Aggregator

HackerNews 编译，转载请注明出处： AMD 的安全加密虚拟化（SEV）功能中披露了一个安全漏洞，可能允许攻击者在特定条件下加载恶意 CPU 微代码。 该漏洞被追踪为 CVE-2024-56161，CVSS 评分为 7.2，表明其严重性较高。 AMD 在一份咨询报告中表示：“AMD CPU ROM 微代码补丁加载器中的签名验证不当，可能允许具有本地管理员权限的攻击者加载恶意 CPU 微代码，从而导致运行在 AMD SEV-SNP 下的机密客体的机密性和完整性受损。” SEV 是一项安全功能，使用每个虚拟机（VM）的唯一密钥来隔离虚拟机和 hypervisor。SNP（安全嵌套分页）结合了内存完整性保护，以创建一个隔离的执行环境，并防范基于 hypervisor 的攻击。 AMD 表示：“SEV-SNP 引入了几个额外的可选安全增强功能，旨在支持额外的 VM 使用模型，提供更强的中断行为保护，并增加对最近披露的侧信道攻击的防护。” 在另一份公告中，Google 指出 CVE-2024-56161 是由于微代码更新的签名验证中使用了不安全的哈希函数，这为攻击者可能破坏机密计算工作负载打开了大门。 该公司还发布了一个测试有效载荷来演示该漏洞，但额外的技术细节将在一个月后公布，以便有足够的时间让修复措施在“深层供应链”中得到推广。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

ExtractBitlockerKeys A system administration or post-exploitation script to automatically extract the bitlocker recovery keys from a domain. Features  Automatically gets the list of all computers from the domain controller’s LDAP.  Multithreaded connections to extract...

The post ExtractBitlockerKeys: automatically extract the bitlocker recovery keys from a domain appeared first on Penetration Testing Tools.

Sekiryu This Ghidra Toolkit is a comprehensive suite of tools designed to streamline and automate various tasks associated with running Ghidra in Headless mode. This toolkit provides a wide range of scripts that can...

The post Sekiryu: Comprehensive toolkit for Ghidra headless appeared first on Penetration Testing Tools.

Detection Replay Framework DeRF (Detection Replay Framework) is an “Attacks As A Service” framework, allowing the emulation of offensive techniques and generation of repeatable detection samples from a UI – without the need for...

The post Detection Replay Framework: Unleashing Attack Emulation for Security Validation appeared first on Penetration Testing Tools.

HackerNews 编译，转载请注明出处： 据Trend Micro安全研究员Peter Girnus称，7-Zip归档工具中的一个最近修补的安全漏洞（CVE-2025-0411，CVSS评分为7.0）被野外利用来传递SmokeLoader恶意软件。该漏洞允许远程攻击者绕过网络标记（MotW）保护，并以当前用户的身份执行任意代码。7-Zip在2024年11月发布的24.09版本中解决了这个问题。 “俄罗斯网络犯罪集团通过鱼叉式网络钓鱼活动积极利用该漏洞，使用同形异义攻击来伪造文档扩展名，欺骗用户和Windows操作系统执行恶意文件。”Girnus说。 据怀疑，CVE-2025-0411可能被武器化，用于针对乌克兰的政府和非政府组织，作为俄乌冲突背景下的网络间谍活动的一部分。 MotW是微软在Windows中实现的一项安全功能，旨在防止从互联网下载的文件在未通过Microsoft Defender SmartScreen进一步检查的情况下自动执行。 CVE-2025-0411通过使用7-Zip进行双重归档来绕过MotW，即创建一个归档文件，然后再创建一个该归档文件的归档文件，以隐藏恶意负载。 “CVE-2025-0411的根本原因是，在24.09版本之前，7-Zip没有正确地将MotW保护传播到双重封装的归档内容，”Girnus解释说。“这允许威胁行为者创建包含恶意脚本或可执行文件的归档文件，这些文件不会受到MotW保护，使Windows用户容易受到攻击。” 利用该漏洞的零日攻击最早在2024年9月25日被检测到，感染序列导致了SmokeLoader，这是一种多次用于针对乌克兰的加载器恶意软件。 起点是一封包含特制归档文件的网络钓鱼电子邮件，该文件使用同形异义攻击将内部ZIP归档文件伪装成Microsoft Word文档文件，从而触发漏洞。 据Trend Micro称，这些网络钓鱼邮件是从与乌克兰政府机构和商业账户相关的电子邮件地址发送的，目标是市政组织和企业，这表明这些账户之前已被攻陷。 “这些被攻陷的电子邮件账户为发送给目标的邮件增添了真实性，操纵潜在受害者信任内容及其发件人，”Girnus指出。 这种方法导致执行ZIP归档文件中的互联网快捷方式（.URL）文件，该文件指向攻击者控制的服务器，该服务器托管了另一个ZIP文件。新下载的ZIP文件包含伪装成PDF文档的SmokeLoader可执行文件。 至少有九个乌克兰政府实体和其他组织被评估为受到该活动的影响，包括司法部、基辅公共交通服务、基辅供水公司和市议会。 鉴于CVE-2025-0411正在被积极利用，建议用户更新到最新版本，实施电子邮件过滤功能以阻止网络钓鱼尝试，并禁用来自不受信任来源的文件执行。 “我们在此次活动中针对和受影响的组织中注意到一个有趣的收获是小型地方政府机构，”Girnus说。“这些组织通常面临巨大的网络压力，但往往被忽视，缺乏大型政府机构的网络安全意识和资源。这些较小的组织可以成为威胁行为者转向较大政府机构的有价值支点。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员指出，针对 Go 生态系统的软件供应链攻击中出现了一种恶意包，该包能够使攻击者远程访问受感染系统。 据 Socket 称，该包名为 github.com/boltdb-go/bolt，是对合法 BoltDB 数据库模块（github.com/boltdb/bolt）的拼写混淆。恶意版本（1.3.1）于 2021 年 11 月发布到 GitHub，随后被 Go 模块镜像服务无限期缓存。 安全研究人员基里尔・博伊琴科（Kirill Boychenko）在分析中表示：“一旦安装，该后门包将授予威胁行为者对受感染系统的远程访问权限，使其能够执行任意命令。” Socket 表示，这一事件标志着恶意行为者最早利用 Go 模块镜像对模块的无限期缓存来欺骗用户下载该包的案例之一。随后，攻击者修改了源代码仓库中的 Git 标签，将其重定向到良性版本。 这种欺骗手段确保了手动审核 GitHub 代码仓库时不会发现任何恶意内容，而缓存机制则意味着不知情的开发人员使用 go CLI 安装该包时，仍会下载后门版本。 博伊琴科说：“一旦模块版本被缓存，即使原始源代码后来被修改，它仍然可以通过 Go 模块代理访问。虽然这种设计对合法使用场景有益，但威胁行为者利用它在后续对代码仓库的修改后，仍能持续分发恶意代码。” “由于不可变模块既提供安全优势，也存在潜在的滥用途径，开发人员和安全团队应警惕利用缓存模块版本来逃避检测的攻击。” 与此同时，Cycode 详细披露了三个恶意 npm 包——serve-static-corell、openssl-node 和 next-refresh-token，这些包包含隐藏代码，用于收集系统元数据并在受感染主机上运行由远程服务器（“8.152.163[.]60”）发出的任意命令。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

蛇舞新春，福泽四方。 新的一年，愿您八方进财，鸿运当头。 祝财源广进，幸福安康！

蛇舞新春，福泽四方。 新的一年，愿您八方进财，鸿运当头。 祝财源广进，幸福安康！

蛇舞新春，福泽四方。 新的一年，愿您八方进财，鸿运当头。 祝财源广进，幸福安康！

A vulnerability, which was classified as critical, was found in Adobe Flash Player up to 29.0.0.171. Affected is an unknown function. The manipulation leads to memory corruption. This vulnerability is traded as CVE-2018-5002. It is possible to launch the attack remotely. Furthermore, there is an exploit available. It is recommended to upgrade the affected component.

A vulnerability classified as critical has been found in Adobe ColdFusion 2016 Update 6/2018/up to 11 Update 14. Affected is an unknown function. The manipulation leads to unrestricted upload. This vulnerability is traded as CVE-2018-15961. It is possible to launch the attack remotely. Furthermore, there is an exploit available. It is recommended to apply a patch to fix this issue.

A vulnerability, which was classified as critical, has been found in Microsoft Exchange Server 2010/2013/2016/2019. This issue affects some unknown processing. The manipulation leads to improper access controls. The identification of this vulnerability is CVE-2018-8581. The attack may be initiated remotely. Furthermore, there is an exploit available. It is recommended to apply a patch to fix this issue.

A vulnerability was found in Gigabyte App Center, Aorus Graphics Engine, Xtreme Gaming Engine and OC Guru II. It has been rated as critical. This issue affects some unknown processing of the component GDrv Low-Level Driver. The manipulation leads to improper access controls. The identification of this vulnerability is CVE-2018-19320. The attack needs to be approached locally. Furthermore, there is an exploit available.

A vulnerability classified as critical has been found in Gigabyte App Center, Aorus Graphics Engine, Xtreme Gaming Engine and OC Guru II. Affected is an unknown function of the component GPCIDrv/GDrv. The manipulation leads to improper access controls. This vulnerability is traded as CVE-2018-19321. An attack has to be approached locally. Furthermore, there is an exploit available.

A vulnerability classified as critical was found in Gigabyte App Center, Aorus Graphics Engine, Xtreme Gaming Engine and OC Guru II. Affected by this vulnerability is an unknown functionality of the component GPCIDrv/GDrv. The manipulation leads to exposed dangerous routine. This vulnerability is known as CVE-2018-19322. Local access is required to approach this attack. Furthermore, there is an exploit available.