HackerNews 编译，转载请注明出处： 微软发布了一款 PowerShell 脚本，旨在帮助 Windows 用户和管理员更新可启动介质，使其在 2026 年底前使用新的 “Windows UEFI CA 2023” 证书，以应对即将实施的 BlackLotus UEFI Bootkit 缓解措施。 BlackLotus 是一种 UEFI Bootkit，能够绕过安全启动（Secure Boot），并控制操作系统的启动过程。一旦获得控制权，BlackLotus 可以禁用 Windows 安全功能，例如 BitLocker、受 hypervisor 保护的代码完整性（HVCI）和 Microsoft Defender Antivirus，从而在最高权限级别部署恶意软件，同时保持隐蔽性。 2023 年 3 月和 2024 年 7 月，微软发布了针对 CVE-2023-24932 的安全更新，该漏洞是一个被 BlackLotus 利用的 Secure Boot 绕过漏洞。然而，此修复默认情况下是禁用的，因为错误应用更新或设备上的冲突可能导致操作系统无法加载。分阶段推出修复程序，可以让 Windows 管理员在 2026 年底前强制实施前进行测试。 启用后，安全更新将把 “Windows UEFI CA 2023” 证书添加到 UEFI “Secure Boot Signature Database” 中。管理员随后可以安装使用该证书签名的较新启动管理器。此过程还包括更新 Secure Boot Forbidden Signature Database（DBX），以添加用于签名较旧、易受攻击启动管理器的 “Windows Production CA 2011” 证书。一旦撤销该证书，这些启动管理器将变得不受信任且无法加载。 然而，如果应用缓解措施后设备启动出现问题，必须首先更新可启动介质以使用 Windows UEFI CA 2023 证书来排查 Windows 安装问题。微软在关于 CVE-2023-24932 修复分阶段推出的支持公告中解释道：“如果应用缓解措施后设备出现问题且无法启动，你可能无法从现有介质启动或恢复设备。恢复或安装介质需要更新，以便与已应用缓解措施的设备兼容。” 昨天，微软发布了一款 PowerShell 脚本，帮助用户更新可启动介质以使用 Windows UEFI CA 2023 证书。该脚本可以从微软下载，并用于更新 ISO CD/DVD 镜像文件、USB 闪存驱动器、本地驱动器路径或网络驱动器路径的可启动介质文件。 要使用该工具，必须先下载并安装 Windows ADK，这是脚本正常运行的必要条件。运行时，脚本将更新介质文件以使用 Windows UEFI CA 2023 证书，并安装由该证书签名的启动管理器。 微软强烈建议 Windows 管理员在安全更新强制实施阶段到来之前测试这一过程。微软表示，这将在 2026 年底前发生，并将在开始前六个月内通知用户。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国联邦通信委员会（FCC）提议对网络电话服务提供商Telnyx处以449.25万美元的罚款，原因是该公司被指控未能遵守“了解你的客户”（KYC）规则，从而允许客户通过其平台发起伪装成虚构的FCC“欺诈预防团队”的机器人电话。然而，Telnyx对此表示否认，并称FCC的指控存在错误。 这些电话的发起者使用“Christian Mitchell”和“Henry Walker”的名字注册了Telnyx账户，注册地址为加拿大多伦多的同一地址，但使用的IP地址却来自苏格兰和英格兰。由于这两个账户都使用了mariocop123.com域名的电子邮件地址，因此被称为“MarioCop”账户。 在2024年2月6日至2月7日期间，他们发起了1797次冒充电话，直到Telnyx终止了他们的账户。具有讽刺意味的是，这些电话还拨打到了FCC工作人员及其家人的个人和工作电话上。 根据FCC的说法，这些电话使用了预先录制的语音信息，内容为：“你好，[收件人的名字]，你接到了来自联邦通信委员会的自动语音电话，通知你欺诈预防团队希望与你通话。” 但FCC并没有所谓的“欺诈预防团队”，该机构的执法局认为，这些电话的目的是“威胁、恐吓和欺诈”，因为至少有一名接到这些冒充电话的收件人被连接到了一个要求其“支付1000美元谷歌礼品卡以避免因对国家犯罪而入狱”的人。 FCC还补充说，该机构不会“发布或以其他方式分享工作人员的个人电话号码”，并表示“不清楚这些人是如何被锁定为目标的”。 FCC：Telnyx未能遵守KYC规则 根据FCC的说法，Telnyx未能采取必要措施，防止恶意行为者利用其VoIP网络进行非法语音通信，违反了“了解你的客户”（KYC）规则。 这些措施包括要求提供政府签发的身份证明、公司成立记录以及客户实际地址的第三方记录，以验证请求使用可进行大量通话的服务的客户身份。 然而，FCC声称，在开设MarioCop账户之前，Telnyx仅收集了每个申请人的姓名、非免费电子邮件地址、实际地址和IP地址，并且“没有进一步要求提供佐证或独立验证”。 “打击非法机器人电话将是FCC的首要任务。这就是为什么我对委员会首次采取行动并以两党投票的方式支持这一近450万美元的拟议罚款感到高兴。这一罚款源于一个明显的非法机器人电话诈骗活动，并延续了FCC长期以来阻止不良行为者的工作，”FCC主席布伦丹·卡尔（Brendan Carr）在周二表示。 “提供商有责任了解他们的客户并确保其网络的安全，以防止欺诈和恶意电话，”执法局代理局长帕特里克·韦布雷（Patrick Webre）补充道。 Telnyx否认FCC的指控 Telnyx是一个基于云的平台，通过互联网提供运营商级别的语音服务。该公司在全球30多个国家拥有运营商地位，提供全球通话服务、80多个国家的本地通话服务，以及45个以上市场的公共交换电话网（PSTN）替代服务。 该公司还允许客户利用专有数据在几分钟内构建“独特、具有情境感知的AI语音机器人”，并为客户提供一个语音API，帮助他们“在全球范围内通过可编程语音功能进行、接收和控制通话”。 在周三发布的一份新闻稿中，Telnyx否认了所有指控，称“FCC的拟议责任通知在事实上存在错误”，并表示对“FCC的错误决定感到惊讶”。 “Telnyx已经做了FCC要求的‘了解你的客户’（KYC）和客户尽职调查程序的一切，甚至更多，”该公司表示。 “更重要的是，FCC对适用于该行业的KYC和尽职调查标准存在误解。FCC自己的法规长期以来就明确表示，不要求在打击非法通信方面做到完美。[…] 值得注意的是，没有关于后续重复活动的指控。”   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 恶意软件包正悄然侵袭 Python 存储库，其目标直指那些有意向将 DeepSeek 融入自身工作流程的开发人员与工程师。 近期，DeepSeek 在人工智能领域掀起了一阵轩然大波，促使科技巨头们争先恐后地加速推进自家 AI 模型的发展进程。在这股全民热捧的浪潮之中，不法分子妄图趁虚而入，利用那些渴望将 DeepSeek 应用到自身业务中的人员。 Positive Technologies 的研究人员察觉并成功阻止了一起针对 Python 包索引（PyPI）存储库的恶意活动。 此次攻击的主要对象是开发人员、机器学习工程师以及 AI 爱好者，他们本打算借助 DeepSeek 的 AI 技术来简化项目操作流程。 经研究人员调查发现，此次攻击的发起者名为 “bvk”，该账户创建于 2023 年 6 月。值得注意的是，bvk 在此之前从未向 PyPI 存储库上传或贡献过任何内容。 然而，这一情况在 2025 年 1 月发生了转变，该用户上传了两个分别名为 “deepseeek” 和 “deepseekai” 的软件包。 “Deepseekai” 项目被宣传为 “DeepSeek AI API 的 Python 客户端 —— 可访问大型语言模型和 AI 服务”，这将使得开发人员的代码能够与 DeepSeek 的服务实现交互。 而 “deepseeek” 项目则号称是一个 “DeepSeek API 客户端”，允许开发人员在其 Python 项目中使用并部署 DeepSeek 的服务。 研究人员经核实确认，这些软件包均为非法软件，且发现它们旨在窃取用户和计算机数据以及环境变量。 环境变量通常包含运行应用程序所必需的敏感信息，例如用于安全防护的 API 密钥、数据库连接详细信息以及系统路径等。 毫不知情的用户若在命令行中运行 “deepseeek” 或 “deepseekai” 命令，可能并不会意识到，他们已经下载了正在后台悄然运行的恶意代码。 此恶意负载会暗中执行有害代码，在此情境下，它会从毫无防备的开发人员那里窃取数据。 研究人员发现的一个恶意代码的显著特点是，其作者利用 AI 来辅助编写脚本。 研究人员在察觉到这一情况后，迅速通知了管理员，相关软件包随即被删除。尽管如此，在被删除之前，这些软件包的下载量仍超过了 220 次。 近期，在 JavaScript（npm）和 Python（PyPI）等开源存储库中，发现的恶意软件包数量呈现出激增的态势。 研究人员对 700 多万个开源项目进行了分析，结果显示其中竟有 7% 的软件包包含恶意软件。 Sonatype 警告称：“仅在过去一年，就记录了超过 512,847 个恶意软件包，与上一年同期相比，增长幅度高达 156%，这一数据凸显出组织迫切需要调整其使用习惯。” 在现代软件中，高达 90% 的部分都依赖于开源组件。仅今年一年，此类软件包的下载量就已突破了 6.6 万亿次。然而，在 700 多万个可用软件包中，只有 10.5% 的开源代码在开发过程中得到了积极使用。   消息来源：Cyber News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 近日，一起恶意软件活动被发现利用Python载荷和TryCloudflare隧道传播名为AsyncRAT的远程访问木马。 Forcepoint X-Labs研究员Jyotika Singh在分析中指出：“AsyncRAT是一种远程访问木马，利用async/await模式实现高效异步通信。” “它允许攻击者隐秘地控制受感染系统，窃取数据并执行命令，同时保持隐蔽，因此构成重大网络安全威胁。” 这起多阶段攻击链的起点是一封包含Dropbox链接的钓鱼邮件，点击链接后会下载一个ZIP压缩包。 压缩包内包含一个互联网快捷方式（URL）文件，该文件作为Windows快捷方式（LNK）文件的传输渠道，进一步推动感染扩散，而收件人则会看到一个看似无害的诱饵PDF文档。 具体而言，LNK文件是通过URL文件内嵌的TryCloudflare URL获取的。TryCloudflare是Cloudflare提供的一项合法服务，用于通过创建专用通道（即trycloudflare[.]com上的子域名）将Web服务器暴露给互联网，而无需开放任何端口。 LNK文件触发PowerShell执行托管在同一位置的JavaScript代码，进而引导到一个能够下载另一个ZIP压缩包的批处理脚本（BAT）。新下载的ZIP文件包含旨在启动和执行多个恶意软件家族的Python载荷，如AsyncRAT、Venom RAT和XWorm。 值得注意的是，去年发现了同一感染序列的轻微变种，传播了AsyncRAT、GuLoader、PureLogs Stealer、Remcos RAT、Venom RAT和XWorm。 Singh指出：“这起AsyncRAT活动再次表明，黑客如何利用Dropbox链接和TryCloudflare等合法基础设施为己所用。载荷通过Dropbox链接和临时的TryCloudflare隧道基础设施下载，从而诱使收件人相信其合法性。” 这一事态发展正值利用钓鱼即服务（PhaaS）工具包进行钓鱼活动激增之际，这些活动通过引导用户访问模仿微软、谷歌、苹果和GitHub等可信平台登录页面的虚假着陆页，实施账户接管攻击。 还观察到通过电子邮件进行的社会工程学攻击利用被攻陷的供应商账户收集用户的Microsoft 365登录凭据，这表明威胁行为者正在利用互联供应链和固有信任来绕过电子邮件身份验证机制。 近几周记录的其他一些钓鱼活动包括： 针对拉丁美洲组织的攻击，利用官方法律文件和收据分发和执行SapphireRAT； 利用合法域名（包括政府网站“.gov”域名）托管Microsoft 365凭据收集页面； 冒充税务机构和相关金融机构，针对澳大利亚、瑞士、英国和美国的用户，以捕获用户凭据、进行欺诈支付和分发AsyncRAT、MetaStealer、Venom RAT、XWorm等恶意软件； 利用伪造的Microsoft Active Directory Federation Services（ADFS）登录页面收集凭据和多因素身份验证（MFA）代码，以进行后续以财务动机为主的电子邮件攻击； 利用Cloudflare Workers（workers.dev）托管模仿各种在线服务的通用凭据收集页面； 以就业合同为幌子，针对德国组织使用Sliver植入物； 利用零宽度连接符和软连字符（又称SHY字符）绕过钓鱼邮件中的一些URL安全检查； 分发陷阱URL，作为名为ApateWeb的活动的一部分，交付恐吓软件、潜在不需要的程序（PUPs）和其他诈骗页面。 CloudSEK的最新研究还表明，可以利用Zendesk的基础设施来协助钓鱼攻击和投资诈骗。 该公司表示：“Zendesk允许用户注册其SaaS平台的免费试用版，并允许注册子域名，这些子域名可能被滥用以冒充目标。”并补充说，攻击者随后可以将目标电子邮件地址作为“用户”添加到Zendesk门户中，以发送钓鱼邮件。 “Zendesk不会进行电子邮件检查以邀请用户。这意味着任何随机账户都可以作为成员添加。可以以分配给电子邮件地址的工单为幌子发送钓鱼页面。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一个名为Silent Lynx的此前未被记录的威胁行为者已被证实与针对吉尔吉斯斯坦和土库曼斯坦多个实体的网络攻击有关。 Seqrite Labs研究员Subhajeet Singha在上月末发布的一份技术报告中指出：“该威胁组织此前曾针对东欧和中亚地区涉及经济决策和银行领域的政府智库。” 该黑客组织的攻击目标包括大使馆、律师、政府支持的银行和智库。据推测，这一活动很可能由一名哈萨克斯坦的威胁行为者发起，但这一推测的置信度为中。 这些感染始于一封包含RAR压缩文件附件的钓鱼邮件，该附件最终成为恶意有效载荷的传输工具，使攻击者能够远程控制被感染的计算机。 网络安全公司于2024年12月27日检测到的第一轮攻击中，利用RAR压缩文件启动了一个ISO文件，该文件包含一个恶意的C++二进制文件和一个诱饵PDF文件。随后，该可执行文件运行一个PowerShell脚本，该脚本利用Telegram机器人（名为“@south_korea145_bot”和“@south_afr_angl_bot”）执行命令和数据外泄。 通过机器人执行的一些命令包括curl命令，用于从远程服务器（“pweobmxdlboi[.]com”）或Google Drive下载和保存额外的有效载荷。 相比之下，另一轮攻击则使用了一个包含两个文件的恶意RAR压缩文件：一个诱饵PDF文件和一个Golang可执行文件。后者旨在与攻击者控制的服务器（“185.122.171[.]22:8082”）建立反向shell连接。 Seqrite Labs表示，它观察到该威胁行为者与YoroTrooper（又名SturgeonPhisher）之间存在一定的战术重叠，后者已被证实使用PowerShell和Golang工具针对独联体国家发动攻击。 Singha表示：“Silent Lynx的攻击活动展示了其利用ISO文件、C++加载器、PowerShell脚本和Golang植入物的复杂多阶段攻击策略。” “他们依赖Telegram机器人进行命令和控制，结合诱饵文档和区域目标选择，这也凸显了他们将间谍活动的重点放在中亚和SPECA成员国上。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络犯罪分子正越来越多地利用合法的HTTP客户端工具，对Microsoft 365环境发动账户接管（ATO）攻击。 企业安全公司Proofpoint表示，其观察到有黑客利用HTTP客户端Axios和Node Fetch发送HTTP请求并从Web服务器接收HTTP响应，以实施ATO攻击。 安全研究员Anna Akselevich称：“这些工具最初源自GitHub等公共存储库，如今却越来越多地被用于中间人（AitM）攻击和暴力破解等技术手段中，导致大量账户被接管。” 自2018年2月以来，利用HTTP客户端工具进行暴力破解攻击的现象一直备受关注，随后的迭代更是采用OkHttp客户端的各种变体来攻击Microsoft 365环境，这种情况一直持续到2024年初。 但Proofpoint指出，到2024年3月，各种HTTP客户端开始受到追捧，攻击规模达到新高。截至去年下半年，78%的Microsoft 365租户至少遭受过一次ATO攻击。 Akselevich说：“2024年5月，这些攻击达到高峰，利用数百万个被劫持的家庭IP地址来攻击云账户。” Axios、Go Resty、Node Fetch和Python Requests等HTTP客户端的出现，证明了这些攻击尝试的数量和多样性。其中，将精确瞄准与AitM技术相结合的攻击手段，取得了更高的成功率。 Proofpoint表示，Axios是为Node.js和浏览器设计的，可以与Evilginx等AitM平台配合使用，以窃取凭据和多因素认证（MFA）代码。 此外，还观察到威胁行为者设置了新的邮箱规则以掩盖恶意活动证据、窃取敏感数据，甚至注册了权限范围过大的新OAuth应用程序，以建立对受损环境的持久远程访问。 据悉，Axios攻击活动主要针对交通运输、建筑、金融、信息技术和医疗保健等行业的高价值目标，如高管、财务官、账户经理和运营人员。 2024年6月至11月期间，超过51%的目标组织被评估为已成功受到攻击，43%的目标用户账户遭到入侵。 这家网络安全公司还检测到一起大规模密码喷洒攻击活动，该活动使用Node Fetch和Go Resty客户端，自2024年6月9日以来记录了不少于1300万次的登录尝试，平均每天超过6.6万次恶意尝试。然而，成功率仍然较低，仅影响了2%的目标实体。 迄今为止，已确定3000个组织中的超过17.8万个目标用户账户遭到攻击，其中大多数属于教育领域，特别是学生用户账户，这些账户可能保护不足，可被用于其他攻击活动或被出售给不同的威胁行为者。 Akselevich表示：“威胁行为者用于ATO攻击的工具已大大发展，他们利用各种HTTP客户端工具来利用API和发送HTTP请求。这些工具具有独特优势，使攻击更加高效。” “鉴于这一趋势，攻击者可能会继续在不同HTTP客户端工具之间切换，调整策略以利用新技术并逃避检测，这反映出了他们为增强攻击效果和降低曝光度而不断进化的更广泛模式。”   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 拉撒路集团被发现开展了一项积极活动，该活动利用加密货币和旅游行业的虚假领英工作机会提供恶意软件，该软件能够感染Windows、macOS和Linux操作系统。 据网络安全公司Bitdefender称，该骗局始于在专业社交媒体网络上发送的一条消息，以远程工作、兼职灵活性和高薪为诱饵。 罗马尼亚这家公司在与The Hacker News分享的一份报告中称：“一旦目标对象表现出兴趣，‘招聘流程’随即展开，骗子会要求提供简历，甚至要求提供个人GitHub仓库链接。” “尽管这些要求看似无害，但可能暗藏祸心，比如收集个人数据，或为互动披上合法的外衣。” 在获取所需信息后，攻击进入下一阶段。此时，攻击者伪装成招聘人员，分享一个GitHub或Bitbucket仓库链接，内含一个所谓的去中心化交易所（DEX）项目的最小可行性产品（MVP）版本，并指示受害者查看并给出反馈。 代码中包含一个模糊脚本，该脚本被配置为从api.npoint[.]io获取下一阶段的有效载荷，这是一个跨平台JavaScript信息窃取软件，能够从受害者浏览器上安装的各种加密货币钱包扩展中收集数据。 该窃取软件还充当加载程序，用于获取一个基于Python的后门程序，该程序负责监控剪贴板内容变化、保持持久远程访问，并投放其他恶意软件。 值得注意的是，Bitdefender记录的手法与已知攻击活动集群“传染性面试”（又称DeceptiveDevelopment和DEV#POPPER）存在重叠，该集群旨在投放名为BeaverTail的JavaScript窃取软件和名为InvisibleFerret的Python植入程序。 通过Python恶意软件部署的恶意软件是一个.NET二进制文件，可以下载并启动TOR代理服务器以与命令和控制（C2）服务器通信、渗出基本系统信息，并投放另一个有效载荷，进而窃取敏感数据、记录键盘输入和启动加密货币挖矿程序。 Bitdefender表示：“攻击者的感染链十分复杂，包含用多种编程语言编写的恶意软件，并使用多种技术，如递归解码并执行自身的多层Python脚本、首先收集浏览器数据再转向其他有效载荷的JavaScript窃取软件，以及能够禁用安全工具、配置Tor代理和启动加密货币挖矿程序的.NET级联加载程序。” 领英和Reddit上的报告显示，这些攻击活动相当普遍，且整体攻击链仅有小幅调整。在某些情况下，要求候选人克隆一个Web3仓库并在本地运行，作为面试流程的一部分；而在其他情况下，则指示他们修复代码中故意引入的错误。 其中一个有问题的Bitbucket仓库涉及一个名为“miketoken_v2”的项目，该项目现已无法在代码托管平台上访问。 就在前一天，SentinelOne披露称，“传染性面试”活动正被用于投放另一个代号为FlexibleFerret的恶意软件。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 亚马逊宣布了针对 Redshift 的关键安全增强功能，Redshift 是一种受欢迎的数据仓库解决方案，这些增强功能旨在防止因配置错误和不安全的默认设置导致的数据泄露。 Redshift 被企业广泛用于商业智能和大数据分析，与 Google BigQuery、Snowflake 和 Azure Synapse Analytics 竞争。它因其在处理PB级数据时的效率和性能、可扩展性以及成本效益而受到重视。 然而，配置不当和宽松的默认设置导致了大规模数据泄露事件，例如 2022 年 10 月的 Medibank 勒索软件事件，据报道该事件涉及对公司 Redshift 平台的访问。 上周，AWS 宣布将为新创建的预配置集群实施三项安全默认设置，以显著提升平台的数据安全性，并最大限度地减少灾难性数据泄露的可能性。 第一项措施是默认限制新集群的公共访问，将其限制在用户的虚拟私有云（VPC）内，并防止直接外部访问。如果需要公共访问，必须明确启用，并建议用户使用安全组和网络访问控制列表（ACL）来限制访问。 第二项更改是默认为所有集群启用加密，以确保即使未授权访问也不会导致数据泄露。用户现在必须指定一个加密密钥，否则集群将使用 AWS 所有的密钥管理服务（KMS）密钥进行加密。依赖未加密集群进行数据共享的用户必须确保生产和消费集群都已加密。未能调整这些工作流程可能会在更改生效时导致中断。 第三项更改是默认为所有新集群和恢复的集群强制使用安全 SSL（TLS）连接，以防止数据拦截和“中间人”攻击。使用自定义参数组的用户被鼓励手动启用 SSL 以增强安全性。 需要注意的是，这些更改将影响新创建的预配置集群、无服务器工作组和恢复的集群，因此现有设置不会立即受到影响。然而，AWS 建议客户根据需要审查和更新其配置，以符合新的安全默认设置，避免运营中断。 “我们建议所有 Amazon Redshift 客户审查他们当前的配置，并考虑在他们的应用程序中实施新的安全措施，”公告中写道。“这些安全增强功能可能会对依赖公共访问、未加密集群或非 SSL 连接的现有工作流程产生影响。” 寻求指导和支持的客户被要求阅读在线“管理指南”或联系 AWS 支持。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全公司VulnCheck最新报告显示，2024年野外被利用的CVE数量攀升至768个，较2023年的639个增长20%，创下年度新高。 约23.6%的KEV在公开披露当日或之前就已被武器化，这一比例虽较2023年的26.8%略有下降，却印证了漏洞在其生命周期内随时可能遭受攻击的行业规律。 VulnCheck安全研究员Patrick Garrity在接受《黑客新闻》采访时透露：”2024年公布的CVE中，有1%在发布时就被确认遭到野外利用。考虑到漏洞利用常存在滞后性，实际数字预计会持续攀升。”这一发现基于该公司持续追踪的漏洞生命周期数据。 值得关注的是，报告发布的两个月前，VulnCheck曾披露2023年度最常被利用的15个高危漏洞中，有15个中国黑客组织（占已命名威胁行为体的四分之一）涉及至少一个漏洞的利用。 其中，Log4j漏洞（CVE-2021-44228）以关联31个威胁组织位居榜首，目前仍有65,245台主机存在潜在风险。 经测算，全球约40万台联网设备因Apache、Atlassian等10家主流厂商产品的15个安全缺陷面临攻击威胁。这些涉及企业包括思科、微软、Fortinet等行业巨头，暴露出广泛的企业级安全风险。 对此，VulnCheck提出五点防护建议：企业需系统评估技术暴露面、建立风险可视化机制、强化威胁情报应用、完善补丁管理体系，并尽可能减少相关设备的互联网暴露面。该建议直指当前企业网络安全建设的核心痛点，为应对日益复杂的漏洞攻击提供了操作性框架。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露了微软 Power Platform 上的 SharePoint 连接器一个现已修补的漏洞的详细信息，如果该漏洞被成功利用，可能会允许威胁行为者窃取用户的凭据并发起后续攻击。 Zenity Labs 在一份与《黑客新闻》分享的报告中表示，这可能表现为允许攻击者代表被冒充的用户向 SharePoint API 发送请求的后利用行动，从而获得对敏感数据的未经授权的访问。 “该漏洞可以被利用来影响 Power Automate、Power Apps、Copilot Studio 和 Copilot 365，这显著扩大了潜在损害的范围。”高级安全研究员 Dmitry Lozovoy 说，“这增加了成功攻击的可能性，使黑客能够针对 Power Platform 生态系统内多个相互关联的服务。” 在 2024 年 9 月负责任地披露该漏洞后，微软在 12 月 13 日解决了这个被评估为“重要”严重性的安全问题。 微软 Power Platform 是一系列低代码开发工具，允许用户促进分析、流程自动化和数据驱动的生产力应用程序。 该漏洞本质上是服务器端请求伪造（SSRF），源于 SharePoint 连接器中的“自定义值”功能，该功能允许攻击者在流程中插入自己的 URL。 然而，为了使攻击成功，恶意用户需要在 Power Platform 上拥有环境制造者角色和基本用户角色。这也意味着他们需要首先通过其他方式获得对目标组织的访问权限并获取这些角色。 “有了环境制造者角色，他们可以创建和共享恶意资源，如应用程序和流程。”Zenity 告诉《黑客新闻》。“基本用户角色允许他们运行应用程序并与其拥有的 Power Platform 上的资源进行交互。如果攻击者还没有这些角色，他们需要先获得这些角色。” 在一个假设的攻击场景中，威胁行为者可以为 SharePoint 操作创建一个流程，并与低权限用户（即受害者）共享，导致他们的 SharePoint JWT 访问令牌泄露。 掌握了这个被捕获的令牌，攻击者可以代表被授予访问权限的用户在 Power Platform 之外发送请求。 不仅如此。该漏洞还可以通过创建看似无害的 Canvas 应用程序或 Copilot 代理来进一步扩展到其他服务，如 Power Apps 和 Copilot Studio，以窃取用户的令牌并进一步提升访问权限。 “你可以通过将 Canvas 应用程序嵌入 Teams 频道来进一步扩展。”Zenity 指出。“一旦用户在 Teams 中与应用程序交互，你就可以像在组织内一样轻松地窃取他们的令牌，使攻击更加广泛。” “主要的收获是，Power Platform 服务的相互关联性可能会导致严重的安全风险，尤其是考虑到 SharePoint 连接器的广泛使用，其中存储了大量敏感的公司数据，确保在各种环境中维护适当的访问权限可能会很复杂。” 这一事件发生之际，Binary Security 详细披露了 Azure DevOps 中的三个 SSRF 漏洞，这些漏洞可能被利用来与元数据 API 端点通信，从而允许攻击者获取有关机器配置的信息。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文