黑客入侵微软邮件服务器、Windows零日漏洞可获管理员权限|11月23日全球网络安全热点

原创
2021/11/23 14:30
阅读数 50

图片

 

安全资讯报告

 

经济日报:筑牢数据安全防护网

 

由国家互联网信息办公室会同相关部门研究起草的《网络数据安全管理条例(征求意见稿)》对外公布。这是国家加强网络数据法治化的又一重要举措,对数据处理企业、数字化转型企业而言,将在搭建数据架构、完善数据合规体系等方面具有促进作用。

 

近年来,《网络安全法》《数据安全法》《个人信息保护法》等法律相继出台,对数据安全管理作出明确规定,相关配套法规相继更新完善。对标法律法规,如何将其落实到企业运营与交易的实际中去,既是企业长期要做且必须做的事,同时企业在实操过程中也产生不少困惑。

 

值得关注的是,条例草案首次提出,平台规则、隐私政策制定或者对用户权益有重大影响的修订,互联网平台运营者应当在其官方网站、个人信息保护相关行业协会互联网平台面向社会公开征求意见。这是推动数据管理公开透明的创新举措。此外,平台不得在平台规则、算法、技术、流量分配等方面设置不合理的限制和障碍,限制平台上的中小企业公平获取平台产生的行业、市场数据等,阻碍市场创新。

 

对企业交易层面而言,面临的是数据合规的全链条全过程监管。形成常态化数据安全保障机制,是数据合规的要义之二。

 

不管是合并、重组、解散、破产,还是境外上市等各类交易场景,都要接受数据监管。今后,企业交易行为触发网络安全审查的门槛将越发严格,符合条件的不仅要主动向监管部门申报、报告,而且每年开展一次数据安全评估。“向境外提供个人信息和重要数据的数据处理者,应当在每年1月31日前编制数据出境安全报告,向设区的市级网信部门报告上一年度以下数据出境情况”等规定,都是明确时间节点的“规定动作”,进一步加强了企业自身的数据安全保障责任。

 

以总体国家安全观为指引,国家构建起保障数据安全的法治体系。数据安全从立法到执法强力推进,监管则日趋精细化、法治化。企业按照数据分级分类管理,做到精细化防护,才能更好落实网络数据安全责任。毕竟,保证企业经营交易行为的正当性、合法性,事关企业发展大计,不可不察,不可不慎。

 

新闻来源: 

https://finance.sina.com.cn/review/jcgc/2021-11-22/doc-iktzqtyu8713624.shtml

 

新的PhoneSpy恶意软件可以窃取敏感信息、卸载安全应用程序

 

Android用户要提防新的PhoneSpy恶意软件,一些安全专家已经警告说,它可能会窃取受害者的敏感信息。此外,在某些情况下,间谍软件可能会卸载智能手机上的安全应用程序。

 

根据ZDNet的新闻报道,新型间谍软件存在于各种看似无害的Android应用程序中,包括消息应用程序、照片收集应用程序、流媒体应用程序,甚至是瑜伽教学等健身应用程序。

 

zLabs还发现该恶意软件是通过网络钓鱼骗局在众多社交媒体平台和网站上推出的。

 

在某些情况下,流行的韩国消息应用程序Kakao Talk的复制品可以将PhoneSpy恶意软件安装到其用户的Android设备上。该安全公司警告Android用户,该恶意软件可以进一步访问和窃取敏感数据,包括录音、视频、图像以及他们的GPS位置。间谍软件还可以读取他们的消息、联系人列表和通话记录。更重要的是,犯罪分子还可以代表受害者发送信息。

 

新闻来源: 

https://www.techtimes.com/articles/268323/20211121/android-users-beware-new-phonespy-malware-steals-sensitive-info-uninstalls.htm

 

黑客使用SquirrelWaffle恶意软件在新活动中入侵Exchange服务器

 

黑客正在使用ProxyShell和ProxyLogon漏洞,在一项新活动中闯入Microsoft Exchange服务器,以通过回复预先存在的电子邮件链来绕过安全措施,从而用恶意软件感染系统。

 

研究人员表示,Squirrelwaffle于9月首次作为通过垃圾邮件活动传播的新加载程序出现。该恶意软件以发送恶意电子邮件作为对预先存在的电子邮件链的回复而闻名。

 

研究人员观察到的入侵源自内部部署的Microsoft Exchange服务器,这些服务器似乎容易受到ProxyLogon和ProxyShell的攻击。据研究人员称,有证据表明,三台Exchange服务器的IIS日志中的漏洞CVE-2021-26855、CVE-2021-34473和CVE-2021-34523受到了不同的入侵。受影响网络中的所有内部用户都收到了垃圾邮件,这些邮件是对现有电子邮件线程的合法回复。

 

所有观察到的电子邮件都是用英语编写的,用于中东的垃圾邮件活动。虽然不同地区使用其他语言,但大多数是用英语编写的。更值得注意的是,来自受害者域的真实帐户名被用作发件人和收件人,这增加了收件人单击链接并打开恶意Microsoft Excel电子表格的机会。

 

在同一次入侵中,研究人员分析了收到的恶意电子邮件的电子邮件标头,发现邮件路径是内部的,表明电子邮件并非来自外部发件人、开放邮件中继或任何消息传输代理(MTA)。

 

新闻来源: 

https://www.itpro.co.uk/security/hacking/361617/hackers-use-squirrelwaffle-malware-to-hack-exchange-servers-in-new-campaign

 

网络窃贼如何加大对公司和组织的网络钓鱼攻击

 

网络窃贼正在使用新的战略、战术和技术来帮助增加他们对公司和组织进行网络钓鱼攻击的成功机会。对商业领袖来说更糟糕的是,勒索软件攻击正在增加,所需要的资金数量也在增加。

 

根据IT安全公司Barracuda Networks的一份新报告,该报告警告说:“随着攻击者努力使他们的网络钓鱼攻击更有针对性和有效性,他们已经开始研究潜在的受害者,努力收集有助于他们提高几率的信息。他们的攻击会成功。”

 

诱饵攻击是攻击者用来测试电子邮件地址并查看谁愿意响应的一种技术,然后使用该信息来计划未来的有针对性的攻击。也称为侦察攻击,这些攻击通常是内容非常短甚至空洞的电子邮件。目标是通过不接收任何‘无法送达’的电子邮件来验证受害者电子邮件帐户的存在,或者让受害者参与对话这可能会导致恶意汇款或凭据泄露。

 

由于此类威胁几乎不包含任何文本,也不包含任何网络钓鱼链接或恶意附件,因此传统的网络钓鱼检测器很难防御这些攻击。为了避免被发现,攻击者通常使用来自免费服务(例如Gmail、雅虎或Hotmail)的新电子邮件帐户来发送攻击。攻击者还依赖于在试图通过任何基于批量或异常的检测器。

 

调查结果,发现包括:

 

  • 三分之一的受访公司受到攻击

2021年9月,在分析的10,500个组织中,有35%至少成为了一次网络钓鱼攻击的目标。平均而言,每家公司的三个邮箱收到了其中一个虚假邮件。

 

  • 更多勒索软件攻击

在2020年8月至2021年7月期间,对基础设施、旅行、金融服务和其他企业等公司的攻击占所有勒索软件攻击的57%,而在2020年的研究中仅为18%。

 

  • 更高的赎金金额

赎金金额急剧增加。每次事件的平均赎金要求超过1000万美元。

 

  • 与加密货币相关的攻击数量紧随比特币价格上涨。

2020年10月至2021年4月期间,比特币的价格上涨了近400%,而同期的钓鱼攻击上涨了192%。

 

新闻来源: 

https://www.expertclick.com/NewsRelease/How-Cyber-Thieves-Are-Ramping-Up-Their-Phishing-Attacks-Against-Companies-And-Organizations,2021263853.aspx

 

新的Linux恶意软件针对电子商务网站

 

电子商务门户的弱点正在被利用来部署Linux后门以及能够从受感染网站窃取支付信息的信用卡窃取程序。

 

Sansec Threat Research的研究人员在一项分析中说:“攻击者从自动化电子商务攻击探测开始,测试常见在线商店平台中的数十个弱点。一天半之后,攻击者在商店的一个插件中发现了一个文件上传漏洞。”受影响供应商的名称没有透露。

 

然后利用最初的立足点上传恶意webshell并更改服务器代码以窃取客户数据。此外,攻击者还提供了一个名为“linux_avp”的基于Golang的恶意软件,该恶意软件作为后门执行从位于北京的命令和控制服务器远程发送的命令。

 

这家荷兰网络安全公司表示,它还发现了一个伪装成网站图标图像(“favicon_absolute_top.jpg”)并添加到电子商务平台代码中的PHP编码的网络浏览器,目的是注入欺诈性付款表格并窃取输入的信用卡信息由客户实时传输,然后将它们传输到远程服务器。

 

新闻来源: 

https://thehackernews.com/2021/11/new-golang-based-linux-malware.html

 

研究人员破解Conti勒索软件基础设施

 

Prodaft安全研究人员利用了Conti Ransomware-as-a-Service(RaaS)使用的恢复服务器中的漏洞,使他们能够深入了解勒索软件的内部工作原理。

 

该漏洞还允许研究人员识别托管恢复网站的隐藏服务的真实IP地址,包括与Conti服务器通信的20个IP,以及用于恢复服务的两个Tor入口节点,所有这些都已向当局报告。

 

此外,Prodaft发现了受害者聊天会话,这些会话允许他们识别在勒索受害者数据时使用的帐户,包括连接IP地址和使用的软件。调查还揭示了多个受害者使用相同的比特币钱包地址。

 

在一份新报告中,Prodaft的安全研究人员提供了与Conti内部工作原理相关的技术细节,并展示了Conti和Ryuk之间的密切联系,基本上是说它们似乎是同一个勒索软件家族。

 

在基于Tor的泄密网站上发表的一份声明中,Conti运营商证实了这一违规行为,但声称没有暴露有关其成员或网络的重要信息。

 

Ryuk被认为是Hermes勒索软件的继任者,于2018年首次出现,并显示出与TrickBot恶意软件的密切联系,据称由相同的网络犯罪分子操作。

 

Conti于2020年首次被发现,并在几个月内成为一种普遍威胁,到2021年5月,全球可能有400多个组织受到影响。9月,美国政府发出警报,警告称Conti勒索软件攻击有所增加。

 

安全研究人员表示,在RaaS商业模式下运营,附属公司与勒索软件运营商分享高达30%的收到付款,迄今为止,Conti已帮助肇事者赚取了超过2500万美元。

 

新闻来源: 

https://www.securityweek.com/researchers-hack-conti-ransomware-infrastructure

 

安全漏洞威胁

 

研究人员展示了如何利用蓝牙经典安全漏洞

 

新加坡科技设计大学的研究人员发布了针对一系列漏洞的概念验证漏洞,该漏洞被称为BrakTooth,该漏洞影响用于使用ESP32标准对蓝牙芯片组进行编程的软件开发工具包。

 

BrakTooth影响蓝牙经典协议,该协议广泛用于笔记本电脑、智能手机和音频设备。该团队表示BrakTooth有16个缺陷,如果被利用,其影响的严重程度从受影响的系统崩溃到远程代码执行。

 

团队称之为V1的最严重缺陷针对的是工业自动化、智能家居和健身应用等中使用的ESP32 SoC。已知某些型号的MacBook和iPhone会受到影响。由于ESP32BT库没有正确地对某些类型的输入运行越界检查,对系统的恶意请求可能允许攻击者将代码注入易受攻击的系统并可能控制。

 

其他缺陷为攻击者提供了广泛的潜在危害,包括强行断开蓝牙设备之间的连接、使用易受攻击的端点使配对设备上的所有连接崩溃以及关闭连接的音频设备。攻击发生在蓝牙网络本身,只需要一块便宜的蓝牙硬件和一台PC。

 

该团队表示,易受攻击的芯片组总数可能超过1,400个,这意味着使用这些芯片组的设备可能会受到BrakTooth缺陷的影响。这意味着从物联网小工具到制造设备再到笔记本电脑和智能手机的设备都容易受到攻击。受影响的制造商包括英特尔、德州仪器和高通。

 

新闻来源: 

https://www.networkworld.com/article/3640575/researchers-warn-of-bluetooth-classic-security-vulnerability-release-proof-of-concept.html

 

Windows的新0Day漏洞可以获得system权限

 

一名安全研究人员公开披露了一个新的Windows零日本地权限提升漏洞的利用,该漏洞可在Windows 10、Windows 11和Windows Server中提供管理员权限。

 

BleepingComputer已经测试了该漏洞,并使用它从只有低级别“标准”权限的帐户中打开具有SYSTEM权限的命令提示符。

 

使用此漏洞,对受感染设备访问受限的威胁参与者可以轻松提升其特权,以帮助在网络内横向传播。该漏洞影响所有受支持的Windows版本,包括Windows 10、Windows 11和Windows Server 2022。

 

作为2021年11月补丁星期二的一部分,微软修复了一个“Windows安装程序特权提升漏洞”漏洞,跟踪为CVE-2021-41379。

 

这个漏洞是由安全研究员Abdelhamid Naceri发现的,他在检查了微软的修复后发现了一个绕过补丁和一个更强大的新0day特权提升漏洞。Naceri在GitHub上发布了新的零日漏洞的POC,解释说它适用于所有受支持的Windows版本。

 

“这个变种是在分析CVE-2021-41379补丁期间发现的。该错误没有被正确修复,而不是放弃绕过。”Naceri在他的文章中解释道。虽然可以配置组策略以防止“标准”用户执行MSI安装程序操作,但他的0day可以绕过此策略并且无论如何都会起作用。

 

BleepingComputer测试了Naceri的“InstallerFile TakeOver”漏洞利用,只需几秒钟即可从具有“标准”权限的测试帐户获得SYSTEM权限。询问Naceri为什么公开披露0day漏洞时,被告知他这样做是出于对微软漏洞赏金计划减少支出感到沮丧。微软可能在12月的补丁星期二修复该漏洞。

 

新闻来源: 

https://www.bleepingcomputer.com/news/microsoft/new-windows-zero-day-with-public-exploit-lets-you-become-an-admin/

展开阅读全文
加载中
点击引领话题📣 发布并加入讨论🔥
打赏
0 评论
0 收藏
0
分享
返回顶部
顶部