Aggregator

Welcome to the first day of Pwn2Own Automotive 2025. We have 18 entries to go through today, and we will be updating the results here as we have them.

SUCCESS - The team from PCAutomotive used a stack-based buffer overflow to gain code execution on the Alpine IVI. They earn $20,000 and two Master of Pwn points.

SUCCESS - The team from Viettel Cyber Security used an OS command injection bug to exploit the Kenwood IVI for code execution. They win $20,000 and 2 Master of Pwn points.

SUCCESS - Cong Thanh (@ExLuck99) and Nam Dung (@greengrass19000) of ANHTUD used an integer overflow to gain code execution on the Sony XAV-AX8500. The earn themselves $20,000 and 2 Master of Pwn points.

SUCCESS/COLLISION - Sina Kheirkhah (@SinSinology) of Summoning Team (@SummoningTeam) used a 3 bug combo to exploit the Phoenix Contact CHARX SEC-3150, but one was publicly known. He still earns $41,750 and 4.25 Master of Pwn points.

SUCCESS/COLLISION - It took a while for us to confirm, but confirm we did! The team from Synacktiv used a stack-based buffer overflow plus a known bug in OCPP to exploit the ChargePoint with signal manipulation through the connector. They earn $47,500 and 4.75 Master of Pwn points.

SUCCESS - The PHP Hooligans used a heap-based buffer overflow to exploit the Autel charger. They earn $50,000 and 5 Master of Pwn points.

SUCCESS - The team from GMO Cybersecurity by Ierae, Inc. used a stack-based buffer overflow to to confirm their second round exploit of the Kenwood IVI. They earn $10,000 and 2 Master of Pwn points.

SUCCESS - The Viettel Cyber Security (@vcslab) team used a stack-based buffer overflow to exploit the Alpine IVI. This second round win earns the $10,000 and 2 Master of Pwn points.

SUCCESS - Sina Kheirkhah (@SinSinology) of Summoning Team (@SummoningTeam) proves he's never going to give us up or let us down by using a hard-coded cryptographic key bug in the Ubiquiti charger. He earns himself $50,000 and 5 Master of Pwn points - putting him in the early lead.

SUCCESS - It may have take 3 attempts, but it's confirmed! Thanh Do (@nyanctl) of Team Confused used a heap-based buffer overflow to exploit the Sony IVI. His round 2 win nets him $10,000 and 2 Master of Pwn points.

SUCCESS - After accessing an open port via power drill, Tobias Scharnowski (@ScepticCtf), Felix Buchmann (@diff_fusion), and Kristian Covic (@SeTcbPrivilege) of fuzzware.io leveraged a stack-based buffer overflow on the Autel MaxiCharger. Their second round win nets them $25,000 and 5 Master of Pwn points.

COLLISION - Well that's awkward. SK Shieldus (@EQSTLab) used a OS command injection bug, but it was one demonstrated in last year's contest. Alpine chose not to patch it since "in accordance with ISO21434...the vulnerability is classified as 'Sharing the Risk'." Yikes. The SK Shieldus team earns $5,000 and 1 Master of Pwn point. Check out ZDI-24-846 for details on the original bug report.

FAILURE - Unfortunately, Sina Kheirkhah (@SinSinology) could not get his exploit of the Sony IVI working within the time allotted. He still ends Day One of #Pwn2Own Automotive with $91,750 and 9.25 Master of Pwn points.

SUCCESS - The Synacktiv (@Synacktiv) team used an OS command injection bug to exploit the Kenwood DMX958XR and play a video of the original Doom game. Their second round win earns them $10,000 and 2 Master of Pwn points.

SUCCESS/COLLISION - Rob Blakely and Andres Campuzano of the Technical Debt Collectors used multiple bugs to exploit Automotive Grade Linux, but one of the bugs was previously known. They still earn $33,500 and 3.5 Master of Pwn points in the 1st PwnOwn attempt.

SUCCESS - In our first Pwn2Own After Dark submission, Tobias Scharnowski (@ScepticCtf), Felix Buchmann (@diff_fusion), and Kristian Covic (@SeTcbPrivilege) of fuzzware.io leveraged an origin validation error bug to exploit the Phoenix Contact CHARX SEC-3150. The round 2 win earns them $25,000 and 5 Master of Pwn points.

FAILURE - Unfortunately, Riccardo Mori of Quarkslab (@quarkslab) could not get his exploit of the Autel MaxiCharger AC Wallbox Commercial working within the time allotted.

COLLISION - Bongeun Koo (@kiddo_pwn) of STEALIEN also used the bug exploited in the Alpine last year. He earns $5,000 and 1 Master of Pwn point - plus lots of style points for the Nyan Cat display.

That wraps up Day 1 of #Pwn2Own Automotive 2025! In total, we awarded $382,750 for 16 unique 0-days. The team of Tobias Scharnowski (@ScepticCtf), Felix Buchmann (@diff_fusion), and Kristian Covic (@SeTcbPrivilege) of fuzzware.io is current in the lead for Master of Pwn, but Sina Kheirkhah (@SinSinology) is right on their heels. Stay tuned tomorrow for more results and surprises. #P2OAuto

Dustin Childs

辞暮尔尔，烟火年年 | 补天平台春节放假通知

不安全

10 months 4 weeks ago

岁岁皆欢愉年年皆胜意HAPPY NEW YEAR辞旧迎新 ● 蛇年贺岁放假通知1月25日（农历腊月二十六、周六）至2月6日（农历正月初九、周四）放假调休，共13天。2月7日（周五）上班。温馨提醒补天平

辞暮尔尔，烟火年年 | 补天平台春节放假通知

补天平台

10 months 4 weeks ago

脚下有风，眼里有光，心之所向，行之所往，过往皆为序章，将来皆为可盼。

7-Zip 修复绕过 Windows MoTW 安全警告的漏洞，应立即升级到24.09版

HackerNews

10 months 4 weeks ago

7-Zip 中存在一个高严重性漏洞，攻击者可以利用该漏洞绕过 Windows 安全功能 Mark of the Web (MotW)，并在从嵌套归档文件中提取恶意文件时在用户的计算机上执行代码。 7-Zip 于 2022 年 6 月从 22.00 版开始添加了对 MotW 的支持。从那时起，它会自动将 MotW 标志（特殊的“Zone.Id”备用数据流）添加到从下载的档案中提取的所有文件中。此标志通知操作系统、网络浏览器和其他应用程序，文件可能来自不受信任的来源，应谨慎处理。因此，当双击使用 7-Zip 提取的危险文件时，用户会收到警告，打开或运行此类文件可能会导致潜在的危险行为，包括在其设备上安装恶意软件。 Microsoft Office 还将检查 MotW 标志，如果找到，它将在受保护的视图中打开文档，这会自动启用只读模式并禁用所有宏。使用 MoTW 标志启动下载的可执行文件（BleepingComputer）然而，如趋势科技在周末发布的一份公告中所解释的那样，一个被追踪为CVE-2025-0411的安全漏洞可以让攻击者绕过这些安全警告并在目标电脑上执行恶意代码。 Trend Micro 表示：“此漏洞允许远程攻击者绕过受影响的 7-Zip 安装上的 Mark-of-the-Web 保护机制。利用此漏洞需要用户交互，即目标必须访问恶意页面或打开恶意文件。” “特定缺陷存在于存档文件的处理中。从带有网络标记的精心设计的存档中提取文件时，7-Zip 不会将网络标记传播到提取的文件中。攻击者可以利用此漏洞在当前用户的上下文中执行任意代码。” 7-Zip 已于2024 年 11 月 30 日发布 7-Zip 24.09修补了此漏洞。 “7-Zip 文件管理器没有传播从嵌套档案中提取的文件的 Zone.Identifier 流（如果另一个打开的档案内有一个打开的档案）。”Pavlov 说。利用类似漏洞可部署恶意软件由于 7-Zip 没有自动更新功能，许多用户可能仍在运行易受攻击的版本，攻击者可以利用7ZIP的旧版本感染恶意软件。所有 7-Zip 用户应尽快修补其安装，因为此类漏洞经常被恶意软件攻击所利用。例如，6 月份，微软解决了 Mark of the Web 安全绕过漏洞 (CVE-2024-38213)， DarkGate 恶意软件运营商自 2024 年 3 月以来一直在利用该漏洞作为0day武器来绕过 SmartScreen 保护并安装伪装成 Apple iTunes、NVIDIA、Notion 和其他合法软件安装程序的恶意软件。以经济利益为目的的 Water Hydra（又名 DarkCasino）黑客组织还利用另一个 MotW 绕过（CVE-2024-21412），使用DarkMe 远程访问木马 (RAT)针对股票交易 Telegram 频道和外汇交易论坛发起攻击。转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/UC2bhaDJEdyNE0MsWN5EjQ 封面来源于网络，如有侵权请联系删除

内容转载

7-Zip 修复绕过 Windows MoTW 安全警告的漏洞，应立即升级到24.09版

不安全

10 months 4 weeks ago

error code: 521

微软终于要改账户登录：自2月份起除非用户退出否则微软账户将保持登录状态

不安全

10 months 4 weeks ago

#科技资讯微软终于要改账户登录系统：自 2 月份起除非你主动点击退出否则微软账户将始终保持登录状态。目前你每次登录都勾选记住登录效果不大，很快又要重新登录，针对用户的抱怨微软终于要改

2024年度网络安全政策法规一览

不安全

10 months 4 weeks ago

数据要素市场建设与安全治理1月4日，国家数据局等17部门联合发布《“数据要素×”三年行动计划（2024—2026年）》，选取工业制造、金融服务、科技创新等12个行业和领域，推动发挥数据要素乘数效应。从

乌克兰计算机应急响应小组警告：假冒 AnyDesk 请求的网络诈骗

HackerNews

10 months 4 weeks ago

HackerNews 编译，转载请注明出处： 2025年1月21日，Ravie Lakshmanan报道了一起针对乌克兰的网络诈骗活动。未知的威胁行为者通过发送AnyDesk连接请求，伪装成网络安全机构，试图进行诈骗。乌克兰计算机应急响应小组（CERT-UA）警告称，这些AnyDesk连接请求声称是为了进行“安全水平”评估的审计。CERT-UA提醒各组织警惕此类社会工程学攻击，这些攻击试图利用用户的信任。 CERT-UA指出：“在某些情况下，我们可能会使用AnyDesk等远程访问软件。”然而，此类行动仅在与网络安全防御对象的所有者通过官方批准的通信渠道事先达成一致后才会进行。要使这种攻击成功，目标计算机上必须安装并运行AnyDesk远程访问软件，同时攻击者需要获取目标的AnyDesk标识符。这表明攻击者可能需要通过其他方式首先获取该标识符。为了降低这些攻击带来的风险，远程访问程序应仅在使用期间启用，并通过官方通信渠道进行协调。与此同时，乌克兰国家特种通信和信息保护局（SSSCIP）透露，其网络安全事件响应中心在2024年共检测到1,042起事件，其中恶意代码和入侵尝试占所有事件的75%以上。 SSSCIP表示：“2024年，最活跃的网络威胁团伙是UAC-0010、UAC-0050和UAC-0006，它们分别擅长网络间谍活动、金融盗窃和信息心理战。”其中，UAC-0010（也被称为Aqua Blizzard和Gamaredon）被认为与277起事件有关；UAC-0050和UAC-0006分别与99起和174起事件有关。此外，研究人员还发现了24个此前未被报告的“.shop”顶级域名，这些域名可能与亲俄黑客组织GhostWriter（也称为TA445、UAC-0057和UNC1151）有关。这些域名通过连接针对乌克兰的不同活动被发现。安全研究人员Will Thomas（@BushidoToken）的分析显示，这些活动中使用的域名均采用了相同的通用顶级域名（gTLD）、PublicDomainsRegistry注册商和Cloudflare域名服务器。所有被识别的服务器还配置了robots.txt目录。随着俄乌战争即将进入第三年，针对俄罗斯的网络攻击也在增加，其目的是窃取敏感数据，并通过部署勒索软件来扰乱商业运营。上周，网络安全公司F.A.C.C.T.将Sticky Werewolf组织与针对俄罗斯科研和生产企业的鱼叉式网络钓鱼活动联系起来。该活动旨在传播一种名为Ozone的远程访问木马，该木马能够为攻击者提供对受感染Windows系统的远程访问权限。F.A.C.C.T.还将Sticky Werewolf描述为一个亲乌克兰的网络间谍组织，主要针对俄罗斯的国家机构、科研院所和工业企业。然而，以色列网络安全公司Morphisec此前的分析指出，这种联系“仍不确定”。目前尚不清楚这些攻击的成功率如何。在最近几个月中，其他被观察到针对俄罗斯实体的威胁活动团伙还包括Core Werewolf、Venture Wolf和Paper Werewolf（也称为GOFFEE）。其中，Paper Werewolf利用了一个名为Owowa的恶意IIS模块，以协助窃取凭据。消息来源：The Hacker News；本文由 HackerNews.cc 翻译整理，封面来源于网络；转载请注明“转自 HackerNews.cc”并附上原文

hackernews

乌克兰计算机应急响应小组警告：假冒 AnyDesk 请求的网络诈骗

不安全

10 months 4 weeks ago

error code: 521

Check Point 公司发布《2025 年安全报告》显示，随着网络威胁生态系统日渐成熟，网络攻击次数骤增 44%

嘶吼

10 months 4 weeks ago

2025年1月 – 网络安全解决方案先驱者和全球领导者 Check Point 软件技术有限公司（纳斯达克股票代码：CHKP）今日发布了其年度报告《2025 年全球网络安全现状》，揭示全球网络攻击次数同比骤增 44%。该报告不仅揭示了新的网络趋势和新型攻击手段，而且还为首席信息安全官提供了如何应对这一持续变化形势的实用指南。

Check Point 软件技术公司研究副总裁 Maya Horowitz 表示：“2025 年的网络安全防护不仅仅要保护网络，还要维护用户对我们的系统和企业的信任。《2025 年全球网络安全现状》报告揭示了威胁的快速演变，并强调了在面对持续存在的复杂攻击时确保弹性的必要性。”

2024 年，生成式人工智能 (GenAI) 在网络攻击中的作用日益凸显。攻击者使用 GenAI 来加速网络攻击、窃取钱财和左右公众舆论，从散布虚假信息到制作深度伪造视频，无恶不作。与此同时，信息窃取程序攻击激增 58%，这表明网络生态系统日渐成熟。此外，随着攻击者越来越多地通过自带设备 (BYOD) 环境入侵企业资源，个人设备在受感染设备中占比超过 70%。

2025 年报告的主要调查结果包括：

● 勒索软件不断演变：数据泄露和勒索超过基于加密的攻击成为了主要的勒索软件攻击方式，此类攻击不仅易于实施，还最大限度地提高了非法所得。医疗行业成为了第二大攻击目标，所遇攻击次数同比增长 47%。

● 边缘设备屡遭利用：受感染的路由器、VPN 及其他边缘设备是攻击者的关键切入点。超过 200,000 台设备已被 Raptor Train 等超大型攻击者运营的高级僵尸网络控制。

● 已发现的漏洞被视而不见：2024 年，96% 的漏洞利用攻击利用了去年披露的漏洞，这凸显了主动管理补丁的重要性。

● 目标行业：教育行业连续第五年成为了首要攻击目标，所遇攻击次数同比增长 75%。

给首席信息安全官的建议：

1. 增强自带设备安全防护：实施严格策略并部署端点保护，以降低访问企业资源的个人设备带来的安全风险。

2. 投资威胁情报：利用 AI 工具来监控并防范虚假信息攻击和新兴威胁。

3. 加强补丁管理：主动解决已知漏洞，以降低遭受大范围漏洞利用攻击的可能性。

4. 确保边缘设备安全：针对路由器、VPN 及物联网设备实施强有力的安全防护措施，防止其成为攻击的“中转站”。

5. 提升应变能力：制定全面的事件响应计划并实施持续监控，以随时应对持续的威胁。

Check Point