麻省理工学院（MIT）研究人员近日发布了一个号称迄今为止最全面的AI风险动态数据库，涵盖了43大AI风险类别共计777种AI风险。 这是业界首次尝试全面整理、分析和提取人工智能风险，并整合成一个公开可访问、全面、可扩展的分类风险数据库。为业界统一定义、审计和管理人工智能风险奠定了基础。 对于从事AI安全和治理的专业人士来说，这是一个不可或缺的知识库，可用于创建自己（所在企业）的个性化风险数据库。 AI风险数据库  来源：MIT MIT科技评论的一篇文章指出，AI技术应用面临多种危险，系统可能存在偏见、传播错误信息，甚至具有成瘾性。这些风险只是冰山一角，AI还有可能被用于制造生物或化学武器，甚至在未来失控，造成难以挽回的灾难性后果。 AI风险全景图 为了满足AI风险治理的迫切需求，MIT的计算机科学与人工智能实验室（CSAIL）下属的FutureTech团队着手开发了“全覆盖”AI风险数据库。 据CSAIL网站发布的新闻，研究人员在现有的AI风险框架中发现了大量严重漏洞，现有的最详尽的AI风险框架（例如NIST、谷歌和欧盟发布的框架）也仅涵盖了所有风险的约70%。因此，项目负责人Peter Slattery博士担心决策者可能会因为认知偏差而忽略重要问题，从而形成集体决策盲区。 MIT的AI风险数据库旨在为学者、安全审计人员、政策制定者、AI公司和公众提供关于AI风险“全景图”，为研究、开发和治理AI系统提供了一个统一的参考框架。该数据库由三部分组成：AI风险数据库、AI风险因果分类法以及AI风险领域分类法，具体如下： AI风险数据库：记录了从43种现有框架中提取的700多种风险，并附有相关引用和页码。 AI风险因果分类法：分类AI风险发生的方式、时间和原因。 AI风险领域分类法：将风险分为七大领域和23个子领域，涵盖歧视与有害内容、隐私与安全、虚假信息、恶意行为者及误用、人机交互、社会经济与环境危害、AI系统安全与故障等。   转自安全内参，原文链接：https://mp.weixin.qq.com/s/mH0PKWRoOgZmPlrjsuCoTw 封面来源于网络，如有侵权请联系删除

最近，众多Linux用户报告称他们的设备在尝试启动时，收到了一条神秘的错误消息：“系统出了严重问题。”这起事件的罪魁祸首是微软在月度安全更新中发布的一个补丁，用于修复一个存在已久的GRUB漏洞。这次更新却导致了Linux和Windows双系统设备的启动问题，引发大量用户投诉和抱怨。 Linux/Windows双系统“躺枪” 新发现的漏洞编号为CVE-2022-2601，最早于2022年被发现，其漏洞评分高达8.6分（满分10分）。该漏洞允许攻击者绕过安全启动机制，进而可能在启动过程中加载恶意软件。尽管该漏洞早在两年前便已被披露，但微软却迟至本月才发布补丁。然而，这次修复的副作用让许多Linux用户措手不及。 多款Linux发行版受影响 此次更新对运行双系统的设备带来了严重影响，特别是那些同时运行Windows和Linux的用户。用户报告称，当他们尝试加载Linux系统时，收到如下错误信息：“验证shim SBAT数据失败：安全策略违规。”相关的讨论和支持论坛瞬间被用户抱怨的声音所淹没，受影响的发行版包括Debian、Ubuntu、Linux Mint、Zorin OS和Puppy Linux等。微软发布的公告原本声称该更新仅适用于运行Windows的设备，且不会影响双系统设备。然而，事实证明，许多运行较新版本Linux的设备同样受到了影响，包括Ubuntu 24.04和Debian 12.6.0等最新发行版。 用户自救解决方案 面对微软的沉默，受影响的用户不得不自行寻找解决办法。最直接的方法是进入EFI面板并关闭安全启动功能。然而，对于注重设备安全性的用户而言，这一选项可能并不可行。另一种临时解决方案是删除微软推送的SBAT策略，这能够让用户保留部分安全启动的保护功能，同时避免由于CVE-2022-2601漏洞而导致的攻击风险。具体步骤包括： 禁用安全启动 登录Ubuntu系统并打开终端 使用命令删除SBAT策略： Select all sudo mokutil –set-sbat-policy delete 重启并重新登录Ubuntu以更新SBAT策略 再次重启并在BIOS中重新启用安全启动 安全启动的局限性 此次事件暴露了Windows安全启动机制的诸多问题。尽管安全启动旨在保护操作系统免受恶意软件的威胁，但近年来，研究人员已经发现了至少四个漏洞，足以破坏这一安全机制。最近的一次漏洞利用甚至影响了超过200款设备型号，证明了安全启动机制的脆弱性。 安全分析师Will Dormann指出：“尽管安全启动的初衷是让Windows的启动更加安全，但它似乎正逐渐暴露出越来越多的缺陷，无法完全兑现其应有的安全保障。” 这一观点也得到了业界的广泛认同，安全启动的复杂性和微软在这一机制中的核心角色，使得任何漏洞都可能给Windows设备带来致命的安全隐患。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/AMwv-4PTcfHyQ2dO_k0e8Q 封面来源于网络，如有侵权请联系删除

GitHub 发布了针对 GitHub Enterprise Server 产品中三个安全缺陷的紧急修复程序，并警告称黑客可以利用其中一个缺陷获取网站管理员权限。 最严重的漏洞编号为CVE-2024-6800，该漏洞允许攻击者操纵 SAML SSO 身份验证来配置和/或获取具有站点管理员权限的用户帐户的访问权限。 该漏洞的 CVSS 严重性评分为 9.5/10，被描述为在使用特定身份提供者的 SAML 身份验证时 GitHub Enterprise Server (GHES) 中的 XML 签名包装错误。 安全公告显示：“此漏洞允许直接通过网络访问 GitHub Enterprise Server 的攻击者伪造 SAML 响应，以提供或获取具有站点管理员权限的用户的访问权限。利用此漏洞将允许未经授权访问实例，而无需事先进行身份验证。” GitHub 表示，该漏洞是通过其漏洞赏金计划私下报告的，影响GitHub Enterprise Server 3.14 之前的所有版本，并已在 3.13.3、3.12.8、3.11.14 和 3.10.16 版本中修复。 该公司还记录了一对中等严重程度的漏洞，这些漏洞允许攻击者更新公共存储库中任何问题的标题、受让人和标签；并使用仅具有内容：读取和拉取请求：写入权限的 GitHub 应用程序从私有存储库披露问题内容。 GitHub Enterprise Server 是 GitHub Enterprise 的自托管版本。它安装在本地或私有云上，并提供基于云的 GitHub 版本的功能，包括拉取请求、代码审查和项目管理工具。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/kU03OsYUgx3e34bn3DaMEg 封面来源于网络，如有侵权请联系删除

乌克兰计算机应急反应小组 (CERT-UA)警告称，新的网络钓鱼攻击利用恶意软件感染设备。 该活动被归因于其跟踪的威胁集群 UAC-0020，也称为Vermin。目前尚不清楚攻击的具体规模和范围。 攻击链以带有库尔斯克地区所谓战俘照片的网络钓鱼邮件开始，敦促收件人点击指向 ZIP 档案的链接。 ZIP 文件包含一个 Microsoft 编译的 HTML 帮助 (CHM) 文件，其中嵌入了负责启动混淆的 PowerShell 脚本的 JavaScript 代码。 CERT-UA 表示：“打开该文件会安装已知间谍软件 SPECTR 的组件，以及名为 FIRMACHAGENT 的新恶意软件。FIRMACHAGENT 的目的是检索 SPECTR 窃取的数据并将其发送到远程管理服务器。” SPECTR 是一种已知的恶意软件，早在 2019 年就与 Vermin 有关。据评估，该组织与卢甘斯克人民共和国 (LPR) 的安全机构有联系。 今年 6 月初，CERT-UA详细介绍了由 Vermin 攻击者策划的另一项名为 SickSync 的活动，该活动使用 SPECTR 攻击该国的国防部队。 SPECTR 是一款功能齐全的工具，旨在收集各种信息，包括来自各种即时通讯应用程序（如 Element、Signal、Skype 和 Telegram）的文件、屏幕截图、凭证和数据。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/z5WzJJqiMYjnKdNaTg64pw 封面来源于网络，如有侵权请联系删除

思科 Talos 团队发现一种名为MoonPeak的新型远程访问木马，思科 Talos 将此次恶意网络活动归咎于其追踪的编号为 UAT-5394 的黑客组织，并称该组织与代号为Kimsuky 的朝鲜黑客组织存在一定程度的战术重叠。 MoonPeak 是由攻击者开发的，它是开源Xeno RAT恶意软件的一个变种，之前曾作为网络钓鱼攻击的一部分进行部署，旨在从攻击者控制的云服务（如 Dropbox、Google Drive 和 Microsoft OneDrive）中检索有效负载。 Xeno RAT 的一些主要功能包括加载附加插件、启动和终止进程以及与命令和控制 (C2) 服务器通信的能力。 Talos 表示，两组入侵行为之间的共同点表明 UAT-5394 实际上是 Kimsuky（或其分支）发起的，或者是朝鲜网络机构内的另一个黑客团队，他们从 Kimsuky 那里借用了工具箱。 实现该活动的关键是使用新的基础设施，包括 C2 服务器、有效载荷托管站点和测试虚拟机，这些都是为生成 MoonPeak 的新迭代而创建。 Talos 研究人员 Asheer Malhotra、Guilherme Venere 和 Vitor Ventura在周三发表的分析报告中表示：“C2 服务器托管可供下载的恶意文件，然后用于访问和设置新的基础设施来支持这一活动。” “在多个实例中，我们还观察到攻击者访问现有服务器以更新其有效载荷并检索从 MoonPeak 感染收集的日志和信息。” 这一转变被视为从使用合法云存储提供商转向建立自己的服务器的更广泛举措的一部分。不过，目前尚不清楚此次活动的目标。 这里要注意的一个重要方面是“MoonPeak 的不断发展与威胁行为者建立的新基础设施密切相关”，并且每个新版本的恶意软件都会引入更多的混淆技术来阻止分析和改变整体通信机制以防止未经授权的连接。 “简而言之，攻击者确保 MoonPeak 的特定变体仅与 C2 服务器的特定变体一起工作。”研究人员指出，“新恶意软件的持续采用及其演变（例如 MoonPeak 的情况）的时间表突显出 UAT-5394 继续在其武器库中添加和增强更多工具。UAT-5394 建立新支持基础设施的速度之快表明，该组织旨在迅速扩大这一活动并建立更多的投放点和 C2 服务器。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/UefWT-cRw_fcjmg1qvb3dg 封面来源于网络，如有侵权请联系删除

安全内参8月20日消息，本月初，印度上百家中小银行使用的数字支付系统遭遇了一场极具破坏性的勒索软件攻击。研究人员发现，这次攻击的根源在于一个Jenkins漏洞。Jenkins是一款开发人员广泛使用的开源自动化工具。 攻击者利用Jenkins漏洞攻陷系统 瞻博网络（Juniper Networks）日前发布一项研究报告，详细分析了攻击者如何利用Jenkins命令行界面（CLI）中的CVE-2024-23897漏洞进行攻击。该界面帮助开发人员与系统进行交互操作。 7月31日，负责管理印度所有零售支付系统的综合组织，印度国家支付公司（NPCI）宣布，正在处理由于其第三方技术供应商C-Edge Technologies遭受勒索软件攻击而导致的服务中断。 C-Edge为印度的地区农村银行提供技术服务。为减小影响，印度国家支付公司决定将C-Edge与其运营的零售支付系统隔离。C-Edge的客户在开始恢复工作时无法访问支付系统。 经过一天的努力，服务恢复正常。此后，勒索软件团伙RansomEXX宣布对这次攻击负责，并在其泄露网站上声称，他们从与C-Edge相关的数字支付平台中窃取了142GB的数据。 瞻博网络分析了印度国家支付公司向印度计算机应急响应小组（CERT-IN）提交的报告。研究人员表示，这次攻击凸显了各组织应当尽快应用安全补丁并修正服务器配置错误，以防止安全漏洞被恶意利用。 数月前就已有漏洞预警 Jenkins可以帮助开发人员构建、测试和部署软件。然而，这个漏洞允许攻击者访问敏感文件或数据。 去年11月，SonarSource首次发现了CVE-2024-23897漏洞，并帮助Jenkins团队验证今年1月发布的修复程序。 漏洞概念验证（PoC）一经发布，研究人员立即开始注意到攻击企图，并指出该漏洞允许攻击者接管未打补丁的Jenkins服务器。 由于Jenkins被广泛部署，这个漏洞在今年年初给网络安全社区敲响了警钟。 Horizon3.ai的首席架构师Naveen Sunkavally指出，全球有成千上万的Jenkins服务器对公众开放。由于这些服务器通常存储着大量敏感信息和其他系统的凭证，Jenkins成为了攻击者的常见目标。 Sunkavally表示：“如果Jenkins服务器的默认配置被错误修改，或者攻击者获取了有效的Jenkins用户账户，即使攻击者没有任何初始权限，他们也可以利用这个漏洞，甚至进一步控制服务器并提取凭证数据。不过，后两种情况依赖于超出攻击者控制的因素。” 他还提到，美国网络安全和基础设施安全局（CISA）的已知被利用漏洞（CISA KEV）目录中包含了四个与Jenkins相关的漏洞。此前，某些漏洞曾被用于安装加密挖矿软件或支持国家级网络攻击。 Critical Start的网络威胁情报分析师Sarah Jones和其他几位研究人员在今年1月发出警告，称该漏洞可能允许黑客窃取大量敏感数据，甚至可能“完全控制组织的基础设施”。 她补充道：“除了这些直接威胁，这类事件还可能对组织的声誉造成持久性损害，削弱公众信任，影响财务稳定，甚至引发法律后果。”   转自安全内参，原文链接：https://www.secrss.com/articles/69344 封面来源于网络，如有侵权请联系删除

ESET 研究人员发现了一种罕见的网络钓鱼活动，专门针对 Android 和 iPhone 用户。他们分析了一个在野外观察到的案例，该案例主要是针对一家著名的捷克银行的客户。 值得注意的是这种攻击主要是从第三方网站安装钓鱼应用程序，而无需用户主动安装。这有可能导致使用安卓系统的用户设备上会被隐秘安装一种特殊的 APK，隐蔽性很高，很难发现，它看起来甚至有点像是用户从 Google Play 商店安装的。这种钓鱼攻击威胁也针对 iOS 用户。 PWA 网络钓鱼流程 针对 iOS 的钓鱼网站会指示受害者在主屏幕上添加渐进式网络应用程序 (PWA)，而在 Android 上，PWA 是在浏览器中确认自定义弹出窗口后安装的。在这一点上，这些钓鱼应用程序与它们在这两个操作系统上模仿的真实银行应用程序基本没有区别。 PWA 本质上是将网站捆绑到一个看似独立的应用程序中，并通过使用本地系统提示增强了其虚假的独立性。与网站一样，PWA 也是跨平台的，这就解释了为什么这些 PWA 网络钓鱼活动可以既针对 iOS 又针对 Android 用户。负责 ESET 品牌情报服务的 ESET 分析师在捷克观察到了这种新技术，该服务可监控针对客户品牌的威胁。 分析该威胁的 ESET 研究员 Jakub Osmani 表示：对于 iPhone 用户来说，这种行为可能会打破任何有关安全的‘围墙花园’假设。 ESET 发现使用电话、短信和恶意广告的网络钓鱼欺诈行为 ESET 分析师发现了一系列针对移动用户的网络钓鱼活动，这些活动分别使用了三种不同的 URL 发送机制，包括自动语音呼叫、短信和社交媒体恶意广告。语音电话发送是通过自动呼叫完成的，该呼叫会警告用户银行应用程序已过期，并要求用户在数字键盘上选择一个选项。 按下正确的按钮后，就会通过短信发送一个钓鱼网址，正如一条推文所报道的那样。最初的短信发送是通过向捷克电话号码滥发信息来实现的。发送的信息包括一个钓鱼链接和文本，目的是让受害者通过社交工程访问该链接。恶意活动通过 Instagram 和 Facebook 等 Meta 平台上的注册广告进行传播。这些广告包括行动号召，比如为 “下载以下更新 ”的用户提供限量优惠。 打开第一阶段发送的 URL 后，Android 受害者会看到两个截然不同的活动，一个是模仿目标银行应用程序官方 Google Play 商店页面的高质量钓鱼页面，另一个是该应用程序的山寨网站。受害者会被要求安装 “新版 ”银行应用程序。 WebAPK 绕过安全警告 这种网络钓鱼活动和方法之所以能够得逞，完全得益于渐进式网络应用程序的技术。简而言之，渐进式网络应用程序是使用传统网络应用程序技术构建的应用程序，可以在多个平台和设备上运行。 WebAPK 可被视为渐进式网络应用程序的升级版，因为 Chrome 浏览器会从 PWA（即 APK）生成本地 Android 应用程序。这些 WebAPK 看起来就像普通的本地应用程序。此外，安装 WebAPK 不会产生任何 “从不可信来源安装 ”的提示警告。 某小组曾尝试通过 Telegram 官方 API 将所有输入信息记录到 Telegram 群组聊天中，而另一个小组则使用带有管理面板的传统命令与控制（C&C）服务器。 Osmani 表示：根据这些活动使用了两种不同的 C&C 基础设施这一事实，我们确定是两个不同的团伙在针对多家银行实施 PWA/WebAPK 网络钓鱼活动。大多数已知案例都发生在捷克，只有两个网络钓鱼应用程序出现在捷克境外（特别是匈牙利和格鲁吉亚）。 ESET 的研究人员在调查中发现的所有披露在网上的敏感信息，银行都已迅速跟进处理。ESET 方面也协助删除了多个网络钓鱼域和 C&C 服务器。   转自FreeBuf，原文链接：https://www.freebuf.com/news/409102.html 封面来源于网络，如有侵权请联系删除

黑客对乌克兰最受欢迎的网上银行之一发动了大规模分布式拒绝服务 (DDoS) 攻击，主要针对乌克兰人用于为军队筹集捐款的服务。 Monobank 首席执行官 Oleh Horokhovskyi 表示，此次攻击从周五晚上持续到周一早上，总请求量达到每秒 75 亿次。他还称此次攻击的规模“非同寻常”。“这一事件没有影响银行的运营，但指出该公司与乌克兰的安全部门以及美国云计算公司亚马逊网络服务的专家合作，以缓解垃圾流量的攻击。” 在 1 月份的一次 DDoS 事件中，Monobank在三天内收到了5.8 亿条垃圾服务请求。该银行仅通过移动应用程序为客户提供服务，因此成为黑客眼中极具吸引力的目标。 Horokhovskyi 表示，最新攻击的目的是破坏乌克兰人依赖的为国家武装部队筹集捐款的服务。这项服务让用户的捐款变得相对简单——他们所要做的就是创建一个虚拟钱包，并将其直接分享到 Instagram 故事中，让其他人捐款。 Horokhovskyi 说，过去三年通过该平台“不间断”的捐款可能惹恼了敌人，促使他们“不惜一切代价”试图入侵该服务。 Monobank 暗示俄罗斯可能是此次攻击的幕后黑手，但并未提供任何证据。Horokhovskyi 此前称该银行是乌克兰“受攻击最严重的 IT 目标之一”。 另一家乌克兰服务公司 EasyWay 周一表示，该公司受到 DDoS 攻击，该公司提供有关乌克兰各地公共交通的信息。EasyWay 警告称，这可能会影响其运营。EasyWay 并未将此次攻击归咎于某个特定的黑客组织。 与此同时，俄罗斯的服务也遭受了 DDoS 攻击，这些攻击通常来自乌克兰。本月早些时候，在乌克兰入侵后，未透露姓名的黑客针对俄罗斯库尔斯克地区的政府和商业网站以及关键基础设施服务发起攻击。 7 月份，俄罗斯几家大型银行证实，他们遭受了据称“来自国外策划的” DDoS 攻击，导致其移动应用程序和网站暂时中断。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/tMD1mVYMINoHcdYJ1J8c1g 封面来源于网络，如有侵权请联系删除

据观察，从 2024 年 7 月下旬开始，伊朗黑客组织策划了针对著名犹太人物的鱼叉式网络钓鱼攻击活动，目的是部署一种名为 AnvilEcho 的新型情报收集工具。 企业安全公司 Proofpoint 以 TA453 命名跟踪该活动，该活动与更广泛的网络安全社区以 APT42（Mandiant）、Charming Kitten（CrowdStrike）、Damselfly（赛门铁克）、Mint Sandstorm（微软）和 Yellow Garuda（普华永道）等名称跟踪的活动重叠。 安全研究人员 Joshua Miller、Georgi Mladenov、Andrew Northern 和 Greg Lesnewich在一份报告中表示：“最初的互动试图引诱目标用户参与一封良性电子邮件，以建立对话和信任，然后点击后续的恶意链接。”随后补充道，“攻击链试图传播一个名为 BlackSmith 的新型恶意软件工具包，该工具包投放一个名为 AnvilEcho 的 PowerShell 木马。” 据评估，TA453 与伊朗伊斯兰革命卫队 (IRGC) 有关联，其开展有针对性的网络钓鱼活动，旨在支持该国的政治和军事目标。 谷歌旗下的 Mandiant 上周分享的报告显示，美国和以色列占 APT42 已知地理目标的约 60%，其次是伊朗和英国。 这些社会工程手段既持久又具有说服力，它们伪装成合法实体和记者，与潜在受害者展开对话，并随着时间的推移建立融洽关系，然后通过带有恶意软件的文档或虚假的凭证收集页面将受害者引入网络钓鱼陷阱。 谷歌表示：“APT42 会利用社会工程学诱饵吸引目标用户建立视频会议，然后链接到登录页面，提示目标用户登录并发送到网络钓鱼页面。另一个 APT42 活动模板是发送合法的 PDF 附件作为社会工程诱饵的一部分，以建立信任并鼓励目标参与 Signal、Telegram 或 WhatsApp 等其他平台。” Proofpoint 观察到的最新一组攻击始于 2024 年 7 月 22 日，其中攻击者联系一位未具名犹太人物的多个电子邮件地址，邀请他们作为播客嘉宾，同时冒充战争研究所 (ISW) 的研究主任。 据称，TA453 回应目标发来的消息时，发送了一个受密码保护的 DocSend URL，该 URL 又指向一个文本文件，其中包含指向 ISW 托管的合法播客的 URL。这些虚假消息是从域名 Understandingthewar[.]org 发送的，这显然是试图模仿ISW 的网站（“Understandingwar[.]org”）。 Proofpoint 表示：“TA453 很可能试图使目标点击链接和输入密码的行为正常化，以便目标在投放恶意软件时也会这样做。” 在后续消息中，发现攻击者使用一个 Google Drive URL 回复，该 URL 托管一个 ZIP 存档（“Podcast Plan-2024.zip”），而该存档又包含一个负责传递 BlackSmith 工具集的 Windows 快捷方式（LNK）文件。 AnvilEcho 是通过 BlackSmith 提供的，据称可能是 CharmPower、GorjolEcho、POWERSTAR 和 PowerLess 等PowerShell 植入程序的后继者。BlackSmith 还旨在显示诱饵文档作为分散注意力的机制。 值得注意的是，“BlackSmith”这个名字也与Volexity 今年早些时候详述的一个浏览器窃取组件重叠，该组件与在针对从事中东事务的知名人士的攻击中分发 BASICSTAR 的活动有关。 Proofpoint 表示：“AnvilEcho 是一款功能强大的 PowerShell 木马。AnvilEcho 的功能表明其重点是情报收集和泄露。” 其一些重要功能包括进行系统侦察、截屏、下载远程文件以及通过 FTP 和 Dropbox 上传敏感数据。 几天前，HarfangLab 披露了一种新的基于 Go 的恶意软件毒株，称为 Cyclops，该毒株可能是作为另一个 Charming Kitten 后门（代号为BellaCiao）的后续产品而开发的，这表明攻击者正在积极重组其武器库以应对公开披露。该恶意软件的早期样本可以追溯到 2023 年 12 月。 这家法国网络安全公司表示：“该恶意软件旨在将 REST API 反向隧道传输到其命令和控制 (C2) 服务器，以控制目标机器。它允许操作员运行任意命令，操纵目标的文件系统，并使用受感染的机器进入网络。” 据信，攻击者利用 Cyclops 攻击了黎巴嫩一家支持创新和创业的非营利组织以及阿富汗一家电信公司。目前尚不清楚攻击使用的确切入侵路线。 HarfangLab 表示：“Cyclops 恶意软件选择 Go 语言有几个含义。首先，这证实了这种语言在恶意软件开发人员中的流行度。其次，该样本的初始检测次数较低，这表明 Go 程序可能仍对安全解决方案构成挑战。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/HamLjCMDdSNf1hz53Mtzrw 封面来源于网络，如有侵权请联系删除

根据 Cisco Talos 的最新研究，macOS 上的八个微软应用程序容易受到库注入攻击，有可能让攻击者劫持应用程序的权限并泄露敏感数据。 受影响的微软应用程序包括 Microsoft Teams、Outlook、PowerPoint 和 Word 等流行服务，共有八个 CVE 编号。 Microsoft Outlook: CVE-2024-42220 Microsoft Teams (work or school): CVE-2024-42004 Microsoft PowerPoint: CVE-2024-39804 Microsoft OneNote: CVE-2024-41159 Microsoft Excel: CVE-2024-43106 Microsoft Word: CVE-2024-41165 Microsoft Teams (work or school) WebView.app helper app: CVE-2024-41145 Microsoft Teams (work or school) com.microsoft.teams2.modulehost.app: CVE-2024-41138 攻击者通过使用现有的应用程序权限而不提示用户进行任何额外验证来绕过 macOS 的权限模型，这样，就可以在用户未察觉的情况下从用户账户发送电子邮件、录制音频片段、拍照或录制视频，而无需与用户进行任何交互。 macOS 的许可模式受到审查 Cisco Talos 强调了 macOS 基于用户同意的权限模型，该模型包含旨在保护用户隐私和维护系统安全的功能。但研究发现，macOS 对应用程序的权限管理过于信任，允许它们自我监管，这一缺陷可能使攻击者得以利用应用程序的高级权限。 更令人担忧的是，八款流行的微软  macOS 应用程序都激活了禁用库验证的权限“com.apple.security.cs.disable-library-validation ”。 据苹果公司称，该权限允许加载由第三方开发者签名的插件，旨在增强应用程序的功能性。但这一机制存在安全隐患，攻击者可能利用这一点注入任意库，并在被攻击的应用程序中运行恶意代码，进而完全控制应用程序的权限和功能。 研究人员还观察到，macOS 上的所有 Microsoft Office 应用程序都允许加载未签名的动态库。如果要修改已经执行过一次的应用程序，需要特定的权限。不过，攻击者可以通过将应用程序复制到如 /tmp 等其他文件夹来绕过这一安全措施，但这也增加了数据泄露和系统被攻击的风险。 研究人员指出，由于存在相对导入和禁用库验证的权限，所有 Microsoft Office 应用程序都容易受到库注入攻击。 微软用户面临不必要的风险 Cisco Talos 的研究人员说，他们的发现让人们对禁用库验证的必要性产生了疑问，尤其是应用程序不打算加载其他库的情况下。微软通过使用特定权限绕开了 macOS 的加固安全措施，这可能使用户面临原本不必要的风险。 在 Cisco Talos 报告漏洞后，微软虽然认为发现的问题风险较低，但已经对其中的四款应用程序进行了更新，移除了 com.apple.security.cs.disable-library-validation 权限，这意味着它们不再容易受到已知库注入攻击的威胁。 这四款应用程序是 Microsoft Teams 的主应用程序、WebView 应用程序和 ModuleHost 应用程序，以及 Microsoft OneNote。不过，截至 2024 年 8 月 19 日，Microsoft Excel、Outlook、PowerPoint 和 Word 仍然存在漏洞。 检查 macOS 应用程序是否易受库注入攻击影响的流程图 研究人员建议，macOS 可以引入用户提示来降低这一风险。这将允许用户决定是否加载特定的第三方插件，从而提供一种更可控的访问授权方式。   转自FreeBuf，原文链接：https://www.freebuf.com/news/409025.html 封面来源于网络，如有侵权请联系删除