Aggregator

Sharp4Waitfor：通过系统默认的waitfor.exe实现内网权限维持

javay原生类反序列化链子实例化rce的失败尝试

A vulnerability was found in ZZCMS up to 2023. It has been rated as problematic. Affected by this issue is some unknown functionality of the file /admin/msg.php. The manipulation of the argument keyword leads to cross site scripting. This vulnerability is handled as CVE-2024-11130. The attack may be launched remotely. Furthermore, there is an exploit available.

Новый способ отследить путь человека с удивительной точностью.

Submit #439699 / VDB-283976

Злоумышленники используют государственные новости для выманивания данных.

当前，垃圾邮件和网络欺诈已成为邮箱用户面临的主要安全挑战之一。这些邮件不仅浪费用户时间和网络资源，还可能包含欺 […]

赛迪研究院、中国评测和FreeBuf咨询共同发布《2024年中国数据安全企业全景图》及典型数据安全产品案例集。

赛迪研究院、中国评测和FreeBuf咨询共同发布《2024年中国数据安全企业全景图》及典型数据安全产品案例集。

本文将介绍 CodeQL 的基本概念，结合官方教程学习基础的使用方法，并以 Python 为例演示 CodeQL 在具体编程语言方面的应用。

Fortinet FortiGuard 实验室的网络安全研究人员发现了一个危险的网络钓鱼活动，该活动散布了一个新的 Remcos RAT（远程访问木马）变种。这种功能强大的恶意软件在网上贩卖，以微软Windows用户为目标，让威胁分子远程控制受感染的电脑。 根据 Fortinet 与 Hackread.com 分享的调查结果，这一活动是通过伪装成订单通知（OLE Excel 文档）的欺骗性钓鱼电子邮件发起的。打开附件中的恶意 Excel 文档后，CVE-2017-0199 漏洞就会被利用，下载并执行 HTML 应用程序 (HTA) 文件。 CVE-2017-0199是一个远程代码执行漏洞，它利用Microsoft Office和WordPad对特制文件的解析，允许MS Excel程序显示内容。 该 HTA 文件经过多层混淆处理，其代码以不同脚本（包括 JavaScript、VBScript、Base64 编码、URL 编码和 PowerShell）编写，可提供主要有效载荷。 然后，它下载恶意可执行文件（dllhost.exe），并通过 32 位 PowerShell 进程执行，以提取和部署 Remcos RAT。恶意软件会修改系统注册表，使其在系统启动时自动启动，以确保持久性。 Remcos 会连接到 C&C 服务器，发送包含受感染系统的系统、用户、网络和版本信息的注册数据包，并接收用于信息收集、文件操作、远程执行、键盘记录、屏幕录制和网络摄像头捕获的命令。 这个新变种采用了多种持久性机制，包括先进的反分析技术，如 Vectored Exception Handling。它创建了一个自定义异常处理程序，用于拦截/处理执行异常，防止单步等调试技术。 由于不直接存储 API 名称，Remcos 使用哈希值来识别 API，通过匹配哈希值从进程环境块（PEB）中提取地址，这使得静态分析更具挑战性，因为工具无法轻松识别被调用的函数。 它还通过检查调试寄存器（DR0 至 DR7）、监控调试器常用的 API 调用以及使用 ZwSetInformationThread() API 隐藏当前线程，从而检测调试器的存在。此外，它还使用 ZwQueryInformationProcess() API 来检测进程是否连接了调试器，并采取规避措施。 进程空洞化是它用来逃避检测的另一种技术。研究人员发现，该恶意软件会暂停一个新创建的合法进程（Vaccinerende.exe），将其代码注入内存，然后再恢复该进程，使其成为一种持久性威胁。 研究人员在报告中指出：“恶意代码在系统注册表中添加了一个新的自动运行项，以保持持久性，并在重新启动时保持对受害者设备的控制。” 为了保护自己，请避免点击电子邮件中的链接或附件，除非它们是合法的；使用安全软件和杀毒软件；不断用最新补丁更新软件；在打开文档之前，考虑使用内容解除和重构（CDR）服务来删除文档中嵌入的恶意对象。       转自安全客，原文链接：https://www.anquanke.com/post/id/301717 封面来源于网络，如有侵权请联系删除

Dell Technologies has disclosed multiple critical security vulnerabilities in its Enterprise SONiC OS, which could allow attackers to gain control of affected systems. These vulnerabilities, identified through the Common Vulnerabilities and Exposures (CVE) system, are critical and affect Dell Enterprise SONiC OS versions 4.1.x and 4.2.x. Dell urges users to upgrade their systems immediately to […]

The post Dell Enterprise SONiC Flaw Let Attackers Hijack the System appeared first on GBHackers Security | #1 Globally Trusted Cyber Security News Platform.

The post Dell Enterprise SONiC Flaw Let Attackers Hijack the System appeared first on GBHackers Security | #1 Globally Trusted Cyber Security News Platform.

2020 年 49 岁的 Beata Halassy 在之前切除乳房的地方发现了乳腺癌。这是她左乳房切除后的第二次复发，她无法再接受化疗了。Halassy 是克罗地亚萨格勒布大学的病毒学家，她研究了文献，决定用一种未经证实的治疗方法来解决这个问题。8 月发表在《Vaccines》杂志上的一份病例报告概述了 Halassy 是如何自我实施一种名为溶瘤病毒疗法（OVT）的治疗来帮助治疗她自己的 3 期癌症的。她现在已经摆脱癌症四年了。在选择自我实验时，Halassy 加入了一长串科学家的行列，他们参与了这种不为人知的、被污名化的、充满伦理问题的实践。OVT 是一个新兴的癌症治疗领域，它使用病毒来攻击癌细胞，并激发免疫系统来对抗它们。Halassy 强调，她不是 OVT 方面的专家，但她在实验室培养和纯化病毒的专业知识给了她尝试这种治疗的信心。她选择连续使用两种不同的病毒——一种是麻疹病毒，另一种是水疱性口炎病毒（VSV）。在两个月的时间里，她的一位同事将 Halassy 新制备的研究级材料直接注射到她的肿瘤中，进行了一系列治疗。这种方法似乎是有效的：在治疗过程中，没有严重的副作用，肿瘤大幅缩小，变得更软。它还从侵入的胸肌和皮肤上分离，使手术切除变得容易。

亚信安全与亚信科技联合宣布，亚信安全正式完成对亚信科技的控股权收购

CISA 对主动利用 Palo Alto Networks 重大漏洞发出警告

戴尔发布了企业SONIC操作系统的安全更新，以解决多个漏洞，其中包括可能允许攻击者入侵受影响系统的关键漏洞。 这些漏洞被识别为 CVE-2024-45763、CVE-2024-45764 和 CVE-2024-45765，影响戴尔企业 SONIC 操作系统 4.1.x 和 4.2.x。 CVE-2024-45763： 受影响的 SONiC 版本中存在操作系统命令注入漏洞，“具有远程访问权限的高权限攻击者可利用此漏洞，导致命令执行”。戴爾強烈建議升級至已修補的版本，以減輕此 9.1 CVSS 評級風險 CVE-2024-45764： 身份验证中关键步骤缺失漏洞允许 “拥有远程访问权限的未经身份验证的攻击者[利用]此漏洞，导致保护机制绕过”。该漏洞的 CVSS 得分为 9.0，因此需要立即升级 CVE-2024-45765： 另一个操作系统命令注入漏洞，CVSS 得分为 9.1，可使高权限命令在低权限角色下执行，从而导致命令执行。 该公告称：“这是一个严重程度很高的漏洞，因此戴尔建议客户尽早升级。” 戴尔已经发布了企业SONIC操作系统的更新版本，以解决这些漏洞。我们敦促用户尽快升级到4.1.6或4.2.2版本。     转自安全客，原文链接：https://www.anquanke.com/post/id/301721 封面来源于网络，如有侵权请联系删除

К чему ведёт закат традиционной журналистики?

流行的文档渲染引擎 Ghostscript 发布了一个重要的安全更新，解决了多个漏洞，其中一些漏洞可能导致远程代码执行。 Ghostscript 是一种广泛使用的 PostScript 和 PDF 文件解释器，它在最新发布的 10.04.0 版本中修补了一系列安全漏洞。这些漏洞源于 Ghostscript 在处理不同文件格式和数据结构时出现的各种编码错误。恶意行为者可以利用这些错误制作专门设计的 PostScript 或 PDF 文件，当这些文件被有漏洞的 Ghostscript 版本处理时，就会触发这些漏洞，导致代码执行或信息泄露。 最严重的漏洞包括 CVE-2024-46951、CVE-2024-46952、CVE-2024-46953 和 CVE-2024-46956： 这些漏洞可让攻击者利用与未检查指针、缓冲区溢出和越界数据访问相关的问题执行任意代码。这些漏洞存在于 Ghostscript 的多个组件中，包括 PostScript 解释器和 PDF 处理模块。 CVE-2024-46954： 此漏洞涉及超长UTF-8编码，可被利用来实现目录遍历，潜在允许攻击者访问敏感文件。 CVE-2024-46955： 该漏洞虽然不太严重，但可能导致越界读取，从而泄露敏感信息。 鉴于 Ghostscript 在各种应用程序中处理 PDF 和 PostScript 文件的作用，这些漏洞凸显了安全文档处理的关键需求，特别是在处理外部或用户提交文件的环境中。与任意代码执行、路径遍历和缓冲区溢出漏洞相关的风险使 Ghostscript 成为恶意行为者利用文档处理漏洞入侵系统的目标。 强烈建议 Ghostscript 用户更新到 10.04.0 或更高版本，以降低被利用的风险。     转自安全客，原文链接：https://www.anquanke.com/post/id/301733 封面来源于网络，如有侵权请联系删除