微软远程注册表客户端漏洞CVE-2024-43532公开
发布时间 2024-10-2410月22日,针对微软远程注册表客户端的漏洞CVE-2024-43532现已公开,该漏洞利用Windows注册表客户端实现中的回退机制,在SMB传输不可用时依赖于旧传输协议,并降低身份验证过程的安全性,从而控制Windows域。该漏洞影响Windows服务器版本2008至2022以及Windows 10和11。攻击者可通过拦截NTLM身份验证握手并将其转发到Active Directory证书服务(ADCS)等服务,创建新的域管理员帐户。CVE-2024-43532源于远程注册表客户端在处理RPC身份验证时的问题,当SMB传输不可用时,客户端会切换到较旧的协议并使用弱身份验证级别。Akamai研究员Stiv Kupchik于2月1日向微软披露了该漏洞,但最初被驳回,后于6月中旬重新提交并得到确认,微软于三个月后发布了修复程序。目前,Kupchik已发布有效的概念验证代码,并在No Hat安全会议上解释了利用过程。Akamai的报告还提供了检测易受攻击的机器和监视特定RPC调用的方法。
https://www.bleepingcomputer.com/news/security/exploit-released-for-new-windows-server-winreg-ntlm-relay-attack/
2. Gophish工具包被滥用于制作针对俄语片区用户的RAT木马
10月22日,Gophish这一开源网络钓鱼工具包正被不法分子利用,以制作并传播DarkCrystal RAT(DCRat)和PowerRAT等远程访问木马,主要目标是俄语片区用户,包括俄罗斯及其周边国家如乌克兰、白俄罗斯、哈萨克斯坦、乌兹别克斯坦和阿塞拜疆。Gophish原本被设计用于组织测试网络钓鱼防御能力,但攻击者却借此制作伪装成Yandex Disk链接和VK社交网络页面的网络钓鱼邮件。这些邮件诱导用户下载包含DCRat或PowerRAT恶意木马的Microsoft Word文档或嵌入JavaScript的HTML文件。一旦受害者打开文档并启用宏,就会触发恶意Visual Basic (VB)脚本,进而下载并执行HTA文件和PowerShell加载器。这些脚本包含PowerRAT的base64编码数据块,解码后在受害者机器上执行。除了系统侦察,该恶意软件还会收集驱动器序列号并连接到俄罗斯远程服务器接收指令。若未获响应,则执行嵌入的PowerShell脚本。DCRat作为一种模块化恶意软件,能窃取数据、捕获屏幕截图和击键,提供远程控制,并下载执行其他文件。
https://thehackernews.com/2024/10/gophish-framework-used-in-phishing.html
3. Grandoreiro银行木马:全球金融威胁持续升级
10月22日,卡巴斯基实验室最近发布的一份报告显示,Grandoreiro银行木马已成为全球重大金融威胁。该木马起源于巴西,自2016年以来一直活跃,旨在窃取银行凭证并绕过安全措施。尽管执法部门已努力打击,但Grandoreiro的攻击范围已显著扩大,现已针对45个国家的1700家银行和276个加密货币钱包,显示出其真正的全球威胁性。在西班牙,Grandoreiro造成的经济损失估计达350万欧元,但报告指出其可能带来的利润超过1.1亿欧元。Grandoreiro木马不断创新策略,使用域生成算法创建新的命令和控制服务器,采用密文窃取加密增加分析难度,并引入沙盒规避技术如跟踪鼠标移动以模仿合法用户交互,欺骗反欺诈系统。其模块化特性允许多个操作员创建针对特定地区或金融机构的碎片化版本。自2022年以来,卡巴斯基观察到该木马创建了较小、较轻的版本,专注于较少的目标,特别是在墨西哥。Grandoreiro通常以恶意软件即服务的形式运行,其传播受到控制,只有值得信赖的合作伙伴才能访问源代码。
https://securityonline.info/1700-banks-45-countries-grandoreiro-trojan-expands-its-reach/
4. 黑客利用gRPC协议在Docker API上部署加密货币挖矿程序
10月22日,Trend Micro 研究人员发现了一种新型网络攻击手段,攻击者利用 Docker 远程 API 服务器上的 gRPC 协议(通过 h2c 明文 HTTP/2)来部署 SRBMiner 加密货币挖矿程序,目标是挖掘 Ripple Labs 开发的 XRP 加密货币。攻击流程始于扫描易受攻击的 Docker API 服务器,随后检查其可用性和版本,并发送 gRPC/h2c 升级请求以远程操纵 Docker 功能而不被发现。一旦建立控制,攻击者便使用合法基础映像构建 Docker 映像,在 /usr/sbin 目录中部署挖矿程序,并从 GitHub 下载恶意软件。他们还提供了 Ripple 钱包地址以收集挖出的加密货币。此次攻击之所以令人担忧,是因为使用 h2c 上的 gRPC 协议可绕过安全层,使安全工具难以检测到加密矿工的部署。这表明网络犯罪分子的策略在不断演变,他们正在寻找创新方法来利用 Docker 等容器化环境。因此,保护 Docker 远程 API 和监控异常活动变得尤为重要。
https://securityonline.info/cryptojacking-alert-hackers-exploit-grpc-and-http-2-to-deploy-miners/
5. CISA将Microsoft SharePoint漏洞列为已知被利用漏洞
10月23日,美国网络安全和基础设施安全局(CISA)已将Microsoft SharePoint的一个反序列化漏洞CVE-2024-38094(CVSS v4评分:7.2)纳入其已知被利用漏洞(KEV)目录中。该漏洞允许拥有站点所有者权限的攻击者通过SharePoint Server注入并执行任意代码。据微软公告,此漏洞源于SharePoint Server Search组件的输入验证错误,使得未经身份验证的用户也能通过发送特制HTTP请求来利用漏洞,进而在服务器上执行任意代码,可能接管整个系统。根据具有约束力的操作指令22-01,要求联邦机构(FCEB)必须在规定截止日期前解决已发现的漏洞,以保护网络免受目录中漏洞的攻击。CISA特别要求联邦机构在2024年11月12日前修复此SharePoint漏洞。同时,专家也建议私人组织审查CISA的漏洞目录,并及时解决其基础设施中存在的相应漏洞,以确保网络安全。
https://securityaffairs.com/170157/security/u-s-cisa-adds-microsoft-sharepoint-flaw-known-exploited-vulnerabilities-catalog.html
6. 北非电子竞技平台ESNA用户数据遭黑客泄露
10月24日,在比赛前夕,名为“Shooked”的黑客于2024年10月23日在Breach Forums上泄露了北非电子竞技(ESNA)平台超过18万名用户的个人数据,该数据转储大小为3GB,并声称是“完整数据库”。此次泄露发生在ESNA比赛于摩洛哥开赛的前一天。ESNA是一个旨在促进北非地区竞技游戏发展的平台,组织了包括FC25、Free Fire、街头霸王6等热门游戏的锦标赛。据分析,泄露的数据包含超过900万行,但去重后唯一用户记录为180,000条,包括用户身份、国家、用户名、IP地址、时间戳、会话ID、WordPress URL和电子邮件地址等信息,但不包括密码或财务信息。尽管如此,用户仍被建议更改密码以防万一,并警惕可能由此次泄露引发的网络钓鱼攻击。目前,ESNA组织尚未对此事作出回应,但用户应保持警惕,以防网络犯罪分子利用此次泄露进行恶意活动。
https://hackread.com/hackers-leak-esport-north-africa-user-record-before-tournament/
京公网安备11010802024551号