Microsoft Windows DWM 零日漏洞被大规模利用
发布时间 2024-05-165月15日,微软发布五月补丁更新,总共 59 个 CVE ,至少有一个众所周知的漏洞已被大规模利用,并且确实已经被 QakBot 所使用。本月披露的缺陷影响了计算 kahuna 的整个产品组合,包括 Windows、Office、.NET Framework 和 Visual Studio;微软365;电力商业智能;DHCP 服务器;Microsoft Edge(基于 Chromium);和 Windows 移动宽带。基于 Chromium 的 Edge 浏览器受到 CVE-2024-4761 的影响,这是 Google 今天修补的一个主动利用的 Chrome 零日漏洞,这是一个严重的沙箱逃逸错误,应立即修补。
https://www.darkreading.com/vulnerabilities-threats/microsoft-windows-dwm-zero-day-mass-exploit
2. 西门子 Ruggedcom Crossbow 中多个任意代码执行漏洞
5月14日,西门子 Ruggedcom Crossbow 中发现了多个漏洞,其中最严重的漏洞可能允许任意代码执行。西门子 Ruggedcom Crossbow 访问管理解决方案旨在为工业控制系统提供网络安全合规性。成功利用其中最严重的漏洞可能会允许在登录用户的上下文中执行任意代码。根据与用户关联的权限,攻击者可以安装程序;查看、更改或删除数据;或创建具有完全用户权限的新帐户。与具有管理用户权限的用户相比,其帐户配置为在系统上拥有较少用户权限的用户受到的影响可能更小。受影响的系统包括Ruggedcom Crossbow 5.5 之前的版本。
https://www.cisecurity.org/advisory/multiple-vulnerabilities-in-siemens-ruggedcom-crossbow-could-allow-for-arbitrary-code-execution_2024-055
3. 佛蒙特州通过数据隐私法允许消费者起诉公司
5月14日,佛蒙特州立法机构周五通过了该国最强大的综合数据隐私法之一,其中允许个人起诉侵犯其隐私权的公司——这是现有类似州法律中前所未有的规定。该法案包括数据最小化要求,这极大地限制了公司可以收集和使用的个人数据,并禁止公司出售消费者的敏感数据,允许个人在认为企业这样做时提起诉讼。私人诉讼权允许个人要求他们认为侵犯其权利的公司承担责任,而无需依赖国家当局采取行动。伊利诺伊州生物识别隐私法中包含的类似条款引发了一波指控企业渎职的集体诉讼。佛蒙特州法案的私人诉讼权需要在两年后重新授权,并适用于处理超过 100,000 条消费者记录的任何企业或个人。该立法还制定了严格的公民权利保障措施以防止歧视。加州强大的综合数据隐私法还允许个人起诉他们认为侵犯其权利的企业,但该条款仅适用于数据泄露,不适用于数字隐私。
https://therecord.media/vermont-passes-data-privacy-law?&web_view=true
4. Android 恶意软件冒充 WhatsApp 等APP窃取数据
5月15日,SonicWall Capture Labs 威胁研究团队报告称,威胁行为者正在使用恶意 Android 应用程序来冒充 Google、Instagram、Snapchat、WhatsApp 和 X 等流行的在线服务。这些应用程序旨在从易受攻击的 Android 手机中窃取敏感数据,包括联系人、短信、通话记录和密码。这些应用程序看起来合法,因为它们使用熟悉的徽标和名称来欺骗毫无戒心的用户并隐藏在众目睽睽之下。打开时,应用程序请求访问两个权限:Android Accessibility Service 和设备管理权限。如果受害者授予这些权限,应用程序就可以获得设备的完全控制权。然后,恶意应用程序与黑客控制的 C2 服务器建立连接,接收附加指令。它可以读取消息、通话记录、访问通知数据、发送消息、安装恶意软件以及打开恶意网站以进行网络钓鱼。
https://www.hackread.com/android-malware-whatsapp-instagram-snapchat-data/
5. Ebury僵尸网络恶意软件已感染40万台Linux服务器
5月14日,一个名为“Ebury”的恶意软件僵尸网络已感染了近 400,000 台 Linux 服务器,截至 2023 年底,约有 100,000 台服务器仍受到威胁。ESET 研究人员十多年来一直在跟踪这种出于经济动机的恶意软件操作,并在 2014 年和 2017 年再次警告有效负载功能的重大更新。ESET 自 2009 年以来一直关注的 Ebury 感染情况,显示感染量随着时间的推移而增长。最近的 Ebury 攻击表明,攻击团伙倾向于破坏托管提供商,并对在受感染提供商上租用虚拟服务器的客户进行供应链攻击。最初的危害是通过凭证填充攻击进行的,使用窃取的凭证登录服务器。一旦服务器受到威胁,恶意软件就会从wtmp 和 known_hosts 文件中窃取入站/带外 SSH 连接列表,并窃取 SSH 身份验证密钥,然后使用这些密钥尝试登录其他系统。
https://www.bleepingcomputer.com/news/security/ebury-botnet-malware-infected-400-000-linux-servers-since-2009/
6. 黑客滥用 GoTo 会议工具部署 Remcos RAT
5月14日,在一次复杂的网络攻击活动中发现黑客利用在线会议平台 GoToMeeting 传播名为 Remcos 的远程访问木马。这一令人震惊的发展突显了网络犯罪分子利用可信软件突破安全防御并未经授权访问受害者系统的不断演变的策略。攻击机制涉及操纵 GoToMeeting(一种被企业广泛用于虚拟会议的工具)作为 Remcos RAT 的渠道。Remcos 是一种强大的恶意软件,攻击者可以利用它远程控制受感染的计算机、窃取敏感信息,甚至部署其他恶意负载。攻击者巧妙地在看似合法的 GoToMeeting 通知中伪装了 Remcos 有效负载。毫无戒心的用户相信这些通知是真实的,因此被诱骗在他们的系统上执行恶意软件。一旦安装,Remcos 就会授予攻击者对受感染计算机的完全控制权,使他们能够在不被发现的情况下进行间谍活动、数据盗窃和进一步的恶意活动。Remcos 的隐秘性和复杂性,加上对 GoToMeeting 的广泛信任,使得这种攻击特别阴险且难以应对。
https://gbhackers.com/hackers-abuse-goto-meeting-tool/
京公网安备11010802024551号