平安资讯报告
高度重大的Rust编程谬误可能导致文件、目录删除
Rust编程语言的维护者公布了一个针对高严重性破绽的安全更新,该破绽可能被歹意方滥用,以未经受权的形式从易受攻击的零碎中革除文件和目录。
Rust平安响应工作组(WG)在2021年1月20日公布的布告中示意:“攻击者能够利用此平安问题诱使特权程序删除攻击者无法访问或删除的文件和目录。”
Rust1.0.0到Rust1.58.0受此破绽影响。该破绽被追踪为CVE-2022-21658(CVSS评分:7.3),归功于平安研究员HansKratz,该团队在上周公布的Rust1.58.1版本中推出了修复程序。
具体来说,问题源于在名为“std::fs::remove_dir_all”的规范库函数中执行不正确的查看以避免递归删除符号链接(又名symlinks)。这会导致竞争条件,反过来,攻击者能够通过滥用他们对特权程序的拜访来删除敏感目录,从而牢靠地利用这种条件。
新闻来源:
https://thehackernews.com/202…
加拿大外交部被黑,局部服务中断
加拿大政府内政和领事关系部加拿大寰球事务部上周受到网络攻击。尽管要害服务仍可拜访,但目前无法访问某些在线服务,因为政府零碎持续从攻打中复原。
在一份申明中,加拿大财政部秘书处(TBS)、加拿大共享服务部和通信安全机构独特证实,上周某个工夫产生了波及加拿大寰球事务部的网络事件。该攻打于1月19日被发现,之后采取了缓解措施。
加拿大政府进一步示意,曾经采取了缓解措施并且零碎正在复原,有一些互联网和基于互联网的服务的拜访不可用,没有迹象表明任何其余政府部门受到了这次袭击的影响,事件背地的威逼行为者尚未揭晓。
新闻来源:
https://www.bleepingcomputer….
TrickBot恶意软件应用新技术回避检测
臭名远扬的TrickBot恶意软件背地的网络立功运营商再次加大了赌注,通过增加多层进攻来绕过反恶意软件产品来微调其技术。
TrickBot最后是一种银行木马,现已倒退成为一种多用途的立功软件即服务(CaaS),被各种行为者用来提供额定的有效载荷,例如勒索软件。迄今为止,曾经确定了100多种TrickBot变体,其中之一是“Trickboot”模块,能够批改受感化设施的UEFI固件。
2020年秋季,微软与多数美国政府机构和私人平安公司联手应答TrickBot僵尸网络,在寰球范畴内敞开了大部分基础设施,以妨碍其经营。
但事实证明,TrickBot不受删除尝试的影响,运营商迅速调整他们的技术,通过网络钓鱼和歹意垃圾邮件攻打流传多阶段恶意软件,更不用说通过与Shathak(又名TA551)等其余从属公司单干来扩大他们的分销渠道扩充规模。
最近,波及Emotet的恶意软件流动已将TrickBot作为“交付服务”触发感化链,将Cobalt Strike后门投放到受感化的零碎上。截至2021年12月,预计有149个国家/地区的140,000名受害者被TrickBot感化。
IBM Trusteer察看到的新更新与用于窃取银行凭证和浏览器cookie的实时Web注入无关。这通过在尝试导航到银行门户时将受害者疏导到钓鱼网址来实现,这是所谓的浏览器中间人攻打的一部分。
还应用了一种服务器端注入机制,该机制拦挡来自银行服务器的响应并将其重定向到攻击者管制的服务器,该服务器反过来在网页中插入额定的代码,而后再将其转发回客户端。
新闻来源:
https://thehackernews.com/202…
随着物联网攻打的减少,专家放心更重大的威逼
随着针对物联网设施的攻打一直减少,威逼钻研人员正告公司要确保他们理解本人的设施并制订适当的流程来保护和爱护它们。
在1月25日的一篇博客文章中,威逼情报公司Intel471示意,2020年和2021年对物联网设施的攻打激增,导致机密信息被盗,并创立了用于发动分布式拒绝服务(DDoS)攻打的大规模僵尸网络。该公司还看到次要的恶意软件代码库Mirai和Gafgyt被用来毁坏连贯设施,其中Mirai的变体是在公开论坛上向指标公司发售非法拜访权限的最风行形式。
英特尔471首席情报官Michael DeBolt示意,随着攻击者转向更重视利润的动机,这种威逼往年只会减少。
物联网市场的两个趋势正在交融,从而产生一个重大的平安问题。大量设施的制造商正在增加用于治理和更新的连接功能,并提供额定的服务,从而在大多数组织中导致更大的攻击面。然而,这些设施的治理并没有跟上步调,使得其中许多设施容易受到攻打。
例如,依据Cynerio1月20日的一份报告,在医疗畛域,医疗环境中53%的联网医疗设施和其余物联网设施存在重大破绽。静脉泵和病人监护仪是医院中最常见的连贯设施,占均匀医疗环境中物联网设施的57%。
物联网设施中的破绽远远超出家庭路由器和生产产品。因为许多这些连贯的设施都基于雷同的操作系统(例如Linux或Wind River System的VxWorks),因而各种医疗设施、制作控制器和监控零碎(仅举几例)也常常被发现存在破绽。对物联网控制器或监控设施的攻打很容易导致公用事业、医院或智能建筑和城市基础设施内的经营进行,从而使任何赎金需要变得更加重要。
新闻来源:
https://www.darkreading.com/i…
黑客应用新的恶意软件打包程序DTPacker来防止检测
一个名为DTPacker的以前未记录的恶意软件打包程序散发多个近程拜访特洛伊木马(RAT)和信息窃取程序,如Agent Tesla,Ave Maria,AsyncRAT和FormBook,以掠夺信息并促成后续攻打,该恶意软件应用多种混同技术来回避防病毒,沙盒和剖析。
波及打包程序的攻打链依赖于网络钓鱼电子邮件作为初始感化媒介。这些邮件蕴含歹意文档或压缩的可执行附件,关上后,会部署打包程序以启动恶意软件。
打包程序与下载器的不同之处在于,它们携带了混同的有效载荷,以一种充当”爱护二进制文件的盔甲”的形式向平安解决方案暗藏其实在行为,并使逆向工程更加艰难。
DTPacker的不同之处在于它的性能是两者兼而有之。它的名字来源于这样一个事实,即它应用了两个唐纳德·特朗普主题的固定键-“trump2020″和”Trump2026”-来解码最终提取和执行最终无效负载的嵌入式或下载资源。
新闻来源:
https://thehackernews.com/202…
安全漏洞威逼
在polkit的pkexec中发现本地提权破绽(CVE-2021-4034)
钻研人员明天正告说,Polkit的pkexec组件中的一个破绽被辨认为CVE-2021-4034(PwnKit),破绽存在于所有次要Linux发行版的默认配置中,能够被利用来取得零碎root权限。
CVE-2021-4034被命名为PwnKit,其起源已被追踪到12年前pkexec的初始提交,这意味着所有Polkit版本都受到影响。作为Polkit开源应用程序框架的一部分,该框架协商特权和非特权过程之间的交互,pkexec容许受权用户以另一个用户的身份执行命令,作为sudo的代替计划。
钻研人员发现,pkexec程序能够被本地攻击者用来减少Ubuntu,Debian,Fedora和CentOS默认装置的权限。PwnKit也可能在其余Linux操作系统上被利用。PwnKit是”Polkit中的内存损坏破绽,它容许任何非特权用户应用默认polkit配置在易受攻击的零碎上取得零碎root权限。”
在Qualys公布PwnKit的技术细节后不到三个小时,互联网已呈现一个破绽利用POC。教训证,该POC能够利用获取零碎root权限。钻研人员在ARM64零碎上进一步测试了它,表明它也实用于该架构。
Ubuntu曾经推送了PolicyKit的更新,以解决版本14.04和16.04ESM(扩大平安保护)以及更新版本18.04、20.04和21.04中的破绽。用户只需运行规范零碎更新,而后重新启动计算机即可使更改失效。
Redhat还为工作站和企业产品上的polkit提供了安全更新,用于反对的架构,以及扩大生命周期反对、TUS和AUS。
对于尚未推送修补程序的操作系统,长期缓解措施是应用以下命令剥离pkexec的读/写权限:
chmod0755/usr/bin/pkexec
新闻来源:
https://www.bleepingcomputer….
黑客利用MSHTML破绽监督政府和国防指标
网络安全钻研人员周二完结了一场多阶段的间谍活动,指标是监督国家平安政策的高级政府官员和西亚国防工业的集体。
该攻打是举世无双的,因为它利用Microsoft OneDrive作为命令和管制(C2)服务器,并分为多达六个阶段,以尽可能暗藏,Trellix-一家在平安公司McAfee Enterprise和FireEye合并后创立的新公司-在与黑客新闻分享的一份报告中说。
“这种类型的通信使恶意软件在受害者的零碎中不被留神,因为它只会连贯到非法的Microsoft域,而不会显示任何可疑的网络流量,”Trellix解释说。
据说,与秘密行动相干的初步流动迹象早在2021年6月18日就开始了,9月21日和29日报告了两名受害者,随后在10月6日至8日的短短三天内又报告了17名受害者。
Trellix将这些攻打适度地归因于总部位于俄罗斯的APT28组织,该组织是2020年SolarWinds斗争背地的威逼行为者,基于源代码以及攻打指标和地缘政治指标的相似性。
感化链始于执行蕴含MSHTML近程执行代码破绽(CVE-2021-40444)的Microsoft Excel文件,该文件用于运行歹意二进制文件,该文件充当称为Graphite的第三阶段恶意软件的下载程序。
DLL可执行文件应用OneDrive作为C2服务器,通过Microsoft Graph API检索其余stager恶意软件,最终下载并执行Empire,这是一个基于PowerShell的开源后开发框架,被威逼行为者宽泛滥用用于后续流动。
如果有的话,这一倒退标记着对MSTHML渲染引擎缺点的继续利用,微软和SafeBreach Labs披露了多个流动,这些流动曾经将破绽武器化,以植入恶意软件并散发自定义Cobalt Strike Beacon加载器。
新闻来源:
https://thehackernews.com/202…
发表回复