平安资讯报告
微软默认禁用Excel4.0宏以阻止恶意软件
微软已发表Excel4.0(XLM)宏当初将默认禁用,以爱护客户免受歹意文档的侵害。
10月,该公司首次在Microsoft 365音讯核心更新中走漏,如果用户或管理员没有手动关上或敞开该性能,它将在所有租户中禁用XLM宏。
从2021年7月开始,Windows管理员还能够应用组策略和用户应用Excel信赖核心的“启用VBA宏时启用XLM宏”设置来手动禁用此性能。
XLM(又名Excel4.0)宏是默认的Excel宏格局,直到Excel5.0于1993年公布,过后微软首次引入依然是默认格局的VBA宏。
然而,只管已停止使用XLM,但威逼行为者在30年后仍在应用XLM来创立部署恶意软件或执行其余歹意行为以操纵本地文件系统上的文件的文档,因为以后的Microsoft Office版本依然反对XLM宏。
曾经察看到应用这种类型的宏来推送恶意软件的歹意流动在受害者的计算机上下载和装置TrickBot、Zloader、Qbot、Dridex等恶意软件。自2018年初以来,此类文件已在泛滥歹意攻打中被武器化,以提供近程拜访木马和恶意软件加载程序。
新闻来源:
https://www.bleepingcomputer….
鼹鼠黑客在公共云基础设施背地暗藏新的特务攻打
一场沉闷的间谍活动被归咎于名为Molerats的威逼行为者,他们滥用非法的云服务(如Google Drive和Dropbox)来托管恶意软件无效负载,并用于命令和管制以及从整个中东指标窃取数据。
据基于云的信息安全公司Zscaler称,据信至多从2021年7月开始,网络守势就开始了,黑客组织持续致力对指标主机进行侦察并掠夺敏感信息。
Molerats也被跟踪为TA402、Gaza Hackers Team和Extreme Jackal,是一个高级继续威逼(APT)组织,次要关注在中东经营的实体。与该行为者相干的攻打流动利用地缘政治和军事主题诱使用户关上Microsoft Office附件并单击歹意链接。
Zscaler详述的最新流动没有什么不同,它利用与以色列和巴勒斯坦之间继续抵触相干的钓饵主题在受感化零碎上提供.NET后门,进而利用Dropbox API与攻击者管制的服务器并传输数据。
该植入程序应用特定的命令代码来管制受感化的机器,反对拍摄快照、列出和上传相干目录中的文件以及运行任意命令的性能。钻研人员在考察攻打基础设施时示意,他们发现至多有五个用于此目标的Dropbox帐户。
新闻来源:
https://thehackernews.com/202…
大概三分之一的“网络钓鱼”网站的生命周期只有24小时
卡巴斯基(Kaspersky)的一份题为“网络钓鱼页面的生命周期”的报告得出结论,网络犯罪分子在其“网络钓鱼”打算中应用的虚伪网站中有一半的生命周期不到四天,其中三分之一甚至不会继续前24小时。
网络钓鱼是一种网络立功策略,包含假冒受信赖的实体并诱骗受害者提供其登录凭据或其余敏感信息。例如,出于不言而喻的起因,银行十分罕用于网络钓鱼流动。网络犯罪分子通常通过虚伪电子邮件发动分割,而后将受害者重定向到虚伪网站。“网络钓鱼”的其余变体通过称为“网络钓鱼”的SMS或通常称为“网络钓鱼”的电话发动分割。
在卡巴斯基一个月监控的5,307个网站中,有33%(1,784个)在第一天检测完结前就隐没了。48小时后,该百分比减少到42%(2,238),72小时后减少到46%(2,481),到第四天完结时减少到50%(2,654)。在30天期限完结时,只有28%的虚伪网站依然能够拜访。
新闻来源:
https://globalcirculate.com/o…
2021年软件供应链攻打减少了两倍
2021年能够说是软件供应链攻打之年——SolarWinds让世界大开眼界,威逼水平变得不言而喻的一年。
除了SolarWinds之外,其余次要攻打还包含Kaseya、Codecov、ua-parser-js和Log4j。在每种状况下,对攻击者的吸引力在于分布式代码中的单个毁坏、斗争或破绽可能导致多个甚至数千名受害者。
在Argon(Aqua Security公司)对客户平安评估进行了为期六个月的剖析之后,2021年软件供应链平安报告强调了立功重点的次要畛域:开源破绽和中毒;代码完整性问题;并利用软件供应链流程和供应商信赖来散发恶意软件或后门。
独特的因素是开源软件——一种外部零碎开发人员通常天生信赖并主动应用的代码源。
Argon的剖析强调了三个次要问题畛域:开源应用程序中的破绽、受损的管道工具和代码/工件完整性。
易受攻击的应用程序供应链攻打次要集中在两个方面:滥用已宽泛散发和装置的应用程序中的破绽,以及在下载之前从源头毒化软件包。前者的一个2021例子是Log4j攻打,而后者的一个例子是us-parser-js包中毒。
第二个攻打向量是受损的管道工具。“它使攻击者可能在构建过程中更改代码或注入恶意代码并篡改应用程序(就像SolarWinds的状况一样)”报告(PDF)说。“攻击者还应用受感化的软件包注册表来上传受感化的工件而不是非法的工件。此外,还有数十个内部依赖项连贯到管道,可用于拜访它并发动攻打”,例如Codecov攻打。
钻研人员确定的第三个危险畛域是将不良代码上传到源代码存储库。这会影响工件品质和平安情况。报告在其钻研中指出,“在许多状况下,发现的问题数量微小,须要专门的清理我的项目来缩小裸露,例如机密清理、标准化容器图像和其余流动。”
总体而言,Argon认为,与2020年相比,2021年软件供应链攻打的数量减少了两倍。
新闻来源:
https://www.securityweek.com/…
安全漏洞威逼
WordPress插件中有超过10,000个安全漏洞
在第三方Wordpress插件中发现的破绽越来越多,这使黑客更容易工作,也更容易齐全管制他们正在攻打的网站。据RiskBased Security的钻研人员称,去年,在Wordpress扩大中发现了2,240个破绽。与2020年相比,这一数字减少了142%。
截至去年年底,Wordpress插件中总共报告了10,359个破绽。这些破绽中有四分之三是公开的,这意味着能够在线找到无关如何利用它们的信息。此外,检测到的7,592个破绽能够被近程利用。
最近,Automattic(Wordpress的所有者)发现了对AccessPress的攻打,AccessPress为Wordpress开发了53个插件和40个主题。攻打后,所有AccessPress主题和插件都感化了后门,该后门达到了所有装置了这些工具的站点。
AccessPress插件和主题目前在超过360,000个站点中应用。据W3Techs称,Wordpress平台是43%的网站的根底。
新闻来源:
https://www.news.ro/economic/…
Dark Souls 3破绽利用能够让黑客管制你的整个计算机
依据Dexerto的一份报告,在《Dark Souls 3》中发现的近程代码执行(RCE)破绽可能导致黑客管制你的计算机。该破绽只会使在线玩的PC游戏玩家面临危险,并可能影响Dark Souls、Dark Souls 2和行将推出的Elden Ring。尔后,各种《Dark Souls》游戏的服务器已被敞开。
该破绽在The__Grim__Sleeper的Dark Souls 3在线Twitch直播中被看到。在直播完结时(1:20:22),The__Grim__Sleeper的游戏解体了,属于微软文本语音生成器的机器人声音忽然开始批评他的游戏玩法。The__Grim__Sleeper随后报告说Microsoft PowerShell自行关上,这表明黑客应用该程序运行了触发文本转语音性能的脚本。
然而,这可能不是歹意黑客的理论用意。“黑客”试图分割DarkSouls开发者FromSoftware解决该问题,据报道,他被忽略了,所以他开始应用流媒体视频来引起人们对这个问题的关注。
但如果歹意攻击者先发现这个问题,后果可能会更糟。RCE是最危险的破绽之一,它容许黑客在受害者的计算机上运行恶意代码,造成无法弥补的侵害,并可能在他们应用时窃取敏感信息。
侥幸的是,FromSoftware和Bandai Namco仿佛正在解决这个问题。周日凌晨,DarkSouls推特账号发表《光明之魂:重制版》、《光明之魂2》和《光明之魂3》的PvP服务器已临时敞开。
新闻来源:
https://www.theverge.com/2022…
CISA在破绽列表中减少了17个破绽
网络安全和基础设施安全局(CISA)将17个被踊跃利用的破绽增加到“已知利用破绽目录”中。
“已知被利用破绽目录”是一个破绽列表,这些破绽已被威逼参与者在攻打中滥用,并且须要由联邦民事执行局(FCEB)机构进行修补。
“具备约束力的操作指令(BOD)22-01:升高已知被利用破绽的重大危险建设了已知被利用破绽目录作为对联邦企业带来重大危险的已知CVE的活名单,”CISA解释说。
目录中列出的破绽容许威逼参与者执行各种攻打,包含窃取凭据、拜访网络、近程执行命令、下载和执行恶意软件或从设施窃取信息。
加上这17个破绽,该目录当初总共蕴含341个破绽,并包含机构必须利用安全更新来解决谬误的日期。
上面列出了本周增加的17个新破绽,CISA要求在2月的第一周内修补其中的10个。
跟踪为CVE-2021-32648的“October CMS Improper Authentication”破绽必须在2022年2月1日之前修复,因为它最近被用于入侵和毁坏乌克兰政府网站。平安专家将这些攻打归咎于与白俄罗斯无关的黑客组织Ghostwriter。
微软发现被跟踪为CVE-2021-35247的新的“SolarWindsServ-U不正确输出验证”破绽被用来将Log4j攻打流传到配置为LDAP服务器的Windows域控制器。
新闻来源:
https://www.bleepingcomputer….
发表回复