的字符串的集合以及一个目标串(target),输出所有可以经过不 ...

  8. Discuz任意文件删除

    Discuz任意文件删除 实验环境 官方于2017年9月28日对源码进行了修复,这里利用docker搭建环境: cd vulhub/discuz/x3.4-arbitrary-file-deletio ...

  9. 全国计算机专业评估结果出炉;编程错误导致俄罗斯卫星发射失败

    (点击上方蓝字,快速关注我们) 转自:开源中国.solidot.cnBeta.腾讯科技.人民日报等 0.最新!全国学科评估结果出炉,快看你的学校排第几 教育部学位与研究生教育发展中心公布了全国第四轮学 ...

最新文章

  1. electron.js_在使用Electron.js之前我希望知道的事情
  2. 京东《未来科技趋势白皮书》,101页pdf
  3. 腾讯2019暑期实习生提前批CV岗笔试题
  4. [转]如何设置win7一直以管理员身份运行
  5. Mac OS X 遭遇并抵御 ARP 攻击
  6. 中国首个!百度云宣布边缘计算开源,发布智能边缘开源平台OpenEdge
  7. fatal error LNK1104: 无法打开文件“***.lib“ 解决方法
  8. Fatal error: Uncaught Error: Call to undefined function gzinflate()
  9. 4g网络什么时候淘汰_4G升级5G,4G网络不会被淘汰,与5G继续共存
  10. android 天气动态壁纸,动态桌面壁纸 安卓“墨迹天气”新版评测
  11. 怎么修改照片文件的大小?教你一招改变图片大小尺寸
  12. 大物 磁场对载流导线的作用 中dl转化为dx
  13. 物理地址是怎么确定的?以8086为例
  14. 附解决方案,小程序用户昵称突然变成了“微信用户”,而且头像也显示不了?
  15. 【数据结构—图】拓扑Topo排序
  16. jsd2205-csmall-passport(Day13)
  17. 【单片机】汇编指令入门学习|单片机启动代码汇编
  18. 《30天自制操作系统》第一天
  19. PyCharm社区版安装教程和环境配置及使用
  20. 网新恒天php,网新恒天,为德邦快递插上数字化翅膀

热门文章

  1. 计算机考证模拟运算表案例解析
  2. arduino使用oled代码_【教程】在ESP32上使用E32433T LoRa模块
  3. 深度学习利器之自动微分(2)
  4. android 监听home back,Android中监听Home键的4种方法总结
  5. 微信小程序显示分页列表
  6. 职场管理(1)——入职无法出示离职证明怎么办?别慌,这样也可以正常入职
  7. VTK Actor ImageData polyData,Transform 平移,旋转
  8. 医疗手术机器人 双目视觉导航方式产品汇总
  9. Python实战项目23个实战小项目小程序简单
  10. MOTT消息协议的学习