Aggregator

北京丈八网络安全科技有限公司宣布正式完成人民币5000万元的B轮融资。

A vulnerability was found in Microsoft Windows. It has been rated as critical. Affected by this issue is some unknown functionality of the component JET Database Engine. The manipulation leads to memory corruption. This vulnerability is handled as CVE-2017-8717. The attack may be launched remotely. There is no exploit available. It is recommended to apply a patch to fix this issue.

Viessmann Climate Solutions SEが提供するVitogate 300には、複数の脆弱性が存在します。

iniNet Solutions GmbHが提供するSpiderControl SCADA Web Serverには、アップロードファイルの検証不備の脆弱性が存在します。

A vulnerability, which was classified as critical, has been found in Enigma Haber. Affected by this issue is some unknown functionality of the file admin/kategori_d.asp. The manipulation of the argument \kid\ leads to sql injection. This vulnerability is handled as CVE-2006-2731. The attack may be launched remotely. Furthermore, there is an exploit available.

微软周二对 Windows Update 中一个严重漏洞的利用发出警报，警告攻击者正在回滚其操作系统某些版本的安全修复程序。 该 Windows 漏洞被标记为CVE-2024-43491，且已被积极利用，其等级为严重，CVSS 严重性评分为 9.8/10。 微软没有提供任何有关公开利用的信息，也没有发布 IOC（入侵指标）或其他数据来帮助防御者寻找感染迹象。该公司表示，该问题是匿名报告的。 根据微软关于该漏洞的文档，表明这是一种系统降级回滚攻击，类似于今年黑帽大会上讨论的 “Windows Downdate”问题。 微软安全公告称： 微软已经意识到服务堆栈中存在一个漏洞，该漏洞可撤销 Windows 10 版本 1507（初始版本于 2015 年 7 月发布）可选组件的一些漏洞的修复。 这个漏洞会导致可选组件（例如 Active Directory 轻量级目录服务、XPS 查看器、Internet Explorer 11、LPD 打印服务、IIS 和 Windows Media Player）回滚到其原始 RTM 版本。 这会导致任何先前已修复的 CVE 被重新引入，然后可被利用。 微软 2024 年 9 月补丁日，提供了包含 79 个漏洞的安全更新，其中包括4个被主动利用的漏洞和一个公开披露的0day漏洞。 本次补丁日修复了7个严重级别漏洞，这些漏洞要么是远程代码执行，要么是权限提升漏洞。 按漏洞性质分类如下： 30 个特权提升漏洞 4 个安全功能绕过漏洞 23 个远程代码执行漏洞 11 个信息泄露漏洞 8 个拒绝服务漏洞 3 个欺骗漏洞 今天的更新中被积极利用的四个0day漏洞是： 1.CVE-2024-38014 – Windows Installer 特权提升漏洞 该漏洞允许攻击者获取 Windows 系统的 SYSTEM 权限。微软尚未透露该漏洞如何遭到攻击的详细信息。该漏洞是由 SEC Consult Vulnerability Lab 的 Michael Baer 发现的。 2. CVE-2024-38217 – Windows Mark of the Web 安全功能绕过漏洞 Elastic Security 的 Joe Desimone上个月公开披露了这一漏洞，据信自 2018 年以来就一直被积极利用。 在报告中，Desimone 概述了一种名为 LNK stomping 的技术，该技术允许使用非标准目标路径或内部结构特制的 LNK 文件打开该文件，同时绕过智能应用程序控制和 Web 标记安全警告。 微软的建议解释说：“攻击者可以制作一个恶意文件来逃避 Web 标记 (MOTW) 防御，从而导致安全功能（如 SmartScreen 应用程序信誉安全检查和/或旧版 Windows 附件服务安全提示）的完整性和可用性受到一定程度的损失。” 一旦被利用，它就会导致 LNK 文件中的命令在没有警告的情况下被执行。 3. CVE-2024-38226 – Microsoft Publisher 安全功能绕过漏洞 Microsoft Publisher 的一个漏洞，该漏洞可以绕过针对下载文档中嵌入宏的安全保护。 微软的建议解释道：“成功利用此漏洞的攻击者可以绕过用于阻止不受信任或恶意文件的 Office 宏策略。” 微软尚未透露是谁披露了该漏洞以及它是如何被利用的。 4. CVE-2024-43491 – Microsoft Windows 更新远程代码执行漏洞 微软修复了一个允许远程代码执行的服务堆栈缺陷。 微软在公告中解释道：“微软已经意识到服务堆栈中存在一个漏洞，并且已经撤销了对影响 Windows 10 版本 1507（初始版本于 2015 年 7 月发布）可选组件的一些漏洞的修复。” 微软尚未透露是谁披露了该漏洞以及它是如何被利用的。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/np5hNqHweHgj2A8yR60WKQ 封面来源于网络，如有侵权请联系删除

专属SRC放大招，荣誉证书+万元奖金，速来查看活动规则！

9.11-9.28奖金翻倍！速来挑战

RansomHub 勒索软件团伙使用卡巴斯基的合法工具 TDSSKiller 来禁用目标系统上的端点检测和响应 (EDR) 服务。 在突破防御后，RansomHub 部署 LaZagne 凭证收集工具，从各种应用程序数据库中提取登录信息，以帮助在网络上横向移动。 TDSSKiller 在勒索软件攻击中被滥用 卡巴斯基创建了 TDSSKiller 工具，可以扫描系统以查找 rootkit 和 bootkit，这两种恶意软件特别难以检测，并且可以逃避标准安全工具的检测。 EDR 代理是更先进的解决方案，至少部分在内核级别运行，因为它们需要监视和控制低级系统活动，例如文件访问、进程创建和网络连接，所有这些活动都提供针对勒索软件等威胁的实时保护。 网络安全公司 Malwarebytes报告称，他们最近观察到 RansomHub 滥用 TDSSKiller 与内核级服务进行交互，使用命令行脚本或批处理文件禁用了机器上运行的 Malwarebytes Anti-Malware 服务 (MBAMService)。 TDSSKiller 支持的命令参数,来源：Malwarebytes 该合法工具在侦察和权限提升阶段之后被使用，并从临时目录（“C:\Users\<User>\AppData\Local\Temp\”）使用动态生成的文件名（“{89BCFDFB-BBAF-4631-9E8C-P98AB539AC}.exe”）执行。 作为一个使用有效证书签名的合法工具，TDSSKiller 不会面临 RansomHub 攻击被安全解决方案标记或阻止的风险。 接下来，RansomHub 使用 LaZagne 工具尝试提取使用 LaZagne 存储在数据库中的凭据。在 Malwarebytes 调查的攻击中，该工具生成了 60 个文件写入，这些文件可能是被盗凭据的日志。 删除文件的操作可能是攻击者试图掩盖其在系统上的活动的结果。 防御TDSSKiller 检测 LaZagne 很简单，因为大多数安全工具都会将其标记为恶意程序。但是，如果使用 TDSSKiller 解除安全软件的防御，恶意软件活动就会变得不可见。 TDSSKiller 处于灰色地带，因为包括 Malwarebytes 的 ThreatDown 在内的一些安全工具将其标记为“RiskWare”，这对用户来说也可能是一个危险信号。 该安全公司建议激活 EDR 解决方案上的防篡改功能，以确保攻击者无法使用 TDSSKiller 等工具禁用它们。 此外，监控“-dcsvc”标志、禁用或删除服务的参数以及 TDSSKiller 本身的执行可以帮助检测和阻止恶意活动。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/juPkvgl-BfJ6rEdGIfmPcw 封面来源于网络，如有侵权请联系删除

一种被称为PIXHELL 的新型侧信道攻击可被滥用，通过突破“audio gap”来攻击隔离网内的计算机，并利用屏幕像素产生的噪音窃取敏感信息。 以色列古里安大学软件与信息系统工程系攻击性网络研究实验室负责人Mordechai Guri 博士在新发表的论文中表示：“隔离和音频隔离计算机中的恶意软件会生成精心设计的像素模式，从而产生频率范围为 0 – 22 kHz 的噪音。” “恶意代码利用线圈和电容器产生的声音来控制屏幕发出的频率，声音信号可以编码和传输敏感信息。” 这次攻击引人注目之处在于它不需要受感染计算机上的任何专门的音频硬件、扬声器或内置扬声器，而是依靠 LCD 屏幕来产生声音信号。 物理隔离是一项重要的安全措施，旨在通过物理方式将关键任务环境与外部网络（即互联网）隔离，保护关键任务环境免受潜在的安全威胁。这通常通过断开网线、禁用无线接口和禁用 USB 连接来实现。 尽管如此，这种防御措施可能会被内部人员或硬件或软件供应链的破坏所绕过。另一种情况可能是，一名毫无戒心的员工插入受感染的 USB 驱动器，以部署能够触发隐蔽数据泄露通道的恶意软件。 Guri 博士说：“网络钓鱼、恶意内部人员或其他社会工程技术可能会被用来诱骗有权访问隔离系统的个人采取危害安全的行为，例如点击恶意链接或下载受感染的文件。” “攻击者还可能利用软件供应链攻击，针对软件应用程序依赖项或第三方库。通过破坏这些依赖项，他们可以引入在开发和测试期间可能不被注意的漏洞或恶意代码。” 与最近演示的RAMBO 攻击一样，PIXHELL 利用部署在受感染主机上的恶意软件创建声学通道，以泄露隔离网络系统中的信息。 这是因为液晶屏的内部元件和电源中含有电感器和电容器，当电流通过线圈时，它们会以可听见的频率振动，从而产生高音调的噪声，这种现象称为线圈呜呜声。 具体而言，功耗变化会引起电容器的机械振动或压电效应，从而产生可听见的噪声。影响功耗模式的一个关键方面是点亮的像素数量及其在屏幕上的分布，因为白色像素比暗像素需要更多的电量来显示。 “此外，当交流电 (AC) 经过屏幕电容器时，它们会以特定频率振动。”Guri 博士说。“声波是由 LCD 屏幕的内部电气部分产生的。其特性受屏幕上投影的实际位图、图案和像素强度的影响。” “通过精心控制屏幕上显示的像素图案，我们的技术可以从液晶屏产生特定频率的特定声波。” 因此，攻击者可以利用该技术以声音信号的形式窃取数据，然后对其进行调制并传输到附近的 Windows 或 Android 设备，随后这些设备可以解调数据包并提取信息。 值得注意的是，发出的声信号的功率和质量取决于具体的屏幕结构、其内部电源、线圈和电容器位置等因素。 另一件需要强调的重要事情是，PIXHELL 攻击默认对于查看 LCD 屏幕的用户是可见的，因为它涉及显示由交替的黑白行组成的位图图案。 “为了保持隐蔽性，攻击者可能会使用在用户不在场时进行传输的策略。”Guri 博士说。“例如，在非工作时间对隐蔽通道进行所谓的‘夜间攻击’，以降低被发现和暴露的风险。” 然而，通过在传输之前将像素颜色降低到非常低的值（即使用 RGB 级别 (1,1,1)、(3,3,3)、(7,7,7) 和 (15,15,15)），可以将这种攻击转变为工作时间内的隐秘攻击，从而给用户留下屏幕是黑色的印象。 但这样做的副作用是“显著”降低声音产生水平。而且这种方法也并非万无一失，因为如果用户“仔细”看屏幕，他们仍然可以发现异常模式。 这并不是第一次在实验装置中突破音频间隙限制。Guri博士之前进行的研究曾利用计算机风扇 (Fansmitter)、硬盘驱动器 (Disklysis)、CD/DVD 驱动器 (CD-LEAK)、电源装置 (POWER-SUPPLaY) 和喷墨打印机 (Inklysis) 产生的声音。 作为对策，建议使用声学干扰器来中和传输，监控音频频谱中是否存在异常或不常见的信号，限制授权人员的物理访问，禁止使用智能手机，并使用外部摄像头检测异常的调制屏幕图案。 论文访问链接：https://arxiv.org/abs/2409.04930   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/RkVW26gzTo2eYEk-EeKeEg 封面来源于网络，如有侵权请联系删除

A vulnerability, which was classified as problematic, has been found in PMECMS. Affected by this issue is some unknown functionality of the file mod/special/index.php. The manipulation of the argument pathMod leads to Local Privilege Escalation. This vulnerability is handled as CVE-2007-2540. Local access is required to approach this attack. Furthermore, there is an exploit available.

A vulnerability classified as critical has been found in Linux Kernel 2.2.0/2.2.10. Affected is an unknown function of the component IPChains. The manipulation of the argument offset with the input 0 as part of Fragment Overlap leads to improper privilege management. This vulnerability is traded as CVE-1999-1018. It is possible to launch the attack remotely. Furthermore, there is an exploit available. This vulnerability has a historic impact due to its background and reception. It is recommended to upgrade the affected component.

【补丁日速递】2024年8月微软补丁日安全风险通告

New Tool Uses 40 Indicators to Provide In-Depth Diagnostic Analysis, Officials Say
Commerce Secretary Gina Raimondo unveiled a new data tool Tuesday called Scale. It assesses a wide range of factors affecting supply chains to provide a detailed analysis of potential risks and challenges, from labor shortages to climate challenges and geopolitical tensions.

Agencies Sign Agreement to Boost Cooperation, Share Cyberthreat Information
The British data protection authority and national law enforcement agency signed onto a cyber risk information-swapping agreement. The National Crime Agency and the Information Commissioner's Office will share cyberthreat assessments and information about incidents.

RAM-Based Radio Signal Attack Allows Attackers to Exfiltrate Data
A novel side-channel attack exploits radio signals emitted by random access memory in air-gapped computers, presenting a new threat to highly secure networks. One of the most effective ways to mitigate the risk is to cover sensitive machines with Faraday shielding.

Polish Deputy Prime Minister Says Russia Is Waging 'De Facto Cyberwar'
The Polish government said Monday it faces an onslaught of cyberattacks from Russian and Belarusian security agencies intent on cyberespionage and blackmail. Poland is in the midst of a "de facto cyberwar," said Deputy Prime Minister Krzysztof Gawkowski.

【补丁日速递】2024年8月微软补丁日安全风险通告