Aggregator

Here’s a look at the most interesting products from the past week, featuring releases from Atakama, Authlete, Symbiotic Security, and Zywave. Atakama introduces DNS filtering designed for MSPs Atakama announced the latest expansion of its Managed Browser Security Platform, introducing DNS filtering explicitly designed for Managed Service Providers (MSPs). This new feature enables comprehensive in-browser and network-level filtering, providing a full-spectrum DNS solution that secures browsers and entire network environments. Zywave enhances Cyber Quoting to … More →

The post New infosec products of the week: November 8, 2024 appeared first on Help Net Security.

最近披露的 Microsoft SharePoint 远程代码执行 (RCE) 漏洞（编号为 CVE-2024-38094）正被用来获取对企业网络的初始访问权限。

CVE-2024-38094 是一个高严重性（CVSS v3.1 评分：7.2）RCE 漏洞，影响 Microsoft SharePoint，这是一个广泛使用的基于 Web 的平台，用作内联网、文档管理和协作工具，可以与 Microsoft 365 无缝集成应用程序。

微软于 2024 年 7 月修复了该漏洞，作为 7 月补丁星期二包的一部分，将该问题标记为“重要”。

上周，CISA 将 CVE-2024-38094 添加到已知被利用的漏洞目录中，但没有透露该漏洞是如何在攻击中被利用的。 

Rapid7 发布的一份新报告揭示了攻击者如何利用 SharePoint 漏洞，称该漏洞被用于调查他们调查的网络漏洞。

相关报告中写道：“我们的调查发现，一名攻击者未经授权访问了服务器，并在网络中横向移动，从而损害了整个域。” 

攻击者在两周内仍未被发现。Rapid7 确定初始访问向量是利用本地 SharePoint 服务器内的漏洞 CVE 2024-38094。

使用 AV 损害安全

Rapid7 现在报告称，攻击者利用 CVE-2024-38094 未经授权访问易受攻击的 SharePoint 服务器并植入 Webshell。

调查显示，该服务器是通过公开披露的 SharePoint 概念验证漏洞被利用的。攻击者利用其初始访问权限，破坏了具有域管理员权限的 Microsoft Exchange 服务帐户，从而获得了更高的访问权限。接下来，攻击者安装了 Horoung Antivirus，这会造成冲突，导致安全防御失效并削弱检测能力，从而允许他们安装 Impacket 进行横向移动。

具体来说，攻击者使用批处理脚本（“hrword install.bat”）在系统上安装Huorong Antivirus，设置自定义服务（“sysdiag”），执行驱动程序（“sysdiag_win10.sys”），并运行“HRSword” .exe' 使用 VBS 脚本。

这种设置导致了资源分配、加载驱动程序和活动服务等方面的多重冲突，导致该公司的合法防病毒服务崩溃而无能为力。

攻击的时间轴

在接下来的阶段，攻击者使用 Mimikatz 进行凭证收集，使用 FRP 进行远程访问，并设置计划任务进行持久化。

为了避免被发现，他们禁用了 Windows Defender、更改了事件日志并操纵了受感染系统上的系统日志记录。

everything.exe、Certify.exe 和 kerbrute 等其他工具用于网络扫描、ADFS 证书生成和暴力破解 Active Directory 票证。

第三方备份也成为破坏的目标，但攻击者试图破坏这些备份却失败了。

尽管尝试擦除备份是勒索软件攻击中的典型做法，为了防止轻松恢复，Rapid7 没有观察到数据加密，因此攻击类型未知。

随着主动利用的进行，自 2024 年 6 月以来未应用 SharePoint 更新的系统管理员必须尽快执行此操作。

11月7日至8日，2024大湾区网络安全大会在广州市长隆国际会展中心盛大举行。本次大会围绕“共筑网络安全防线，护航大湾区数字未来”为主题，汇聚了来自医疗、教育等关键行业的领导、院士、权威专家、学者以及企业精英，共同探讨和交流。

作为国内邮件行业引领者，Coremail不仅受邀参加并设展，更凭借其CACTER邮件安全网关解决方案，在大会的评选活动中荣获“信息网络安全建设优秀案例”奖项。

2024大湾区网络安全大会

本次大会由广东省计算机信息网络安全协会与广东省粤港澳合作促进会联合主办，围绕“共筑网络安全防线，护航大湾区数字未来”为主题，重点聚焦于医疗、教育等民生关键行业，深入分析这些行业在数字化转型过程中面临的网络安全挑战与机遇。通过主题演讲、圆桌论坛、学术研讨会等多种形式，分享行业市场的前沿科技、先进理念以及企业最佳实务发展案例，为参会者提供丰富的知识盛宴与灵感启迪。

现场返图

经过激烈的网络投票和专家评审，CACTER邮件安全网关解决方案不负众望，荣获“信息网络安全建设优秀案例”奖项。这一荣誉不仅是对Coremail在邮件安全领域技术创新和实践成果的认可，也是对其专业实力的肯定。

Coremail将持续致力于提供卓越的邮件安全解决方案，满足各行业用户对安全性和可靠性的高标准要求，并为邮件安全的持续进步贡献力量。

CACTER邮件安全网关解决方案

CACTER邮件安全网关基于自主研发的神经网络平台NERVE2.0深度学习能力，全面检测并拦截各类恶意邮件，包括垃圾邮件、钓鱼邮件、病毒邮件及BEC诈骗邮件，并融合智谱AI大模型，反垃圾准确率高达99.8%，误判率低于0.02%。CACTER邮件安全网关拥有独家完整域内安全管控方案，且支持Coremail、Exchange、O365、Gmail 、IBM Domino、lotus notes、网易企邮、飞书企邮等几乎所有邮件系统。

CACTER的核心技术依托自研国产反垃圾引擎和国内头部的企业级邮件安全大数据中心，拥有多项发明专利与软件著作权，与中国科学院成立邮件安全AI实验室，并与清华大学、奇安信、网易等国内权威机构持续开展前沿研究与合作，为客户提供从建立安全意识到数据保护的多层次邮件安全防护。

独家完整域内安全管控方案

CACTER邮件安全网关基于多项自主研发的世界领先级反垃圾邮件技术，针对用户账号被盗后，域内互发垃圾钓鱼邮件场景，推出独家域内安全解决方案。不仅具备独家域内发信行为检测模型，还支持自定义域内邮件处置策略，域内安全数据统计分析以及域内高级恶意威胁邮件事后处置等，确保钓鱼邮件、病毒邮件、垃圾邮件精准拦截，异常发信行为及时发现，以保障邮件系统不受恶意邮件威胁。

高级恶意威胁事后处置方案

针对新型高级威胁邮件，可能绕过反垃圾引擎检查、反病毒引擎甚至云沙箱检测引擎，投递至邮件系统的情况，CACTER邮件安全网关推出邮件召回事后解决方案。CACTER邮件安全网关不仅支持管理员一键召回已经投递至邮件系统的威胁，还支持接收Coremail邮件安全大数据中心情报，自动召回已经投递至邮件系统的高级恶意威胁邮件，对高级恶意威胁邮件及时处置，守住邮件系统安全最后一道防线。