【09.06】安全帮®每日资讯：vBulletin远程命令执行漏洞在野外利用；学生中考志愿遭篡改​：系统登录密码太简单

近日，微软为 Defender 新增了一项功能，不过安全专家表示黑客可以利用该功能下载恶意程序。虽然该功能本身并没有漏洞，但是该功能运行运行脚本，可以启动命令行从互联网导入更多的文件，使用本地原生的 living-off-the-land（LOLBIN）文件。安全研究人员  称，这些对 Microsoft Defender 驱动的命令行工具的改变可能会被攻击者滥用。

参考来源：

https://tech.sina.com.cn/roll/2020-09-05/doc-iivhvpwy4984798.shtml

近期国外安全研究人员发现关于 vBulletin 的 CVE-2020-17496 在野外发现了该漏洞。该漏洞是 CVE-2019-16759 的绕过，攻击者可以利用该漏洞发送带有指定模版名称和恶意 PGP 代码的 HTTP 请求，达到远程执行代码。使用 vBulletin 搭建的网站目前已经超过 100 万个站点，其中包含大型企业和组织，建议立即修复。

参考来源：

https://nosec.org/home/detail/4557.html

据挪威广播电视公司（NRK）9月1日消息，挪威议会大楼内的计算机遭到大规模网络攻击，受袭击的包括多名员工和政府官员的电子邮箱账户。NRK援引议会行政部门负责人安德列亚森的话称：“我们严肃对待这一情况，并且将仔细研究网络攻击的详情，以全面了解相关情况以及网络攻击可能带来的危害。”她表示，直接受网络攻击影响的人员已收到通知。此外，还采取了成功的回击措施。

参考来源：

https://tech.sina.com.cn/roll/2020-09-01/doc-iivhuipp1981833.shtml

下个月即将发布的Firefox 82将加入屏蔽偷渡式下载的功能。偷渡式下载是一种常见的攻击方法，当用户访问一个嵌入恶意代码的网站时，它会滥用浏览器的合法功能开始自动文件下载或提示下载诱骗用户运行恶意程序。偷渡式下载利用了名叫 sandboxed iframes 的功能，Chrome 从 2019 年发布的 Chrome 73 起开始屏蔽 sandboxed iframes 下载，今年 5 月发布的 Chrome 83 完成移除了这一选项。

参考来源：

https://www.solidot.org/story?sid=65449

至少自2018年以来，一个以金融科技领域为目标而闻名的对手已经改变了策略，加入了一个新的基于Python的远程访问木马（RAT），该木马可以窃取密码，文档，浏览器Cookie，电子邮件凭证和其他敏感信息。在Cybereason研究人员发表的分析中，Evilnum组不仅调整了其感染链，而且还部署了一个名为“ PyVil RAT”的Python RAT，它具有收集信息，截屏，捕获击键数据，打开SSH shell的功能。

参考来源：

https://thehackernews.com/2020/09/evilnum-hackers.html