据伊朗国际报道，伊朗中央银行（CBI）和该国其他几家银行的运营受到大规模网络攻击。此次攻击使该国银行的计算机系统瘫痪。 事件发生之际，国际社会对伊朗在中东行动的关注度不断加强，因为德黑兰宣布，除非加沙冲突停火，否则将对以色列发动袭击。情报专家还指责伊朗试图影响即将举行的美国总统大选。 据伊朗国际报道，这是迄今为止伊朗国家基础设施遭受的最大规模网络攻击之一。 周三早些时候，伊朗最高领袖阿亚图拉·阿里·哈梅内伊表示：“美国、英国和犹太复国主义者夸大敌人的能力，目的是在我们人民中散布恐惧。敌人的力量并不像宣传的那样强大。我们必须依靠自己。敌人的目标是通过心理战迫使我们在政治和经济上撤退，从而实现其目标。” “此次网络攻击发生之际，国际社会对伊朗在该地区的行为进行了更严格的监视，因为伊朗誓言要对本月早些时候暗杀哈马斯领导人伊斯梅尔·哈尼耶进行报复。英国、法国和德国领导人发表联合声明，警告伊朗‘将对任何针对以色列的袭击承担责任’，这可能会进一步加剧地区紧张局势，并危及停火和人质释放协议的努力。”以色列网站《以色列今日报》报道。 欧盟领导人呼吁伊朗及其盟友避免进一步袭击，以避免以色列与哈马斯之间的紧张局势再次升级。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/THzwhHJr8HLdc6VleMgoqw 封面来源于网络，如有侵权请联系删除

根据安全研究人员的最新调查，俄罗斯国家安全机构正在针对美国、欧洲和俄罗斯的民间社会成员发起越来越复杂的网络钓鱼攻击，在某些情况下，他们会冒充与攻击目标有私人关系的个人。 在多伦多大学公民实验室和Access Now发布了新报告，研究人员表示，与俄罗斯有关的攻击在社会工程策略和技术方面都变得更加复杂。 最近一系列袭击事件的目标包括前美国驻乌克兰大使史蒂芬·皮弗 (Steven Pifer)和流亡的俄罗斯出版商波琳娜·马克霍德 (Polina Machold)。 就皮弗的案例而言，研究人员表示，他之所以成为攻击目标，是因为有人与皮弗进行了一次“高度可信”的交流，其中有人冒充了皮弗认识的另一位前美国大使。 Machold 的案件同样采用了更为复杂的攻击方法。这位出版商于 2021 年夏天被俄罗斯驱逐出境后居住在德国，2023 年 11 月，她之前曾与另一家出版商的一位同事通过电子邮件首次联系了她。他让她查看附件，但没有附件。她回答说附件不见了。 几个月后，他再次联系她，这次使用的是 Proton Mail 的用户名，Proton Mail 是一种免费且安全的电子邮件服务，记者经常使用。她说，当她打开那封电子邮件，发现附件看起来像是 Proton Mail 驱动器时，她开始感到警觉。她打电话给联系人，对方震惊地表示，他没有给她发电子邮件。 “我以前从未见过这样的事情。他们知道我和这个人有联系。尽管我认为自己处于高度警惕状态，但我却一无所知。”Machold说。 研究人员表示，针对 Machold 和 Pifer 的网络钓鱼活动是由一个名为 Coldriver 的攻击者实施的。第二个攻击者名为 Coldwastrel，其攻击模式类似，而且似乎也专注于俄罗斯感兴趣的目标。 Access Now 高级技术法律顾问 Natalia Krapiva 表示：“这项调查显示，流亡的俄罗斯独立媒体和人权组织面临着与针对现任和前任美国官员的同类高级网络钓鱼攻击。但他们保护自己的资源要少得多，而且受到攻击的风险要大得多。” 几乎所有接受研究人员采访的目标人物都出于自身安全考虑选择匿名，研究人员表示，大多数目标人物的共同点是他们“在敏感社区中拥有广泛的人脉”。 观察到的最常见策略是攻击者与目标发起电子邮件交流，伪装成目标认识的人；要求目标查看文档。附加的 PDF 通常声称使用 Proton Drive 等注重隐私的服务进行加密，登录页面甚至可能预先填充目标的电子邮件地址，使其看起来合法。如果目标输入密码和双因素代码，攻击者就可以将信息发回给他们，从而让他们能够访问目标的电子邮件帐户。 “一旦这些攻击者获得凭证，我们认为他们会立即采取行动，访问电子邮件帐户和任何在线存储，如 Google Drive，以获取尽可能多的敏感信息。”公民实验室高级研究员 Rebekah Brown 表示。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/bprMEnkE-dZYdLRSmdn7wg 封面来源于网络，如有侵权请联系删除

安全内参8月14日消息，英国最危险的核设施——塞拉菲尔德（Sellafield）因一系列网络安全失误面临刑事指控。近日，该公司对相关指控表示认罪，并承认其失误可能对国家安全构成威胁。 伦敦威斯敏斯特地方法院获悉，这个位于坎布里亚的大型核废料堆场中，75%的计算机服务器都易受网络攻击。 塞拉菲尔德是一个庞大的核废料堆场，储存着核武器制造及几十年来核电站发电产生的废料。该设施拥有约1.1万名员工，隶属于由纳税人所有并资助的核退役管理局。 塞拉菲尔德发生一系列严重IT失误 英国核监管机构透露，有可能威胁国家安全的信息被暴露了长达四年之久，而塞拉菲尔德声称一直在进行关键的IT健康检查，实际上这些检查并未进行。 去年年底，英媒《卫报》通过“核泄漏”调查揭示，这家国有公司在过去几年中发生了一系列IT失误，面临放射性污染，且其工作文化“有毒”。 《卫报》的调查还曝光了其他严重问题。例如，外部承包商在无人监督的情况下能够将U盘插入塞拉菲尔德的系统。此外，该核设施的计算机服务器极度不安全。由于其敏感性和危险性，这个问题甚至被戏称为《哈利·波特》故事中的“伏地魔”。 塞拉菲尔德在今年6月承认了由核监管办公室（ONR）提出的指控，这些指控涉及2019年至2023年间的一系列信息技术安全违规行为。 目前，该公司正在等待最终判决。首席法官Paul Goldspring表示，判决将在几周内做出。核监管办公室表示，预计判决将在9月进行。 庭审暴露塞拉菲尔德的IT脆弱状况 在8月8日举行的判决听证会上，法院听取了核监管办公室代理律师Nigel Lawrence KC所陈述的情况：一项测试发现，可以通过网络钓鱼攻击将恶意文件下载并执行到塞拉菲尔德的IT网络，而“不会触发任何警报”。 Lawrence律师援引该地分包商Atos的报告指出，这个全球最大的钚储存场对内外部网络攻击都极为脆弱，其75%的服务器不安全。 塞拉菲尔德外部IT公司Commissum的报告也指出，任何“技术熟练的黑客或恶意内部人员”都可以访问敏感数据并植入恶意软件（计算机代码），这些代码可用于窃取信息。 塞拉菲尔德的代理律师Paul Greaney KC代表公司引用了一份书面证人声明，表明首席执行官Euan Hutton对数年来的失误表示歉意。Hutton表示：“我再次代表公司为导致这些诉讼的事件道歉……我真诚地相信，导致此次起诉的问题已经成为过去。” Greaney律师表示，公司试图通过更换该地点的IT管理层并建立一个新的安全数据中心来解决其网络安全问题。该律师还表示，近年来发现的一些问题被检方 “火上浇油”。这些失误并非出于节约成本的考虑。他补充道：“我们没有抠门。” 法院还获悉，一个分包商错误地接收了4000个文件，其中13个被归类为“官方/敏感”文件，但并未触发任何警报。 Lawrence律师指出，由于使用Windows 7和Windows 2008等“过时”技术，该行业的特殊分类系统敏感核信息（SNI）部分被暴露 SNI是一种分类信息的方式，可能涉及国家安全，在法律上具有特殊地位，类似于英国安全部门或公务员处理的其他机密材料。核监管办公室规定，如果信息被认为“对计划实施敌对行为的对手有价值”，则会被授予SNI状态。 各方均表示这些失误非常严重。首席法官Paul Goldspring表示，他需要在权衡纳税人负担的同时，确保对该行业其他人起到震慑作用，防止他们犯下类似罪行。 首个因IT安全被起诉的核设施 法官表示，此次判决对所有人来说都是“全新的领域”，因为此前从未有核设施因类似问题被起诉过。 英国的公共支出监察机构国家审计署今年启动了对塞拉菲尔德成本和风险的调查。 《卫报》去年报道，该设施的系统在去年12月被与俄罗斯等国有关的团体入侵，植入了可能潜伏并用于间谍或攻击系统的“沉睡”（sleeper）恶意软件。 当时，塞拉菲尔德表示，没有证据表明网络攻击得逞。Greaney律师告诉法院，没有发现针对塞拉菲尔德的“有效”网络攻击的证据。法院得知，塞拉菲尔德的操作中心被发现“无法对测试攻击做出适当的报警和响应”。 “塞拉菲尔德非常重视网络安全，这从我们的认罪中可以体现出来。这些指控涉及历史性违规行为，并无任何暗示公共安全受到威胁。”一位公司发言人表示，“塞拉菲尔德并未遭受成功的网络攻击，也未丢失任何敏感核信息。我们已经对我们的系统、网络和结构进行了重大改进，以确保我们获得更好的保护和更强的弹性。” 核监管办公室拒绝发表评论。塞拉菲尔德已同意支付5.3万英镑的法律费用。   转自安全内参，原文链接：https://www.secrss.com/articles/69143 封面来源于网络，如有侵权请联系删除

全球最大代码托管平台GitHub发生了全球性宕机事件，Copilot也一并瘫痪。据最新报道，此次宕机影响了GitHub网站及其多项服务，包括pull requests、GitHub Pages和GitHub API等。 但目前系统已经回归正常，根据美国东部时间昨晚 8：26 的状态消息，该公司已经回滚了导致此番事故的数据库基础设施变更，并表示服务现已“全面恢复运行”。 根据当时的访问情况来看，前往 GitHub 主网站后页面会显示一条错误消息，提示“当前没有可用于响应您请求的服务器”。但不久之后，GitHub 网站恢复运行。在后续事件报告当中，GitHub 一一罗列了 pull requests、GitHub Pages 以及 GitHub API 等受影响服务。 而且事件的扩散速度也相当夸张。GitHub 的首条状态消息公布于美东时间晚 7：11，而几分钟后其再次报告多项服务发生问题。这些问题的影响范围似乎也相当普遍，Downdetector 显示有超 1 万名用户表示受到牵连。另外问题发生得也相当突然。当天晚 7：13，互联网监控服务 BetBlocks 亦发布消息称 GitHub“正经历一波跨国服务中断”。 随后没多久，GitHub 发布状态称 Copilot 也崩了！有人在 Hacker News 上调侃称：“这下所有 AI 原生应用开发者可以正当光明摸鱼了，因为 Copilot 已经瘫痪了”。 8 月 14 日，GitHub 发布更新称在经历重大中断后，其服务现已恢复正常。 微软在 2018 年 10 月以 75 亿美元的价格收购了代码存储库 GitHub，在微软的管理下 GitHub 表现出了强劲的增长势头，从购买时的不到 4000 万用户增长到现在的 7300 多万的开发者用户，他们依靠该服务通过 Git 进行版本控制，并为软件开发提供托管服务。 GitHub 是一个大型的代码库，在开发者和公司在该服务上托管整个项目和代码时非常流行。苹果、亚马逊、Google、Facebook 和许多其他大型科技公司都使用 GitHub。 但一些用户称，自此以后，该服务平台变得更加不可靠。虽然被微软收购后 GitHub 的知名度不断提高， 但其在开发者中心中的地位却逐渐下滑。 GitHub的宕机不仅仅是一个平台的问题，它实际上影响了整个全球开发者社区。超过一万名用户报告了访问问题，这个数字仅仅是冰山一角。作为开源世界的中枢神经，GitHub的瘫痪意味着无数项目的开发进程被迫中断，突显了对单一平台依赖的风险。   转自Freebuf，原文链接：https://www.freebuf.com/news/408688.html 封面来源于网络，如有侵权请联系删除

近日，欧洲隐私倡导组织NOYB对社交媒体巨头X提起GDPR投诉，再次将大模型训练的用户数据隐私问题推至风口浪尖。 据NOYB称，X公司未经告知或征得用户同意，擅自使用超过6000万欧洲用户个人数据训练其大型语言模型“Grok”，这一行为严重违反了GDPR原则。NOYB认为，X公司此举缺乏透明度，且未获得适当的法律依据或用户许可，这在GDPR的框架下是不可接受的。 Grok大模型的训练过程原本悄无声息，但在2024年7月下旬被一位名为@EastBakedOven的用户揭露。 该用户在检查X账户设置的变更时，发现了一个默认勾选的设置：“允许您的帖子以及您与Grok的互动、输入和结果被用于训练和微调。”X公司声称，可能会使用这些数据来“微调”Grok，并可能与服务提供商xAI共享。 据悉，爱尔兰数据保护委员会（DPC）已与X公司达成协议，后者同意在9月份前暂停处理个人数据。DPC的公告指出，未经授权的Grok训练发生在2024年5月7日至8月1日之间。对此，NOYB的主席Max Schrems表示，DPC未能深入调查此事的法律层面，仅仅提出实施缓解措施的建议。因此，NOYB决定提起多项GDPR投诉，涉及GDPR多条条款，希望这将促使对违规行为进行彻底调查。 NOYB组织要求X公司解释为何在Grok训练开始两个月后才通知用户，已被用于训练的用户数据集如何处理，以及如何有效区分欧盟和非欧盟个人数据。此外，NOYB质疑为何X等平台仍未提示欧盟用户，以获得使用其数据训练Grok的许可，这是符合GDPR要求的唯一方法。 这起事件凸显了社交媒体数据使用的法律风险，尤其是在GDPR严格的数据保护要求下。今年6月份NOYB组织还曾向11个国家的隐私监管机构投诉Meta的人工智能训练计划，并敦促它们在该公司开始训练下一代Llama之前阻止该公司。 X用户如果不希望X使用其帖子来训练Grok，有两个选择： 第一个选择是将帐户设为私密，但对许多人来说，这会极大影响用户体验。 更好的选择是从桌面登录X站点并单击屏幕底部的“更多”按钮，然后单击“设置和隐私”，选择“数据共享和个性化”下的“Grok”，然后取消选中“允许您的帖子以及您与Grok的互动、输入和结果用于训练和微调”。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/p7uhcXU6D7E6M2bWkrfrGQ 封面来源于网络，如有侵权请联系删除

微软周二警告客户修补一个严重的 TCP/IP 远程代码执行 (RCE) 漏洞，该漏洞被利用的可能性较高，会影响所有使用 IPv6（默认情况下启用）的 Windows 系统。 该安全漏洞由昆仑实验室的 xiaowei 发现，编号为CVE-2024-38063 ，是由整数下溢漏洞引起的，攻击者可以利用该漏洞触发缓冲区溢出，从而可用于在易受攻击的 Windows 10、Windows 11 和 Windows Server 系统上执行任意代码。 该安全研究员在推特上表示：“考虑到其危害，我不会在短期内透露更多细节”，并补充道，在本地 Windows 防火墙上阻止 IPv6 不会阻止漏洞利用，因为该漏洞在被防火墙处理之前就被触发。 正如微软在周二补丁日公告中所解释的那样，未经身份验证的攻击者可以通过反复发送包含特制数据包的 IPv6 数据包，在低复杂度攻击中远程利用此漏洞。 微软还分享了对此严重漏洞的可利用性评估，并为其贴上“更有可能被利用”的标签，这意味着攻击者可以创建漏洞代码来“在攻击中持续利用该漏洞”。 鉴于该漏洞的高风险，微软建议用户优先修补。对于那些无法立即安装本周 Windows 安全更新的用户，作为一种缓解措施，微软建议禁用 IPv6 以消除攻击面。 微软同时表示 IPv6 网络协议栈是“Windows Vista 和 Windows Server 2008 及更新版本的强制性部分”，并且不建议关闭 IPv6 或其组件，因为这可能会导致某些 Windows 组件停止工作。 可蠕虫漏洞 趋势科技Zero Day 团队表示，将 CVE-2024-38063 漏洞列为微软本周补丁日修复的最严重漏洞之一，并将其标记为可感染蠕虫的漏洞。 “最糟糕的情况可能是 TCP/IP 中的漏洞，它允许远程、未经身份验证的攻击者通过向受影响的目标发送特制的 IPv6 数据包来获得提升的代码执行能力。”趋势科技说。 “这意味着它是可感染蠕虫的。可以禁用 IPv6 来防止此漏洞，但几乎所有程序都默认启用 IPv6。” 虽然微软和其他公司警告 Windows 用户尽快修补其系统以阻止使用 CVE-2024-38063 漏洞的潜在攻击，但这并不是第一个并且可能不会是最后一个利用 IPv6 数据包进行攻击的 Windows 漏洞。 在过去四年中，微软修补了多个其他 IPv6 问题，包括两个被追踪为CVE-2020-16898 / 9  （也称为 Ping of Death）的 TCP/IP 漏洞，这些漏洞可被利用于远程代码执行 (RCE) 和使用恶意 ICMPv6 路由器通告数据包的拒绝服务 (DoS) 攻击。 此外，IPv6 碎片错误 ( CVE-2021-24086 ) 导致所有 Windows 版本都容易受到 DoS 攻击，而 DHCPv6 缺陷 ( CVE-2023-28231 ) 使得通过特制的调用获得 RCE 成为可能。 尽管攻击者尚未利用它们针对所有支持 IPv6 的 Windows 设备进行大规模攻击，但由于 CVE-2024-38063 被利用的可能性增加，建议用户立即应用本月 Windows 安全更新。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/VsfLU1n53a9PaVlx9wz_SA 封面来源于网络，如有侵权请联系删除

美国新闻媒体《华盛顿时报》被 Rhysida 勒索软件攻击，各种公司文件被拍卖，包括银行对账单、员工文件以及社会保障卡的复印件等。 Rhysida 集团声称正在网上拍卖《华盛顿时报》的“独家”数据，标价为5比特币，拍卖倒计时为七天。 “准备好打开钱包，购买独家数据。我们只卖给一个人，不转售，你将是唯一的所有者！”该团伙发帖称。 总部位于华盛顿特区的《华盛顿时报》被视为美国五大保守派媒体之一，每月在线访客超过 300 万，每天纸质读者超过 5 万。 Rhysida 暗网泄密网站 尽管 Rhysida 并没有具体说明从《纽约时报》服务器窃取的数据量，但提供了所谓的样本作为此次攻击的“证据”。 虽然样本难以辨认，Cybernews 仍能检查出这些样本似乎包含各种公司文件，包括银行对账单、员工文件以及某人的德克萨斯州驾照和社会保障卡的复印件。 Rhysida 暗网泄密网站 《华盛顿时报》暂未做出回应，但公司网站仍在正常运行，没有明显中断。 《华盛顿时报》由新闻世界传播集团于 1982 年创办，以印刷版和网络版形式出版。 Rhysida 受害者数量上升 自 2023 年 5 月成立以来， Rhysida 组织已在暗网上攻击了 114 名受害者。 根据美国政府去年 8 月发布的资料，该团伙以攻击“机会目标”而闻名，已渗透到教育、医疗、制造业和地方政府等多个领域。 Rhysida 被认为是一个勒索软件即服务（RaaS）组织，向其他“犯罪分子”出售其尚未完全成熟的黑客工具，获取一定比例的利润。该团伙经常进行双重勒索，即使受害者已经支付了解密密钥，仍威胁泄露被盗数据，除非收到第二笔付款。 今年，该团伙声称对英国国家图书馆（世界上最大的历史知识宝库之一）和芝加哥的Anne & Robert H. Lurie儿童医院的入侵负责。 在要求 400 万美元赎金（60 比特币）未支付后，Rhysida 最终泄露了从儿童医院窃取的所有数据，安全研究人员批评其行为“极其低劣”。 此外，该团伙还袭击了豪华游艇经销商 Marine Max、马里兰州乔治王子县学校系统和蜘蛛侠视频游戏制造商Insomniac Games。 2023 年的受害者还包括总部位于加州的医疗保健集团 Prospect Medical Holdings (PMH)，该攻击导致多个州的数十家医院和医疗机构服务中断。此外，总部位于慕尼黑的视频制造商 Travian Games 也成为了受害者。 今年 2 月，韩国互联网与安全局（KISA）的研究小组破解了该团伙的加密代码，并在其网站上发布了免费的 Rhysida 解密工具和手册。   消息来源：cybernews，译者：YY；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

据BleepingComputer消息，全球最大的ERP供应商SAP在本月修复了一批重要漏洞，其中包含一个关键的身份验证绕过漏洞，该漏洞可能允许攻击者完全破坏系统。 漏洞被跟踪为 CVE-2024-41730，CVSS v3.1 评分高达9.8，影响 SAP BusinessObjects Business Intelligence Platform 430 和 440版本 。根据漏洞描述，如果在企业身份验证上启用了单点登录，则未经授权的用户可以使用REST端点获取登录令牌。攻击者可以此完全破坏系统，从而对机密性、完整性和可用性产生重大影响。 另一个评分达9.1的漏洞被追踪为CVE-2024-29415，与 Node.js 的“IP”包中的一个缺陷有关，该包会检查 IP 地址是公共还是私有。当使用八进制表示时，会错误地将“127.0.0.1”识别为公有且全局可路由的地址。该漏洞影响版本低于4.11.130 的 SAP Build Apps。 其他一些评分在7.4至8.2的漏洞也同样不容忽视，包括： CVE-2024-42374– SAP BEx Web Java 运行时导出 Web 服务中的 XML 注入问题。影响 BI-BASE-E 7.5、BI-BASE-B 7.5、BI-IBC 7.5、BI-BASE-S 7.5 和 BIWEBAPP 7.5版本。 CVE-2023-30533– 与 SAP S/4 HANA 中的原型污染相关的漏洞，特别是在“管理供应保护”模块中，影响低于 0.19.3 的 SheetJS CE 库版本。 CVE-2024-34688– SAP NetWeaver AS Java 中的拒绝服务 （DOS） 漏洞，特别影响 Meta Model Repository 组件的MMR_SERVER 7.5版本 。 CVE-2024-33003– 与 SAP Commerce Cloud 中的信息泄露问题相关的漏洞，影响 HY_COM 1808、1811、1905、2005、2105、2011、2205 和 COM_CLOUD 2211版本。 由于SAP是全球最大的ERP供应商，布斯全球2000强榜单中有90%的企业使用了相关产品，因此黑客一直在利用SAP的漏洞，试图攻击这些高价值的企业网络。在2020年6月至2021年3月间，攻击者就利用未及时打补丁的SAP 系统，至少进行了300起公司网络渗透行为。   转自FreeBuf，原文链接：https://www.freebuf.com/news/408573.html 封面来源于网络，如有侵权请联系删除

近日，研究人员发现了一个服务器端请求伪造（SSRF）漏洞（CVE-2024-38109），利用该漏洞可访问服务内的跨租户资源，有可能导致横向移动。 Azure 健康机器人服务（Azure Health Bot Service）是一个专为医疗机构创建和部署人工智能驱动的虚拟健康助手而设计的云平台，最近被发现存在多个权限升级漏洞。 Azure 健康机器人服务中的权限升级漏洞 Azure 健康机器人服务使医疗保健提供商能够创建面向患者的聊天机器人，与患者信息门户或医学参考数据库等外部数据源交互。Tenable 研究人员发现，旨在允许机器人与外部数据源交互的 “数据连接 “功能可通过服务器端请求伪造（SSRF）攻击被利用。 来源：tenable官网 通过利用数据连接和第三方请求 API，研究人员执行了各种测试连接，发现 Azure 的内部元数据服务 (IMDS) 等常见端点最初无法访问。 然而，通过将数据连接配置到自己控制的外部主机，并利用重定向响应（301/302 状态代码），研究人员得以绕过服务器端缓解措施，访问 Azure 的内部元数据服务 (IMDS)。 通过有效的元数据响应，研究人员获得了 management.azure.com 的访问令牌，随后通过 API 调用列出了他们可以访问的订阅。这导致列出了属于其他客户的数百个资源，显示了跨租户信息。 在向微软安全响应中心（MSRC）报告了初步发现后，研究人员确认该问题已经解决。 微软的 MSRC 确认了该报告以及研究人员的发现，并于 2024 年 6 月 17 日开始调查该问题，并在一周内发布了修复程序。截至7 月 2 日，MSRC 证实所有受影响的环境都已打上了补丁。根据微软针对 CVE-2024-38109 漏洞的安全更新指南，此 CVE 所记录的漏洞无需客户采取行动即可解决。 研究人员重新测试了最初的概念验证，发现修复方法只是拒绝数据连接端点的重定向状态代码，从而消除了攻击载体。 然而，在测试过程中，FHIR（快速医疗互操作性资源）端点的验证机制中又发现了第二个漏洞。虽然这个问题的影响有限，但研究人员立即停止了调查，并向微软报告了这一发现，选择尊重 MSRC 关于访问跨租户资源的指导意见。该问题的修复程序已于 7 月 12 日前完成。 研究人员澄清说，他们发现的漏洞涉及人工智能聊天机器人服务底层架构中的弱点，而不是人工智能模型本身。   转自FreeBuf，原文链接：https://www.freebuf.com/news/408573.html 封面来源于网络，如有侵权请联系删除

今天是微软 2024 年 8 月补丁日，本次升级针对 89 个漏洞的安全更新，其中包括六个被积极利用的漏洞和三个公开披露的0day漏洞。微软仍在努力为第十个公开披露的0day漏洞开发补丁。 本次补丁日修复了八个严重漏洞，这些漏洞涉及权限提升、远程代码执行和信息泄露。 各个漏洞类别的漏洞数量如下： 36 个特权提升漏洞 4 个安全功能绕过漏洞 28 个远程代码执行漏洞 8 个信息泄露漏洞 6 个拒绝服务漏洞 7 个欺骗漏洞 上面列出的漏洞数量并不包括本月早些时候披露的 Microsoft Edge 漏洞。 本月补丁日修复了六个被积极利用的0day漏洞和另外三个公开披露的0day漏洞。目前，另一个公开披露的0day漏洞仍未修复，但微软正在开发更新。 以下是六个新修补的0day漏洞： CVE-2024-38178— Windows 脚本引擎中的内存损坏漏洞允许远程代码执行攻击，如果经过身份验证的客户端被诱骗点击链接，未经身份验证的攻击者便可发起远程代码执行。据 Microsoft 称，要成功利用此漏洞，攻击者需要先准备目标，使其在 Internet Explorer 模式下使用 Edge。CVSS 7.5/10。 Ahn 实验室和韩国国家网络安全中心报告了这一0day漏洞，表明该漏洞被用于国家级 APT 攻击。微软并未发布 IOC（攻击指标）或任何其他数据来帮助防御者寻找感染迹象。 CVE-2024-38189— Microsoft Project 中存在一个远程代码执行漏洞，攻击者可通过恶意操纵的 Microsoft Office Project 文件利用此漏洞，在禁用“通过 Internet 策略阻止宏在 Office 文件中运行”且未启用“VBA 宏通知设置”的系统上执行远程代码执行。CVSS 8.8/10。 微软表示，攻击者需要诱骗用户打开恶意文件，例如通过网络钓鱼攻击或引诱用户访问托管该文件的网站。 CVE-2024-38107 — Windows 电源依赖性协调器中的权限提升漏洞被评为“重要”，CVSS 严重性评分为 7.8/10。“成功利用此漏洞的攻击者可以获得系统权限.”微软表示，但没有提供任何 IOC 或其他漏洞利用遥测数据。 CVE-2024-38106 – 已检测到针对此 Windows 内核特权提升漏洞的攻击，该漏洞的 CVSS 严重性评分为 7.0/10。“成功利用此漏洞需要攻击者赢得竞争条件。成功利用此漏洞的攻击者可以获得系统权限。”此0day漏洞已匿名报告给 Microsoft。 CVE-2024-38213— 微软将其描述为 Windows Mark of the Web 安全功能绕过，在主动攻击中被利用。“成功利用此漏洞的攻击者可以绕过 SmartScreen 用户体验。” CVE-2024-38193– Windows 辅助功能驱动程序中 WinSock 的权限提升安全缺陷正在被广泛利用。目前尚不清楚技术细节和 IOC。成功利用此漏洞的攻击者可以获得系统权限。 微软还敦促 Windows 系统管理员紧急关注一批严重漏洞，这些问题使用户面临远程代码执行、权限提升、跨站点脚本和安全功能绕过攻击。 其中包括Windows 可靠多播传输驱动程序(RMCAST)中的一个主要缺陷，该漏洞会带来远程代码执行风险 (CVSS 9.8/10)；Windows TCP/IP 远程代码执行严重缺陷，CVSS 严重性评分为 9.8/10；Windows 网络虚拟化中两个独立的远程代码执行问题；以及Azure Health Bot中的信息泄露漏洞(CVSS 9.1)。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/p6babzoONUHIA413JpVQyA 封面来源于网络，如有侵权请联系删除