HackerNews 编译，转载请注明出处： 微软已修复一个已知问题，该问题导致在使用 Kerberos PKINIT 预认证安全协议的系统上启用 Credential Guard 时出现认证问题。 据微软称，这些认证问题影响了客户端（Windows 11 24H2 版本）和服务器（Windows Server 2025）平台，尽管仅在一些特殊场景中出现。 在受影响的系统上，用户遇到问题，因为当使用身份更新管理器证书/预引导密钥初始化（PKINIT）协议时，密码未能正确轮换。 然而，由于 Kerberos 认证通常用于企业终端，因此家庭设备可能不受此已知问题的影响。 “由于这个问题，设备无法按照默认的 30 天间隔更改密码。由于这种失败，设备被视为过期、禁用或已删除，导致用户认证问题，”微软在 Windows 发布健康仪表板更新中解释道。 “运行 Windows 家庭版的设备不太可能受到此问题的影响，因为 Kerberos 认证通常用于企业环境中，在个人或家庭设置中并不常见。” 微软表示，该问题已在 2025 年 4 月的 Windows 安全更新中得到修复，适用于 Windows 11 24H2 和 Windows Server 2025。然而，它还补充说，在找到永久解决方案之前，已禁用 Credential Guard 中依赖 Kerberos 密码轮换的机器账户。 “我们建议您为您的设备安装最新的更新，因为它包含重要的改进和问题解决，包括此问题，”该公司表示。 2022 年 11 月，微软发布了紧急带外（OOB）更新，以修复另一个导致企业 Windows 域控制器上 Kerberos 登录失败和各种其他认证问题的已知问题。 它还在 2021 年 11 月解决了与 Windows Server 上 Kerberos 委托场景相关的认证失败问题，并在一年前解决了影响运行 Windows 2000 及更高版本的域连接设备的类似 Kerberos 认证问题。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Tenable公司紧急禁用了两个版本的Nessus扫描器代理，原因是插件更新故障导致代理离线。 Nessus是Tenable公司推出的一款广受欢迎的漏洞扫描工具，旨在识别和评估系统、网络和应用程序中的安全漏洞。 Tenable公司被迫禁用两个版本的Nessus扫描器代理，原因是插件更新故障导致这些代理离线。 “我们已知悉并正在积极调查一个问题，即所有站点的某些用户在插件更新后遇到代理离线的情况。”Tenable公司在2024年最后一天发布的更新中写道，“插件更新已暂时暂停。” 该公司并未分享问题的技术细节。 “已知一个问题会导致Tenable Nessus Agent 10.8.0和10.8.1版本在触发差异插件更新时离线。为防止此类问题，Tenable已禁用这两个代理版本的插件源更新。此外，Tenable还禁用了10.8.0和10.8.1版本，以防止进一步出现问题。”公司报告称。 几天后，供应商宣布正在解决影响Nessus Agent 10.8.0/10.8.1版本的问题： Nessus Agent for Tenable Vulnerability Management（TVM）、TSC和Nessus从10.8.0/10.8.1版本降级到10.7版本 除以下情况外，所有插件源更新均已禁用： TVM Nessus Agent版本低于10.8 TVM链接的Nessus扫描器（所有版本） Tenable发布了Nessus Agent v10.8.2版本，以解决被禁用的v10.8.0和10.8.1版本中的问题。 “为解决上述问题，所有运行Tenable Nessus Agent 10.8.0或10.8.1版本的Tenable Vulnerability Management和Tenable Security Center客户必须升级到代理版本10.8.2或降级到10.7.3版本。”咨询建议继续道，“如果您正在使用代理配置文件进行代理升级或降级，则必须执行单独的插件重置以恢复任何离线代理。”   消息来源：Security Affairs, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

一家知名日本加密货币平台遭遇黑客攻击，损失了价值数亿美元的加密货币，开业不到6个月便宣布关闭。 12月2日，DMM Bitcoin宣布，计划将所有客户账户及公司资产转移至另一家加密货币公司SBI VC Trade。后者是日本金融服务巨头思佰益（SBI）集团的子公司。 DMM Bitcoin表示，此决定源于今年5月31日的重大事件。当日，黑客侵入平台并盗取了4502.9枚比特币。事件发生时，这些比特币价值3.08亿美元（约合人民币22.39亿元），截至12月2日，其价值已增至超过4.29亿美元（约合人民币31.19元）。 DMM Bitcoin解释称，相关事件的调查仍在进行中，并透露平台已持续限制客户提取加密货币及提交购买订单。 公司表示：“我们认为，若长期维持现状，将严重影响客户的便利性。基于此情况，我们决定优先保护客户利益，将所有账户及资产转移至另一家公司。对此造成的长期不便，我们深表歉意。转移完成后，公司计划终止业务运营。” DMM Bitcoin成立于2018年1月。公司与SBI VC Trade已于近日（11月29日）签署协议，预计将在2025年3月之前完成所有账户及资产的转移。目前，双方仍在处理交易的具体细节，并将于未来发布进一步公告。SBI VC Trade也在声明中确认了这一交易。 调查显示交易所风险管理存在严重问题 5月底此次攻击发生后，DMM Bitcoin不得不通过贷款筹集巨额资金以弥补损失。6月，该公司获得了550亿日元（约合3.67亿美元）的贷款。 自9月以来，公司未就此事件提供进一步更新，也未公开完整说明事件细节，包括黑客身份及被盗资金的具体流向。 日本金融厅已介入调查，并在9月表示：“我们发现公司在系统风险管理及应对加密资产泄漏风险方面存在严重问题。” 调查显示，公司未指派专人负责风险管理，相关职责被集中在少数人员手中。此外，公司部门间进行了内部自我审计，但并未接受独立审计。 金融厅指出，DMM Bitcoin违反了多项有关加密货币公司处理资产转移的规定，且未保存有助于调查盗窃事件的日志记录。 金融厅表示：“公司未采取有效措施防止因欺诈行为等导致的加密资产外流，未能确保内部和外部的安全性。其在加密资产转移管理方面存在松散行为。此外，内部审计形同虚设，容忍这些管理漏洞，未能建立健全的风险防控体系。” 金融厅已向公司发出“业务改善命令”，但未明确是否会采取其他处罚措施。 分析认为攻击者为朝黑客组织Lazarus 区块链安全公司Elliptic的研究人员指出，被盗资金已迅速被分散，其中部分资金被转入至少10个不同的钱包中。 知名加密货币研究员ZachXBT于7月表示，这些资金中有部分通过一家有争议的柬埔寨支付平台Huione Guarantee进行洗钱。该平台与有组织犯罪及柬埔寨执政家族中的某成员存在关联。 ZachXBT根据资金转移方式及其他线索推测，此次攻击可能由臭名昭著的朝鲜黑客组织Lazarus Group发起。该组织以多起高调的网络攻击闻名，据称在过去10年内为朝鲜政府获取了超过30亿美元的资金。 根据区块链研究公司Chainalysis的报告，2024年上半年，网络犯罪分子通过加密货币盗窃获取了近16亿美元，高于2023年同期的8.57亿美元。 今年下半年也发生了多起重大盗窃事件。其中包括：印度加密货币平台WazirX被盗至少2.3亿美元，新加坡加密货币平台BingX被盗超过4400万美元；此外，印尼最大的加密货币平台于2024年9月被盗2000万美元，新加坡另一家加密货币平台Penpie报告称损失2700万美元。     转自安全内参，原文链接：https://www.secrss.com/articles/73079 封面来源于网络，如有侵权请联系删除

近日，研究人员在恶意事件中观察到一种名为 EDRSilencer 的红队操作工具。 EDRSilencer 识别安全工具后会将其向管理控制台发出的警报变更为静音状态。 网络安全公司 Trend Micro 的研究人员说，攻击者正试图在攻击中整合 EDRSilencer，以逃避检测。 被“静音”的EDR 产品 端点检测和响应（EDR）工具是监控和保护设备免受网络威胁的安全解决方案。 它们使用先进的分析技术和不断更新的情报来识别已知和新的威胁，并自动做出响应，同时向防御者发送有关威胁来源、影响和传播的详细报告。 EDRSilencer 是受 MdSec NightHawk FireBlock（一种专有的笔试工具）启发而开发的开源工具，可检测运行中的 EDR 进程，并使用 Windows 过滤平台（WFP）监控、阻止或修改 IPv4 和 IPv6 通信协议的网络流量。 WFP 通常用于防火墙、杀毒软件和其他安全解决方案等安全产品中，平台中设置的过滤器具有持久性。 通过自定义规则，攻击者可以破坏 EDR 工具与其管理服务器之间的持续数据交换，从而阻止警报和详细遥测报告的发送。 在最新版本中，EDRSilencer 可检测并阻止 16 种现代 EDR 工具，包括： 微软卫士 SentinelOne FortiEDR Palo Alto Networks Traps/Cortex XDR 思科安全端点（前 AMP） ElasticEDR Carbon Black EDR 趋势科技 Apex One 阻止硬编码可执行文件的传播，来源：趋势科技 趋势科技对 EDRSilencer 的测试表明，一些受影响的 EDR 工具可能仍能发送报告，原因是它们的一个或多个可执行文件未列入红队工具的硬编码列表。 不过，EDRSilencer 允许攻击者通过提供文件路径为特定进程添加过滤器，因此可以扩展目标进程列表以涵盖各种安全工具。 趋势科技在报告中解释说：在识别并阻止未列入硬编码列表的其他进程后，EDR 工具未能发送日志，这证实了该工具的有效性。 研究人员说：这使得恶意软件或其他恶意活动仍未被发现，增加了在未被发现或干预的情况下成功攻击的可能性。 EDRSilencer 攻击链，来源：趋势科技 趋势科技针对 EDRSilencer 的解决方案是将该工具作为恶意软件进行检测，在攻击者禁用安全工具之前阻止它。 此外，研究人员建议实施多层次的安全控制，以隔离关键系统并创建冗余，使用提供行为分析和异常检测的安全解决方案，在网络上寻找入侵迹象，并应用最小特权原则。     转自FreeBuf，原文链接：https://www.freebuf.com/news/412912.html 封面来源于网络，如有侵权请联系删除

据The Hacker News消息，与朝鲜相关的恶意软件 FASTCash正利用针对Linux的新变体实施攻击，目的是窃取资金。 研究人员表示，这种恶意软件安装在被入侵网络中处理银行卡交易的支付交换机上，以实施未授权的自动取款机提现交易。 美国相关机构于2018 年 10 月首次记录了 FASTCash，称至少自 2016 年底以来，有朝鲜背景的黑客组织Hidden Cobra就利用该恶意软件将非洲和亚洲地区的银行ATM作为攻击目标。在2017年的一起攻击事件中，该组织成功对位于 30 多个不同国家/地区的 ATM 机成功实施了攻击；2018年，同样的攻击又在 23 个不同国家的 ATM 机中上演。 虽然之前的 FASTCash仅适用于微软Windows系统和和 IBM AIX，但最新调查结果显示，新版本的恶意软件已经能够适用于Linux 系统，相关样本于 2023 年 6 月中旬首次提交到了 VirusTotal 平台。 该恶意软件为Ubuntu Linux 20.04 编译的共享对象（“libMyFc.so”）形式，攻击手法为篡改预定义的持卡人账号因资金不足而被拒绝的交易信息，并允许他们提取随机金额的土耳其里拉，每笔金额从 12000 到 30000 里拉（350 美元到 875 美元）不等 。 攻击示意图 Linux 变体的发现进一步强调了对足够强大的检测能力的需求，而 Linux 服务器环境中通常缺乏这些功能，建议对借记卡实施芯片和 PIN 要求、要求并验证发卡机构金融请求响应信息中的信息验证码，并对芯片和 PIN 交易执行授权响应加密验证。 参考来源：New Linux Variant of FASTCash Malware Targets Payment Switches in ATM Heists     转自FreeBuf，原文链接：https://www.freebuf.com/news/412963.html 封面来源于网络，如有侵权请联系删除

美国马里兰州信息技术部15日公布了其首个漏洞赏金计划的成果。参与该计划的黑客在州政府网站上共发现了40多个漏洞。 该漏洞赏金计划于7月30日正式启动，最初仅限于评估该州少数几个数字“资产”。随后，计划的范围扩大，涵盖了托管在Maryland.gov、md.gov以及state.md.us平台上的12个数字资产。在该计划运行期间（截至8月28日），通过州政府和网络安全公司HackerOne的共同审查，黑客们发现了40多个漏洞。这些漏洞在被威胁行为者利用之前，州政府已迅速完成修复。 州政府根据发现的漏洞严重程度向参与者支付了奖金，但未公开具体的支付金额。 官员们表示，此次计划帮助信息技术部与私营部门的网络安全领导者建立了重要合作关系，这将为未来的漏洞赏金计划及其他网络安全漏洞项目打下坚实基础。 许多联邦机构也已推出类似的漏洞赏金计划。根据州政府的新闻稿，马里兰州的漏洞赏金计划参考了美国国防部数字服务部门实施的一个项目，该项目专注于发现国防系统中的漏洞。在去年担任马里兰州首席信息官之前，Katie Savage曾负责领导国防数字服务部，该部门成功运行了“黑掉五角大楼”（Hack the Pentagon）等漏洞赏金计划。 Savage在新闻稿中表示：“漏洞赏金计划彻底改变了联邦政府识别和修复网络安全漏洞的方式。通过实施美国有史以来最广泛的州级漏洞赏金计划，马里兰州能够更快速地发现漏洞，建立与安全研究人员社区的强大长期联系，并确保我们的州更加安全。” 该计划得到了由州首席信息安全官Gregory Rogers领导的州安全管理办公室的全力支持。Rogers表示，该漏洞赏金计划是州级网络安全战略和信息安全计划的重要组成部分。 Rogers在新闻稿中提到：“州安全管理办公室正在通过采用最新的战略、创新和政策框架，来实现全州范围内的网络安全防御，并抵御威胁行为者的攻击。通过加强我们与美国国内蓬勃发展的安全研究人员社区的联系，我们正在建设一个不仅能自我保护，还能保护其公民的安全州，不论现在还是未来。” 参考资料：https://statescoop.com/maryland-state-bug-bounty-program-2024/     转自安全内参，原文链接：https://www.secrss.com/articles/71270 封面来源于网络，如有侵权请联系删除

全球领先的商业通信公司Mitel发布了一份重要的安全公告，指出其MiCollab软件中存在一个严重的SQL注入漏洞，该漏洞特别影响音频、网络和视频会议（AWV）组件。该漏洞被命名为 CVE-2024-47223，CVSS 得分为 9.4，表明一旦被利用将可能造成重大损失。 该漏洞源于对用户输入的 sanitization 不足，允许未经认证的攻击者通过特制 URL 进行 SQL 注入攻击。 Mitel 在其公告中警告说：“成功利用该漏洞需要特制的 URL，并可能对系统的保密性、完整性和可用性造成影响。鉴于 MiCollab 被广泛用于企业环境中的协作和会议解决方案，因此该风险尤为突出。” 如果攻击者成功利用了 CVE-2024-47223，他们就可以在未经授权的情况下访问用户名和电子邮件地址等非敏感用户配置数据。然而，潜在的危害还不止于此。Mitel 的公告称，攻击者还可以 “运行任意 SQL 数据库查询来破坏或删除表，从而可能导致 MiCollab 系统无法运行。 鉴于该漏洞的严重性，Mitel 强烈建议其客户更新到最新的 MiCollab 版本。该公告指出：“Mitel 建议受影响产品版本的客户更新到最新版本”，并强调 MiCollab 9.8 SP2 之前的版本存在漏洞。 OSI Security公司的Patrick Webster发现并报告了这一漏洞，他的及时发现引起了Mitel的注意。 对于无法立即升级的客户，Mitel 还为 9.8、9.8 SP1 和 9.8 SP1FP1 版本提供了临时补丁，以降低风险。该补丁可通过 Mitel 的知识管理系统获取，并提供了帮助保护受影响系统的具体说明。     转自安全客，原文链接：https://www.anquanke.com/post/id/300846 封面来源于网络，如有侵权请联系删除

在 SEC Consult 漏洞实验室的 Michael Baer 最近进行的漏洞分析中，发现 Palo Alto Networks 的 GlobalProtect MSI 安装程序存在一个严重的本地权限升级漏洞 (CVE-2024-9473)。该漏洞一旦被利用，本地低权限攻击者就能获得受影响计算机的 SYSTEM 级访问权限，给软件用户带来严重的安全风险。 CVE-2024-9473 漏洞存在于 GlobalProtect 的 MSI 安装程序中。根据 Baer 的研究结果，问题出现在使用 MSI 文件安装 GlobalProtect 时。低权限用户可以在不需要用户账户控制（UAC）提示的情况下启动安装程序，从而触发安装修复。在修复过程中，一个名为 PanVCrediChecker.exe 的子进程会以 SYSTEM 权限执行，并与程序文件目录下的 libeay32.dll 文件交互。 Baer 解释说，这个过程打开了一个重大漏洞： “在使用 msiexec.exe 的修复功能时，发现 GlobalProtect MSI 安装程序文件的配置会产生一个以 SYSTEM 用户身份运行的可见 conhost.exe 窗口。这样，攻击者就可以通过打开 SYSTEM 级命令提示符来操纵系统，从而完全控制机器。” 开发过程出人意料地简单明了。攻击者可以在机器上找到 MSI 安装程序文件（即使该文件已从其原始位置删除）并触发修复过程。利用谷歌零项目中的工具 SetOpLock.exe，攻击者可以锁定 libeay32.dll，修复过程中会多次访问 libeay32.dll。 通过在特定时间点小心地释放和保持锁，攻击者可以确保 conhost.exe 窗口保持打开，从而提升权限。“PanVCrediChecker.exe执行时打开的conhost窗口不会关闭，因此可以与之交互，”Baer解释说。最后一步是通过浏览器打开 SYSTEM 级命令提示符并执行 cmd.exe。 分析显示，GlobalProtect 的多个版本都存在漏洞。测试的版本包括 5.1.5 和 5.2.10 以及 6.1.2，但 Palo Alto Networks 已确认 6.2.5 之前的所有版本都受到了影响。不过，5.2.x 版本已达到使用寿命，将不会收到补丁。强烈建议运行任何受影响版本的用户立即升级到已打补丁的 6.2.5 版本，以降低风险。     转自安全客，原文链接：https://www.anquanke.com/post/id/300697 封面来源于网络，如有侵权请联系删除

本周三，谷歌宣布与全球反诈骗联盟（GASA）和DNS研究联合会（DNS RF）建立全新伙伴关系，目的在于打击网络诈骗。 该合作平台被命名为全球信号交换系统（GSE），旨在实时洞察以欺诈为内核的各种形式的网络犯罪。其背后逻辑在于通过汇集不同数据源的威胁信号，增强对网络犯罪实施者的可见性。 谷歌在《黑客新闻》上发布博客文章，表示：“GSE集中式平台的建立，旨在改善滥用信号的交换，从而更快地识别并阻断各部门、平台和服务中的欺诈活动。”。 GSE的目标是，创建一个由GASA和DNS RF共同管理，对用户友好且解决问题高效的方案，并且该方案可在线上运行，提供符合条件的组织访问。 谷歌表示，它已经共享超过10万个不良商家的URL和超过100万个诈骗信号，并将其输入到数据平台，以期同步提供来自其他产品的数据。 它补充道：“从既有经验中可知，如果想要更全方位地保护用户，更有力地打击打击网络诈骗行为及其背后的犯罪组织需要政府、企业、社会三方协作。” 谷歌还借此机会指出，跨帐户保护已被应用于使用谷歌账号登录网站和应用程序的32亿使用者。而公司的下一步计划则是与Canva、Electronic Arts、Indeed和微软旗下的LinkedIn合作。 一周前，Meta表示将与英国银行合作打击其平台上的欺诈行为，而这也是欺诈情报互惠交易所（FIRE）信息共享合作计划的一部分。     消息来源：The Hacker News，译者：XX；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

西门子发布了其SINEC安全监视器的一个新的安全更新，这是一个模块化的网络安全软件，用于被动的，非侵入性的，持续的监测客户场所的生产环境。已在V4.9.0之前的版本中发现了几个关键漏洞，这些漏洞被追踪为CVE-2024-47553、CVE-2024-47662、CVE-20483和CVE-2024-4565。 SINEC 安全监视器中发现的4个漏洞，其严重程度和对受影响系统的潜在风险各不相同。如果被利用，它们可能允许攻击者执行任意代码，损害系统完整性，并有可能获得对底层操作系统的根层访问权限。 已解决的脆弱性包括: CVE-2024-47553（CVSSv4 9.4）:由于ssmctl-client命令中用户输入的验证不当，允许经过身份验证的低权限攻击者以根权限执行任意代码。 CVE-2024-47562（CVSSv49.3）:由于用户输入ssmctl-client命令中的特殊元素被不当中和，使得经过身份验证的低特权本地攻击者能够执行特权命令。 CVE-2024-47563（CVSSv4 6.9）:由于对用于创建CSR文件的文件路径的验证不当，允许未经验证的远程攻击者在非预期位置创建文件。这可能会损害这些目录中文件的完整性。 CVE-2024-47565（CVSSv45.3）:允许经过身份验证的远程攻击者破坏应用程序的配置，原因是针对允许值对用户输入的验证不足。 西门子敦促用户将其SINEC Security Monitor安装更新到版本4.9.0或更高版本，以缓解这些漏洞。该更新可从西门子网站下载。     转自安全客，原文链接：https://www.anquanke.com/post/id/300632 封面来源于网络，如有侵权请联系删除