卡巴斯基实验室最近的一项研究发现，自 2022 年 6 月以来，攻击者一直在积极利用Windows CLFS 驱动程序中的一系列漏洞，作为复杂黑客攻击的一部分。总共在五个不同的 CLFS 驱动程序中发现了漏洞，包括 CVE-2022-24521 、 CVE-2022-37969 、 CVE-2023-23376 和 CVE-2023-28252 。 CLFS 自 Windows Server 2003 R2 和 Windows Vista 开始使用，是一种在操作系统内核级别运行的复杂日志机制。该系统的关键要素是基本日志文件（BLF），其中包含大量元数据。 在研究过程中，卡巴斯基实验室专家发现了 BLF 文件格式的严重缺陷。它们由内核内存结构组成，包括内存指针，这增加了漏洞的风险。自2018年以来，已有30多个类似的CLFS漏洞被修复，证实这是一个真正的安全威胁。 对 BLF 格式的详细研究表明，此类文件由存储在块中的记录组成。这些块具有复杂的结构，包括标头和偏移数组。 尽管 CLFS 已针对最佳性能进行了优化，但其复杂性和遗留代码是导致漏洞的因素。块内偏移错误可能会导致严重后果，包括攻击者的权限升级。 该研究强调了仔细设计和维护安全系统的重要性，尤其是关键操作系统组件。关于 CLFS 安全性的问题需要进一步关注，并且可能需要彻底重新思考数据保护方法。   转自安全客，原文链接：https://www.anquanke.com/post/id/292135 封面来源于网络，如有侵权请联系删除

变色龙安卓银行木马最近重出江湖并发布了最新的版本，它采用了一种非常“野”的方式来接管设备——禁用指纹和面部解锁功能，以窃取设备的 PIN 码。但不得不说，确实可以实现窃取 Android 手机PIN码。 它通过使用 HTML 页面的技巧来获取访问辅助服务的权限，并采用一种干扰生物识别操作的方法，来窃取 PIN 码并随意解锁设备。今年四月份发现的变色龙早期版本冒充澳大利亚政府机构、银行以及 CoinSpot 加密货币交易所，对被感染的设备进行键盘记录、覆盖注入、窃取 Cookie 和短信。 ThreatFabric 的研究人员一直在跟踪这款恶意软件，他们报告称，目前该恶意软件通过伪装成 Google Chrome 的 Zombinder 服务进行分发。Zombinder 将恶意软件“粘贴”到合法的安卓应用程序上，这样受害者就可以享受他们原本意图安装的应用程序的全部功能，从而降低了他们怀疑后台运行危险代码的可能性。 该平台声称其恶意软件捆绑包在运行时无法被检测到，可以绕过 Google Protect 的警报，并规避在被感染设备上运行的任何杀毒产品。 伪装成Google Chrome的携带变色龙恶意软件的APK文件（ThreatFabric） 新版变色龙特性 最新变色龙变体的首个新特性是能够在运行 Android 13 及更高版本的设备上显示 HTML 页面，提示受害者授予应用程序使用辅助服务的权限。 Android 13及更高版本受到一项名为“受限设置”的安全特性的保护，该特性可以阻止危险权限的批准，如辅助功能权限，恶意软件可以利用该权限窃取屏幕内容、授予自身额外权限和执行导航手势。 当变色龙检测到设备运行的是Android 13或14时，它会加载一个HTML页面，指导用户手动过程以启用应用的辅助功能，从而绕过系统的保护。 变色龙的HTML页面提示（ThreatFabric） 第二个值得注意的新特性是能够通过使用辅助服务强制设备回退到 PIN 码或密码认证，从而中断设备上的生物识别操作，如指纹解锁和面部解锁。该恶意软件会捕获受害者输入的任何 PIN 码和密码以解锁他们的设备，并且稍后可以随意使用这些凭据来解锁设备，以便在不被发现的情况下执行恶意活动。 Java代码片段干扰Android上的生物识别服务（ThreatFabric） ThreatFabric 报告称，变色龙通过 AlarmManager API 增加了任务调度功能，以管理活动周期并定义活动类型。根据辅助功能是否启用，恶意软件会适应性地发起覆盖攻击或执行应用使用数据收集，以决定注入的最佳时机。 ThreatFabric 警告说：“这些增强功能提升了新变色龙变种的复杂性和适应性，使其成为不断变化的移动银行木马威胁环境中更为强大的威胁。” 为了防范变色龙威胁，应该避免从非官方渠道下载 APK（Android 安装包），因为这是 Zombinder 服务的主要分发方式。此外，请确保 Play Protect 始终处于启用状态，并定期运行扫描，以确保设备没有恶意软件和广告软件。 转自FreeBuf，原文链接：https://www.freebuf.com/news/387465.html 封面来源于网络，如有侵权请联系删除

ESET 已修补 CVE-2023-5594，这是一个高危漏洞，可能导致浏览器信任不应信任的网站。 ESET 已为其多个端点和服务器安全产品发布了补丁，以解决一个高危漏洞，该漏洞可能被利用导致 Web 浏览器信任不应信任的网站。 该漏洞编号为 CVE-2023-5594，影响了 ESET 产品中的 SSL/TLS 协议扫描功能。它可能导致浏览器信任使用过时且不安全的算法签名的证书的网站。 “安全流量扫描功能中的漏洞是由于服务器证书链验证不当造成的，”ESET 在其通报中解释道。 它补充说，“使用 MD5 或 SHA1 算法签名的中间证书被认为是可信的，因此启用了 ESET 安全流量扫描功能的系统上的浏览器可能会信任使用此类证书保护的网站。” 受影响的 ESET 产品列表包括 NOD32 Antivirus、Internet Security、Smart Security Premium、Security Ultimate、Endpoint Antivirus、Endpoint Security、Server Security、Mail Security、Security for Microsoft SharePoint Server 和 File Security for Microsoft Azure。 自 11 月 21 日起，补丁已通过自动产品更新推出 – 无需用户交互即可安装修复程序。 一位希望保持匿名的个人向 ESET 报告了该漏洞。该网络安全公司表示，尚未发现任何利用此漏洞的黑客。 转自安全客，原文链接：https://www.anquanke.com/post/id/292112 封面来源于网络，如有侵权请联系删除

昨天，谷歌发布了 Chrome 网络浏览器的安全更新，以解决据报道已被攻击者利用的高级零日漏洞。 该漏洞被指定为 CVE-2023-7024，被描述为 WebRTC 框架内基于堆的缓冲区溢出错误。该漏洞可能导致程序崩溃或任意代码执行。 有关安全漏洞的其他详细信息目前尚未披露，以防止进一步滥用。Google 确认 CVE-2023-7024 的漏洞已经存在，并在实际攻击中被积极使用。 这一发现的错误成为自今年年初以来 Chrome 中第八个被积极利用的零日漏洞。之前的包括： CVE-2023-2033（CVSS 评分：8.8）- V8 中的类型混淆； CVE-2023-2136（CVSS 分数：9.6）——Skia 中的整数溢出； CVE-2023-3079（CVSS 评分：8.8）- V8 中的类型混淆； CVE-2023-4762（CVSS 评分：8.8）- V8 中的类型混淆； CVE-2023-4863（CVSS 评分：8.8）- WebP 中的缓冲区溢出； CVE-2023-5217（CVSS 分数：8.8）- libvpx 中 vp8 编码中的缓冲区溢出； CVE-2023-6345（CVSS 评分：9.6）是 Skia 中的整数溢出。 据专家介绍，2023 年最常见的漏洞类型是：远程代码执行、安全机制绕过、缓冲区操纵、权限提升以及输入验证和处理错误。 建议任何桌面平台上的所有 Chrome 用户检查其浏览器版本并更新（如果有可用更新）。目前版本 120.0.6099.129 及更高版本被认为是安全的。 基于 Chromium 的浏览器（例如 Microsoft Edge、Brave、Opera、Vivaldi 和 Yandex Browser）的用户也应该在修复程序可用后立即应用它们。 转自安全客，原文链接：https://www.anquanke.com/post/id/292099 封面来源于网络，如有侵权请联系删除

Mozilla 周二宣布了 Firefox 和 Thunderbird 的安全更新，以解决 20 个漏洞，其中包括多个内存安全问题。 Firefox 121 发布了 18 个漏洞的补丁，其中 5 个漏洞的危险程度程度为 “高”。 排在首位的是 CVE-2023-6856，这是 WebGL 中的堆缓冲区溢出错误，WebGL 是用于在浏览器中渲染交互式图形的 JavaScript API。 “在具有 Mesa VM 驱动程序的系统上使用时，WebGL DrawElementsInstanced 方法容易受到堆缓冲区溢出的影响。这个问题可能允许黑客执行远程代码执行和沙箱逃逸，”Mozilla 在其公告中解释道。 接下来是 CVE-2023-6135，该问题使得网络安全服务 (NSS) NIST 曲线容易受到 Minerva 侧通道攻击，这可能允许对手恢复长期私钥。 Mozilla 还解决了 CVE-2023-6865，该错误可能会暴露 EncryptingOutputStream 中未初始化的数据，该错误可被利用将数据写入本地磁盘，从而可能影响隐私浏览模式。 最新的 Firefox 迭代还解决了多个内存安全问题，这些问题统称为 CVE-2023-6873 和 CVE-2023-6864。后者还会影响 Firefox ESR 和 Thunderbird。 Firefox 121 还解决了八个中等危险漏洞，包括堆缓冲区溢出、释放后使用和沙箱逃逸问题。其余五个错误的危险程度程度被评为 “低”。 周二，Mozilla 宣布发布 Thunderbird 115.6，其中包含 11 个漏洞的补丁，其中 9 个漏洞也已在 Firefox 中得到解决。 其中两个都是高危漏洞，可能允许黑客欺骗电子邮件消息 (CVE-2023-50762)，或欺骗消息发送时间 (CVE-2023-50761)。 Firefox ESR 115.6 也在周二发布，其中包含 Firefox 121 解决的 11 个安全缺陷的补丁。 Mozilla 没有提及任何这些漏洞在攻击中被利用。更多信息可以在 Mozilla 的安全公告页面上找到。 转自安全客，原文链接：https://www.anquanke.com/post/id/292079 封面来源于网络，如有侵权请联系删除

网络安全软件提供商 Qualys Inc.今天发布的一份新报告发现，到 2023 年，只有不到 1% 的漏洞会导致最高风险被广泛利用。 2023 年威胁形势回顾报告详细介绍了漏洞威胁形势、主要漏洞类型和其他相关数据的关键见解，包括平均利用时间、MITRE ATT&CK 策略和技术，以及 2023 年最活跃的勒索软件和黑客。 报告发现，有 97 个可能被利用的高风险漏洞并未列在网络安全和基础设施安全局的已知被利用漏洞目录中。四分之一的高风险漏洞在发布当天就被利用，三分之一的高风险漏洞影响网络设备和 Web 应用程序。 2023 年发现的漏洞数量为 26,447 个，比 2022 年披露的漏洞数量多出 1,500 多个，是有史以来披露的最高数量。 在已披露的漏洞中，超过 7,000 个漏洞具有概念验证漏洞利用代码，可能会导致成功利用漏洞。但漏洞利用代码的质量通常较低，这可能会降低攻击成功的可能性。 大约 206 个漏洞具有可用的武器化利用代码，这意味着如果使用它们，它们很可能会危害目标系统。有 115 个漏洞经常被黑客、恶意软件和勒索软件组织（例如 Clop）利用。 超过三分之一的已识别高风险漏洞可以被远程利用。五种最常见的漏洞类型占已发现漏洞总数的 70% 以上。 2023 年高危漏洞的平均利用时间约为公开披露后 44 天。报告指出，在许多情况下，利用几乎是在瞬间发生的，有些漏洞在公布当天就被利用了。 据说，利用已知的漏洞代表了攻击者作案方式的转变，突显了黑客效率的不断提高和防御者响应窗口的不断缩小。25% 的高风险常见漏洞和暴露在发布当天就被发现已被利用。 全年被利用的主要漏洞包括针对 PaperCut NG、MOVEit Transfer、各种 Windows 操作系统、Google Chrome、Atlassian Confluence 和 Apache ActiveMQ 的漏洞。许多漏洞可以远程利用，无需物理访问目标系统。 2023 年按产品类型划分的被利用漏洞 2023 年使用的顶级 MITRE ATT&CK 技术和方法包括编号为 T1210 和 T0866 的远程服务漏洞利用，这种情况在企业中发生了 72 次，在工业控制系统中发生了 24 次，凸显了保护远程服务协议安全的重要性。 接下来是面向公众的应用程序的利用，称为 T1190 和 T0819，在企业中观察到 53 次，在 ICS 中观察到 19 次，而特权升级利用（称为 T1068）以 20 次记录的实例位居第三。 MITRE ATT&CK 策略和技术的出现情况 2023 年最活跃的攻击者团伙是Clop勒索软件，有时称为 TA505 或 CL0P。该组织是备受瞩目的网络攻击的幕后黑手，这些攻击利用了GoAnywhere MFT、PaperCut、MOVEit 和SysAid等平台上的0Day漏洞。在勒索软件方面，Clop 和LockBit是领先的威胁组织。 该报告提出了许多安全建议，并指出“很明显，漏洞武器化的快速发展和威胁行为者的多样性给全球组织带来了重大挑战。” 建议包括，企业应采用多层方法，通过使用各种传感器来清查面向公众的应用程序和远程服务的漏洞。还建议根据 CISA KEV 列表中的内容、高利用概率分数以及武器化利用代码的可用性等因素确定修复工作的优先顺序。 最常被利用的漏洞列表 转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/ykDuq9BjUNqgua06WKP6Og 封面来源于网络，如有侵权请联系删除

伊朗网络武器将枪口对准了非洲国家。 隶属于伊朗情报和安全部的黑客组织 MuddyWater 最近使用其专有的 C2 系统 MuddyC2Go 对埃及、苏丹和坦桑尼亚的电信部门进行了攻击。 MuddyWater 自 2017 年以来一直活跃，也被称为 Seedworm、Boggy Serpens、Cobalt Ulster 等。MuddyC2Go 工具是用 Golang 编写的， 由 Deep Instinct 在今年 11 月首次发现。该工具是以前 C2 分组系统 PhonyC2 和 MuddyC3 的替代品。 MuddyC2Go 包含一个带有PowerShell脚本的可执行文件，该脚本会自动连接到攻击者的 C2 服务器，使他们能够远程访问受害者的系统。 该组织的攻击特点是使用网络钓鱼电子邮件和过时、未修补的软件中的漏洞进行初始访问，然后进行侦察、横向移动和收集黑客所需的数据。 在 2023 年 11 月记录的最新攻击中，攻击者还使用了 SimpleHelp、Venom 代理工具、自定义键盘记录器和其他公开可用的程序。与此同时，为了掩盖其活动，该组织巧妙地结合了其武器库中可用的软件，试图尽可能长时间地保持隐形状态，以实现其战略目标。 值得注意的是，MuddyWater 不断改进其工具库，频繁使用 PowerShell 以及相关工具和脚本。这凸显了组织需要注意其网络上任何可疑的 PowerShell 使用情况。 因此，国家黑客组织攻击性的另一种表现凸显了不同国家许多关键行业信息安全系统的脆弱性。只有制定严格的全面网络安全规则并在实践中有效应用，才能实现有效的反制。 转自安全客，原文链接：https://www.anquanke.com/post/id/292019 封面来源于网络，如有侵权请联系删除

黑客的目标是医疗保健、电信和金融服务领域的组织。 Imperva 研究人员检测到8220 组织的活动，该组织正在利用Oracle WebLogic Server 中的高严重性漏洞来分发其恶意软件。 所涉及的问题是 CVE-2020-14883 （CVSS评分7.2），这是一个远程代码执行 ( RCE ) 漏洞，经过身份验证的攻击者可以利用该漏洞来接管易受攻击的服务器。 报告中，Imperva 表示：“此漏洞允许经过身份验证的远程攻击者通过一系列小工具执行代码，并且通常与 CVE-2020-14882 （也影响 Oracle WebLogic Server 的身份验证绕过漏洞）或使用泄露、被盗或弱凭据相关。”。 8220 组织已经拥有利用已知安全漏洞传播恶意软件以进行加密劫持的经验。今年5月，他们利用 Oracle WebLogic 服务器中的另一个漏洞（ CVE-2017-3506 ，CVSS评分7.4）将设备添加到僵尸网络中进行加密货币挖掘。 Imperva 记录的最新攻击链包括使用 CVE-2020-14883 创建特制 XML 文件，然后执行负责部署数据盗窃和加密货币挖掘恶意软件（例如 Agent Tesla、rhajk 和 nasqa）的代码。 Imperva 安全研究员丹尼尔·约翰斯顿 (Daniel Johnston) 表示：“该组织似乎以临时方式运作，其所在国家或行业选择没有明确的趋势。” 8220 恶意活动已针对美国、南非、西班牙、哥伦比亚和墨西哥的医疗保健、电信和金融服务行业。 “该组织依靠简单、公开的漏洞来攻击已知漏洞并实现他们的利益，”约翰斯顿补充道。“尽管他们的方法被认为并不复杂，但他们不断改进策略和技术以避免被发现。” 转自安全客，原文链接：https://www.anquanke.com/post/id/292025 封面来源于网络，如有侵权请联系删除

Akamai 的安全研究人员正在分享 Microsoft 今年早些时候针对 Outlook 零点击远程代码执行漏洞发布的补丁的多个绕过细节。 最初的问题被追踪为 CVE-2023-23397，在黑客利用该问题大约一年 后，微软于 2023 年 3 月修复了该问题。 未经身份验证的黑客可以通过发送包含指定为路径的声音通知的电子邮件提醒来利用此问题，强制 Outlook 客户端连接到攻击者的服务器，从而导致 Net-NTLMv2 哈希发送到服务器。 利用该漏洞不需要用户交互，因为当服务器收到并处理电子邮件时，该错误会立即触发。微软通过调用 API 函数解决了这个问题，该函数将检查路径以确保它没有引用互联网 URL。 然而，通过在电子邮件中包含精心设计的 URL，被调用的函数可能会被欺骗，将远程路径视为本地路径。该绕过由 Akamai 发现并跟踪为 CVE-2023-29324，并于 5 月被 Microsoft 修复。 然而，CVE-2023-29324 缺陷只是Akamai在研究 Outlook 零点击漏洞时发现的绕过方法之一。 第二个漏洞是 CVE-2023-35384，由 Microsoft 通过2023 年 8 月的补丁解决，它是一种路径类型混淆，可以通过精心设计的 URL 来利用，但确实需要用户交互。 微软在其通报中表示：“黑客可以制作恶意文件或发送恶意 URL，从而逃避安全区域标记，从而导致浏览器和某些自定义应用程序所使用的安全功能的完整性和可用性受到有限的损失。” 10 月份，这家科技巨头修复了与 Outlook 攻击向量相关的另一个漏洞，这次的漏洞源于 Windows 上声音文件的解析。 该问题被追踪为CVE-2023-36710，是音频压缩管理器 (ACM) 中的整数溢出错误，该代码处理 WAV 文件中的编解码器需要由自定义解码器进行解码的情况。编解码器由功能类似于内核模式驱动程序的驱动程序处理，但通过 ACM 注册。 Akamai 在技术文章中指出，该安全缺陷是在 ACM 管理器的 mapWavePrepareHeader 函数中发现的。 由于该函数在将字节添加到目标缓冲区大小时不执行溢出检查，因此攻击者可以触发非常小的缓冲区的分配，从而导致两次越界写入。 “我们设法使用 IMA ADP 编解码器触发了该漏洞。文件大小约为 1.8 GB。通过对计算执行数学限制运算，我们可以得出结论，IMA ADP 编解码器的最小可能文件大小为 1 GB，”根据 Akamai 的文档。 Akamai 表示，黑客可以在 Outlook 客户端或其他即时消息应用程序的上下文中成功利用此漏洞，无需用户交互即可实现远程代码执行。 “截至目前，我们研究的Outlook中的攻击面仍然存在，并且可以发现和利用新的漏洞。尽管 Microsoft 对 Exchange 进行了修补，以删除包含 PidLidReminderFileParameter 属性的邮件，但我们不能排除绕过此缓解措施的可能性。”Akamai 总结道。 转自安全客，原文链接：https://www.anquanke.com/post/id/292038 封面来源于网络，如有侵权请联系删除

2023 年共披露漏洞 26,447 个，比上年多出 1500 多个 CVE。 值得注意的是，这些漏洞中只有不到 1% 的风险最高，被勒索软件、威胁行为者和恶意软件在野外积极利用。 主要调查结果显示，有 97 个可能被利用的高风险漏洞并不属于 CISA 已知被利用的漏洞目录。此外，25% 的高风险漏洞在发布当天就被利用。 对漏洞威胁形势的深入研究还强调，超过 7000 个漏洞具有概念验证漏洞利用代码，而 206 个漏洞具有武器化漏洞利用代码，这增加了成功入侵的可能性。 报告显示，32.5%的高风险漏洞影响网络设备和Web应用程序，强调需要制定全面的漏洞管理策略。 Qualys TRU 还揭示了 2023 年利用高风险漏洞的平均时间为 44 天。 漏洞利用中使用的顶级 MITRE ATT&CK 策略和技术包括利用远程服务、面向公众的应用程序和权限升级。 顶级 MITRE ATT&CK 策略和技术 最常被利用的漏洞包括PaperCut NG 中的CVE-2023-27350和 Fortra GoAnywhere MFT 中的 CVE-2023-0669。 TA505（也称为 Cl0p 勒索软件团伙）等黑客以及 LockBit 和Clop等恶意软件在备受瞩目的网络攻击中发挥了重要作用，利用零日漏洞并强调加强网络安全措施的必要性。 当组织应对网络威胁的动态特性时，Qualys TRU 建议采用多方面的方法来确定漏洞优先级，重点关注已知的漏洞、极有可能被利用的漏洞以及具有武器化漏洞代码的漏洞。 “这份报告的当务之急是让组织评估其威胁缓解和威胁补救策略。威胁的数量和速度都在增长，这使得自动化对于组织缩短平均攻击时间至关重要。”Viakoo 实验室副总裁 John Gallagher 评论道。 “必须遵循最佳实践，以阻止整个组织内的横向移动和 RCE（远程代码执行）。” 其中包括实施考虑所有设备和应用程序的有效网络分段、跨设备组自动修补和密码轮换，以及将零信任原则扩展到所有网络连接系统。 转自F安全客，原文链接：https://www.anquanke.com/post/id/292036 封面来源于网络，如有侵权请联系删除