《维他命》每日安全简讯20190221
发布时间 2019-02-21
1、WinRAR代码执行漏洞,超过5亿用户受到影响
Check Point研究团队披露WinRAR中的代码执行漏洞,该漏洞已存在了超过19年的时间,影响了超过5亿用户。该漏洞(CVE-2018-20250、CVE-2018-20251、CVE-2018-20252和CVE-2018-20253)存在于WinRAR的UNACEV2.DLL库中,这个库负责解压缩ACE格式的压缩文件。研究人员发现该库存在编码缺陷,攻击者可利用恶意ACE文件在解压缩的目的路径之外植入恶意软件。WinRAR团队表示由于UNACEV2.DLL从2005年起就停止了更新,开发人员已经失去了该库源代码的访问权限,因此他们选择放弃对ACE格式的支持。WinRAR开发者在1月28日发布了WinRAR 5.70 Beta 1以修复此漏洞。
2、WordPress团队修复一个具有6年历史的RCE漏洞
RIPS公司的安全研究人员在WordPress 5.0.3之前的版本中发现一个可导致RCE的安全漏洞,该漏洞影响了过去6年间发布的所有WordPress版本。具有至少一个“作者”账户的攻击者可利用该漏洞在底层服务器上执行任意代码。该漏洞是路径遍历漏洞和文件包含漏洞的组合,在研究人员发布的PoC视频中,攻击者可以在几秒钟内获得目标WordPress博客的完全控制权。WordPress版本5.0.1和4.9.9中的安全措施可阻止该漏洞利用。
3、赛门铁克发布ISTR 24年度威胁报告,2018年供应链攻击增长78%
赛门铁克发布互联网安全威胁报告(ISTR)Volume 24,该报告指出表单劫持攻击(formjacking)取代了勒索软件和恶意挖矿软件,成为2018年最主要的威胁。formjacking攻击主要针对在线零售商和电子商务网站,通过恶意代码来窃取客户的支付信息,这种攻击进一步证明了供应链攻击的危害。根据该报告的数据,2018年供应链攻击的数量比2017年高出78%。此外,与2017年相比,2018年勒索软件攻击下降了20%,但针对企业的攻击增长了12%,并且移动勒索软件飙升33%。在2018年1月至12月期间,加密劫持攻击下降了52%。
4、微软披露APT28新攻击活动,主要针对欧洲政治实体
微软披露俄罗斯APT组织Fancy Bear(又称APT28)的新攻击活动,根据微软的表述,APT28的目标是与2019年欧洲议会选举相关的政治实体。APT28利用鱼叉式钓鱼邮件,在2018年9月至12月期间针对104个账户发起了攻击。这些账户属于比利时、法国、德国、波兰、罗马尼亚和塞尔维亚的政治机构。这些钓鱼邮件旨在收集目标的登录凭据或传播恶意软件。微软表示它将把AccountGuard服务扩展到12个新的欧盟国家。
5、朝鲜APT组织Lazarus,利用KEYMARBLE后门攻击俄罗斯企业
朝鲜APT组织Lazarus的分支机构Bluenoroff针对俄罗斯企业发起新一轮的攻击活动。该攻击活动利用Office文档作为初始感染媒介,并最终释放了KEYMARBLE后门。根据US-CERT的相关恶意软件分析报告,该后门木马可用于访问设备的配置数据、下载其它文件、执行命令、修改注册表、截取屏幕信息和数据渗漏等。
6、ATM恶意软件WinPot,利用USB接口进行传播
卡巴斯基研究人员Konstantin Zykov发现ATM恶意软件WinPot的新变体v.3已经在暗网上出现,其报价为500美元到1000美元之间。WinPot通过物理访问进行传播,即通过ATM的USB接口传播。攻击者通常针对行人较少的街道、药店、酒店类商店等旁边的单个ATM,一旦ATM感染了该恶意软件,攻击者即可通过显示屏幕强制ATM吐出现金。暗网卖家在其演示视频中演示了WinPot v.3的工作过程,并展示了一段ShowMeMoney的代码。
声明:本资讯由启明星辰维他命安全小组翻译和整理
Check Point研究团队披露WinRAR中的代码执行漏洞,该漏洞已存在了超过19年的时间,影响了超过5亿用户。该漏洞(CVE-2018-20250、CVE-2018-20251、CVE-2018-20252和CVE-2018-20253)存在于WinRAR的UNACEV2.DLL库中,这个库负责解压缩ACE格式的压缩文件。研究人员发现该库存在编码缺陷,攻击者可利用恶意ACE文件在解压缩的目的路径之外植入恶意软件。WinRAR团队表示由于UNACEV2.DLL从2005年起就停止了更新,开发人员已经失去了该库源代码的访问权限,因此他们选择放弃对ACE格式的支持。WinRAR开发者在1月28日发布了WinRAR 5.70 Beta 1以修复此漏洞。
原文链接:
https://research.checkpoint.com/extracting-code-execution-from-winrar/2、WordPress团队修复一个具有6年历史的RCE漏洞
RIPS公司的安全研究人员在WordPress 5.0.3之前的版本中发现一个可导致RCE的安全漏洞,该漏洞影响了过去6年间发布的所有WordPress版本。具有至少一个“作者”账户的攻击者可利用该漏洞在底层服务器上执行任意代码。该漏洞是路径遍历漏洞和文件包含漏洞的组合,在研究人员发布的PoC视频中,攻击者可以在几秒钟内获得目标WordPress博客的完全控制权。WordPress版本5.0.1和4.9.9中的安全措施可阻止该漏洞利用。
原文链接:
https://thehackernews.com/2019/02/wordpress-remote-code-execution.html3、赛门铁克发布ISTR 24年度威胁报告,2018年供应链攻击增长78%
赛门铁克发布互联网安全威胁报告(ISTR)Volume 24,该报告指出表单劫持攻击(formjacking)取代了勒索软件和恶意挖矿软件,成为2018年最主要的威胁。formjacking攻击主要针对在线零售商和电子商务网站,通过恶意代码来窃取客户的支付信息,这种攻击进一步证明了供应链攻击的危害。根据该报告的数据,2018年供应链攻击的数量比2017年高出78%。此外,与2017年相比,2018年勒索软件攻击下降了20%,但针对企业的攻击增长了12%,并且移动勒索软件飙升33%。在2018年1月至12月期间,加密劫持攻击下降了52%。
原文链接:
https://www.symantec.com/blogs/threat-intelligence/istr-24-cyber-security-threat-landscape4、微软披露APT28新攻击活动,主要针对欧洲政治实体
微软披露俄罗斯APT组织Fancy Bear(又称APT28)的新攻击活动,根据微软的表述,APT28的目标是与2019年欧洲议会选举相关的政治实体。APT28利用鱼叉式钓鱼邮件,在2018年9月至12月期间针对104个账户发起了攻击。这些账户属于比利时、法国、德国、波兰、罗马尼亚和塞尔维亚的政治机构。这些钓鱼邮件旨在收集目标的登录凭据或传播恶意软件。微软表示它将把AccountGuard服务扩展到12个新的欧盟国家。
原文链接:
https://www.zdnet.com/article/microsoft-reveals-new-apt28-cyber-attacks-against-european-political-entities/5、朝鲜APT组织Lazarus,利用KEYMARBLE后门攻击俄罗斯企业
朝鲜APT组织Lazarus的分支机构Bluenoroff针对俄罗斯企业发起新一轮的攻击活动。该攻击活动利用Office文档作为初始感染媒介,并最终释放了KEYMARBLE后门。根据US-CERT的相关恶意软件分析报告,该后门木马可用于访问设备的配置数据、下载其它文件、执行命令、修改注册表、截取屏幕信息和数据渗漏等。
原文链接:
https://www.bleepingcomputer.com/news/security/north-korean-apt-lazarus-targets-russian-entities-with-keymarble-backdoor/6、ATM恶意软件WinPot,利用USB接口进行传播
卡巴斯基研究人员Konstantin Zykov发现ATM恶意软件WinPot的新变体v.3已经在暗网上出现,其报价为500美元到1000美元之间。WinPot通过物理访问进行传播,即通过ATM的USB接口传播。攻击者通常针对行人较少的街道、药店、酒店类商店等旁边的单个ATM,一旦ATM感染了该恶意软件,攻击者即可通过显示屏幕强制ATM吐出现金。暗网卖家在其演示视频中演示了WinPot v.3的工作过程,并展示了一段ShowMeMoney的代码。
原文链接:
https://threatpost.com/atm-jackpotting-malware-winpot/141960/声明:本资讯由启明星辰维他命安全小组翻译和整理
京公网安备11010802024551号