HackerNews 编译，转载请注明出处： 施乐公司发布了安全更新，以解决 Versalink 多功能打印机中的回传攻击漏洞。 据 Rapid7 发现，施乐 VersaLink 多功能打印机中的漏洞可能允许攻击者通过针对 LDAP 和 SMB/FTP 服务的回传攻击获取认证凭据。 在这些一体式企业彩色打印机中发现了两个安全缺陷，分别是 CVE-2024-12510 和 CVE-2024-12511，施乐已发布安全更新来解决这两个问题。 简而言之，在回传攻击中，打印机被指示对攻击者控制的服务器进行身份验证，攻击者随后捕获设备发送的身份验证数据。 对于配置了轻量级目录访问协议（LDAP）服务进行身份验证的 Versalink 打印机，攻击者如果能够访问配置页面，只需修改服务的 IP 地址，然后触发 LDAP 查找，即可对攻击者控制的服务器进行身份验证。 “通过在攻击者控制的主机上运行端口监听器，他们就能够捕获明文的 LDAP 服务凭据。这种攻击需要访问多功能打印机的管理员账户，且 LDAP 服务必须已配置为正常运行到有效的 LDAP 服务器，”Rapid7 解释道。 为了捕获 SMB 或 FTP 身份验证凭据，攻击者需要访问用户地址簿配置，并将 SMB 或 FTP 服务器的 IP 地址修改为他们控制的服务器。 “这种攻击允许恶意行为者捕获 NetNTLMv2 握手，或利用漏洞对 Active Directory 文件服务器进行 SMB 中继攻击。在 FTP 的情况下，恶意行为者能够捕获明文的 FTP 身份验证凭据，”Rapid7 表示。 如果用户的地址簿中配置了 SMB 或 FTP 扫描功能，并且攻击者要么物理访问打印机控制台，要么通过网络界面远程访问（这可能需要管理员凭据），则可以发起此类攻击。 “如果恶意行为者能够成功利用这些问题，他们将能够捕获 Windows Active Directory 的凭据。这意味着他们可以在组织的环境中横向移动，并危及其他关键的 Windows 服务器和文件系统，”Rapid7 指出。 这两个问题在 2024 年 3 月报告给施乐。针对这些问题的修复措施在 2025 年 1 月底以服务包更新的形式发布，适用于 VersaLink C7020、7025 和 7030 系列多功能打印机。 建议组织尽快将 VersaLink 打印机更新到固件版本 57.75.53。为了缓解这些漏洞，他们应使用复杂的管理员账户密码，避免使用具有提升权限的 Windows 身份验证账户，并禁用对远程控制台的未认证访问。   消息来源：Security Week；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：   据美联社 2025 年 2 月 17 日报道，中国人工智能初创公司 DeepSeek 已在韩国暂停其聊天机器人应用的下载，同时与当地 authorities 合作解决隐私问题。 韩国个人信息保护委员会表示，DeepSeek 的应用已在周六晚上从韩国版本的苹果 App Store 和谷歌 Play 商店中移除，该公司同意在重新推出应用之前与该机构合作加强隐私保护。 这一举措不影响已经下载 DeepSeek 应用的用户或在个人电脑上使用该应用的用户。韩国委员会调查部门的负责人 Nam Seok 建议韩国用户删除该应用，或避免在问题解决之前输入个人信息。 许多韩国政府机构和公司已经阻止 DeepSeek 访问其网络，或禁止员工在工作中使用该应用，担心该 AI 模型收集过多敏感信息。 韩国隐私委员会上个月开始审查 DeepSeek 的服务，发现该公司在第三方数据传输方面缺乏透明度，可能收集了过多的个人信息。Nam 表示，委员会尚未估计韩国的 DeepSeek 用户数量。Wiseapp Retail 最近的一项分析发现，在 1 月下旬，DeepSeek 在韩国约有 120 万智能手机用户，成为仅次于 ChatGPT 的第二受欢迎的 AI 模型。   消息来源：Security Week；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：   微软宣布将从 Windows 中移除位置历史功能，该功能曾允许像 Cortana 虚拟助手这样的应用程序获取设备的位置历史。 微软在公告中表示：“我们正在弃用并移除位置历史功能，这是一个允许 Cortana 在位置启用时访问设备 24 小时历史的 API。” 弃用该功能意味着数据将不再本地保存，相关设置也将从操作系统（Windows 10 和 11）中消失。 该功能背后的 API ‘Geolocator.GetGeopositionHistoryAsync’ 为应用程序提供本地存储的数据，这些数据是位置服务在过去 24 小时内收集的。 “位置服务仅在应用程序或服务查询用户位置时收集位置信息，但每秒不超过一次，”微软解释道。 设备位置数据本地存储，只有在应用程序或服务主动请求时才会填充列表。 BleepingComputer 已联系微软，询问弃用位置历史 API 的原因，我们将在收到回复后更新此文章。 开发者应审查使用 Windows.Devices.Geolocation API 的应用程序，并迁移到其他方法，否则其工具的核心功能可能在未来出现故障。 位置服务选项也将从 Windows 设置 > 隐私与安全 > 位置中移除。 用户可以完全停用该设置，以阻止所有应用程序和服务访问位置数据。 停用后，用户应点击 “清除” 按钮，以删除过去 24 小时内的任何位置数据。   消息来源：Bleeping Computer；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处：   微软威胁情报团队近日宣布，他们发现了一种新的 XCSSET 恶意软件变体，该变体在野外的有限攻击中被发现。 “这是自 2022 年以来已知的首个 XCSSET 变体，具有增强的混淆方法、更新的持久性机制和新的感染策略，”微软威胁情报团队在 X 上的一篇帖子中表示。 这些增强功能增加了该恶意软件家族之前已知的能力，例如针对数字钱包、从 Notes 应用程序收集数据以及窃取系统信息和文件。 XCSSET 是一种复杂的模块化 macOS 恶意软件，已知会通过感染 Apple Xcode 项目来攻击用户。它最初在 2020 年 8 月由趋势科技记录。 随后的恶意软件迭代被发现能够适应新的 macOS 版本以及苹果自家的 M1 芯片。2021 年年中，这家网络安全公司指出，XCSSET 已经更新，可以从各种应用程序（如 Google Chrome、Telegram、Evernote、Opera、Skype、WeChat 以及苹果自家的 Contacts 和 Notes 应用程序）中窃取数据。 Jamf 同一时间的另一份报告揭示了该恶意软件利用 CVE-2021-30713（一个 Transparency、Consent 和 Control (TCC) 框架绕过漏洞）作为零日漏洞，在不需要额外权限的情况下截取受害者桌面的屏幕截图。 一年多后，它再次更新，增加了对 macOS Monterey 的支持。截至目前，该恶意软件的起源仍未知。 微软的最新发现标志着自 2022 年以来的首次重大修订，采用了改进的混淆方法和持久性机制，旨在挑战分析工作，并确保每次启动新的 shell 会话时恶意软件都会被启动。 XCSSET 建立持久性的另一种新方法是从未知的命令和控制服务器下载签名的 dockutil 实用程序，以管理 dock 项目。 “恶意软件随后创建一个假的 Launchpad 应用程序，并将合法 Launchpad 在 dock 中的路径条目替换为这个假的条目，”微软表示，“这确保了每次从 dock 启动 Launchpad 时，合法的 Launchpad 和恶意负载都会被执行。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Cofense 的网络钓鱼防御中心（PDC）发现了一起网络钓鱼活动，该活动利用合法的 Microsoft 登录页面诱骗用户授予对恶意 “Adobe Drive X” 应用的访问权限。该应用随后将受害者重定向到一个伪造的 Microsoft 登录页面，旨在窃取其凭据。 攻击从一封伪装成 Office 365 密码重置请求的网络钓鱼邮件开始。邮件中包含一个链接，指向一个真正的 Microsoft 认证页面，使攻击显得更具说服力。然而，一旦用户在该合法页面输入凭据，他们就会被提示授予对一个名为 “Adobe Drive X” 的自定义 Microsoft 365 应用的权限。 攻击者的狡猾策略在此处显现。通过请求通过一个看似无害的与 Adobe 相关的应用程序访问，他们利用了用户对 Microsoft 和 Adobe 的信任。该应用请求访问用户的电子邮件地址和基本个人资料信息，进一步增加了其合法性的伪装。 如果用户接受了这些权限，他们将被重定向到一个旨在模仿 Microsoft 登录页面的凭据网络钓鱼页面。该页面并未托管在 Microsoft 域名上，但不知情的用户可能会忽略这一关键细节，尤其是在之前通过合法的 Microsoft 页面成功登录后。 “攻击者很可能将此凭据网络钓鱼尝试放在一个合法的 Microsoft 365 登录页面之后，以出其不意地攻击用户，”Cofense 在其报告中解释道。“不太警惕的用户可能不会验证第二个登录页面的 URL，并成为凭据网络钓鱼攻击的受害者。” 用户应始终仔细检查 URL，警惕授予未知应用程序的权限，并报告任何可疑活动。   消息来源：Bleeping Computer；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Elastic Security Labs 在对 REF7707 入侵组织的最近调查中发现了一个新的恶意软件家族，该家族利用 Microsoft Outlook 草稿通过 Microsoft Graph API 作为隐蔽通信渠道。这个被命名为 FINALDRAFT 的后利用工具包包括一个加载器、一个后门以及多个为高级网络间谍活动设计的子模块。 Elastic 团队发现了该恶意软件的 Windows 和 Linux 版本，证据表明其经过了长期开发和重大的工程努力。“工具的完整性和涉及的工程水平表明开发者组织严密，”Elastic Security Labs 指出，并补充说，“行动的长时间跨度和我们的遥测数据表明，这很可能是一场以间谍活动为导向的运动。” FINALDRAFT 恶意软件通过 PATHLOADER 部署，PATHLOADER 是一个轻量级的 Windows PE 可执行文件（206 KB），作为第一阶段加载器。它从攻击者控制的基础设施下载 AES 加密的 shellcode，解密后在内存中执行。恶意软件通过 API 哈希、混淆和沙箱逃避技术避免静态分析。 Elastic Security Labs 强调，PATHLOADER 的嵌入式配置包括两个拼写错误的域名，模仿安全厂商： poster.checkponit[.]com（模仿 Check Point） support.fortineat[.]com（模仿 Fortinet） 这种欺骗性策略旨在逃避检测，并将恶意流量与合法的安全厂商活动混合。 FINALDRAFT 是一个用 C++ 编写的 64 位恶意软件，重点在于数据窃取和进程注入。它通过加载加密配置、生成会话 ID 并通过 Outlook 草稿与命令与控制（C2）服务器交互来运行。 “FINALDRAFT 与 C2 通信使用的会话 ID 是通过创建一个随机 GUID，然后使用 Fowler-Noll-Vo（FNV）哈希函数处理生成的，”报告解释道。 FINALDRAFT 的一个显著特点是能够利用 Outlook 的邮件草稿作为 C2 通道。恶意软件不是通过直接网络通信，而是： 如果尚不存在，则创建一个会话草稿邮件。 读取并删除由攻击者生成的命令请求草稿。 执行命令，如进程注入、文件操作和网络代理。 将响应写入草稿邮件，确保攻击者可以在不引发警报的情况下获取结果。 这种方法最大限度地减少了网络流量痕迹，使传统安全解决方案的检测难度显著增加。 FINALDRAFT 包括 37 个命令处理器，允许其执行进程注入、TCP/UDP 代理、文件操作和权限提升。值得注意的是，恶意软件的进程注入技术依赖于 VirtualAllocEx、WriteProcessMemory 和 RtlCreateUserThread API 调用。 “目标进程要么是作为命令参数提供的可执行路径，要么默认为 mspaint.exe 或 conhost.exe 作为备用，”报告指出。 除了 Windows 功能外，还发现了一个 ELF 版本的 FINALDRAFT，支持多种超出 Outlook 草稿的 C2 传输协议，包括： HTTP/HTTPS 反向 UDP ICMP 和绑定 TCP 反向 TCP 和 DNS 这表明 FINALDRAFT 具有跨平台适应性，使其成为攻击者针对 Windows 和 Linux 环境的多功能工具。 Elastic Security Labs 强烈怀疑 FINALDRAFT 是更大规模间谍活动的一部分。恶意软件的复杂设计、持久性技术和对隐蔽通信方法的依赖表明，其背后有一个资金充足且能力强大的对手。 安全研究人员敦促组织监控 Outlook API 活动，实施强大的终端检测解决方案，并阻止已知的 C2 域名，以降低风险。   消息来源：Security Online；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Rapid7 的漏洞研究团队表示，攻击者在 12 月份利用 PostgreSQL 的安全漏洞作为零日漏洞，攻破了特权访问管理公司 BeyondTrust 的网络。 BeyondTrust 透露，攻击者在 12 月初利用两个零日漏洞（CVE-2024-12356 和 CVE-2024-12686）以及一个被盗的 API 密钥，攻破了其系统和 17 个远程支持 SaaS 实例。 不到一个月后，1 月初，美国财政部披露其网络被威胁行为者攻破，这些行为者利用被盗的远程支持 SaaS API 密钥，攻破了其 BeyondTrust 实例。 此后，财政部的被攻破事件被追溯到黑客组织 Silk Typhoon，该组织是一个网络间谍组织，以侦察和数据窃取攻击而闻名，2021 年初因利用 Microsoft Exchange Server ProxyLogon 零日漏洞攻击约 68,500 台服务器而广为人知。 黑客特别攻击了美国外国投资委员会（CFIUS），该委员会审查外国投资的国家安全风险，以及外国资产控制办公室（OFAC），该办公室管理贸易和经济制裁计划。 他们还入侵了财政部金融研究办公室的系统，但此次事件的影响仍在评估中。 据信，Silk Typhoon 利用了对财政部 BeyondTrust 实例的访问权限，窃取了“与潜在制裁行动和其他文件有关的非机密信息”。 12 月 19 日，CISA 将 CVE-2024-12356 漏洞添加到其已知被利用漏洞目录中，要求美国联邦机构在一周内保护其网络免受持续攻击。该网络安全机构还于 1 月 13 日下令联邦机构修补其系统以防范 CVE-2024-12686 漏洞。 PostgreSQL 零日漏洞与 BeyondTrust 被攻破事件有关 在分析 CVE-2024-12356 时，Rapid7 团队发现 PostgreSQL 中一个新的零日漏洞（CVE-2025-1094），该漏洞于 1 月 27 日报告，并在周四修补。CVE-2025-1094 允许在 PostgreSQL 交互工具读取不受信任的输入时进行 SQL 注入，因为它错误地处理了无效 UTF-8 字符的特定无效字节序列。 “PostgreSQL libpq 函数 PQescapeLiteral()、PQescapeIdentifier()、PQescapeString() 和 PQescapeStringConn() 中的引用语法中和不当处理，允许数据库输入提供者在某些使用模式下实现 SQL 注入，”PostgreSQL 安全团队解释道。 “具体来说，SQL 注入需要应用程序使用函数结果来构建 psql 的输入，即 PostgreSQL 交互终端。同样，当 client_encoding 为 BIG5 且 server_encoding 为 EUC_TW 或 MULE_INTERNAL 时，PostgreSQL 命令行实用程序程序中引用语法的不当处理允许命令行参数来源实现 SQL 注入。” Rapid7 的测试表明，成功利用 CVE-2024-12356 实现远程代码执行需要使用 CVE-2025-1094，这表明与 BeyondTrust RS CVE-2024-12356 相关的漏洞利用依赖于对 PostgreSQL CVE-2025-1094 的利用。 此外，尽管 BeyondTrust 表示 CVE-2024-12356 是一个命令注入漏洞（CWE-77），但 Rapid7 认为将其更准确地归类为参数注入漏洞（CWE-88）。 Rapid7 安全研究人员还发现了一种方法，可以独立于 CVE-2024-12356 参数注入漏洞，在易受攻击的 BeyondTrust 远程支持（RS）系统中利用 CVE-2025-1094 实现远程代码执行。 更重要的是，他们发现虽然 BeyondTrust 对 CVE-2024-12356 的修补程序没有解决 CVE-2025-1094 的根本原因，但它成功地防止了这两个漏洞的利用。 “我们还了解到，可以在 BeyondTrust 远程支持中利用 CVE-2025-1094，而无需利用 CVE-2024-12356，”Rapid7 表示。“然而，由于 CVE-2024-12356 修补程序采用了一些额外的输入消毒措施，利用仍然会失败。”   消息来源：Bleeping Computer；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一款名为PirateFi的免费游戏在Steam商店中被发现向不知情的用户分发Vidar信息窃取恶意软件。 这款游戏在Steam目录中存在了近一周，从2月6日至2月12日，期间被最多1500名用户下载。分发服务已向可能受影响的用户发送通知，建议他们出于谨慎考虑重新安装Windows系统。 Steam上的恶意软件 PirateFi由Seaworth Interactive于上周在Steam上发布，并获得了正面评价。该游戏被描述为一款设定在低多边形世界中的生存游戏，涉及基地建设、武器制作和食物收集。 然而，Steam本周早些时候发现该游戏包含恶意软件，但未具体说明恶意软件的类型。 通知中写道：“该游戏的开发者账户上传了包含疑似恶意软件的版本。” “您在这些版本活跃期间在Steam上玩了PirateFi，因此这些恶意文件很可能已在您的电脑上运行，”服务警告称。 建议受影响用户运行全系统扫描，使用最新的杀毒软件，检查是否有不认识的新安装软件，并考虑重新格式化操作系统。 受影响用户还在PirateFi的Steam社区页面上发布了警告，告知其他用户不要启动游戏，因为他们的杀毒软件已将其识别为恶意软件。 SECUINFRA Falcon Team的Marius Genheimer获取了通过PirateFi分发的恶意软件样本，并确认其为Vidar信息窃取者的一个版本。 “如果您是下载了这款‘游戏’的玩家之一：请认为您的浏览器、电子邮件客户端、加密货币钱包等保存的凭据、会话cookie和秘密已被窃取，”SECUINFRA建议道。 建议更改所有可能受影响账户的密码，并在可能的情况下激活多因素身份验证保护。 根据动态分析和YARA签名匹配，识别为Vidar的恶意软件被隐藏在一个名为Pirate.exe的文件中，作为有效载荷（Howard.exe）与InnoSetup安装程序打包在一起。 Genheimer告诉BleepingComputer，威胁行为者多次修改了游戏文件，使用各种混淆技术，并更改了用于凭据窃取的命令与控制服务器。 研究人员认为，PirateFi名称中的web3/区块链/加密货币引用是故意为之，旨在吸引特定的玩家群体。 Steam未公布受PirateFi恶意软件影响的用户数量，但从游戏页面的统计数据来看，最多可能有1500人受到影响。 恶意软件入侵Steam商店并不常见，但并非前所未有。 2023年2月，Steam用户曾被恶意的Dota 2游戏模式 targeting，这些模式利用Chrome n-day漏洞在玩家电脑上执行远程代码。 2023年12月，当时流行的独立策略游戏《Slay the Spire》的一个模组被黑客入侵，注入了一个名为‘Epsilon’的信息窃取者投放器。 Steam引入了额外的措施，如基于短信的验证，以保护玩家免受未经授权的恶意更新，但PirateFi的案例表明，这些措施还不够充分。   消息来源：Bleeping Computer；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 黑客正在针对 Palo Alto Networks PAN-OS 防火墙发动攻击，利用的是一个最近修复的漏洞（CVE-2025-0108），该漏洞允许绕过认证。 这一安全问题被评定为高严重性，影响 PAN-OS 管理 Web 界面，允许网络上的未认证攻击者绕过认证并调用某些 PHP 脚本，可能危及系统的完整性和机密性。 在 2 月 12 日的安全公告中，Palo Alto Networks 强烈敦促管理员将防火墙升级到以下版本以解决该问题： 11.2.4-h4 或更高版本 11.1.6-h1 或更高版本 10.2.13-h3 或更高版本 10.1.14-h9 或更高版本 PAN-OS 11.0 也受到影响，但该产品已达到生命周期终点（EoL），Palo Alto Networks 不计划为其发布任何修复。因此，强烈建议用户升级到受支持的版本。 受影响的 PAN-OS 版本： 11.2 版本低于 11.2.4-h4 11.1 版本低于 11.1.6-h1 10.2 版本低于 10.2.13-h3 10.1 版本低于 10.1.14-h9 该漏洞由 Assetnote 的安全研究人员发现并报告给 Palo Alto Networks。他们还在补丁发布时发布了包含完整利用细节的技术分析。 研究人员展示了如何利用这一漏洞提取敏感系统数据、检索防火墙配置，或可能操纵 PAN-OS 内的某些设置。 该漏洞的利用方式是利用 PAN-OS 中 Nginx 和 Apache 之间的路径混淆，从而绕过认证。 具有管理界面网络访问权限的攻击者可以利用这一点收集进一步攻击的情报，或通过修改可访问的设置来削弱安全防御。 威胁监控平台 GreyNoise 记录了针对未修补 PAN-OS 防火墙的利用尝试。这些攻击始于 2 月 13 日 17:00 UTC，似乎源自多个 IP 地址，可能表明不同威胁行为者正在利用该漏洞。 关于在线暴露的易受攻击设备，Macnica 研究员 Yutaka Sejiyama 告诉 BleepingComputer，目前有超过 4400 个 PAN-OS 设备在线暴露其管理界面。 为了防范正在进行的利用活动，考虑到概念验证（PoC）已公开，预计未来几天内可能会达到高潮，建议应用可用的补丁并限制对防火墙管理界面的访问。   消息来源：Bleeping Computer；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 谷歌正在为安卓系统开发一项新安全功能，该功能可在通话过程中阻止设备所有者更改敏感设置。 具体来说，通话中的防诈骗保护措施包括防止用户开启安装未知来源应用的设置和授予无障碍访问权限。这一开发最初由Android Authority报道。 用户在通话过程中尝试进行这些操作时，会收到提示：“诈骗者通常会在通话中要求进行此类操作，因此我们将其阻止以保护您。如果您是在不认识的人的指导下进行此操作，这可能是一个诈骗。” 此外，该功能还阻止用户在通话过程中授予应用无障碍访问权限。 该功能目前已在本周早些时候发布的安卓16 Beta 2中上线。通过这一最新功能，旨在增加恶意行为者常用的一种滥用手段的难度，即通过发送短信诱导目标拨打电话，从而传递恶意软件。 这些方法被称为电话导向攻击传递（TOAD），涉及向潜在目标发送短信，诱导他们拨打一个号码，制造一种紧迫感。 去年，NCC集团和芬兰国家网络安全中心（NCSC-FI）披露，网络犯罪分子正在通过结合短信和电话的方式分发dropper应用，诱骗用户安装如Vultr等恶意软件。 这一开发是在谷歌扩大限制设置范围以覆盖更多权限类别之后进行的，旨在防止侧载应用访问敏感数据。 谷歌还在巴西、香港、印度、肯尼亚、尼日利亚、菲律宾、新加坡、南非、泰国和越南等市场推出了自动阻止可能不安全应用侧载的功能，以打击欺诈行为。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文