韩国执政党国民力量党声称，朝鲜黑客窃取了该国主战坦克 K2 坦克以及“白头山”号和“金刚山”号间谍机的重要信息。 人民进步党对朝鲜可能利用泄露的信息来规避军方监视、在战场上取得优势表示担忧，因此呼吁紧急采取更有力的措施以维护国家安全。 K2“黑豹”坦克是韩国的一款主战坦克，由国防开发局设计，现代罗特姆公司制造。自2008年推出以来，每辆售价850万美元，目前韩国已有260辆服役，另有150辆在计划中。 白头山和金刚山号间谍飞机是韩国在过去20年中用于边境监视的主要装备，用于监控朝鲜的军事活动（IMINT）和捕获无线通信（SIGINT）。 据当地媒体周五报道，K2坦克数据泄露是由于一名制造商的工程师跳槽至竞争公司，并将设计蓝图、开发报告和关于坦克过压系统的详细信息带走。新雇主意图将这项技术出口到中东，因此泄漏已超出韩国范围。 关于白头山和金刚山号间谍飞机，《东亚报》报道指出，一家韩国国防承包商遭到朝鲜黑客攻击，该承包商负责编写包括两架间谍飞机在内的军事装备操作和维护手册。黑客窃取了飞机的重要技术数据，包括技术细节、最近的技术升级、操作能力和维护信息。 韩国担心，侦察机技术的泄漏将使敌人能够开发更隐蔽的无人机和有效的监视规避措施。 人民进步党呼吁国内各政党团结一致，尽快商定并实施新的措施，以加强国家对抗网络间谍活动的能力。声明中指出：“随着朝鲜网络攻击的日益广泛和大胆，制定《网络安全基本法》以防止黑客攻击和技术盗窃已成为必要。为了保护国家利益，我们必须迅速修订刑法，将间谍法的适用范围扩大到‘外国’。” 2024年4月，韩国国家警察厅发出紧急警告，提醒国防工业公司警惕朝鲜威胁组织（如Lazarus、Andariel和Kimsuky）的攻击升级。警方特别行动发现，自2022年底以来，朝鲜特工已侵入多家公司，进行广泛的情报收集。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/juyuHyvmTte-vDWN-7-ntQ 封面来源于网络，如有侵权请联系删除

LoanDepot通过SEC报告披露称，今年1月曝光的勒索软件攻击相关的费用总计超1.92亿元。 安全内参8月13日消息，美国抵押贷款巨头LoanDepot 6日报告称，与最近的勒索软件攻击相关的成本已达到近2700万美元。 这次网络攻击于2024年1月初被曝光。当时，公司为了应对攻击导致数据被加密的情况，选择将一些系统下线。 几周后，LoanDepot通知当局，超过1600万人的个人信息可能已被泄露，包括姓名、地址、电子邮件地址、电话号码、出生日期、社会保障号码和金融账号等。 LoanDepot的最新财务报告显示，该事件给公司造成了2690万美元（约合人民币1.92亿元）的成本。 该金额包括“调查和补救网络安全事件的成本，客户通知和身份保护的成本，以及专业费用（包括法律费用、诉讼和解费用以及佣金担保）”。 LoanDepot补充道：“在截至2024年6月30日的季度内，公司因与网络安全事件相关的集体诉讼带来了2500万美元的应计成本。” 就在LoanDepot数据泄露曝光之前，执法机构刚刚针对Alphv/BlackCat勒索软件组织进行了打击，该组织声称对上述攻击事件负责。这些网络犯罪分子声称，他们正在出售从贷款机构窃取的数据。 电子制造服务公司Keytronic近日透露，最近的勒索软件攻击导致的费用和收入损失总计超过1700万美元。   转自安全内参，原文链接：https://mp.weixin.qq.com/s/CBVPPBDvTUZh1ilzzBnU8g 封面来源于网络，如有侵权请联系删除

近日，FortiGuard 实验室的网络安全研究人员发现了一种复杂的网络钓鱼活动，该活动利用多阶段执行流程和各种规避技术来传播包括远程访问木马（RAT）PureHVNC在内的多种恶意软件。 攻击流程 该活动专门针对企业员工，以一封精心制作的电子邮件为诱饵，伪装成来自客户的服务查询，而邮件中包含一个恶意 HTML 附件。邮件使用紧急语气，诱使收件人打开恶意 HTML 附件，从而触发一系列导致多种恶意软件部署的事件。 具体来讲，钓鱼邮件附件中的 HTML 文件利用 “search-ms “功能查询远程共享的恶意 LNK 文件。该 LNK 文件在 Windows 资源管理器中伪装成一个无害的 PDF 图标，其中包含一条命令，该命令使用 conhost.exe 作为进程运行远程批处理文件，这是一种利用合法的 Windows 进程逃避检测的技术。 名为 new.bat 的批处理文件经过深度混淆，以躲避安全检测。它使用编码技巧和字符串混淆，使得脚本看起来像是使用 UTF-16 编码并包含中文字符，这进一步增加了分析难度。脚本在打开一个假 PDF 文件的同时，通过 PowerShell 悄悄下载包含 Python 环境和恶意 Python 程序的两个ZIP文件，并将它们解压缩隐藏在用户的配置文件目录中。 最后阶段是依次运行 Python 程序，每个程序都会加载并执行 shellcode，以绕过检测机制并部署主要有效载荷PureHVNC。 活动中的每个 Python 文件都使用 GitHub 上名为 “Kramer “的 Python 混淆器进行了精心混淆。Kramer 使用随机生成的密钥对源代码进行加密，为逆向工程增加了一层保护。shellcode 由名为 “donut “的工具生成，旨在解密并执行下一阶段的有效载荷，同时绕过 AMSI 和 WLDP 等 Windows 安全功能。 Python混淆器“Kramer” 攻击的第二阶段引入了 shellcode 加载器 “laZzzy”，它伪装成合法的 Microsoft 管理控制台 (MMC) 应用程序。该加载器使用先进的注入技术在 notepad.exe 这个看起来无害的进程中执行最终有效载荷，从而避免被检测到。 在这场活动中部署的恶意软件中，PureHVNC 因其复杂的功能脱颖而出。作为一个 .NET 应用程序，PureHVNC 使用 .NET Reactor 进行了大量混淆处理，使其难以分析。它的主要功能是使用 AES 加密解密有效载荷，然后使用 Gzip 解压缩，提取 DLL 有效载荷并加载到内存中。 一旦激活，PureHVNC 就会执行一系列旨在保持持久性和收集情报的操作。它会使用 PowerShell 设置注册表运行键值或阻止系统休眠，确保恶意软件保持激活状态。然后，它会与命令与控制（C2）服务器通信，上报系统信息，包括已安装杀毒产品的详细信息、系统规格和用户信息。 PureHVNC 专门针对加密货币钱包、密码管理器和双因素身份验证 (2FA) 应用程序等高价值资产。它扫描这些应用的关联路径，并检查注册表中的安装软件，重点窃取敏感数据。 攻击并不仅限于 PureHVNC，C2 服务器还可以部署扩展恶意软件功能的其他插件。这场活动中发现的两个值得注意的插件是： 插件 1：PluginRemoteDesktop 该插件可远程控制受害者的系统。它与 C2 服务器通信以执行命令，允许攻击者操纵受害者的桌面环境、捕获屏幕截图、控制鼠标等。 插件 2：PluginExecuting 该插件用于执行附加文件、更新恶意软件，甚至卸载恶意软件以掩盖踪迹。它支持多种命令，包括下载和执行新恶意软件的命令，利用进程挖空技术将恶意代码注入合法进程中。 FortiGuard 实验室的网络安全研究人员敦促组织对此类威胁保持警惕，确保员工了解网络钓鱼电子邮件的危险性，并采取强有力的安全措施来检测和缓解多阶段攻击。正如此次活动所表明的，即使是最看似无害的电子邮件，也可能成为破坏性漏洞的起点。   转自Freebuf，原文链接：https://www.freebuf.com/news/408455.html 封面来源于网络，如有侵权请联系删除

近日，微软披露了 Office 中一个未修补的零日漏洞，如果被成功利用，可能导致敏感信息在未经授权的情况下泄露给恶意行为者。 该漏洞被追踪为 CVE-2024-38200（CVSS 得分：7.5），被描述为一个欺骗漏洞，影响以下版本的 Office： 32 位版本和 64 位版本的 Microsoft Office 2016 32 位版本和 64 位版本的 Microsoft Office LTSC 2021 适用于 32 位和 64 位系统的 Microsoft 365 企业应用程序 适用于 32 位和 64 位系统的 Microsoft Office 2019 微软在一份公告中提到：在基于网络的攻击场景中，攻击者可以托管一个网站，或利用一个接受或托管用户提供内容的受攻击网站，该网站包含一个特制文件专门利用该漏洞。 但是，攻击者无法强迫用户访问该网站。相反，攻击者必须诱导用户点击一个链接，通常是通过电子邮件或即时通信信息中的诱导方式，然后说服用户打开特制文件。 CVE-2024-38200的正式补丁预计将于8月13日正式发布。不过微软公司表示，他们已经确定了一种替代修复的方法，并已从2024年7月30日起通过 “功能飞行”（Feature Flighting）启用了该修复方法。 该公司还指出，虽然客户已经在所有支持版本的微软Office和微软365上得到了保护，但为了最大程度的规避安全风险，用户应在最终版本的补丁发布后立即更新。 微软对该漏洞进行了 “不太可能被利用 “的评估，并进一步概述了三种缓解策略——配置 “网络安全 “和 “安全漏洞”： 配置 “网络安全： 配置 “限制 NTLM：向远程服务器发出 NTLM 流量 “策略设置，允许、阻止或审计从运行 Windows 7、Windows Server 2008 或更高版本的计算机向任何运行 Windows 操作系统的远程服务器发出的 NTLM 流量。 将用户添加到受保护用户安全组，防止将 NTLM 用作身份验证机制 使用外围防火墙、本地防火墙并通过 VPN 设置阻止 TCP 445/SMB 从网络向外发送，以防止向远程文件共享发送 NTLM 身份验证信息 在披露该漏洞的同时，微软还表示其正在努力解决CVE-2024-38202 和 CVE-2024-21302两个零日漏洞，这些漏洞可能被利用来 “解除 “最新 Windows 系统的补丁，并重新引入旧漏洞。 上周，Elastic 安全实验室披露Windows智能应用控制（Smart App Control）和智能屏幕（SmartScreen）存在一个设计漏洞，该缺陷允许攻击者在不触发安全警告的情况下启动程序，至少自2018年以来一直在被利用。 智能应用控制是一项基于信任的安全功能，它使用微软的应用智能服务进行安全预测，并利用Windows的代码完整性功能来识别和阻止不受信任的（未签名的）或潜在危险的二进制文件和应用程序。 Elastic安全实验室认为，这一漏洞多年来一直被滥用，因为他们在VirusTotal中发现了多个利用此漏洞的样本，其中最早的提交时间超过六年。   转自Freebuf，原文链接：https://www.freebuf.com/news/408346.html 封面来源于网络，如有侵权请联系删除

一个可能与神秘威胁组织 “Crazy Evil “有关联的复杂网络犯罪行动已经将目光瞄准了 Mac 用户，利用流行的屏幕录像工具 Loom 来传播臭名昭著的 AMOS 窃取程序。Moonlock Lab 的研究人员发现了这一令人震惊的活动，揭露了攻击者是如何滥用谷歌广告来引诱毫无戒心的受害者访问精心制作的假 Loom 网站的。 最近，Moonlock Lab 发现，一个可能与俄罗斯有关联的名为 Crazy Evil 的组织正在传播 AMOS 窃取程序的变种。该组织正在谷歌广告上开展欺骗活动，将用户重定向到一个托管在 smokecoffeeshop[.]com的假冒 Loom 网站。该网站几乎完美地模仿了合法的 Loom 网站，从该网站下载的任何内容都会导致安装 AMOS 窃取程序。 自 2021 年首次出现以来，该恶意软件已发生了重大演变，并在不断更新和改进。这款复杂的恶意软件可以提取敏感信息、窃取浏览器数据，甚至清空加密货币钱包。 这种新型 AMOS 变种的一个显著特点是能够克隆合法应用程序。Moonlock Lab 发现，该恶意软件可以用恶意克隆程序替换 Ledger Live（一款流行的加密货币钱包应用程序）等应用程序。这一新功能代表了恶意软件功能的重大进步，使其能够绕过苹果应用商店的安全措施，直接侵入用户设备。 威胁行为者还创建了其他流行应用程序的假冒版本，包括 Figma、TunnelBlick (VPN) 和 Callzy。值得注意的是，其中一个名为BlackDesertPersonalContractforYouTubepartners[.]dmg 的虚假应用程序以游戏社区为目标，参考了大型多人在线角色扮演游戏 Black Desert Online。游戏玩家通常涉及数字资产和加密货币，是此类网络攻击的常见目标。 Moonlock Lab 将这次攻击活动背后的团伙称为 “疯狂邪恶”（Crazy Evil）。他们通过 Telegram 机器人进行沟通和招募，并强调新型 AMOS 窃取器在招募广告中的能力。该团伙的行动与一个高恶意软件关联 IP 地址（85[. 28[.]0[.]47）有关，研究人员进一步将他们与俄罗斯网络犯罪活动联系起来。 为了保护自己免受这种新型威胁，请遵循以下准则： 谨慎下载： 只从官方网站或 Apple App Store 下载软件。避免点击谷歌广告中的软件下载链接。 验证 URL： 仔细检查 URL，确保访问的是合法网站。 保护游戏账户： 警惕主动提供奖励或新游戏试用的信息。报告、阻止和删除可疑信息。 使用安全软件： 使用信誉良好的杀毒软件和反恶意软件工具来检测和删除威胁。   转自Freebuf，原文链接：https://www.freebuf.com/news/408362.html 封面来源于网络，如有侵权请联系删除

据The Hacker News消息，网络安全研究人员在 Amazon Web Services （AWS） 产品中发现了多个严重漏洞，如果成功利用这些漏洞，可能会导致严重后果。 根据云安全公司Aqua在与The Hacker News分享的一份详细报告，这些漏洞的影响范围包括远程代码执行（RCE）、全方位服务用户接管（可能提供强大的管理访问权限）、操纵人工智能模块、暴露敏感数据、数据泄露和拒绝服务攻击。 其中，研究人员发现最核心的问题是一种被称为“桶垄断（Bucket Monopoly）的影子资源攻击载体，能在使用 CloudFormation、Glue、EMR、SageMaker、ServiceCatalog 和 CodeStar 等服务时自动创建 AWS S3 存储桶。 由于以该方式创建的 S3 存储桶名称具有唯一性，又遵循预定义的命名规则，攻击者可利用此行为在未使用的 AWS 区域中设置存储桶，并等待合法的 AWS 客户使用上述易受攻击的服务之一来秘密访问 S3 存储桶的内容。 根据攻击者控制的S3存储桶权限，该攻击方法可用于升级以触发 DoS 条件，或执行代码、操纵或窃取数据，甚至在受害者不知情的情况下完全控制其账户。 不过，攻击者必须等到受害者首次在新区域部署新的 CloudFormation 堆栈才能成功发起攻击。而修改 S3 存储桶中的 CloudFormation 模板文件以创建恶意管理员用户还取决于受害者账户是否具有管理 IAM 角色的权限。 Aqua 表示，这种攻击方式不仅影响 AWS 服务，还影响企业组织在AWS 环境中部署的许多开源项目。Aqua还发现其他五项 AWS 服务依赖于类似的 S3 存储桶命名方法，从而容易遭受影子资源攻击： AWS Glue: aws-glue-assets-{Account-ID}-{Region} AWS Elastic MapReduce (EMR): aws-emr-studio -{Account-ID}-{Region} AWS SageMaker: sagemaker-{Region}-{Account-ID} AWS CodeStar: aws-codestar-{Region}-{Account-ID} AWS Service Catalog: cf-templates-{Hash}-{Region} 这些漏洞于2024年2月首次得到披露，亚马逊在3月—6月期间对这些漏洞进行了修复，相关研究成果已在近期举行的2024美国黑帽大会上进行了公布。   转自Freebuf，原文链接：https://www.freebuf.com/news/408363.html 封面来源于网络，如有侵权请联系删除

思科（Cisco）披露，其两款已终止服务的小型商务SPA 300和SPA 500系列IP电话中，基于Web的管理界面存在多个关键的远程代码执行零日漏洞。 目前思科没有为这些设备提供修复补丁，使用这些产品的用户需要转移使用更新的、仍在支持的型号上。 五个漏洞详情 思科披露了五个漏洞，其中三个被评为严重（CVSS v3.1评分：9.8），两个被归类为高严重性（CVSS v3.1评分：7.5）。严重漏洞被跟踪为CVE-2024-20450、CVE-2024-20452和CVE-2024-20454。这些缓冲区溢出漏洞允许未经身份验证的远程攻击者通过向目标设备发送特别构建的 HTTP请求，以root权限在底层操作系统上执行任意命令。 “如果成功利用此漏洞，攻击者可能会溢出内部缓冲区，并在根权限级别执行任意命令，”思科在公告中警告说。 两个高严重性漏洞是CVE-2024-20451和CVE-2024-20453。它们是由于对HTTP数据包的检查不充分引起的，这允许恶意数据包在受影响的设备上造成拒绝服务。 思科指出，这五个漏洞都会影响在SPA 300和SPA 500系列IP电话上运行的所有软件版本。无论电话配置如何，漏洞彼此独立，可以被单独利用。 已终止服务 根据思科公司的支持门户提供的信息，SPA 300产品最后一次销售给客户是在2019年2月，并且在三年后，即2022年2月，思科停止了对这个产品的技术支持。对于SPA 500型号的产品，供应商在2020年6月1日这一天，既停止了对该型号硬件的销售，也结束了对它的技术支持。值得注意的是，思科将继续为持有服务合同或特殊保修条款的客户保障SPA 500产品，直到2025年5月31日。 对于SPA 300产品，自2024年2月29日起，思科不再提供保障。 两者都不会获得安全更新，因此建议用户过渡到更新的受支持型号，例如Cisco IP Phone 8841或Cisco 6800系列的型号。 思科还提供技术迁移计划（TMP），允许客户以旧换新符合条件的产品并获得新设备的信用额度。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/jDKOHdqHFDGSWLXmY-22_g 封面来源于网络，如有侵权请联系删除

2024 年美国黑帽大会上，NCC 集团的研究人员披露了在 Sonos 智能扬声器中发现的漏洞，其中包括一个可能被用于窃听用户的漏洞。 其中一个漏洞被追踪为 CVE-2023-50809，可被目标 Sonos 智能扬声器 Wi-Fi 范围内的攻击者利用来远程执行代码。 研究人员演示了攻击者如何利用此漏洞控制 Sonos One 扬声器，秘密录制音频，然后将其泄露到攻击者的服务器。 Sonos 在 8 月 1 日发布的公告中向客户通报了该漏洞，但实际补丁已于去年发布。Sonos 扬声器使用的 Wi-Fi SoC 联发科也在 2024 年 3 月发布了修复程序。 Sonos 表示，该漏洞影响了无线驱动程序，该驱动程序“在协商 WPA2 四次握手时未能正确验证信息元素”。 该供应商表示：“低权限、近距离的攻击者可以利用此漏洞远程执行任意代码。” 此外，NCC 研究人员还发现了 Sonos Era-100 安全启动实现中的漏洞。通过将这些漏洞与之前已知的特权提升漏洞结合起来，研究人员能够以提升的特权实现持久代码执行。 NCC 集团发布了一份包含技术细节的白皮书，以及一段展示其窃听漏洞的视频。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/hY-1Lsx1J0TpYoBEsa-DEA 封面来源于网络，如有侵权请联系删除

AMD 警告称，一个被命名为 SinkClose 的高严重性 CPU 漏洞会影响其多代 EPYC、Ryzen 和 Threadripper 处理器。该漏洞允许具有内核级 (Ring 0) 权限的攻击者获得 Ring -2 权限并安装几乎无法检测到的恶意软件。 Ring -2 是计算机上最高权限级别之一，运行于 Ring -1（用于虚拟机管理程序和 CPU 虚拟化）和 Ring 0 之上，后者是操作系统内核使用的权限级别。 Ring -2 特权级别与现代 CPU 的系统管理模式 (SMM) 功能相关。SMM 处理电源管理、硬件控制、安全性以及系统稳定性所需的其他低级操作。 由于其高权限级别，SMM 与操作系统隔离，以防止其轻易成为威胁行为者和恶意软件的攻击目标。 SinkClose CPU 缺陷 该漏洞编号为 CVE-2023-31315，严重性评级为高（CVSS 评分：7.5），由 IOActive Enrique Nissim 和 Krzysztof Okupski 发现，他们将权限提升攻击命名为“Sinkclose”。 研究人员将在 DefCon 演讲中介绍有关此次攻击的全部细节，演讲主题为“ AMD Sinkclose：通用 Ring-2 权限提升”。 研究人员报告称，Sinkclose 近 20 年来一直未被发现，影响了多种 AMD 芯片型号。 SinkClose 漏洞允许具有内核级访问权限 (Ring 0) 的攻击者修改系统管理模式 (SMM) 设置，即使启用了 SMM Lock 也是如此。此漏洞可用于关闭安全功能并在设备上植入持久的、几乎无法检测到的恶意软件。 Ring -2 对于操作系统和虚拟机管理程序来说是隔离且不可见的，因此在此级别进行的任何恶意修改都无法被操作系统上运行的安全工具捕获或修复。 Okupski告诉 Wired，检测和删除使用 SinkClose 安装的恶意软件的唯一方法是使用一种名为 SPI Flash 编程器的工具物理连接到 CPU，然后扫描内存中是否存在恶意软件。 根据 AMD 的建议，以下型号受到影响： EPYC 第 1 代、第 2 代、第 3 代和第 4 代 EPYC Embedded 3000、7002、7003 和 9003、R1000、R2000、5000 和 7000 Ryzen Embedded V1000、V2000 和 V3000 Ryzen 3000、5000、4000、7000 和 8000 系列 Ryzen 3000 移动版、5000 移动版、4000 移动版和 7000 移动版系列 Ryzen Threadripper 3000 和 7000 系列 AMD Threadripper PRO（Castle Peak WS SP3、Chagall WS） AMD Athlon 3000 系列移动版（Dali、Pollock） AMD Instinct MI300A AMD在其公告中表示，它已经针对其 EPYC 和 AMD Ryzen 台式机和移动 CPU 发布了缓解措施，并将在稍后发布针对嵌入式 CPU 的进一步修复措施。 实际影响和反应 内核级访问是实施 Sinkclose 攻击的先决条件。AMD 在给 Wired 的声明中指出了这一点，并强调了在现实场景中利用 CVE-2023-31315 的难度。 然而，IOActive 回应称，内核级漏洞虽然并不普遍，但在复杂的攻击中肯定并不少见，根据先前攻击情况实例来看，确实如此。 高级持续性威胁 (APT) 参与者，例如朝鲜的 Lazarus 组织，一直在使用BYOVD（自带易受攻击的驱动程序）技术，甚至利用Windows 零日漏洞来提升其权限并获得内核级访问权限。 勒索软件团伙还使用 BYOVD 策略，采用定制的 EDR 杀伤工具出售给其他网络犯罪分子以获取额外利润。 臭名昭著的社会工程专家Scattered Spider也被发现利用 BYOVD 来关闭安全产品。 这些攻击可以通过各种工具实现，包括Microsoft 签名的驱动程序、防病毒驱动程序、 MSI 图形驱动程序、有漏洞的 OEM 驱动程序，甚至是享有内核级访问权限的游戏反作弊工具。 尽管如此，Sinkclose 可能对使用基于 AMD 系统的组织构成重大威胁，尤其是来自国家支持的和老练的专业黑客组织的威胁，不容忽视。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/hY-1Lsx1J0TpYoBEsa-DEA 封面来源于网络，如有侵权请联系删除

近日，一个名为 “0.0.0.0 Day “的重大安全漏洞在网络安全社区中引发了巨大反响，该漏洞导致数百万使用 Chrome、Firefox 和 Safari 等流行浏览器的用户受到潜在攻击。同时，该漏洞还允许恶意行为者访问私人网络（特别是 “本地主机”）中设备上存储的文件、信息、凭证和其他敏感数据。 什么是 0.0.0.0 Day漏洞？ 0.0.0.0 Day漏洞是以色列网络安全初创公司 Oligo 新发现的漏洞，攻击者能够在补丁可用之前利用该漏洞。 这个漏洞是一个涉及 IP 地址 0.0.0.0 的0-Day漏洞。该漏洞被研究人员称为”0.0.0.0 Day”，它暴露了浏览器处理网络请求时的一个漏洞，可被滥用来访问敏感的本地服务。 这是一个存在多年的漏洞。研究人员发现，早在 2006 年就有报告称存在涉及 IP 地址的安全问题。 图解公共网络如何使用 0.0.0.0 地址与专用网络和本地设备通信，来源：Oligo 正如报告中所提到的，该漏洞的技术细节涉及恶意网站欺骗浏览器，允许浏览器与运行在用户本地机器（localhost）上的 API（应用程序编程接口）进行交互。 这些 API 通常是为应用程序内部通信而设计的，不应该从网站等外部来源访问。这些网站只需瞄准 0.0.0.0，而不是 localhost/127.0.0.1，就有可能在访问者的硬件上执行代码。通过利用 0.0.0.0 Day漏洞，攻击者有可能在未经授权的情况下访问存储在用户计算机上的敏感信息、窃取数据甚至启动恶意软件。 这项研究进一步凸显了浏览器安全漏洞十分令人担忧的现状。浏览器的设计目的是作为用户与潜在有害在线内容之间的屏障。然而，0.0.0.0 Day漏洞暴露了浏览器处理网络请求的弱点。不同浏览器在安全机制上的不一致性，可能会让恶意行为者访问用户的本地网络和在其上运行的服务。 与 0.0.0.0 通信的网站数量，来源：Oligo 对市面上主流浏览器带来巨大影响 研究人员发现，几乎市面上的所有浏览器都可能受到该漏洞的影响，所以作为负责任披露的一部分，所有相关公司都已被告知，目前这些公司也都做出了相应的应对措施，具体如下： Chrome 0-Day漏洞： 谷歌 Chrome 浏览器是全球最流行的浏览器，无疑是攻击者的首要目标。如果成功利用0.0.0.0 Day漏洞，攻击者就可以绕过 Chrome 浏览器的安全机制，访问用户的本地网络。这可能会暴露存储在用户计算机上的敏感数据，如果用户是远程办公，还可能危及企业网络，甚至为安装恶意软件提供便利。 火狐0-Day漏洞： 火狐浏览器虽然不像 Chrome 浏览器那样被广泛使用，但仍然是许多用户的首选。成功利用 0.0.0.0 Day漏洞可能会给 Firefox 用户带来类似的后果。攻击者有可能访问本地网络、窃取数据或发起恶意软件攻击。 Safari 0-Day漏洞：苹果公司的 Safari 浏览器是苹果设备上的默认浏览器，也有可能受到 0.0.0.0 Day 漏洞的攻击。虽然苹果公司以强大的安全性著称，但这一漏洞凸显了时刻保持警惕的必要性。成功的漏洞利用可能会让攻击者访问用户 Mac 或 iOS 设备上的本地网络，从而可能泄露敏感数据或为进一步攻击提供便利。 针对这一安全漏洞，苹果和谷歌更新了正在努力解决这一问题的方法。报告显示，在即将发布的 macOS 15 Sequoia 测试版中，苹果 Safari 将阻止所有查询 0.0.0.0 IP 地址的尝试。同样，谷歌 Chrome 浏览器的安全团队也在努力修复漏洞。谷歌正在推出阻止访问 0.0.0.0 的更新，预计将在 Chrome 133 中完全实施。 微软已经在 Windows 操作系统中阻止了对 0.0.0.0 IP 地址的访问。然而，Mozilla 采取了不同的立场。Mozilla 发言人表示，担心实施更严格的限制可能会带来严重的兼容性问题。由于有关标准的讨论和对这些兼容性风险的评估仍在进行中，火狐尚未实施拟议的限制。相反，Mozilla 计划继续参与这一进程，以确保采取一种平衡的方法。 0.0.0.0 Day 漏洞的发现凸显了在日益复杂的威胁环境中维护浏览器安全所面临的持续挑战。浏览器开发商必须继续投资研发，时刻领先于网络犯罪分子。同时，用户也必须保持警惕，以保护自己免受新威胁的侵害。   转自Freebuf，原文链接：https://www.freebuf.com/news/408169.html 封面来源于网络，如有侵权请联系删除