HackerNews 编译，转载请注明出处： 网络安全研究人员警告称，针对Palo Alto Networks PAN-OS GlobalProtect网关的可疑登录扫描活动激增，近24000个唯一IP地址试图访问这些门户。 威胁情报公司GreyNoise表示：“这种模式表明有协调的努力来探测网络防御并识别暴露或易受攻击的系统，可能作为针对性利用的前奏。” 据称，这次激增始于2025年3月17日，每天约有20000个唯一IP地址参与，直到3月26日才减少。在高峰期，估计有23958个唯一IP地址参与了此次活动。其中，只有154个IP地址被标记为恶意。 美国和加拿大成为流量的主要来源，其次是芬兰、荷兰和俄罗斯。此次活动主要针对美国、英国、爱尔兰、俄罗斯和新加坡的系统。 目前尚不清楚是什么驱动了这一活动，但它表明了一种系统性地测试网络防御的方法，这很可能为后续的利用铺平道路。 “在过去的18到24个月里，我们观察到一种一致的模式，即有针对性地针对旧漏洞或特定技术的成熟攻击和侦察尝试，”GreyNoise的数据科学副总裁鲍勃·鲁迪斯表示。“这些模式通常与2到4周后出现的新漏洞相吻合。” 鉴于这种不寻常的活动，拥有面向互联网的Palo Alto Networks实例的组织必须采取措施来保护其登录门户。   消息来源：The Hacker News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 苹果公司在周一为旧型号和旧版本操作系统回溯修复了三个近期在野外被积极利用的漏洞。 以下是相关漏洞： – CVE-2025-24085（CVSS评分：7.3）——核心媒体组件中的一个use-after-free漏洞，可能允许已安装在设备上的恶意应用程序提升权限。 – CVE-2025-24200（CVSS评分：4.6）——辅助功能组件中的一个授权问题，可能使恶意行为者能够在锁定设备上禁用USB限制模式，作为网络物理攻击的一部分。 – CVE-2025-24201（CVSS评分：8.8）——WebKit组件中的一个越界写入问题，可能允许攻击者创建恶意网页内容，从而突破网页内容沙箱。 这些更新现已适用于以下操作系统版本： – CVE-2025-24085 —— 已在macOS Sonoma 14.7.5、macOS Ventura 13.7.5和iPadOS 17.7.6中修复。 – CVE-2025-24200 —— 已在iOS 15.8.4、iPadOS 15.8.4、iOS 16.7.11和iPadOS 16.7.11中修复。 – CVE-2025-24201 —— 已在iOS 15.8.4、iPadOS 15.8.4、iOS 16.7.11和iPadOS 16.7.11中修复。 这些修复涵盖了以下设备： – iOS 15.8.4和iPadOS 15.8.4 —— 适用于iPhone 6s（所有型号）、iPhone 7（所有型号）、iPhone SE（第一代）、iPad Air 2、iPad mini（第四代）和iPod touch（第七代）。 – iOS 16.7.11和iPadOS 16.7.11 —— 适用于iPhone 8、iPhone 8 Plus、iPhone X、iPad第五代、iPad Pro 9.7英寸和iPad Pro 12.9英寸第一代。 – iPadOS 17.7.6 —— 适用于iPad Pro 12.9英寸第二代、iPad Pro 10.5英寸和iPad第六代。 苹果公司还发布了iOS 18.4和iPadOS 18.4来修复62个漏洞，macOS Sequoia 15.4来修复131个漏洞，tvOS 18.4来修复36个漏洞，visionOS 2.4来修复38个漏洞，以及Safari 18.4来修复14个漏洞。 尽管新披露的这些漏洞尚未被积极利用，但建议用户将其设备更新至最新版本，以防范潜在威胁。   消息来源：The Hacker News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一个名为Lucid的新型复杂网络钓鱼即服务(PhaaS)平台，利用通过苹果iMessage和安卓富通信服务(RCS)传播的短信网络钓鱼消息，攻击了88个国家的169个实体。 Lucid的独特卖点在于其利用合法通信平台来绕过传统的基于短信的检测机制。 瑞士网络安全公司PRODAFT在与《黑客新闻》分享的一份技术报告中表示：“其可扩展的订阅模式使网络犯罪分子能够开展大规模网络钓鱼活动，以获取信用卡信息进行金融欺诈。” “Lucid利用苹果iMessage和安卓的RCS技术，绕过了传统的短信垃圾邮件过滤器，显著提高了投递和成功率。” Lucid被认为是讲中文的黑客组织XinXin（又名Black Technology）的作品，网络钓鱼活动主要针对欧洲、英国和美国，意图窃取信用卡数据和个人身份识别信息(PII)。 网络安全 更重要的是，该服务背后的威胁行为者还开发了其他PhaaS平台，如Lighthouse和Darcula，后者已更新为能够克隆任何品牌的网站以创建网络钓鱼版本。Lucid的开发者是代号为LARVA-242的威胁行为者，他也是XinXin组织的关键人物。 这三个PhaaS平台在模板、目标池和战术上有重叠，暗示了一个繁荣的地下经济，讲中文的行为者利用Telegram以订阅方式宣传他们的产品以获取利润。 利用这些服务的网络钓鱼活动被发现冒充邮政服务、快递公司、收费支付系统和税务退款机构，使用令人信服的网络钓鱼模板欺骗受害者提供敏感信息。 这些大规模活动在后端通过iPhone设备农场和在Windows系统上运行的移动设备模拟器来发送数十万条包含虚假链接的诈骗消息。目标电话号码是通过各种方法获得的，如数据泄露和网络犯罪论坛。 “对于iMessage的链接点击限制，他们采用‘请回复Y’技术来建立双向通信，”PRODAFT解释说。“对于谷歌的RCS过滤，他们不断轮换发送域/号码以避免模式识别。” iMessage和RCS短信网络钓鱼 “对于iMessage，这涉及创建具有冒充显示名称的临时Apple ID，而RCS利用运营商在发送者验证中的实现不一致性。” 除了提供简化可定制网络钓鱼网站创建的自动化工具外，这些页面本身还结合了高级反检测和规避技术，如IP阻止、用户代理过滤和限时单次使用URL。 Lucid还支持通过面板实时监控受害者活动并记录与网络钓鱼链接的每一次交互，使其客户能够提取输入的信息。受害者提交的信用卡详细信息会经过额外的验证步骤。该面板是使用开源的Webman PHP框架构建的。 “Lucid PhaaS面板揭示了一个高度组织化和相互关联的网络钓鱼即服务平台生态系统，这些平台由讲中文的威胁行为者运营，主要在XinXin组织下，”该公司表示。 “XinXin组织开发和利用这些工具，并通过出售窃取的信用卡信息获利，同时积极监控和支持类似PhaaS服务的发展。” 值得注意的是，PRODAFT的发现与Palo Alto Networks Unit 42的发现相呼应，后者最近指出一些未具名的威胁行为者利用域名模式“com-”注册了超过10,000个域名，通过苹果iMessage传播各种短信网络钓鱼骗局。 随着Barracuda警告2025年初PhaaS攻击大幅增加，使用Tycoon 2FA、EvilProxy和Sneaky 2FA，这些服务分别占所有PhaaS事件的89%、8%和3%。 “网络钓鱼邮件是许多攻击的入口，从凭证盗窃到金融欺诈、勒索软件等等，”Barracuda安全研究员Deerendra Prasad表示。“推动网络钓鱼即服务的平台越来越复杂和隐蔽，使得传统安全工具更难检测网络钓鱼攻击，并且在造成损害方面更强大。”   消息来源：The Hacker News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 在Gmail诞生21周年之际，谷歌宣布了一项重大更新，企业用户现在只需几次点击，即可向任何平台的任何用户邮箱发送端到端加密邮件。 该功能从今日起以测试版形式推出，允许用户向组织内的Gmail用户发送端到端加密邮件，未来几周将扩展至任何Gmail邮箱，并计划今年晚些时候支持所有邮箱平台。 这一新型加密模式——作为安全/多用途互联网邮件扩展（S/MIME）协议的替代方案——的亮点在于，发送方和接收方无需使用定制软件或交换加密证书。 “这种能力几乎无需IT团队和终端用户付出额外努力，消除了传统IT复杂性和现有解决方案的不佳用户体验，同时保留了增强的数据主权、隐私和安全控制，”谷歌工作空间的乔尼·伯克和朱利安·杜普兰表示。 实现端到端加密邮件的技术是客户端加密（CSE），谷歌已将其应用于Gmail及其他服务，如日历、云端硬盘、文档、幻灯片、表格和Meet。 因此，当向另一位Gmail用户发送端到端加密邮件时，消息会在接收端自动解密。对于非Gmail用户（如微软Outlook），谷歌邮件平台会向其发送一封邀请邮件，邀请其通过受限的Gmail版本查看端到端加密邮件，该版本可通过访客谷歌工作空间账户安全地查看和回复消息。 由于这一过程由客户端加密驱动，数据在传输或存储到谷歌云存储之前会在客户端进行加密，从而使其对包括谷歌在内的其他第三方实体不可读。 不过，客户端加密与端到端加密的一个关键区别在于，客户端使用的加密密钥是在云端密钥管理服务中生成和存储的，这使得组织管理员能够控制密钥、撤销用户对密钥的访问权限，甚至监控加密文件。 “首先，在结构层面，这种方法提供了更全面的加密保护，”伯克和德普兰表示，“无论你向谁发送消息，他们使用什么邮箱，你的消息都会被加密，且你拥有唯一的控制权。只有一套密钥，而你就是唯一拥有它们的人。” “其次，它简单易用，减少了IT团队和用户的摩擦，因为无需成为加密专家就能让其正常工作。这将为团队节省大量时间和金钱，最终为他们提供了一条通往大家渴望的路径：无痛且正常工作的邮件加密。”   消息来源：The Hacker News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 暴露的PostgreSQL实例正成为持续攻击活动的目标，攻击者企图非法获取访问权限并部署加密货币挖矿程序。 云安全公司Wiz表示，此次攻击活动是2024年8月Aqua Security首次发现的入侵活动变种，涉及使用一种名为PG_MEM的恶意软件。该活动被归因于Wiz追踪的威胁行为者JINX-0126。 研究人员阿维盖尔·梅赫廷格、亚拉·施里基和吉莉·蒂科钦斯基表示：“该威胁行为者不断进化，采取了防御规避技术，例如为每个目标部署具有独特哈希值的二进制文件，并以无文件方式执行挖矿载荷，这可能是为了规避仅依赖文件哈希信誉的云工作负载保护平台的检测。” Wiz还透露，该活动目前已导致超过1500名受害者受害，这表明具有弱密码或可预测凭据的公开暴露的PostgreSQL实例足够普遍，足以成为机会主义威胁行为者的攻击目标。 此次攻击活动最突出的特点是滥用COPY…FROM PROGRAM SQL命令在主机上执行任意shell命令。 成功利用配置不当的PostgreSQL服务获得的访问权限被用于进行初步侦查，并投放一个Base64编码的载荷，实际上这是一个shell脚本，用于终止竞争性的加密货币挖矿程序，并投放一个名为PG_CORE的二进制文件。 服务器上还下载了一个经过混淆处理的Golang二进制文件，代号为postmaster，它模仿合法的PostgreSQL多用户数据库服务器。它被设计为利用cron作业在主机上建立持久性，创建一个具有提升权限的新角色，并将另一个名为cpu_hu的二进制文件写入磁盘。 cpu_hu从GitHub下载最新版本的XMRig矿工，并通过一种称为memfd的已知Linux无文件技术在内存中启动它。 “威胁行为者为每个受害者分配了一个独特的挖矿工人，”Wiz表示，并补充说他们已识别出与该威胁行为者相关的三个不同钱包。“每个钱包大约有550个工人。综合来看，这表明该活动可能利用了超过1500台被攻陷的机器。”   消息来源：The Hacker News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 戴尔科技公司发布了一项关键安全更新，以解决其 Unity 企业存储系统中的多个严重漏洞。这些漏洞可能允许攻击者以 root 权限执行任意命令、删除关键系统文件，并在无需身份验证的情况下进行其他恶意活动。 安全研究人员发现了 16 个不同的漏洞，这些漏洞影响运行 5.4 版本及更早版本的戴尔 Unity、UnityVSA 和 Unity XT 存储系统，其中最严重的漏洞在通用漏洞评分系统（CVSS）中的评分为 9.8 分。   CVE-2025-22398：远程 root 命令执行   CVE-2025-22398（CVSS 评分 9.8）允许通过未经身份验证的远程命令执行以 root 权限完全接管系统。攻击者可以构造针对 Unity API 的恶意网络请求，注入能以完全管理员权限执行的操作系统命令。这一漏洞使各组织面临着被部署勒索软件、数据被窃取以及被安装持久后门程序的风险。   戴尔发布安全公告明确指出，对该漏洞的利用“可能会导致系统被攻击者接管”，其接近满分的 CVSS 评分反映出该漏洞具有网络可访问性、攻击难度低以及会导致机密性 / 完整性 / 可用性完全丧失等特点。   CVE-2025-24383：特权文件删除   CVE-2025-24383（CVSS 评分 9.1）漏洞使得攻击者能够以 root 权限通过未经身份验证的远程操作删除任意文件，从而对文件系统造成同样危险的破坏。攻击者可以删除关键的系统二进制文件、配置文件或数据存储，这有可能会使存储操作陷入瘫痪，或者为后续攻击创造条件。   虽然由于该漏洞对机密性的影响较小（无影响对比高影响），其评分略低，但它与 CVE-2025-22398 漏洞具有相同的攻击途径和特权提升严重程度。   其他安全漏洞   该安全公告还详细说明了 CVE-2025-24381 漏洞，这是一个开放重定向漏洞，评分为 8.8 分，攻击者可能会利用该漏洞通过恶意重定向进行网络钓鱼攻击和会话窃取。   进一步加剧风险的是多个本地特权提升漏洞（CVE-2024-49563、CVE-2024-49564、CVE-2024-49565、CVE-2024-49566、CVE-2025-23383、CVE-2025-24377、CVE-2025-24378、CVE-2025-24379、CVE-2025-24380、CVE-2025-24385、CVE-2025-24386），CVSS 评分为 7.8 分，这些漏洞使得低权限的本地用户能够以 root 权限执行命令。   另外还有两个命令注入漏洞（CVE-2024-49601 和 CVE-2025-24382），CVSS 评分为 7.3 分，使得未经身份验证的远程攻击者能够执行影响程度较低的命令。   戴尔对负责任地披露这些漏洞的安全研究人员表示感谢：“prowser” 发现了关键的远程命令注入漏洞，而来自 Ubisectech Sirius 团队的 “zzcentury” 和 “xiaohei” 发现了本地特权提升漏洞。   受影响产品及修复措施   这些漏洞影响了戴尔广受欢迎的企业存储系统，包括运行 5.4 版本及更早版本的 Unity、UnityVSA 和 Unity XT。   戴尔已发布了 Dell Unity 操作环境（OE）5.5.0.0.5.259 版本作为修复方案，并强烈建议所有客户立即进行升级。   使用受影响的戴尔 Unity 系统的组织应评估自身面临的风险，实施推荐的更新，并在这些关键漏洞尚未修复期间监控是否存在被攻击利用的迹象。   消息来源：Cybersecurity News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 佳能已发布一项重要的安全公告，内容涉及在该公司多款打印机驱动程序中检测到的一个严重漏洞，攻击者可能利用该漏洞在受影响的系统上执行任意代码。 这个被认定为 CVE-2025-1268 的漏洞，在通用漏洞评分系统（CVSS）基础评分中达到了 9.4 的高危分值，这表明受影响的佳能产品用户面临着重大的安全隐患。 严重越界漏洞详情 安全研究人员发现了一个越界漏洞，该漏洞特别影响到多款佳能 Generic Plus 打印机驱动程序中的 EMF（增强型图元文件）重新编码处理功能。 当通过受攻击的应用程序处理打印任务时，这个漏洞有可能使恶意行为者得以执行任意代码。这个漏洞的严重性体现在其 9.4 的 CVSS 评分上，使其被归入 “严重” 的安全等级，需要系统管理员和用户立即予以关注。 此外，这个漏洞尤其令人担忧，因为利用该漏洞无需权限、用户交互或特殊访问条件。这一分类意味着远程攻击者有可能以相对较低的难度利用这个漏洞。 该漏洞不仅可能扰乱打印操作，还可能成为更复杂攻击的切入点，使得未经授权的代码得以执行，从而危及系统的完整性和数据安全。 佳能对 Microsoft 攻击研究与安全工程团队（MORSE）负责任地报告这一漏洞表示感谢，特别认可研究人员 Robert Ord 在识别 CVE-2025-1268 漏洞方面所做出的贡献。 以下是该漏洞的概述： 风险因素 详情 受影响产品 – Generic Plus PCL6 打印机驱动程序（V3.12 及更早版本）<br>– Generic Plus UFR II 打印机驱动程序（V3.12 及更早版本）<br>– Generic Plus LIPS4 打印机驱动程序（V3.12 及更早版本）<br>– Generic Plus LIPSLX 打印机驱动程序（V3.12 及更早版本）<br>– Generic Plus PS 打印机驱动程序（V3.12 及更早版本） 影响 任意代码执行或干扰打印操作。 利用前提条件 无需权限、用户交互或特殊访问条件；可远程利用。 CVSS 3.1 评分 9.4（严重） 受影响的打印机驱动程序 佳能已确认该漏洞影响以下版本的打印机驱动程序： Generic Plus PCL6 打印机驱动程序 ——V3.12 及更早版本 Generic Plus UFR II 打印机驱动程序 ——V3.12 及更早版本 Generic Plus LIPS4 打印机驱动程序 ——V3.12 及更早版本 Generic Plus LIPSLX 打印机驱动程序 ——V3.12 及更早版本 Generic Plus PS 打印机驱动程序 ——V3.12 及更早版本 这些驱动程序广泛应用于佳能的各种生产型打印机、办公 / 小型办公多功能打印机以及激光打印机，有可能影响到全球成千上万的机构和个人用户。 佳能已开发出更新的打印机驱动程序来解决这一安全问题。该公司强烈建议所有用户通过当地佳能销售代表的网站安装最新版本的打印机驱动程序。 用户应优先进行此更新，以降低针对该漏洞的潜在攻击风险。 为了全面保护，IT 管理员应考虑实施额外的安全控制措施，例如对打印服务器进行网络分段以及加强对可疑打印活动的监控。   消息来源：Cybersecurity News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： DarkCloud 是一种自2022年出现的复杂窃密恶意软件，迅速成为该类别中最普遍的威胁之一。 这种针对 Windows 系统的恶意软件已经进化到可以从受感染的系统中提取敏感信息，包括浏览器数据、FTP 凭证、截图、键盘记录和财务信息。 其主要传播方式是通过钓鱼活动，攻击者冒充合法公司或伪装成付款收据或罚款通知。这些攻击经常针对人力资源部门。其他传播途径包括恶意广告、水坑攻击以及与其他恶意软件（如 DbatLoader 或 ClipBanker）一起部署。 安全研究员 REXorVc0 识别了 DarkCloud 的广泛功能，指出该恶意软件采用多阶段感染过程，旨在规避检测。 “这种窃密软件的执行和传播主要由钓鱼活动推动，攻击者冒充了各种公司，”REXorVc0 在其技术分析中解释道。 其影响是巨大的，许多组织因数据窃密功能而受害，丢失了浏览器数据、加密货币钱包和凭证，而攻击者则通过 Telegram 频道进行操作。 DarkCloud 的感染链始于受害者访问恶意链接或下载受感染的文件。 初始载荷通常以压缩文件或脚本的形式交付，启动一个旨在绕过安全控制的多阶段过程。加载程序下载或提取下一阶段的内容，通常采用复杂的混淆技术。一个分析的样本使用了 Base64 编码和 TripleDES 加密： rgbKey = bytes([0x39, 0x1C, 0x8A, 0x9E, 0x80, 0xC2, 0xF8, 0xDF])   rgbIV = bytes([0xA3, 0x4B, 0x1F, 0xEB, 0x28, 0xFE, 0x46, 0xEA])   最终阶段涉及将窃密程序注入到合法的 Windows 进程中，如 svchost.exe 或 MSBuild。这种技术使 DarkCloud 能够隐秘运行，规避大多数安全解决方案，同时从浏览器、密码管理器和邮件客户端中收集敏感数据，并通过 Telegram 机器人进行数据外泄。   消息来源：Cybersecurity News； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 据Sekoia报道，臭名昭著的朝鲜 Lazarus 黑客组织已采用“ClickFix”战术，针对加密货币行业的求职者部署恶意软件，尤其是集中化金融（CeFi）领域。 这种发展被视为 Lazarus “Contagious Interview” 活动的演变，该活动同样针对 AI 和加密货币领域的求职者。 ClickFix 是一种相对较新但日益常见的战术，威胁行为者利用网站或文档中的虚假错误提示，声称内容无法查看。页面随后提示用户通过运行 PowerShell 命令来“修复”问题，从而在系统上下载并执行恶意软件。 Sekoia 表示，在最新的活动中，Lazarus 假冒了多家知名公司，包括 Coinbase、KuCoin、Kraken、Circle、Securitize、BlockFi、Tether、Robinhood 和 Bybit，这些公司最近被朝鲜黑客窃取了创纪录的15亿美元。 “通过收集我们在所有虚假面试网站中识别出的数据（即 JSON 对象），我们能够确定哪些公司被无意中用作这些虚假面试的诱饵，”Sekoia 解释道。 “我们的分析基于从虚假面试网站检索到的184份不同的邀请。在这些邀请中，我们发现有14家公司的名称被用来诱使受害者完成申请流程。” Lazarus 采用 ClickFix 在2023年11月首次记录的“Contagious Interview”活动中，Lazarus 在 LinkedIn 或 X 上接近目标，向他们提供就业机会。 然后，他们利用托管在 GitHub 和 Bitbucket 等协作平台上的软件和编码测试项目，诱骗目标下载并在其系统上运行恶意软件加载程序，投放信息窃取器。 从2025年2月开始，Sekoia 表示 Lazarus 开始使用所谓的“ClickFake”活动，采用 ClickFix 战术来实现自我感染步骤，而攻击的早期阶段保持不变。 然而，研究人员指出，“Contagious Interview” 活动仍在进行中，这表明朝鲜人可能在并行运行这两种技术时评估其有效性。 在 ClickFake 攻击中，Lazarus 将重点从针对开发人员和程序员转向 CeFi 公司中担任非技术职务的人员，例如业务开发人员和市场经理。 这些人被邀请通过链接进入一个看似合法的网站进行远程面试，该网站使用 ReactJS 构建，包含联系表单、开放式问题，并要求提供视频介绍。 当目标尝试使用网络摄像头录制视频时，会出现一个虚假错误，声称驱动程序问题阻止了摄像头访问，并生成了解决问题的说明。 根据浏览器的用户代理，网站提供特定于操作系统的指令，支持 Windows 或 macOS。 受害者被指示在 CMD（Windows）或终端（macOS）中运行一个 curl 命令，这会使他们感染一个名为“GolangGhost”的基于 Go 的后门，并通过注册表修改和 LaunchAgent plist 文件建立持久性。 一旦部署，GolangGhost 会连接到其命令和控制（C2）服务器，用唯一机器 ID 注册新感染的设备，并等待命令。 该恶意软件可以执行文件操作、shell 命令执行、窃取 Chrome Cookie、浏览历史和存储的密码，以及收集系统元数据。 随着 Lazarus 多样化其攻击方法，潜在目标必须保持警惕，及时了解最新动态，并在下载或执行任何内容之前始终验证面试邀请。 切勿在 Windows 命令提示符或 macOS 终端中执行从互联网复制的任何内容，尤其是如果您不完全了解其功能。 Sekoia 还分享了组织可以用来检测和阻止 ClickFake 活动的 Yara 规则，以及与最新 Lazarus 活动相关的完整妥协指标列表。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软利用其AI驱动的安全副驾工具，在开源引导程序GRUB2、U-Boot和Barebox中发现了20个此前未知的漏洞。 GRUB2（GRand Unified Bootloader）是大多数Linux发行版的默认引导程序，包括Ubuntu，而U-Boot和Barebox则广泛用于嵌入式和物联网设备。 微软在GRUB2中发现了11个漏洞，包括文件系统解析器中的整数和缓冲区溢出、命令缺陷以及密码比较中的侧信道攻击。 此外，在U-Boot和Barebox中还发现了9个缓冲区溢出漏洞，这些漏洞涉及解析SquashFS、EXT4、CramFS、JFFS2和符号链接，需要物理访问才能利用。 这些新发现的漏洞影响依赖UEFI安全启动的设备，如果条件合适，攻击者可以绕过安全保护来在设备上执行任意代码。 虽然利用这些漏洞可能需要对设备进行本地访问，但此前的引导程序攻击（如BlackLotus）是通过恶意软件感染实现的。 微软解释称：“虽然威胁行为者可能需要物理访问设备才能利用U-Boot或Barebox漏洞，但在GRUB2的情况下，漏洞可能被进一步利用来绕过安全启动并安装隐蔽的引导程序，或者可能绕过其他安全机制，如BitLocker。” “安装此类引导程序的后果是严重的，因为这可以授予威胁行为者对设备的完全控制，允许他们控制启动过程和操作系统，危及网络上的其他设备，并进行其他恶意活动。” “此外，这可能导致在操作系统重新安装或硬盘更换后仍然存在的持久性恶意软件。” 以下是微软在GRUB2中发现的漏洞摘要： CVE-2024-56737 – HFS文件系统挂载中的缓冲区溢出，由于对非空终止字符串的不安全strcpy操作 CVE-2024-56738 – 密码比较函数中的侧信道攻击（grub_crypto_memcmp不是恒定时间） CVE-2025-0677 – UFS符号链接处理中的整数溢出导致缓冲区溢出 CVE-2025-0678 – Squash4文件读取中的整数溢出导致缓冲区溢出 CVE-2025-0684 – ReiserFS符号链接处理中的整数溢出导致缓冲区溢出 CVE-2025-0685 – JFS符号链接处理中的整数溢出导致缓冲区溢出 CVE-2025-0686 – RomFS符号链接处理中的整数溢出导致缓冲区溢出 CVE-2025-0689 – UDF块处理中的越界读取 CVE-2025-0690 – 读取命令（键盘输入处理程序）中的有符号整数溢出和越界写入 CVE-2025-1118 – dump命令允许任意内存读取（应在生产环境中禁用） CVE-2025-1125 – HFS压缩文件打开中的整数溢出导致缓冲区溢出 除CVE-2025-0678被评为“高”（CVSS v3.1评分：7.8）外，所有上述漏洞均被评为中等严重性。 微软表示，安全副驾显著加速了在大型和复杂的代码库（如GRUB2）中的漏洞发现过程，节省了大约一周的时间，这些时间本将用于手动分析。 副驾识别漏洞并建议修复措施（来源：微软） AI工具不仅识别了此前未知的漏洞，还提供了针对性的缓解建议，这可以为开源项目（由志愿者和小型核心团队支持）提供指导，并加速安全补丁的发布。 利用分析中的发现，微软表示安全副驾在使用共享代码的项目中也发现了类似的漏洞，如U-Boot和Barebox。 GRUB2、U-Boot和Barebox在2025年2月发布了针对这些漏洞的安全更新，因此升级到最新版本应能缓解这些漏洞。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文