HackerNews

HackerNews 编译，转载请注明出处： 微软警告称，软件开发者从公开资源中使用已泄露的 ASP.NET 机器密钥，可能会使应用程序面临攻击风险。该公司威胁情报团队发现，2024 年 12 月曾有未知攻击者利用公开的静态 ASP.NET 机器密钥注入恶意代码，并投递名为 Godzilla 的后利用框架。 微软指出，此类密钥可能被用于 ViewState 代码注入攻击，目前已发现超过 3000 个公开披露的密钥存在被利用的风险。与以往常见的 ViewState 代码注入攻击使用被盗或被泄露的密钥不同，这些公开披露的密钥风险更高，因为它们广泛存在于多个代码仓库中，且可能未经修改就被直接用于开发代码。 ViewState 是 ASP.NET 框架中用于在页面回发之间保存页面和控件值的方法，通常以隐藏字段形式存储在页面中，并使用 Base64 编码，同时通过机器身份验证码（MAC）密钥生成的哈希值来确保数据未被篡改。然而，如果这些密钥被盗或被未经授权的第三方获取，攻击者可以利用这些密钥发送恶意 ViewState 请求并执行任意代码。 微软已提供公开披露机器密钥的哈希值列表，建议用户检查其环境中使用的密钥是否匹配，并警告称，如果公开披露的密钥被成功利用，仅旋转密钥可能不足以解决问题，因为攻击者可能已在主机上建立了持久性。为降低此类攻击风险，建议不要从公开来源复制密钥，并定期更换密钥。此外，微软还从其文档中删除了一些包含密钥的“有限实例”，以进一步阻止攻击者。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 移动安全公司 Zimperium 发布警告称，威胁行为者利用超过 1000 款恶意应用窃取了印度数万名安卓用户的信息。 此次名为 FatBoyPanel 的恶意活动，通过使用实时电话号码进行短信重定向，而非传统的命令与控制（C&C）服务器来窃取一次性密码（OTP），这一点与典型的移动端恶意活动有所不同。据 Zimperium 称，此次攻击由单一威胁行为者发起，该行为者使用了大约 1000 个电话号码来收集用户信息。该公司还发现了大约 900 个与该活动相关的恶意软件样本，主要针对印度银行的用户。 “对收集到的样本进行分析后，我们发现这些样本具有相似的代码结构、用户界面元素和应用标识，这表明这是单一威胁行为者针对运行安卓操作系统的移动设备所进行的协调攻击，”Zimperium 在一份研究笔记中表示。 该公司表示，他们发现了 220 多个公开可访问的 Firebase 存储桶，威胁行为者在其中存储了 2.5GB 的信息，包括银行短信、银行卡和银行详细信息以及政府身份证数据，并估计有 5 万名用户受到了影响。 该活动依赖于 WhatsApp 来传播伪装成政府或银行应用的 APK 文件，但实际上这些文件会安装恶意软件，诱骗用户泄露敏感信息。“恶意软件利用短信权限拦截和窃取短信，包括一次性密码（OTP），从而实现未经授权的交易。此外，它还采用隐身技术隐藏图标并抵抗卸载，确保在受感染设备上的持久存在，”Zimperium 说。 该公司表示，恶意应用通过截获并转发短信、将窃取的短信发送到充当 C&C 服务器的 Firebase 数据库，或结合这两种技术来窃取受害者信息。 应用中嵌入了硬编码的电话号码，用于窃取一次性密码（OTP）和短信，“这表明这些号码要么直接由攻击者控制，要么属于受他们控制的被攻破的个人，”Zimperium 还发现，存储被盗信息的 Firebase 数据库缺乏身份验证机制，这意味着任何人都可以访问这些数据库，从而暴露了管理员的详细信息和用于窃取信息的电话号码。 通过访问攻击者的管理仪表板，Zimperium 发现了攻击中使用的电话号码，并得出结论，这使得多个用户可以操作该活动。Zimperium 追踪到这些硬编码的电话号码与印度的特定地区有关，如西孟加拉邦、比哈尔邦和贾坎德邦。   消息来源：Security Week, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国国会众议院的两位议员，来自新泽西州的乔什·戈特海默（Josh Gottheimer）和来自伊利诺伊州的达林·拉胡德（Darin LaHood），于本周四提出了《政府设备禁用DeepSeek法案》。该法案将禁止联邦员工在政府拥有的电子设备上使用DeepSeek，理由是中国政府可能利用该应用进行监控和散布虚假信息，因此必须将其排除在联邦网络之外。 此提案出台的背景是，DeepSeek的母公司在2025年1月发布了一款人工智能模型，该模型的表现与美国公司如OpenAI、Meta、Alphabet等开发的模型不相上下。据称，DeepSeek开发该模型的成本远低于美国同行。此举引发了广泛关注，并在政策制定者、硅谷金融家和技术专家之间引发了激烈的讨论。 此次AI技术的竞争正值美国与中国在多个领域，包括技术创新方面的竞争加剧之时。美国已对中国商品征收关税，限制华为等中国科技公司在政府系统中的使用，并禁止出口用于开发最先进AI模型的微芯片。 去年，美国国会和时任总统乔·拜登批准了要求TikTok从其中国母公司出售或面临美国范围内禁令的政策，然而该政策目前已暂时搁置。唐纳德·特朗普总统在其第一任期内曾提议禁用TikTok，并于上个月签署行政命令，延长窗口期，寻求在法律规定的禁令生效前找到长期解决方案。 2023年，拜登总统宣布禁止在联邦政府发行的设备上使用TikTok。 该法案将专门针对DeepSeek及其母公司High-Flyer对开发的任何AI应用，禁止其在联邦政府设备上使用。法案还包括一些例外条款，允许出于国家安全和研究目的，联邦雇员对DeepSeek进行研究。 部分议员提出要进一步加强管控。密苏里州的参议员乔什·霍利（Josh Hawley）上周提出的一项法案，旨在全面禁止进口和出口任何来自中国的AI技术，理由是国家安全问题。   消息来源：Security Week, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 黑客正在针对存在漏洞的 SimpleHelp RMM 客户端，创建管理员账户、植入后门，并可能为勒索软件攻击铺路。 这些漏洞被追踪为 CVE-2024-57726、CVE-2024-57727 和 CVE-2024-57728，Arctic Wolf 上周报告称这些漏洞可能正在被积极利用。然而，这家网络安全公司无法确定这些漏洞是否确实被利用。 网络安全公司 Field Effect 已确认这些漏洞在最近的攻击中被利用，并发布了一份报告，揭示了漏洞利用后的活动细节。 此外，网络安全研究人员提到，观察到的活动有 Akira 勒索软件攻击的迹象，尽管他们没有足够的证据进行高置信度的归因。 针对 SimpleHelp RMM 的攻击 攻击始于威胁行为者利用 SimpleHelp RMM 客户端中的漏洞，建立与目标终端的未经授权连接。 攻击者从 IP 地址 194.76.227[.]171 连接，这是一台位于爱沙尼亚的服务器，在 80 端口上运行 SimpleHelp 实例。 一旦通过 RMM 连接，攻击者迅速执行一系列发现命令，以了解更多关于目标环境的信息，包括系统和网络详细信息、用户和权限、计划任务和服务以及域控制器信息。Field Effect 还观察到一个搜索 CrowdStrike Falcon 安全套件的命令，可能是绕过尝试。 利用他们的访问权限和知识，攻击者随后创建了一个名为 “sqladmin” 的新管理员账户，以保持对环境的访问，接着安装了 Sliver 后利用框架（agent.exe）。 Sliver 是 BishopFox 开发的后利用框架，过去几年中作为 Cobalt Strike 的替代品使用，后者越来越多地被终端保护检测到。 部署后，Sliver 会连接回命令和控制服务器（C2），打开反向 shell 或等待在受感染主机上执行命令。 在攻击中观察到的 Sliver 信标被配置为连接到荷兰的 C2。Field Effect 还识别了一个启用了远程桌面协议（RDP）的备用 IP。 建立持久性后，攻击者通过使用相同的 SimpleHelp RMM 客户端深入网络，攻陷域控制器（DC），并创建另一个管理员账户（“fpmhlttech”）。 攻击者没有植入后门，而是安装了一个伪装成 Windows svchost.exe 的 Cloudflare Tunnel，以保持隐蔽访问并绕过安全控制和防火墙。 SimpleHelp 用户被建议尽快应用可用的安全更新，以解决 CVE-2024-57726、CVE-2024-57727 和 CVE-2024-57728。更多信息，请查看供应商公告。 此外，查找名为 “sqladmin” 和 “fpmhlttech” 的管理员账户，或任何你不认识的账户，并查找 Field Effect 报告中列出的 IP 地址的连接。 最终，用户应将 SimpleHelp 访问限制在受信任的 IP 范围内，以防止未经授权的访问。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国网络安全与基础设施安全局（CISA）周四警告美国联邦机构，需防范针对微软 Outlook 关键远程代码执行（RCE）漏洞的攻击。 该漏洞由 Check Point 的漏洞研究人员 Haifei Li 发现，编号为 CVE-2024-21413，CVSS 评分为 9.8。漏洞源于在使用易受攻击的 Outlook 版本打开包含恶意链接的电子邮件时，未正确验证输入。 攻击者利用此漏洞可以绕过受保护视图（Protected View），以编辑模式而非只读模式打开恶意 Office 文件，从而获得远程代码执行能力。微软在一年前修补了该漏洞，并警告称即使在预览恶意构建的 Office 文档时，预览窗格也是一个攻击向量。 Check Point 解释称，这一安全漏洞（代号为 Moniker Link）允许威胁行为者绕过 Outlook 对电子邮件中嵌入的恶意链接的内置保护，方法是使用 file:// 协议并在指向攻击者控制的服务器的 URL 中添加感叹号。 CISA 已将该漏洞添加到其已知被利用漏洞（KEV）目录中，并根据强制性业务指令（BOD）22-01，要求联邦机构在 2 月 27 日前的三周内确保其网络的安全。 “这类漏洞是恶意网络行为者频繁利用的攻击向量，对联邦企业构成重大风险，”该网络安全机构警告。 虽然 CISA 主要关注提醒联邦机构尽快修补这些漏洞，但私营组织也被建议优先修补这些漏洞，以阻止正在进行的攻击。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据韩国网络安全公司AhnLab Security Intelligence Center（ASEC）2月6日消息，与朝鲜有关的国家级黑客组织Kimsuky被发现利用名为forceCopy的信息窃取恶意软件进行鱼叉式网络钓鱼攻击。 攻击活动始于2024年3月，攻击者通过伪装成Microsoft Office或PDF文档的Windows快捷方式（LNK）文件的钓鱼邮件开始攻击。打开附件会触发PowerShell或mshta.exe的执行，这些是微软合法的二进制文件，用于下载和运行来自外部源的下一阶段有效载荷。 此次攻击最终部署了已知的木马PEBBLEDASH和开源远程桌面工具RDP Wrapper的自定义版本。攻击者还使用了代理恶意软件，通过RDP建立与外部网络的持久通信。此外，Kimsuky还被发现使用基于PowerShell的键盘记录器记录按键，并使用新的forceCopy窃取恶意软件复制存储在Web浏览器相关目录中的文件。 “所有恶意软件安装的路径都是Web浏览器的安装路径，”ASEC表示。“据推测，威胁行为者试图绕过特定环境中的限制，窃取存储凭据的Web浏览器配置文件。” 使用RDP Wrapper和代理工具来控制受感染主机，表明Kimsuky的战术发生了变化，该组织历史上一直使用定制的后门程序。 Kimsuky，也被称为APT43、Black Banshee、Emerald Sleet、Sparkling Pisces、Springtail、TA427和Velvet Chollima，被认为与朝鲜主要对外情报机构侦察总局（Reconnaissance General Bureau）有关。 自2012年以来，Kimsuky一直活跃，擅长组织定制的社会工程攻击，能够绕过电子邮件安全防护。2024年12月，网络安全公司Genians透露，该黑客组织一直在发送来自俄罗斯服务的钓鱼信息，以进行凭证窃取。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全公司卡巴斯基周二表示，其检测并阻止了一次由SparkCat恶意软件发起的攻击，该软件利用光学字符识别（OCR）技术从图像中提取加密钱包的恢复短语。 这次攻击活动始于2024年3月，通过在苹果和谷歌的应用商店上分发虚假应用来窃取用户的加密钱包助记词。这些应用伪装成人工智能、食品配送和Web3应用，虽然其中一些应用似乎提供了合法功能，但实际上却隐藏着恶意软件。 卡巴斯基研究人员德米特里·卡利宁和谢尔盖·普扎表示，这些应用会解密并启动一个使用谷歌ML Kit库构建的OCR插件，用于识别图库中图像中的文本。匹配从命令和控制（C2）服务器接收到的关键词的图像会被发送到服务器。 值得注意的是，这是首次在苹果应用商店中发现具有OCR功能的恶意软件。谷歌应用商店中的受感染应用下载量已超过242,000次。 SparkCat恶意软件的iOS版本同样依赖谷歌的ML Kit库进行OCR操作，以窃取包含助记词的图像。该恶意软件的一个显著特点是使用基于Rust的通信机制与C2服务器进行通信，这在移动应用中较为罕见。 进一步分析关键词和这些应用的可用区域表明，该活动主要针对欧洲和亚洲的用户。研究人员评估认为，此次恶意活动是由一名精通中文的威胁行为者所为。 “该木马特别危险的地方在于，其应用内没有任何恶意植入的迹象，”研究人员表示，“它所请求的权限可能看起来是其核心功能所需的，或者乍一看似乎无害。” 与此同时，网络安全公司Zimperium zLabs披露了另一针对印度安卓设备用户的移动恶意软件活动，该活动通过WhatsApp分发恶意APK文件，伪装成银行和政府应用，以窃取用户的敏感信息和财务数据。 Zimperium zLabs表示，已识别出与该活动相关的1,000多个虚假应用，攻击者利用大约1,000个硬编码电话号码作为短信和一次性密码（OTP）的泄露点。 “与传统依赖C&C服务器窃取OTP的银行木马不同，此次恶意软件活动利用真实电话号码重定向短信，为执法机构追踪幕后威胁行为者留下了可追溯的数字线索，”安全研究员阿齐姆·亚斯万特表示。 此次攻击活动名为FatBoyPanel，目前已收集了约2.5GB的敏感数据，这些数据全部托管在无需身份验证即可访问的Firebase端点上。 这包括来自印度银行的短信、银行详细信息、信用卡和借记卡信息，以及约50,000名用户的政府颁发身份证明细节，其中大多数用户位于印度的西孟加拉邦、比哈尔邦、贾坎德邦、卡纳塔克邦和中央邦。 这些事件敲响了警钟，提醒用户在下载应用时，即使是在官方应用商店中，也应仔细审查应用代码，包括检查开发者的真实性。 这一情况也与2024年针对苹果macOS系统的24个新恶意软件家族的出现相吻合，较2023年的21个有所增加，据安全研究员帕特里克·沃德尔表示。 这与针对桌面操作系统用户的InfoStealer攻击激增相一致，如Poseidon、Atomic和Cthulhu等。 “利用macOS的InfoStealer通常会利用原生的AppleScript框架，”Palo Alto Networks Unit 42的研究人员汤姆·法克特曼、陈艾利克和汤姆·莎伦在本周发布的一份报告中表示。 “该框架提供了广泛的操作系统访问权限，并且其自然语言语法简化了执行过程。由于这些提示可能看起来像是合法的系统提示，威胁行为者利用这一框架通过社会工程手段诱骗受害者。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 2024年，勒索软件攻击使网络犯罪团伙共获得8.135亿美元的非法收入，相较于2023年的12.5亿美元有所下降。 区块链情报公司Chainalysis指出，2024年上半年的敲诈总金额为4.598亿美元，并表示自2024年7月之后，支付活动减少了约3.94%。 “2024年下半年勒索软件事件数量有所增加，但链上支付却减少了，这表明虽然更多受害者被盯上，但实际支付赎金的人变少了。”该公司说道。 另一个挑战是勒索软件生态系统的日益碎片化。在LockBit和BlackCat倒台之后，许多新入局者涌现，他们放弃了针对大型企业的“狩猎”，转而将目标对准小型至中型企业，这也导致赎金数额要求较低。 根据Coveware公司收集的数据，2024年第四季度的平均勒索软件支付金额为553,959美元，相较于第三季度的479,237美元有所上升。然而，中位数赎金支付金额却从200,000美元降至110,890美元，环比下降了45%。 “支付赎金仍然是那些没有其他办法恢复关键数据的人的最后选择。”该公司表示。 “新旧勒索软件变种的故障解密工具以及对威胁行为者履行承诺能力的日益不信任，都促使受害者除非万不得已，否则不会选择支付赎金。” 赎金支付的减少也与执法部门在打击网络犯罪团伙和加密货币洗钱服务方面取得的越来越多的成功相呼应，这破坏了犯罪行为的经济动机，并提高了进入这一领域的门槛。 尽管如此，2024年也见证了自2021年以来年度勒索软件事件数量的最高值，达到了惊人的5,263次攻击，同比增加了15%。 “工业领域在全球经济中扮演着关键角色，2024年遭受了所有勒索软件攻击的27%（1,424次），比2023年增加了15%。”NCC集团表示。“2024年，超过一半的攻击（55%）发生在北美地区。” 2024年最常见的勒索软件变种包括Akira（11%）、Fog（11%）、RansomHub（8%）、Medusa（5%）、BlackSuit（5%）、BianLian（4%）和Black Basta（4%）。在此期间，独狼行动者占据了8%的市场份额。 最近几个月出现的一些新入局者包括Arcus Media、Cloak、HellCat、Nnice、NotLockBit、WantToCry和Windows Locker。特别是HellCat，被发现采用心理战术来羞辱受害者，迫使他们支付赎金。 “Akira和Fog使用了相同的洗钱方法，这与其他勒索软件变种不同，进一步支持了它们之间存在关联的观点。”Chainalysis说道。 “这两个组织主要专注于利用VPN漏洞，这使他们能够未经授权访问网络，进而部署勒索软件。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

Morphisec 发现了 ValleyRAT 恶意软件的一个新变种，该变种具备先进的规避策略、多阶段感染链以及针对系统的全新传播方式。 Morphisec 威胁实验室的网络安全研究人员发现了这种复杂的 ValleyRAT 恶意软件的新版本，它通过网络钓鱼邮件、即时通讯平台以及被攻陷的网站等多种渠道进行传播。ValleyRAT 是一种多阶段恶意软件，与臭名昭著的 “银狐” 高级持续性威胁（APT）组织有关联。 根据 Morphisec 与Hackread.com分享的调查结果，此次攻击活动的主要目标是各组织内的重要人员，尤其是财务、会计和销售部门的人员，目的是窃取敏感数据。 早期的 ValleyRAT 版本利用伪装成合法软件安装程序的 PowerShell 脚本，常常通过 DLL 劫持手段，将其有效载荷注入 WPS Office 甚至火狐（Firefox）等程序的签名可执行文件中。2024 年 8 月，Hackread.com报道过一个 ValleyRAT 版本，该版本使用外壳代码将恶意软件组件直接注入内存。 相反，当前版本利用一个假冒的中国电信公司 “Karlos” 的网站（karlostclub/）来分发恶意软件，该网站会下载一系列文件，其中包括一个.NET 可执行文件，它会检查管理员权限并下载其他组件，包括一个 DLL 文件。 研究人员在博客文章中写道：“有趣的是，攻击者在新旧版本的攻击中都复用了相同的 URL。” 据研究人员称，从 anizomcom / 下载假冒的 Chrome 浏览器是攻击链中的初始感染途径，诱使受害者下载并执行恶意软件。名为 sscronet.dll 的文件故意取了个看似合法的标识符以避免引起怀疑，它会将代码注入合法的 svchost.exe 进程，充当监控程序，终止预定义排除列表中的任何进程，以防止其干扰恶意软件的运行。接下来，恶意软件利用经过修改的抖音（中国版 TikTok）可执行文件进行 DLL 侧加载，并借助 Valve 游戏（特别是《求生之路 2》和《杀戮空间 2》）中的合法 Tier0.dll 文件，在 nslookup.exe 进程中执行隐藏的代码。该进程从 mpclient.dat 中检索并解密 ValleyRAT 的主要有效载荷。 解密后的有效载荷使用 Donut 外壳代码在内存中执行恶意软件，绕过传统的基于磁盘的检测方法。它还试图禁用诸如反恶意软件扫描接口（AMSI）和 Windows 事件跟踪（ETW）等安全机制。 需要说明的是，ValleyRAT 是一款基于 C++ 的远程访问木马，具备基本的远程访问木马功能，比如能够访问 WinSta0 窗口站，实现对屏幕、键盘和鼠标的交互操作，并监控受害者的屏幕。它包含大量针对 VMware 的反检测机制，以逃避在虚拟化环境中的检测，并在安装过程中使用代码内初始化的 IP 地址和端口与命令控制（C2）服务器建立连接。 研究人员指出：“如果恶意软件未检测到自己在虚拟机（VM）内运行，它会尝试连接baidu.com，作为其网络通信检查的一部分。” “银狐” APT 组织不断变化的策略和规避技术表明，新型攻击正变得越来越复杂。各组织应采取恰当的安全策略，包括更严格的端点保护、员工培训以及持续监控，以降低风险。   转自安全KER，原文链接：https://www.anquanke.com/post/id/303844 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： 微软发布了一款 PowerShell 脚本，旨在帮助 Windows 用户和管理员更新可启动介质，使其在 2026 年底前使用新的 “Windows UEFI CA 2023” 证书，以应对即将实施的 BlackLotus UEFI Bootkit 缓解措施。 BlackLotus 是一种 UEFI Bootkit，能够绕过安全启动（Secure Boot），并控制操作系统的启动过程。一旦获得控制权，BlackLotus 可以禁用 Windows 安全功能，例如 BitLocker、受 hypervisor 保护的代码完整性（HVCI）和 Microsoft Defender Antivirus，从而在最高权限级别部署恶意软件，同时保持隐蔽性。 2023 年 3 月和 2024 年 7 月，微软发布了针对 CVE-2023-24932 的安全更新，该漏洞是一个被 BlackLotus 利用的 Secure Boot 绕过漏洞。然而，此修复默认情况下是禁用的，因为错误应用更新或设备上的冲突可能导致操作系统无法加载。分阶段推出修复程序，可以让 Windows 管理员在 2026 年底前强制实施前进行测试。 启用后，安全更新将把 “Windows UEFI CA 2023” 证书添加到 UEFI “Secure Boot Signature Database” 中。管理员随后可以安装使用该证书签名的较新启动管理器。此过程还包括更新 Secure Boot Forbidden Signature Database（DBX），以添加用于签名较旧、易受攻击启动管理器的 “Windows Production CA 2011” 证书。一旦撤销该证书，这些启动管理器将变得不受信任且无法加载。 然而，如果应用缓解措施后设备启动出现问题，必须首先更新可启动介质以使用 Windows UEFI CA 2023 证书来排查 Windows 安装问题。微软在关于 CVE-2023-24932 修复分阶段推出的支持公告中解释道：“如果应用缓解措施后设备出现问题且无法启动，你可能无法从现有介质启动或恢复设备。恢复或安装介质需要更新，以便与已应用缓解措施的设备兼容。” 昨天，微软发布了一款 PowerShell 脚本，帮助用户更新可启动介质以使用 Windows UEFI CA 2023 证书。该脚本可以从微软下载，并用于更新 ISO CD/DVD 镜像文件、USB 闪存驱动器、本地驱动器路径或网络驱动器路径的可启动介质文件。 要使用该工具，必须先下载并安装 Windows ADK，这是脚本正常运行的必要条件。运行时，脚本将更新介质文件以使用 Windows UEFI CA 2023 证书，并安装由该证书签名的启动管理器。 微软强烈建议 Windows 管理员在安全更新强制实施阶段到来之前测试这一过程。微软表示，这将在 2026 年底前发生，并将在开始前六个月内通知用户。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国联邦通信委员会（FCC）提议对网络电话服务提供商Telnyx处以449.25万美元的罚款，原因是该公司被指控未能遵守“了解你的客户”（KYC）规则，从而允许客户通过其平台发起伪装成虚构的FCC“欺诈预防团队”的机器人电话。然而，Telnyx对此表示否认，并称FCC的指控存在错误。 这些电话的发起者使用“Christian Mitchell”和“Henry Walker”的名字注册了Telnyx账户，注册地址为加拿大多伦多的同一地址，但使用的IP地址却来自苏格兰和英格兰。由于这两个账户都使用了mariocop123.com域名的电子邮件地址，因此被称为“MarioCop”账户。 在2024年2月6日至2月7日期间，他们发起了1797次冒充电话，直到Telnyx终止了他们的账户。具有讽刺意味的是，这些电话还拨打到了FCC工作人员及其家人的个人和工作电话上。 根据FCC的说法，这些电话使用了预先录制的语音信息，内容为：“你好，[收件人的名字]，你接到了来自联邦通信委员会的自动语音电话，通知你欺诈预防团队希望与你通话。” 但FCC并没有所谓的“欺诈预防团队”，该机构的执法局认为，这些电话的目的是“威胁、恐吓和欺诈”，因为至少有一名接到这些冒充电话的收件人被连接到了一个要求其“支付1000美元谷歌礼品卡以避免因对国家犯罪而入狱”的人。 FCC还补充说，该机构不会“发布或以其他方式分享工作人员的个人电话号码”，并表示“不清楚这些人是如何被锁定为目标的”。 FCC：Telnyx未能遵守KYC规则 根据FCC的说法，Telnyx未能采取必要措施，防止恶意行为者利用其VoIP网络进行非法语音通信，违反了“了解你的客户”（KYC）规则。 这些措施包括要求提供政府签发的身份证明、公司成立记录以及客户实际地址的第三方记录，以验证请求使用可进行大量通话的服务的客户身份。 然而，FCC声称，在开设MarioCop账户之前，Telnyx仅收集了每个申请人的姓名、非免费电子邮件地址、实际地址和IP地址，并且“没有进一步要求提供佐证或独立验证”。 “打击非法机器人电话将是FCC的首要任务。这就是为什么我对委员会首次采取行动并以两党投票的方式支持这一近450万美元的拟议罚款感到高兴。这一罚款源于一个明显的非法机器人电话诈骗活动，并延续了FCC长期以来阻止不良行为者的工作，”FCC主席布伦丹·卡尔（Brendan Carr）在周二表示。 “提供商有责任了解他们的客户并确保其网络的安全，以防止欺诈和恶意电话，”执法局代理局长帕特里克·韦布雷（Patrick Webre）补充道。 Telnyx否认FCC的指控 Telnyx是一个基于云的平台，通过互联网提供运营商级别的语音服务。该公司在全球30多个国家拥有运营商地位，提供全球通话服务、80多个国家的本地通话服务，以及45个以上市场的公共交换电话网（PSTN）替代服务。 该公司还允许客户利用专有数据在几分钟内构建“独特、具有情境感知的AI语音机器人”，并为客户提供一个语音API，帮助他们“在全球范围内通过可编程语音功能进行、接收和控制通话”。 在周三发布的一份新闻稿中，Telnyx否认了所有指控，称“FCC的拟议责任通知在事实上存在错误”，并表示对“FCC的错误决定感到惊讶”。 “Telnyx已经做了FCC要求的‘了解你的客户’（KYC）和客户尽职调查程序的一切，甚至更多，”该公司表示。 “更重要的是，FCC对适用于该行业的KYC和尽职调查标准存在误解。FCC自己的法规长期以来就明确表示，不要求在打击非法通信方面做到完美。[…] 值得注意的是，没有关于后续重复活动的指控。”   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 恶意软件包正悄然侵袭 Python 存储库，其目标直指那些有意向将 DeepSeek 融入自身工作流程的开发人员与工程师。 近期，DeepSeek 在人工智能领域掀起了一阵轩然大波，促使科技巨头们争先恐后地加速推进自家 AI 模型的发展进程。在这股全民热捧的浪潮之中，不法分子妄图趁虚而入，利用那些渴望将 DeepSeek 应用到自身业务中的人员。 Positive Technologies 的研究人员察觉并成功阻止了一起针对 Python 包索引（PyPI）存储库的恶意活动。 此次攻击的主要对象是开发人员、机器学习工程师以及 AI 爱好者，他们本打算借助 DeepSeek 的 AI 技术来简化项目操作流程。 经研究人员调查发现，此次攻击的发起者名为 “bvk”，该账户创建于 2023 年 6 月。值得注意的是，bvk 在此之前从未向 PyPI 存储库上传或贡献过任何内容。 然而，这一情况在 2025 年 1 月发生了转变，该用户上传了两个分别名为 “deepseeek” 和 “deepseekai” 的软件包。 “Deepseekai” 项目被宣传为 “DeepSeek AI API 的 Python 客户端 —— 可访问大型语言模型和 AI 服务”，这将使得开发人员的代码能够与 DeepSeek 的服务实现交互。 而 “deepseeek” 项目则号称是一个 “DeepSeek API 客户端”，允许开发人员在其 Python 项目中使用并部署 DeepSeek 的服务。 研究人员经核实确认，这些软件包均为非法软件，且发现它们旨在窃取用户和计算机数据以及环境变量。 环境变量通常包含运行应用程序所必需的敏感信息，例如用于安全防护的 API 密钥、数据库连接详细信息以及系统路径等。 毫不知情的用户若在命令行中运行 “deepseeek” 或 “deepseekai” 命令，可能并不会意识到，他们已经下载了正在后台悄然运行的恶意代码。 此恶意负载会暗中执行有害代码，在此情境下，它会从毫无防备的开发人员那里窃取数据。 研究人员发现的一个恶意代码的显著特点是，其作者利用 AI 来辅助编写脚本。 研究人员在察觉到这一情况后，迅速通知了管理员，相关软件包随即被删除。尽管如此，在被删除之前，这些软件包的下载量仍超过了 220 次。 近期，在 JavaScript（npm）和 Python（PyPI）等开源存储库中，发现的恶意软件包数量呈现出激增的态势。 研究人员对 700 多万个开源项目进行了分析，结果显示其中竟有 7% 的软件包包含恶意软件。 Sonatype 警告称：“仅在过去一年，就记录了超过 512,847 个恶意软件包，与上一年同期相比，增长幅度高达 156%，这一数据凸显出组织迫切需要调整其使用习惯。” 在现代软件中，高达 90% 的部分都依赖于开源组件。仅今年一年，此类软件包的下载量就已突破了 6.6 万亿次。然而，在 700 多万个可用软件包中，只有 10.5% 的开源代码在开发过程中得到了积极使用。   消息来源：Cyber News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 近日，一起恶意软件活动被发现利用Python载荷和TryCloudflare隧道传播名为AsyncRAT的远程访问木马。 Forcepoint X-Labs研究员Jyotika Singh在分析中指出：“AsyncRAT是一种远程访问木马，利用async/await模式实现高效异步通信。” “它允许攻击者隐秘地控制受感染系统，窃取数据并执行命令，同时保持隐蔽，因此构成重大网络安全威胁。” 这起多阶段攻击链的起点是一封包含Dropbox链接的钓鱼邮件，点击链接后会下载一个ZIP压缩包。 压缩包内包含一个互联网快捷方式（URL）文件，该文件作为Windows快捷方式（LNK）文件的传输渠道，进一步推动感染扩散，而收件人则会看到一个看似无害的诱饵PDF文档。 具体而言，LNK文件是通过URL文件内嵌的TryCloudflare URL获取的。TryCloudflare是Cloudflare提供的一项合法服务，用于通过创建专用通道（即trycloudflare[.]com上的子域名）将Web服务器暴露给互联网，而无需开放任何端口。 LNK文件触发PowerShell执行托管在同一位置的JavaScript代码，进而引导到一个能够下载另一个ZIP压缩包的批处理脚本（BAT）。新下载的ZIP文件包含旨在启动和执行多个恶意软件家族的Python载荷，如AsyncRAT、Venom RAT和XWorm。 值得注意的是，去年发现了同一感染序列的轻微变种，传播了AsyncRAT、GuLoader、PureLogs Stealer、Remcos RAT、Venom RAT和XWorm。 Singh指出：“这起AsyncRAT活动再次表明，黑客如何利用Dropbox链接和TryCloudflare等合法基础设施为己所用。载荷通过Dropbox链接和临时的TryCloudflare隧道基础设施下载，从而诱使收件人相信其合法性。” 这一事态发展正值利用钓鱼即服务（PhaaS）工具包进行钓鱼活动激增之际，这些活动通过引导用户访问模仿微软、谷歌、苹果和GitHub等可信平台登录页面的虚假着陆页，实施账户接管攻击。 还观察到通过电子邮件进行的社会工程学攻击利用被攻陷的供应商账户收集用户的Microsoft 365登录凭据，这表明威胁行为者正在利用互联供应链和固有信任来绕过电子邮件身份验证机制。 近几周记录的其他一些钓鱼活动包括： 针对拉丁美洲组织的攻击，利用官方法律文件和收据分发和执行SapphireRAT； 利用合法域名（包括政府网站“.gov”域名）托管Microsoft 365凭据收集页面； 冒充税务机构和相关金融机构，针对澳大利亚、瑞士、英国和美国的用户，以捕获用户凭据、进行欺诈支付和分发AsyncRAT、MetaStealer、Venom RAT、XWorm等恶意软件； 利用伪造的Microsoft Active Directory Federation Services（ADFS）登录页面收集凭据和多因素身份验证（MFA）代码，以进行后续以财务动机为主的电子邮件攻击； 利用Cloudflare Workers（workers.dev）托管模仿各种在线服务的通用凭据收集页面； 以就业合同为幌子，针对德国组织使用Sliver植入物； 利用零宽度连接符和软连字符（又称SHY字符）绕过钓鱼邮件中的一些URL安全检查； 分发陷阱URL，作为名为ApateWeb的活动的一部分，交付恐吓软件、潜在不需要的程序（PUPs）和其他诈骗页面。 CloudSEK的最新研究还表明，可以利用Zendesk的基础设施来协助钓鱼攻击和投资诈骗。 该公司表示：“Zendesk允许用户注册其SaaS平台的免费试用版，并允许注册子域名，这些子域名可能被滥用以冒充目标。”并补充说，攻击者随后可以将目标电子邮件地址作为“用户”添加到Zendesk门户中，以发送钓鱼邮件。 “Zendesk不会进行电子邮件检查以邀请用户。这意味着任何随机账户都可以作为成员添加。可以以分配给电子邮件地址的工单为幌子发送钓鱼页面。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一个名为Silent Lynx的此前未被记录的威胁行为者已被证实与针对吉尔吉斯斯坦和土库曼斯坦多个实体的网络攻击有关。 Seqrite Labs研究员Subhajeet Singha在上月末发布的一份技术报告中指出：“该威胁组织此前曾针对东欧和中亚地区涉及经济决策和银行领域的政府智库。” 该黑客组织的攻击目标包括大使馆、律师、政府支持的银行和智库。据推测，这一活动很可能由一名哈萨克斯坦的威胁行为者发起，但这一推测的置信度为中。 这些感染始于一封包含RAR压缩文件附件的钓鱼邮件，该附件最终成为恶意有效载荷的传输工具，使攻击者能够远程控制被感染的计算机。 网络安全公司于2024年12月27日检测到的第一轮攻击中，利用RAR压缩文件启动了一个ISO文件，该文件包含一个恶意的C++二进制文件和一个诱饵PDF文件。随后，该可执行文件运行一个PowerShell脚本，该脚本利用Telegram机器人（名为“@south_korea145_bot”和“@south_afr_angl_bot”）执行命令和数据外泄。 通过机器人执行的一些命令包括curl命令，用于从远程服务器（“pweobmxdlboi[.]com”）或Google Drive下载和保存额外的有效载荷。 相比之下，另一轮攻击则使用了一个包含两个文件的恶意RAR压缩文件：一个诱饵PDF文件和一个Golang可执行文件。后者旨在与攻击者控制的服务器（“185.122.171[.]22:8082”）建立反向shell连接。 Seqrite Labs表示，它观察到该威胁行为者与YoroTrooper（又名SturgeonPhisher）之间存在一定的战术重叠，后者已被证实使用PowerShell和Golang工具针对独联体国家发动攻击。 Singha表示：“Silent Lynx的攻击活动展示了其利用ISO文件、C++加载器、PowerShell脚本和Golang植入物的复杂多阶段攻击策略。” “他们依赖Telegram机器人进行命令和控制，结合诱饵文档和区域目标选择，这也凸显了他们将间谍活动的重点放在中亚和SPECA成员国上。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络犯罪分子正越来越多地利用合法的HTTP客户端工具，对Microsoft 365环境发动账户接管（ATO）攻击。 企业安全公司Proofpoint表示，其观察到有黑客利用HTTP客户端Axios和Node Fetch发送HTTP请求并从Web服务器接收HTTP响应，以实施ATO攻击。 安全研究员Anna Akselevich称：“这些工具最初源自GitHub等公共存储库，如今却越来越多地被用于中间人（AitM）攻击和暴力破解等技术手段中，导致大量账户被接管。” 自2018年2月以来，利用HTTP客户端工具进行暴力破解攻击的现象一直备受关注，随后的迭代更是采用OkHttp客户端的各种变体来攻击Microsoft 365环境，这种情况一直持续到2024年初。 但Proofpoint指出，到2024年3月，各种HTTP客户端开始受到追捧，攻击规模达到新高。截至去年下半年，78%的Microsoft 365租户至少遭受过一次ATO攻击。 Akselevich说：“2024年5月，这些攻击达到高峰，利用数百万个被劫持的家庭IP地址来攻击云账户。” Axios、Go Resty、Node Fetch和Python Requests等HTTP客户端的出现，证明了这些攻击尝试的数量和多样性。其中，将精确瞄准与AitM技术相结合的攻击手段，取得了更高的成功率。 Proofpoint表示，Axios是为Node.js和浏览器设计的，可以与Evilginx等AitM平台配合使用，以窃取凭据和多因素认证（MFA）代码。 此外，还观察到威胁行为者设置了新的邮箱规则以掩盖恶意活动证据、窃取敏感数据，甚至注册了权限范围过大的新OAuth应用程序，以建立对受损环境的持久远程访问。 据悉，Axios攻击活动主要针对交通运输、建筑、金融、信息技术和医疗保健等行业的高价值目标，如高管、财务官、账户经理和运营人员。 2024年6月至11月期间，超过51%的目标组织被评估为已成功受到攻击，43%的目标用户账户遭到入侵。 这家网络安全公司还检测到一起大规模密码喷洒攻击活动，该活动使用Node Fetch和Go Resty客户端，自2024年6月9日以来记录了不少于1300万次的登录尝试，平均每天超过6.6万次恶意尝试。然而，成功率仍然较低，仅影响了2%的目标实体。 迄今为止，已确定3000个组织中的超过17.8万个目标用户账户遭到攻击，其中大多数属于教育领域，特别是学生用户账户，这些账户可能保护不足，可被用于其他攻击活动或被出售给不同的威胁行为者。 Akselevich表示：“威胁行为者用于ATO攻击的工具已大大发展，他们利用各种HTTP客户端工具来利用API和发送HTTP请求。这些工具具有独特优势，使攻击更加高效。” “鉴于这一趋势，攻击者可能会继续在不同HTTP客户端工具之间切换，调整策略以利用新技术并逃避检测，这反映出了他们为增强攻击效果和降低曝光度而不断进化的更广泛模式。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 拉撒路集团被发现开展了一项积极活动，该活动利用加密货币和旅游行业的虚假领英工作机会提供恶意软件，该软件能够感染Windows、macOS和Linux操作系统。 据网络安全公司Bitdefender称，该骗局始于在专业社交媒体网络上发送的一条消息，以远程工作、兼职灵活性和高薪为诱饵。 罗马尼亚这家公司在与The Hacker News分享的一份报告中称：“一旦目标对象表现出兴趣，‘招聘流程’随即展开，骗子会要求提供简历，甚至要求提供个人GitHub仓库链接。” “尽管这些要求看似无害，但可能暗藏祸心，比如收集个人数据，或为互动披上合法的外衣。” 在获取所需信息后，攻击进入下一阶段。此时，攻击者伪装成招聘人员，分享一个GitHub或Bitbucket仓库链接，内含一个所谓的去中心化交易所（DEX）项目的最小可行性产品（MVP）版本，并指示受害者查看并给出反馈。 代码中包含一个模糊脚本，该脚本被配置为从api.npoint[.]io获取下一阶段的有效载荷，这是一个跨平台JavaScript信息窃取软件，能够从受害者浏览器上安装的各种加密货币钱包扩展中收集数据。 该窃取软件还充当加载程序，用于获取一个基于Python的后门程序，该程序负责监控剪贴板内容变化、保持持久远程访问，并投放其他恶意软件。 值得注意的是，Bitdefender记录的手法与已知攻击活动集群“传染性面试”（又称DeceptiveDevelopment和DEV#POPPER）存在重叠，该集群旨在投放名为BeaverTail的JavaScript窃取软件和名为InvisibleFerret的Python植入程序。 通过Python恶意软件部署的恶意软件是一个.NET二进制文件，可以下载并启动TOR代理服务器以与命令和控制（C2）服务器通信、渗出基本系统信息，并投放另一个有效载荷，进而窃取敏感数据、记录键盘输入和启动加密货币挖矿程序。 Bitdefender表示：“攻击者的感染链十分复杂，包含用多种编程语言编写的恶意软件，并使用多种技术，如递归解码并执行自身的多层Python脚本、首先收集浏览器数据再转向其他有效载荷的JavaScript窃取软件，以及能够禁用安全工具、配置Tor代理和启动加密货币挖矿程序的.NET级联加载程序。” 领英和Reddit上的报告显示，这些攻击活动相当普遍，且整体攻击链仅有小幅调整。在某些情况下，要求候选人克隆一个Web3仓库并在本地运行，作为面试流程的一部分；而在其他情况下，则指示他们修复代码中故意引入的错误。 其中一个有问题的Bitbucket仓库涉及一个名为“miketoken_v2”的项目，该项目现已无法在代码托管平台上访问。 就在前一天，SentinelOne披露称，“传染性面试”活动正被用于投放另一个代号为FlexibleFerret的恶意软件。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 亚马逊宣布了针对 Redshift 的关键安全增强功能，Redshift 是一种受欢迎的数据仓库解决方案，这些增强功能旨在防止因配置错误和不安全的默认设置导致的数据泄露。 Redshift 被企业广泛用于商业智能和大数据分析，与 Google BigQuery、Snowflake 和 Azure Synapse Analytics 竞争。它因其在处理PB级数据时的效率和性能、可扩展性以及成本效益而受到重视。 然而，配置不当和宽松的默认设置导致了大规模数据泄露事件，例如 2022 年 10 月的 Medibank 勒索软件事件，据报道该事件涉及对公司 Redshift 平台的访问。 上周，AWS 宣布将为新创建的预配置集群实施三项安全默认设置，以显著提升平台的数据安全性，并最大限度地减少灾难性数据泄露的可能性。 第一项措施是默认限制新集群的公共访问，将其限制在用户的虚拟私有云（VPC）内，并防止直接外部访问。如果需要公共访问，必须明确启用，并建议用户使用安全组和网络访问控制列表（ACL）来限制访问。 第二项更改是默认为所有集群启用加密，以确保即使未授权访问也不会导致数据泄露。用户现在必须指定一个加密密钥，否则集群将使用 AWS 所有的密钥管理服务（KMS）密钥进行加密。依赖未加密集群进行数据共享的用户必须确保生产和消费集群都已加密。未能调整这些工作流程可能会在更改生效时导致中断。 第三项更改是默认为所有新集群和恢复的集群强制使用安全 SSL（TLS）连接，以防止数据拦截和“中间人”攻击。使用自定义参数组的用户被鼓励手动启用 SSL 以增强安全性。 需要注意的是，这些更改将影响新创建的预配置集群、无服务器工作组和恢复的集群，因此现有设置不会立即受到影响。然而，AWS 建议客户根据需要审查和更新其配置，以符合新的安全默认设置，避免运营中断。 “我们建议所有 Amazon Redshift 客户审查他们当前的配置，并考虑在他们的应用程序中实施新的安全措施，”公告中写道。“这些安全增强功能可能会对依赖公共访问、未加密集群或非 SSL 连接的现有工作流程产生影响。” 寻求指导和支持的客户被要求阅读在线“管理指南”或联系 AWS 支持。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全公司VulnCheck最新报告显示，2024年野外被利用的CVE数量攀升至768个，较2023年的639个增长20%，创下年度新高。 约23.6%的KEV在公开披露当日或之前就已被武器化，这一比例虽较2023年的26.8%略有下降，却印证了漏洞在其生命周期内随时可能遭受攻击的行业规律。 VulnCheck安全研究员Patrick Garrity在接受《黑客新闻》采访时透露：”2024年公布的CVE中，有1%在发布时就被确认遭到野外利用。考虑到漏洞利用常存在滞后性，实际数字预计会持续攀升。”这一发现基于该公司持续追踪的漏洞生命周期数据。 值得关注的是，报告发布的两个月前，VulnCheck曾披露2023年度最常被利用的15个高危漏洞中，有15个中国黑客组织（占已命名威胁行为体的四分之一）涉及至少一个漏洞的利用。 其中，Log4j漏洞（CVE-2021-44228）以关联31个威胁组织位居榜首，目前仍有65,245台主机存在潜在风险。 经测算，全球约40万台联网设备因Apache、Atlassian等10家主流厂商产品的15个安全缺陷面临攻击威胁。这些涉及企业包括思科、微软、Fortinet等行业巨头，暴露出广泛的企业级安全风险。 对此，VulnCheck提出五点防护建议：企业需系统评估技术暴露面、建立风险可视化机制、强化威胁情报应用、完善补丁管理体系，并尽可能减少相关设备的互联网暴露面。该建议直指当前企业网络安全建设的核心痛点，为应对日益复杂的漏洞攻击提供了操作性框架。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露了微软 Power Platform 上的 SharePoint 连接器一个现已修补的漏洞的详细信息，如果该漏洞被成功利用，可能会允许威胁行为者窃取用户的凭据并发起后续攻击。 Zenity Labs 在一份与《黑客新闻》分享的报告中表示，这可能表现为允许攻击者代表被冒充的用户向 SharePoint API 发送请求的后利用行动，从而获得对敏感数据的未经授权的访问。 “该漏洞可以被利用来影响 Power Automate、Power Apps、Copilot Studio 和 Copilot 365，这显著扩大了潜在损害的范围。”高级安全研究员 Dmitry Lozovoy 说，“这增加了成功攻击的可能性，使黑客能够针对 Power Platform 生态系统内多个相互关联的服务。” 在 2024 年 9 月负责任地披露该漏洞后，微软在 12 月 13 日解决了这个被评估为“重要”严重性的安全问题。 微软 Power Platform 是一系列低代码开发工具，允许用户促进分析、流程自动化和数据驱动的生产力应用程序。 该漏洞本质上是服务器端请求伪造（SSRF），源于 SharePoint 连接器中的“自定义值”功能，该功能允许攻击者在流程中插入自己的 URL。 然而，为了使攻击成功，恶意用户需要在 Power Platform 上拥有环境制造者角色和基本用户角色。这也意味着他们需要首先通过其他方式获得对目标组织的访问权限并获取这些角色。 “有了环境制造者角色，他们可以创建和共享恶意资源，如应用程序和流程。”Zenity 告诉《黑客新闻》。“基本用户角色允许他们运行应用程序并与其拥有的 Power Platform 上的资源进行交互。如果攻击者还没有这些角色，他们需要先获得这些角色。” 在一个假设的攻击场景中，威胁行为者可以为 SharePoint 操作创建一个流程，并与低权限用户（即受害者）共享，导致他们的 SharePoint JWT 访问令牌泄露。 掌握了这个被捕获的令牌，攻击者可以代表被授予访问权限的用户在 Power Platform 之外发送请求。 不仅如此。该漏洞还可以通过创建看似无害的 Canvas 应用程序或 Copilot 代理来进一步扩展到其他服务，如 Power Apps 和 Copilot Studio，以窃取用户的令牌并进一步提升访问权限。 “你可以通过将 Canvas 应用程序嵌入 Teams 频道来进一步扩展。”Zenity 指出。“一旦用户在 Teams 中与应用程序交互，你就可以像在组织内一样轻松地窃取他们的令牌，使攻击更加广泛。” “主要的收获是，Power Platform 服务的相互关联性可能会导致严重的安全风险，尤其是考虑到 SharePoint 连接器的广泛使用，其中存储了大量敏感的公司数据，确保在各种环境中维护适当的访问权限可能会很复杂。” 这一事件发生之际，Binary Security 详细披露了 Azure DevOps 中的三个 SSRF 漏洞，这些漏洞可能被利用来与元数据 API 端点通信，从而允许攻击者获取有关机器配置的信息。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 谷歌日前发布安全更新，修复安卓操作系统中47项安全漏洞，其中一项已被证实遭到实际攻击。 本次修复的核心漏洞CVE-2024-53104（CVSS评分7.8）属于USB视频类（UVC）驱动内核组件的权限提升漏洞。 谷歌表示，攻击者可通过物理接触设备实施本地提权攻击，且已监测到该漏洞存在“有限范围的定向攻击”。 技术溯源显示，该漏洞最早可追溯至2008年发布的Linux内核2.6.26版本。 Linux内核维护者Greg Kroah-Hartman在2024年12月初披露，该漏洞源于”uvc_driver.c”程序中”uvc_parse_format()”函数对UVC_VS_UNDEFINED类型帧解析时引发的越界写入问题，可能导致内存损坏、程序崩溃或任意代码执行。 安全机构GrapheneOS分析指出，考虑到该漏洞涉及物理提权特性，不排除被取证数据提取工具滥用的可能性。同步修复的还包括高通WLAN组件高危漏洞CVE-2024-45569（CVSS评分9.8），该漏洞同样存在内存损坏风险。 值得注意的是，谷歌此次采用2025-02-01和2025-02-05双安全补丁级别机制，以便设备厂商灵活处理安卓系统通用漏洞。 “我们鼓励 Android 合作伙伴修复本公告中的所有问题，并使用最新的安全补丁级别，”谷歌表示。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文