“黑客采用多阶段攻击链，涉及受感染的网站、命令与控制 (C2) 服务器、在某些情况下是虚假的浏览器更新以及 JScript 下载器，以将后门部署到受害者的系统中，”德国网络安全公司 G DATA 在一份报告中表示。 近期，黑客利用合法但被入侵的网站，传播名为 BadSpace 的 Windows 后门的渠道，其伪装是虚假的浏览器更新。 研究人员 kevross33 和 Gi7w0rm 上个月首次分享了该恶意软件的详细信息。 一切都始于一个被入侵的网站，包括那些基于 WordPress 构建的网站，以注入包含逻辑的代码来确定用户是否曾经访问过该网站。 如果这是用户的第一次访问，代码将收集有关设备、IP 地址、用户代理和位置的信息，并通过 HTTP GET 请求将其传输到硬编码域。 随后，服务器的响应会将网页内容与虚假的 Google Chrome 更新弹出窗口叠加，以直接投放恶意软件或 JavaScript下载器，进而下载并执行 BadSpace。 对活动中使用的 C2 服务器的分析发现了与已知恶意软件 SocGholish（又名 FakeUpdates）的联系，这是一种基于 JavaScript 的下载器恶意软件，通过相同的机制进行传播。 除了使用反沙盒检查和使用计划任务设置持久性之外，BadSpace 还能够收集系统信息和处理命令，使其能够截取屏幕截图、使用cmd.exe执行指令、读取和写入文件以及删除计划任务。 披露此消息之际，eSentire 和 Sucuri 都已警告不同的活动利用受感染网站中的虚假浏览器更新诱饵来分发信息窃取程序和远程访问木马。   转自e安全，原文链接：https://mp.weixin.qq.com/s/DcWU8fblPmUSNZZLgjpI1g 封面来源于网络，如有侵权请联系删除

一次未受保护的安全事件暴露了自 1989 年以来提交的 1350 万起犯罪举报背后的举报人信息，严重威胁使用巴尔的摩市 311 服务的个人的安全。 虽然举报犯罪是每个公民的义务，但大多数人都希望至少在一定程度上保持匿名，以免受到报复。Cybernews 研究团队的最新发现给公民的隐私问题蒙上一层阴影。 5 月 8 日，该团队发现一个属于巴尔的摩市可公开访问的 Kibana 实例。暴露的数据库没有身份验证或授权系统来防止未经授权的访问。 在几乎任何人都可以接触到的大量敏感数据中，这个实例包含通过该市 311 电话服务提交的报告。311 最初是巴尔的摩的非紧急电话热线，现在可以通过网站或应用程序进行互动。 据研究人员称，暴露的数据库泄露了几十年来提交请求的人的姓名、电子邮件地址和电话号码。 研究人员表示：“尽管 311 并非紧急服务电话，但一些居民仍用它来举报犯罪。泄露此类数据可能会危及举报犯罪的人，尤其是在美国凶杀率最高的城市。” 截至 5 月 20 日，暴露的实例已不再向公众开放。Cybernews 已联系巴尔的摩市征求意见，但在发布之前尚未收到回复。 哪些数据被泄露了？ 虽然该实例仍可公开访问，但该团队总结称，该数据库包含巴尔的摩居民提交的报告和投诉。此外，该实例还包含： 已报告的交通事故 住房消毒请求和投诉 道路质量报告 测速摄像头的位置和状态 动物控制投诉 非法活动指控 由于大部分数据都是通过 311 服务提交的，因此随着市政府向公众发布部分报告，部分报告已经公开。但是，本例中的数据数量和容量明显高于公开的数据。 据该团队介绍，此次泄露的数据包含了几十年来提交的超过 1350 万份报告，其中一些报告可以追溯到 1989 年。由于 311 服务于 1996 年才推出，调查结果表明，此次数据泄露暴露了几份较早的数字化报告。 研究人员表示：“此次泄密事件损害了那些在该平台上举报犯罪行为等问题的个人的隐私，甚至可能损害了他们的安全。泄露此类报告可能会对使用该平台的巴尔的摩市民造成危险，因为巴尔的摩市在美国暴力犯罪排行榜上名列前茅。” 去年巴尔的摩每十万居民发生 45 起凶杀案，是美国平均水平的八倍多。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/uWVQetufimVhVbDQVtpwwA 封面来源于网络，如有侵权请联系删除

一个名为 ExCobalt 的网络犯罪团伙利用一种之前未知的基于 Golang 的后门（名为 GoRed）攻击了俄罗斯目标。 Positive Technologies 研究人员 Vladislav Lunin 和 Alexander Badayev在本周发布的技术报告中表示：“ExCobalt 专注于网络间谍活动，其几名成员至少自 2016 年以来就一直活跃，大概曾经是臭名昭著的Cobalt Gang的成员。” “Cobalt攻击金融机构以窃取资金。Cobalt 的标志之一是使用CobInt 工具，这是 ExCobalt 在 2022 年开始使用的工具。” 过去一年来，该黑客组织发起的攻击针对俄罗斯的各个行业，包括政府、信息技术、冶金、采矿、软件开发和电信部门。 初始访问环境是通过利用先前受到攻击的承包商和供应链攻击来实现的，其中攻击者感染了用于构建目标公司合法软件的组件，这表明其高度复杂。 攻击链 该作案手法需要使用各种工具（如 Metasploit、Mimikatz、ProcDump、SMBExec、Spark RAT）在受感染的主机上执行命令，以及 Linux 权限提升漏洞（CVE-2019-13272、CVE-2021-3156、CVE-2021-4034和CVE-2022-2586）。 GoRed 自诞生以来经历了多次迭代，是一个全面的后门，允许操作员执行命令、获取凭据并收集活动进程、网络接口和文件系统的详细信息。它利用远程过程调用 (RPC) 协议与其命令和控制 (C2) 服务器进行通信。 此外，它还支持多种后台命令，用于监视感兴趣的文件和密码以及启用反向 shell。然后，收集的数据将导出到攻击者控制的基础设施。 研究人员表示：“ExCobalt 在攻击俄罗斯公司方面继续表现出高度的活跃和决心，不断在其武器库中添加新工具并改进其技术。” “此外，ExCobalt 通过用修改后的标准实用程序补充其工具集，展示了灵活性和多功能性，这有助于该组织轻松绕过安全控制并适应保护方法的变化。”   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/qJVWk6LVGRVR3FKokt3sCA 封面来源于网络，如有侵权请联系删除

法国信息安全机构 ANSSI 报告称，与俄罗斯有关的APT组织Nobelium是针对法国外交机构的一系列网络攻击的幕后黑手。 法国机构将这些攻击与网络间谍组织Nobelium（又名 APT29、  SVR 组织、  Cozy Bear、Midnight Blizzard、  BlueBravo和 The Dukes ）联系起来，但 ANSSI 将这些组织划分为不同的威胁集群，其中包括一个名为 Dark Halo 的组织，该组织对 2020 年的SolarWinds攻击负有责任。 2020 年 10 月，针对高价值目标发动攻击，很可能是出于间谍目的。西方外交实体，如大使馆和外交部，占 Nobelium 已知受害者的大多数。然而，几家 IT 公司也报告说，他们在 2023 年底和 2024 年成为 Nobelium 运营商的目标。 ANSSI 发布的这份报告基于法国机构收集的信息、其国家合作伙伴（称为 C4 成员）分享的证据以及公开的报告。该文件警告称，Nobelium 针对法国公众和外交实体开展了网络钓鱼活动，目的是收集战略情报。 “Nobelium 的特点是使用特定的代码、策略、技术和程序。大多数针对外交实体的 Nobelium 活动都使用外交人员的被盗合法电子邮件账户，并针对外交机构、大使馆和领事馆进行网络钓鱼活动。”ANSSI 发布的报告写道。“这些活动也被公开描述为名为‘外交轨道’的活动。” 攻击者伪造诱饵文件以针对外交人员，试图提供其自定义加载程序以投放公开的后利用工具，例如Cobalt Strike或 Brute Ratel C4。这些工具允许攻击者访问受害者的网络、执行横向移动、投放额外的有效载荷、保持持久性并窃取有价值的情报。 该机构证实，多家 IT 公司也报告称，它们将在 2023 年底和 2024 年成为 Nobelium 攻击的目标。 报告中写道：“法国公共组织多次成为外国机构发送的钓鱼邮件的目标，这些机构此前已被 Nobelium 的运营商入侵。”“从 2021 年 2 月到 5 月，Nobelium 运营商利用法国文化部和国家领土凝聚力局 (ANCT) 的被入侵电子邮件账户，进行了多次钓鱼活动，发送了一个名为‘战略评估’的附件。” 2022 年 3 月，驻南非的欧洲大使馆收到了一封冒充法国大使馆的钓鱼邮件，称该大使馆在遭受恐怖袭击后关闭。攻击者从一名法国外交官的被盗账户发送了这封电子邮件。2022 年 4 月和 5 月，Nobelium 钓鱼邮件到达了法国外交部数十个电子邮件地址。攻击者使用了诸如乌克兰大使馆关闭或与葡萄牙大使会面等主题。 2023 年 5 月，Nobelium 针对基辅的几个欧洲大使馆（包括法国大使馆）发起了网络钓鱼活动，其中涉及一封有关“外交使馆车辆出售”的电子邮件。ANSSI 还报告了一次入侵法国驻罗马尼亚大使馆的未遂企图。 “在最近地缘政治紧张的背景下，尤其是欧洲，由于俄罗斯侵略乌克兰，ANSSI 观察到与 Nobelium 相关的活动水平很高。Nobelium 针对政府和外交实体的活动代表了国家安全问题，并危及法国和欧洲的外交利益。”报告总结道，并提供了入侵检测指标。“Nobelium 的技术、策略和程序随着时间的推移基本保持不变。”   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/OqhStsiavHV_2bCHE_PRNQ 封面来源于网络，如有侵权请联系删除

2024 年 6 月，领先的网络安全公司卡巴斯基进行了一项突破性研究，在从暗网获取的 1.93 亿个密码中，有 45% 在一分钟内被破解。这一令人震惊的结果凸显了加强密码安全的迫切性。 在一分钟内破解密码？这是真的吗？ 正如网络安全报告预期的那样，研究结果非常令人担忧。在分析的 1.93 亿个密码中，卡巴斯基发现： 45%（8700 万个）的密码可以在一分钟内被破解 14%（2700 万个）的密码需要 1 分钟到 1 小时 8%（1500 万个）需要一天时间 6%（1200 万个）需要一个月 4%（800 万人）需要一个月到一年的时间 这些百分比约占所研究密码的 77%。其余 23%（4400 万个）的密码被卡巴斯基归类为 “抗性 “密码，这意味着使用暴力或智能猜测算法需要一年多的时间才能破解。 不要使用字典单词 卡巴斯基的研究还显示，57% 的密码包含字典单词，大大削弱了密码的强度。使用常用词会使密码更容易预测，也更容易被破解。 以下是研究中发现的一些最著名的序列： 姓名： 常见姓名，如 “Ahmed”、”Nguyen”、”Kumar”、”Kevin “和 “Daniel” 名言：如 “永远”、”爱”、”谷歌”、”黑客 “和 “游戏玩家” 标准密码：”password”、”qwerty12345″、”admin “和 “team “等常见选项 卡巴斯基注意到，只有 19% 的密码具有非字典单词、小写和大写字母、数字和符号的 “强组合”。不过，即使在这些密码中，也有 39% 的密码可以在一小时内通过算法破解。 运行密码猜测算法的门槛相对较低。卡巴斯基报告称，攻击者可以掌握深厚的技术知识并使用昂贵的设备。一个拥有强大笔记本电脑处理器的黑客只需 7 分钟就能猜出包含 8 个字符（小写字母或数字）的密码。此外，智能猜测算法可以处理常见的替换，如用”@”替换 “a “或用感叹号替换 “1”。 如何强化密码？ 要加强网络安全，遵循卡巴斯基和其他网络安全专家的建议至关重要。通过采取以下措施，可以更好地掌控数字安全： 使用密码管理器： 这有助于减少记忆多个密码的需要。阅读密码管理器指南，找到最适合自己的密码管理器 为每项服务设置唯一密码： 避免在多个账户中使用相同的密码，以最大限度地降低账户被泄露的风险 用短语代替密码： 创建长而独特的短语，自己能记住，别人却很难猜到 测试密码强度： 使用安全且经过验证的密码检查器来确保密码的强度 避免使用个人信息： 不要在密码中使用生日、宠物名或家庭成员的名字 启用双因素身份验证（2FA）： 这增加了一个额外的安全层，需要在输入密码后进行另一个验证步骤（在有 2FA 的地方使用它）   转自FreeBuf，原文链接：https://www.freebuf.com/news/404091.html 封面来源于网络，如有侵权请联系删除

拜登政府宣布禁用卡巴斯基杀毒软件，美国公司和消费者 2024 年 9 月 29 日前需要找到替代软件。 美国商务部工业与安全局（BIS）宣布了一项政令，禁止俄罗斯反病毒软件和网络安全公司卡巴斯基直接或间接向美国人提供反病毒软件和网络安全产品服务。 禁令主要涉及了卡巴斯基产品的销售，阻止该公司向客户提供杀毒软件和安全更新，客户必须在 9 月底之前找到替代软件。值得一提的是，禁令划定的范围非常广泛，不仅涉及卡巴斯基母公司，其它附属公司、子公司等都处于禁令范围内。 美国商务部长吉娜-雷蒙多（Gina Raimondo）表示，拜登-哈里斯政府一直以来致力于美国国家安全保障体系建设，俄罗斯种种行为一次又一次地表明，其有能力也有意图利用卡巴斯基实验室等俄罗斯公司，收集美国公民的敏感信息并将其武器化。美国政府会继续利用所掌握的一切工具，保护美国的国家安全和美国人民。 卡巴斯基方面否认与俄罗斯政府存在某种关系，但美国政府指出，由于俄罗斯政府的网络攻击技术高超以及能够影响卡巴斯基的运营，如果不全面禁止该公司在美国的服务，就无法降低网络安全风险，可能会在美国境内引发新的网络安全危机。 从禁令内容来看，美国方面的担忧很大程度上源于卡巴斯基获得了与 Equation Group 有关的秘密安全工具和安全漏洞，Equation Group 又被认为是美国国家安全局的网络行动部门。当时，卡巴斯基表示，他们的杀毒软件在检测到此前未曾出现的恶意文件后，会自动检索 NSA 的文件。 美国政府认为，俄罗斯 FSB 特工或其他卡巴斯基内部人员可能会利用卡巴斯基杀毒软件作为交互式搜索引擎，扫描全球计算机，查找感兴趣的文件。因此，美国政府就开始慢慢禁止在联邦机构内使用卡巴斯基产品。随着禁令发布，卡巴斯基产品在美国全境范围内都将被禁止使用。 禁令中明确指出，自美国东部时间 2024 年 7 月 20 日午夜起，卡巴斯基被禁止与美国企业签订任何新协议（包括该公司的任何软件或白标签产品）。美国东部时间 2024 年 9 月 29 日午夜，禁止卡巴斯基或其任何代理商向客户分发软件和杀毒软件更新，并禁止在美国或任何美国人的系统上运行卡巴斯基安全网络 (KSN)。 虽然此次禁令不会对在上述期限后继续使用卡巴斯基软件的美国个人采取法律行动，但这些用户需要自行承担使用该软件的安全风险。 据悉，除禁令外，BIS 还将三个与卡巴斯基有关联的实体，OO 卡巴斯基实验室、OOO 卡巴斯基集团（俄罗斯）和卡巴斯基实验室有限公司（英国）列入实体名单，理由是这些实体涉嫌与俄罗斯政府开展了非法合作。   转自FreeBuf，原文链接：https://www.freebuf.com/news/404079.html 封面来源于网络，如有侵权请联系删除

Meta宣布，它正在推迟使用成年人在 Facebook 和 Instagram 上分享的公共内容训练其大型语言模型 (LLM)，以响应爱尔兰数据保护委员会 (DPC) 的要求。 “DPC 欢迎 Meta 暂停使用欧盟/欧洲经济区成年人在 Facebook 和 Instagram 上分享的公共内容训练其大型语言模型的决定。这一决定是在 DPC 和 Meta 密切接触之后做出的。”DPC 的请求中写道。“DPC 将与其他欧盟数据保护机构合作，继续就这一问题与 Meta 进行接触。” Meta 则在声明中表示：“我们对爱尔兰数据保护委员会 (DPC) 的请求感到失望，该委员会是我们的首要监管机构，代表欧洲数据保护机构 (DPA) 推迟使用成年人在 Facebook 和 Instagram 上分享的公开内容来训练我们的大型语言模型 (LLM)——特别是因为我们采纳了监管反馈，并且自 3 月以来欧洲数据保护机构就已获悉此事。”“这对欧洲创新、人工智能开发竞争而言是倒退的一步，也进一步推迟了人工智能为欧洲人民带来的好处。” 该公司解释说，其人工智能，包括 Llama LLM，已经在世界其他地区投入使用。Meta 解释道，为了向其欧洲社区提供更好的服务，它需要根据相关信息来训练模型，这些信息反映了欧洲人民的不同语言、地理和文化背景。出于这个原因，该公司最初计划使用其在欧盟的欧洲用户在其产品和服务上公开声明的内容来训练其大型语言模型。 Meta 打算在6月26日实施这些更改，让用户可以通过提交请求选择退出数据使用。 “我们仍然非常有信心，我们的方法符合欧洲法律法规。人工智能培训并不是我们服务所独有的，而且我们比许多行业同行更透明。”声明继续说道。 “我们致力于将 Meta AI 及其驱动模型带给世界各地更多人，包括欧洲人。但简单地说，如果不包括本地信息，我们只能为人们提供二流的体验。这意味着我们目前无法在欧洲推出 Meta AI。” Meta 补充道，延迟将使其能够在开始培训之前处理英国信息专员办公室 (ICO) 的请求。   转自e安全，原文链接：https://mp.weixin.qq.com/s/8UFLQYuoWEaVcPMEX-CeqA 封面来源于网络，如有侵权请联系删除

LevelBlue Labs（前身为 AT&T Alien Labs）报告称，最近发现的一种名为 SquidLoader 的恶意软件加载器与一个未知的黑客组织有关，该组织两年来一直以中文受害者为目标。 LevelBlue Labs 最近发现了一种新型高度规避检测的加载程序，该加载程序通过网络钓鱼附件传送给特定目标。加载程序是一种恶意软件，用于将第二阶段有效负载恶意软件加载到受害者的系统中。 由于缺乏在野外观察到的先前样本，LevelBlue Labs 将此恶意软件命名为“SquidLoader”，因为它明显具有诱饵和规避作用。 在分析 LevelBlue Labs 检索到的样本后，研究人员发现 SquidLoader 正在使用几种技术来避免被静态或动态分析。LevelBlue Labs 于 2024 年 4 月下旬首次在活动中观察到 SquidLoader，研究人员评估在此之前至少已经活跃了一个月。 2024 年 4 月下旬，LevelBlue Labs 观察到一些可能附加在钓鱼电子邮件中的可执行文件。观察到的样本之一是“914b1b3180e7ec1980d0bafe6fa36daade752bb26aec572399d2f59436eaa635”，其中文文件名翻译为“华为工业级路由器相关产品介绍和优秀客户案例”。 LevelBlue Labs 观察到的所有样本都以中国公司命名，例如：中国移动集团陕西有限公司、嘉奇智能科技或黄河水利技术研究所 (YRCTI)。所有样本都有描述性文件名，旨在引诱员工打开它们，它们带有与 Word 文档相对应的图标，但实际上是可执行二进制文件。 这些样本是加载程序，它们通过对 /flag.jpg URI 的 GET HTTPS 请求下载并执行 shellcode 有效负载。这些加载程序具有强大的规避和诱饵机制，可帮助它们保持不被发现，同时也妨碍分析。传递的 shellcode 也加载在同一加载程序进程中，很可能是为了避免将有效负载写入磁盘，从而避免被发现的风险。 LevelBlue 解释道：“由于在此加载器中观察到的所有诱饵和逃避技术，以及之前没有类似的样本，LevelBlue 实验室将此恶意软件命名为‘SquidLoader’。” 已识别的 SquidLoader 样本已使用合法（尽管已过期）证书进行签名，并会连接到使用自签名证书的命令和控制 (C&C) 服务器。 LevelBlue Labs 观察到的大多数样本都使用合法的过期证书来使文件看起来不那么可疑。无效证书（于 2021 年 7 月 15 日到期）颁发给杭州英格科技有限公司。 它的指纹为“3F984B8706702DB13F26AE73BD4C591C5936344F”，序列号为“02 0E B5 27 BA C0 10 99 59 3E 2E A9 02 E3 97 CB”。然而，这并不是用于签署恶意样本的唯一无效证书。 SquidLoader 使用的命令和控制 (C&C) 服务器采用自签名证书。在本次调查过程中，所有发现的 C&C 服务器均使用包含以下字段的证书，包括颁发者和主体： 通用名称：localhost 组织单位：group 组织：Company 地點：Nanjing 州/省：Jiangsu 国家：CN 样本执行后，恶意软件加载程序首先使用无害的名称将自身复制到预定义位置，这可能是一种诱饵技术。事实上，该恶意软件使用各种其他诱饵以及多种规避技术来确保自己能够躲过检测。 观察到的一些技术包括无意义或模糊的指令、加密的代码段、堆栈内的加密字符串、跳转到指令中间、返回地址混淆、控制流图 (CFG) 混淆、调试器检测和直接系统调用。 尽管文件名和图标声称是 Word 文档以欺骗受害者，但这些样本包含大量引用微信或 mingw-gcc 等流行软件产品的代码，试图误导检查文件的安全研究人员。此外，文件和 PE 元数据还带有对这些公司的引用。 这样做是为了诱使受害者相信这些产品是合法的组件。然而，这些代码永远不会被执行——因为在执行到达该点之前，执行流将转移到加载的有效载荷。 在调查过程中，LevelBlue 实验室发现该恶意软件加载器只传递了一个有效载荷，即 Cobalt Strike 信标，其配置曾在针对中文用户的多个活动中出现过。 观察到的工具、技术和程序 (TTP) 与高级持续威胁 (APT) 行为者一致，但 LevelBlue Labs 表示没有足够的数据将该威胁行为者归类为 APT。 LevelBlue Labs 表示：“鉴于 SquidLoader 在逃避检测方面取得的成功，针对中国以外人群的攻击者可能会开始模仿 SquidLoader 所使用的技术，帮助他们逃避对其独特恶意软件样本的检测和分析。”   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/cklZzsYY_kTrJTZP50XcmA 封面来源于网络，如有侵权请联系删除

黑客经常滥用武器化的 Word 文档，因为它们可能包含宏，这些宏包含或利用 Word 文件内部的缺陷，在目标受害者打开时运行破坏性代码。 攻击者可以利用此工具向目标系统传递有效负载或通过简单地向目标发送带有 Word 文件来对目标系统进行未经授权的访问，大多数情况下可以逃避安全系统。 Cyble 的网络安全研究人员发现，黑客一直在积极使用武器化的 Word 文档进行二维码网络钓鱼攻击。 二维码钓鱼攻击 QR 码网络钓鱼攻击最近激增，利用该技术的普遍性和用户的熟悉度将用户重定向到窃取凭证的网站。 2024 年，此类攻击与 2023 年底相比增加了 22%，其中 89.3% 旨在窃取凭证。 攻击者在电子邮件、文档和公共场所嵌入恶意二维码，利用它们来掩盖攻击目的。 最近的一次活动使用 Microsoft Word 文档冒充中国政府机构，其中包含未被发现的二维码，提示用户进行身份验证以获取虚假补贴，目的是收集财务数据，就像 Fortinet 记录的 2023 年 1 月事件一样。 恶意二维码会将受害者重定向到由 DGA 生成的域，该域中托管着一个冒充中国人力资源部的钓鱼网站。 Cyble报告称，该域名解析为 IP 20.2.161.134，其托管与大规模网络钓鱼活动相关的其他几个子域名（.tiozl.cn 和 .zcyyl.com）。 SSH 主机密钥指纹将此 IP 与香港 AS8075 中的其他 17 个 IP 联系起来，这些 IP 带有类似的钓鱼 URL。登录页面显示虚假的劳动力补贴诱饵，然后从受害者那里获取输入的个人信息，例如姓名和国民身份证。 最后，钓鱼网站会提示受害者输入银行卡号、电话号码和余额进行虚假验证，从而获取受害者的姓名和身份证件，进行未经授权的交易。 该加载屏幕之后会提示输入用于进行国内信用卡支付的提款密码。 攻击者利用卡的完整详细信息进行未经授权的交易，这些密码可能会导致财务损失。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/k4dn1rZaUfeq6hdSAosINQ 封面来源于网络，如有侵权请联系删除

Phoenix 科技的SecureCore UEFI 固件解决方案中最近发现一个高严重漏洞，数百种使用英特尔处理器的 PC 和服务器型号可能会受到该漏洞的影响。 该漏洞的编号为 CVE-2024-0762，又名UEFIcanhazbufferoverflow，是由企业固件和硬件安全公司 Eclypsium 开发的自动分析系统发现的。 本地攻击者可以利用此安全漏洞来提升权限并在运行时在 UEFI 固件中执行任意代码。 Eclypsium 警告称，这是一种可能被Black Lotus UEFI rootkit等威胁利用的漏洞。 “此漏洞体现了 IT 基础设施供应链事件的两个特点——影响大、影响范围广。UEFI 固件是现代设备上最有价值的代码之一，任何代码被攻破都可能让攻击者完全控制设备并驻留在设备上。”Eclypsium 指出。 调查显示，该漏洞与可信平台模块 (TPM) 配置中的不安全变量有关。存在漏洞的 SecureCore UEFI 固件运行在联想、宏碁、戴尔和惠普等电脑制造商使用的多款英特尔移动、台式机和服务器处理器上。 Phoenix Technologies在 5 月份发布的公告中解决了该漏洞，确认在 Alder Lake、Coffee Lake、Comet Lake、Ice Lake、Jasper Lake、Kaby Lake、Meteor Lake、Raptor Lake、Rocket Lake 和 Tiger Lake 等英特尔处理器系列上运行的 SecureCore 固件受到影响。 Phoenix 已修补 CVE-2024-0762，设备制造商已开始将补丁部署到其产品中。 联想在 5 月份发布的公告中向客户通报了该漏洞。该公司已开始发布补丁，预计部分电脑的修复程序将于今年夏末推出。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/zQlirU2fsFXlAjTFTgzRhA 封面来源于网络，如有侵权请联系删除