每日头条
1、研发团队修复JavaScript沙箱vm2的漏洞CVE-2022-36067
据10月11日报道, JavaScript沙箱vm2存在一个严重的远程代码执行漏洞。vm2是一个流行的Node库,用于运行带有被列入白名单的内置模块的不受信代码,每周下载量接近350万次。该漏洞追踪为CVE-2022-36067,代号为Sandbreak,CVSS评分为10,可被远程攻击者用来逃逸沙箱并在主机系统上执行任意命令。目前,漏洞已在2022年8月28日发布的版本3.9.11中得到解决。
https://www.bleepingcomputer.com/news/security/critical-vm2-flaw-lets-attackers-run-code-outside-the-sandbox/
2、Lockbit团伙利用Exchange中的漏洞来安装恶意软件
媒体10月12日称,Lockbit团伙近期正在通过被感染的Microsoft Exchange服务器分发恶意软件。AhnLab透露,他某客户的两台服务器在7月份感染了LockBit 3.0。攻击者最初在被感染的Exchange服务器上安装了Web Shell,然后只用了7天就将权限提升到Active Directory管理员,并在窃取了约1.3 TB的数据后加密了设备。研究人员表示,攻击者可能利用了Exchange中的未公开的0 day。目前,微软正在调查此事件。
https://securityaffairs.co/wordpress/136968/cyber-crime/microsoft-exchange-lockbit-ransomware.html
3、Adobe 10月份周二补丁修复多个产品中的29个漏洞
10月11日,Adobe发布了本月的周二补丁,修复了多个产品中的29个漏洞。此次修复的最为严重的恶漏洞为Adobe Commerce和Magento中的存储型XSS漏洞(CVE-2022-35698),CVSS评分为10。其次是Adobe Cold Fusion中的基于堆栈的缓冲区溢出漏洞(CVE-2022-35710和CVE-2022-35690)和基于堆的缓冲区溢出漏洞(CVE-2022-35711和CVE-2022-35712),它们的CVSS评分均为9.8。此外,还修复了Adobe Acrobat和Reader以及Adobe Dimension中的多个漏洞。
https://www.securityweek.com/patch-tuesday-critical-flaws-coldfusion-adobe-commerce
4、Fortinet发现利用乌克兰军事主题Excel的攻击活动
Fortinet在10月11日称,在近期观察到越来越多利用俄乌冲突主题的攻击活动。研究人员发现了一个带有恶意宏的Excel文档,它伪装成一个用于计算乌克兰军事人员薪水的电子表格工具。攻击使用的VBA代码采用了简单的混淆技术,包括不可读的函数和变量名来干扰静态分析。此外,重要数据被编码为十六进制字符串,包括嵌入的恶意二进制文件。攻击还使用了多阶段加载程序,并最终安装Cobalt Strike Beacon。
https://www.fortinet.com/blog/threat-research/ukrainian-excel-file-delivers-multi-stage-cobalt-strike-loader
5、ThreatFabric披露针对意大利金融机构的TOAD攻击活动
ThreatFabric在10月12日的最新研究显示,将Vishing与Android银行恶意软件相结合的面向电话的攻击传递(TOAD)攻击在针对意大利金融机构。近期,研究人员发现了一个针对意大利网上银行用户的钓鱼网站,旨在窃取他们的银行凭证。研究人员分析称这些基于TOAD的活动已经持续了近一年,它会安装一个移动木马Copybara,其主要用于通过对意大利用户的覆盖攻击来执行设备上的欺诈活动。此外,攻击者使用的基础设施还可以分发恶意软件SMS Spy。
https://www.threatfabric.com/blogs/toad-fraud.html
6、ESET发布POLONIUM针对以色列的攻击活动的分析报告
10月11日,ESET发布了关于ESET发布POLONIUM针对以色列的攻击活动的分析报告。自2021年9月以来,POLONIUM已攻击十几个以色列的组织。最新的活动在2022年9月被发现,主要针对工程、信息技术、法律、通信、品牌和营销、媒体、保险和社会服务行业。POLONIUM的工具集由7个自定义后门组成,截至目前它们仍处于活动状态。该团伙还开发了用于截屏、键盘记录、通过网络摄像头进行间谍活动、打开逆向shell和窃取文件等自定义工具。C&C通信方面,POLONIUM利用了Dropbox、OneDrive和Mega等常见的云服务。
https://www.welivesecurity.com/2022/10/11/polonium-targets-israel-creepy-malware/
安全工具
EvilnoVNC
通过noVNC连接使用真正的浏览器实现2FA绕过。
https://github.com/JoelGMSec/EvilnoVNC
slicer
自动化APK文件侦察过程的工具。
https://github.com/mzfr/slicer
安全分析
所有Windows版本都可以阻止暴力攻击
https://www.bleepingcomputer.com/news/microsoft/all-windows-versions-can-now-block-admin-brute-force-attacks/
去年披露的VMware vCenter Server漏洞仍未修复
https://www.bleepingcomputer.com/news/security/vmware-vcenter-server-bug-disclosed-last-year-still-not-patched/
俄罗斯将Meta标记为极端主义组织
https://www.bleepingcomputer.com/news/technology/russia-labels-meta-an-extremist-org-sends-legal-threats-to-users/
Qakbot作为ISO文件而不是Excel宏分发
https://asec.ahnlab.com/en/39537/
CISA发布三项工业控制系统公告
https://www.cisa.gov/uscert/ncas/current-activity/2022/10/07/cisa-releases-three-industrial-control-systems-advisories
Lazarus Group使用DLL侧载技术(mi.dll)
https://asec.ahnlab.com/en/39828/
西门子不排除未来利用全球私钥进行PLC黑客攻击的可能性
https://www.securityweek.com/siemens-not-ruling-out-future-attacks-exploiting-global-private-keys-plc-hacking
Windows 11 22H2更新后使用Windows Hello可能出现问题
https://www.bleepingcomputer.com/news/microsoft/windows-11-22h2-blocked-due-to-windows-hello-issues-on-some-systems/
推荐阅读:
原文始发于微信公众号(维他命安全):研发团队修复JavaScript沙箱vm2漏洞CVE-2022-36067;Lockbit利用Exchange中漏洞安装恶意软件
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论