计算机安全组织 Cisco Talos 发现了一个新的漏洞，包括 Windows 11 和 Windows Server 2022 在内的所有 Windows 版本均受影响。该漏洞存在于 Windows 安装程序中，允许攻击者提升自己的权限成为管理员。 在发现该漏洞之后，Cisco Talos 集团升级了自己的 Snort 规则，该规则由检测针对一系列漏洞的攻击的规则组成。更新后的规则清单包括零日特权提升漏洞，以及针对浏览器、操作系统和网络协议等新兴威胁的新规则和修改后的规则。 利用该漏洞，拥有部分权限的用户可以提升自己的权限至系统管理员。这家安全公司已经在互联网上发现了恶意软件样本，这表明可能已经有黑客利用该漏洞发起攻击。 此前，微软的安全研究员 Abdelhamid Naceri 向微软报告了这个漏洞，据说在 11 月 9 日用 CVE-2021-41379 修复了该漏洞。然而，这个补丁似乎并不足以解决这个问题，因为这个问题仍然存在，导致Naceri在GitHub上发布了概念证明。 简单地说，这个概念证明显示了黑客如何利用微软Edge提升服务的酌情访问控制列表（DACL）将系统上的任何可执行文件替换为MSI文件。 微软将该漏洞评为”中等严重程度”，基本CVSS（通用漏洞评分系统）评分为5.5，时间评分为4.8。现在有了功能性的概念验证漏洞代码，其他人可以尝试进一步滥用它，可能会增加这些分数。目前，微软还没有发布一个新的更新来缓解这个漏洞。   （消息及封面来源：cnBeta）

IOS XE软件被用于各种核心路由器和交换机,思科已经修复了该软件的三个关键安全漏洞。 这三个严重的警告是思科发布的32个安全警告的一部分，包括防火墙、SD-WAN和无线访问漏洞。 最严重的安全漏洞发现于Cisco Catalyst 9000系列无线控制器的Cisco IOS XE软件，它在通用漏洞评分系统(CVSS)上被评为10分(满分10分)。 该漏洞有概率允许未经身份验证的远程攻击者使用管理权限执行任意代码，或在易受攻击的设备上触发DoS拒绝服务攻击。攻击者可以通过向受影响的设备发送一个精心制作的CAPWAP数据包来利用这个漏洞。CAPWAP是一种网络协议，允许用户集中管理无线接入点。 思科表示，攻击成功的话，攻击者便使用管理权限执行任意代码，或导致受影响的设备崩溃和重新加载，从而导致DoS攻击。 第二个关键漏洞——具有9.8 CVSS评级——对思科IOS XE SD-WAN软件造成了影响，并可能让攻击者在SD-WAN设备上触发缓冲区溢出。 思科表示:“这个漏洞是由于受影响设备处理流量时边界检查不足造成的。”“攻击者可以通过向设备发送特制流量来利用这个漏洞。设备手攻击可能会导致缓冲区溢出，并可能使用根权限执行任意命令，或导致设备重新加载，从而导致DOS攻击。” 第三个关键漏洞也有9.8 CVSS评级,这个漏洞与思科IOS XE软件的身份验证、授权、和记账功能(AAA)有关,该漏洞允许攻击者绕过NETCONF或RESTCONF认证，安装、操作或删除受影响的配置设备,造成内存泄露,导致DoS攻击。 Cisco表示:“漏洞利用如果成功，攻击者便可使用NETCONF或RESTCONF安装、操纵或删除网络设备的配置，或损坏设备上的内存，从而导致DoS攻击。” 思科表示，有一个解决这一漏洞的办法:删除启用密码，并配置启用密码。还有一种降低漏洞攻击伤害的方法:限制该漏洞的攻击面，确保为NETCONF和RESTCONF配置了访问控制列表，以防止来自不受信任子网的访问尝试。 思科已发布免费软件更新，用以解决关键漏洞。   消息来源：ARNNet，译者：Zoeppo； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接

一个名为“FamousSparrow”的网络间谍组织利用微软Exchange服务器的ProxyLogon漏洞及其自定义后门“SparrowDoor”，将全球各地的酒店、政府和私人企业作为目标。   ESET研究人员Matthieu Faou称ESET正在跟踪该组织，他们认为，自2019年以来FamousSparrow一直很活跃。3月3日，攻击者开始利用ProxyLogon漏洞，已有10多个高级持续威胁(APT)组织利用该漏洞接管Exchange服务器。   FamousSparrow主要针对酒店;然而，研究人员发现其他部门也有一些目标，包括政府、国际组织、工程公司和律师事务所。受害者分布在巴西、布基纳法索、南非、加拿大、以色列、法国、立陶宛、危地马拉、沙特阿拉伯、中国台湾、泰国和英国。   “在恶意软件方面，该组织没有多大的发展，但在目标方面，他们在2020年做出转变，他们开始以全球酒店为目标，”Faou谈到该组织的发展时说。FamousSparrow之所以与众不同，是因为它专注于酒店，而不仅是流行的APT目标，比如政府。   “我们认为他们的主要动机是间谍活动，”他补充道。酒店是APT组织的主要目标，因为它可以让攻击者收集目标的旅行习惯数据。他们还可能侵入酒店的Wi-Fi基础设施，监听未加密的网络通信。”   他们说，在研究人员能够确定初始危害矢量的情况下，FamousSparrow利用脆弱的面向互联网的应用程序锁定受害者。该组织利用了Microsoft Exchange已知的远程代码执行漏洞，包括3月份的ProxyLogon漏洞，以及Microsoft SharePoint和Oracle Opera(一种用于酒店管理的商业软件)。   服务器被攻破后，攻击者部署了几个自定义工具:Mimikatz的一个变体、 NetBIOS扫描程序Nbtscan和一个将ProcDump转到磁盘上的小工具，该工具将转移到另一个进程，而研究人员表示该进程可能会被用来收集内存机密。   攻击者还为他们的SparrowDoor后门放置了一个载入程序，这是他们独有的工具。   Faou说:“SparrowDoor使攻击者能够几乎完全控制被攻击的机器，包括执行任意命令或窃取任何文件。”SparrowDoor的部署，以及服务器端漏洞的使用，是该组织的主要特点。   研究人员认为FamousSparrow是自行运作的，但也发现了与其他已知APT组织的联系，包括SparlingGoblin和DRBControl。   Faou说:“他们很可能共享工具或接近受害者，但我们认为他们是独立的威胁团体。”   研究人员说，这提醒企业要迅速给面向互联网的应用程序打补丁。如果无法快速打补丁，建议企业不要将应用程序暴露在互联网上。   消息来源：Darkreading，译者：Zoeppo； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接

独立安全研究员 Park Minchan 透露，苹果 macOS Finder 中存在一个零日漏洞，攻击者可以利用这个漏洞在运行任何 macOS 版本的 Mac 系统上运行任意命令。   这个漏洞是因为 macOS 处理 inetloc 文件的方式会使它运行嵌入在其中的命令。SSD Secure Disclosure advisory称，它运行的命令可以是 macOS 的本地命令，在没有任何提示的情况下执行任意命令。   Internet 位置文件是一种系统书签，双击它，就会打开一个在线资源或本地文件(file://)。   最初，苹果公司默默地解决了这个漏洞，但是Minchan注意到苹果公司并没有完全解决这个漏洞。专家发现，仍然可以使用不同的协议(从 FiLe://到 FiLe://)，利用这个漏洞来执行嵌入的命令。“较新版本的 macOS (来自 Big Sur)阻止了前缀://的文件(在 com.apple.generic-internet-location 中) ，但是他们做了一个案例匹配，导致 fIle://或 fIle://绕过了检查。”   研究人员还为这个问题提供了PoC漏洞代码和一个视频演示: BleepingComputer称，在撰写本文时，PoC 代码的病毒检测率为零。   消息来源：securityaffairs，译者：Zoeppo； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文链接  

微软已经承认所有版本的Windows存在一个新的零日漏洞，目前正被攻击者利用。该公司表示，在MSHTML中发现了一个远程代码执行漏洞，恶意的微软Office文档可以借用这个漏洞对计算机发起攻击。攻击者可以制作一个恶意的ActiveX控件，被承载浏览器渲染引擎的微软Office文档所使用。然后，攻击者需要说服用户打开该恶意文件。 该公司解释说：”那些账户被配置为在系统中拥有较少用户权限的用户可能比那些以管理用户权限操作的用户受到的影响要小。” 这个远程代码执行漏洞的标识符为CVE-2021-40444，是由不同网络安全公司的研究人员发现的，其中包括微软自家安全响应中心、EXPMON和Mandiant。该漏洞一旦被利用，就会影响到Internet Explorer的浏览器渲染引擎MSHTML，该引擎也被用来渲染Windows上Microsoft Office文件中基于浏览器的内容。 微软已经在进行修复工作，并计划在本月的补丁星期二或通过带外更新发布安全更新。同时，用户可以通过保持反恶意软件产品（即微软Defender系列）的运行来保护电脑。该公司还建议用户暂时禁用Internet Explorer中的ActiveX控件的安装，以减轻任何潜在的攻击。 如需要了解更多细节，请访问微软的安全咨询页面，了解有关这些变通和缓解的方法： https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-40444   （消息及封面来源：cnBeta）

美国网络司令部（USCYBERCOM）今天发布了罕见的警报，敦促来自美国的企业和机构们立即修补一个被大规模利用的Atlassian Confluence关键漏洞。“对Atlassian Confluence CVE-2021-26084的大规模利用正在进行，预计会加速，”网络国家任务部队（CNMF）说。 USCYBERCOM单位还强调了尽快修补脆弱的Confluence服务器的重要性。”如果你还没有打补丁，请立即打补丁–这不能等到周末之后”。 这一警告是在副国家安全顾问安妮·纽伯格在周四的白宫新闻发布会上鼓励各组织”在周末假期前对恶意的网络活动保持警惕”之后发出的。 这是过去12个月中的第二次此类警告，前一次的通知来自今年6月份，CISA意识到威胁者可能试图利用影响所有vCenter Server安装的远程代码执行漏洞。 CISA今天还敦促用户和管理员立即应用Atlassian最近发布的Confluence安全更新。 Atlassian Confluence是一个非常受欢迎的基于网络的企业团队工作空间，旨在帮助员工在各种项目上进行协作。 8月25日，Atlassian发布安全更新，以解决积极利用的Confluence远程代码执行（RCE）漏洞，该漏洞被追踪为CVE-2021-26084，并使未经认证的攻击者能够远程在有漏洞的服务器上执行命令。 正如BleepingComputer本周报道的那样，在Atlassian的补丁发布6天后，一个PoC漏洞被公开发布后，多个威胁者开始扫描并利用这个最近披露的Confluence RCE漏洞来安装挖矿程序。 一些网络安全公司报告说，威胁者和安全研究人员都在积极扫描和利用未打补丁的Confluence服务器。例如，联盟工程总监Tiago Henriques检测到渗透测试人员试图寻找有漏洞的Confluence服务器。网络安全情报公司Bad Packets也发现了来自多个国家的威胁者在被攻击的Confluence服务器上部署和启动PowerShell或Linux shell脚本。 在分析了漏洞样本后，BleepingComputer证实，攻击者正试图在Windows和Linux Confluence服务器上安装加密货币矿工（例如XMRig Monero加密货币矿工）。 尽管这些攻击者目前只部署了加密货币矿工，但如果威胁者开始从被入侵的内部Confluence服务器横向移动企业网络，投放勒索软件的载荷并窃取或破坏数据，攻击的危害性就会迅速升级。   （消息及封面来源：cnBeta）

苏黎世的瑞士工程学院的研究人员发现了一个新的漏洞，非接触式万事达卡和Maestro密码可以被轻松绕过。该漏洞的关键之处在于，如果利用得当，盗贼可以使用被入侵的万事达卡或Maestro卡进行非接触式支付，而无需输入密码来完成交易。 要实现上述做法，需要首先在两部Android智能手机上安装专用软件。一个设备用于模拟正在安装的销售点终端，而另一个则作为一个卡片模拟器，允许将修改后的交易信息传输到真正的销售点设备。一旦卡片启动交易，它就会泄露所有相关信息。 苏黎世联邦理工学院的专家证实，这是一次孤立的攻击，但随着非接触式支付方式的更多漏洞被揭开，这很容易在现实生活中被利用。过去，同一个团队成功地绕过了Visa的非接触式支付密码，研究人员你在”EMV标准：破解、修复、验证”研究论文中详细描述了这一实验。 目前的实验集中在非Visa非接触式支付协议使用的卡上的PIN绕过，但使用的都是相同的策略和已知的漏洞。该团队能够拦截Visa的非接触式支付规范，并将交易方面转移到一个真正的销售点终端，该终端并不知道交易凭据的来源，直接验证并确认了PIN和购卡者的身份，因此PoS也不需要进行进一步的检查和身份鉴别流程。 不管是Visa、Mastercard还是Maestro，ETH都成功地进行了实验，这并不是数以百万计的非接触式卡用户所希望听到的。由于这个漏洞的严重性及其潜在的后果难以估量，研究人员没有透露所使用的应用程序的名称。   （消息及封面来源：cnBeta）

一家位于加州的医疗创业公司在整个洛杉矶提供COVID-19测试，在一位客户发现允许访问其他人的个人信息的漏洞后，该公司已经关闭了一个用于允许客户访问其测试结果的网站。Total Testing Solutions在整个洛杉矶有10个COVID-19测试点，每周在工作场所、体育场馆和学校处理”数千次”COVID-19测试。 当测试结果准备好后，客户会收到一封电子邮件，其中有一个网站链接，以获得他们的结果。 但一位客户说，他们发现了一个网站漏洞，允许他们通过增加或减少网站地址中的一个数字来访问其他客户的信息。这使得该客户可以看到其他客户的名字和他们的测试日期。该网站也只需要一个人的出生日期就可以访问他们的COVID-19测试结果，发现该漏洞的客户说”不需要很长时间”就可以暴力破解，或者简单地猜测。(对于30岁以下的人来说，这只是11000次生日猜测而已） 虽然测试结果网站有一个登录页面，提示客户提供他们的电子邮件地址和密码，但允许客户更改网址和访问其他客户信息的网站漏洞部分可以直接从网上访问，完全绕过了登录提示。 通过有限的测试发现，该漏洞可能使大约6万个测试处于危险之中。TTS首席医疗官Geoffrey Trenkle确认了这一漏洞，他对穷举破解的漏洞没有异议，但表示该漏洞仅限于一台用于提供传统测试结果的内部服务器，该服务器后来被关闭并被一个新的基于云的系统取代。公司在一份声明中说：”我们最近意识到我们以前的内部服务器存在一个潜在的安全漏洞，它可能允许利用URL操作和出生日期编程代码的组合来访问某些病人的名字和结果。”该漏洞仅限于在创建基于云的服务器之前在公共测试场所获得的病人信息。为了应对这一潜在的威胁，我们立即关闭了企业内部的软件，并开始将这些数据迁移到安全的云端系统，以防止未来数据泄露的风险。我们还启动了漏洞评估，包括审查服务器访问日志，以检测任何未被识别的网络活动或不寻常的认证失败。目前，TTS没有发现由于其先前服务器的问题而导致的任何不安全的受保护健康信息的泄露。据我们所知，实际上没有病人的健康信息被泄露，而且所有的风险都已经被减轻了。” Total Testing Solution表示将遵守国家法律规定的法律义务，但没有明确表示该公司是否计划通知客户这一漏洞。虽然公司没有义务向本州的总检察长或客户报告漏洞，但许多公司出于谨慎而报告，因为并不总是能够确定是否有不当访问。   （消息及封面来源：cnBeta）

思科 Talos 威胁情报研究团队在一份新报告中指出：微软的 PrintNightmare 安全漏洞，现正被一个名为 Vice Society 的勒索软件团伙所利用。近段时间，Talos 团队一直在密切留意攻击者在利用 Print Spooler 服务的安全隐患。遗憾的是，尽管微软在漏洞修复上耗费了数月的时间，最终取得的成果仍相当有限。 如图所示，Vice Society 会向受害者索要赎金，否则就会通过其网站泄露被盗的数据。 Talos 调查发现： Vice Society 与之前的 HelloKitty 勒索软件组织有关联，且目前正在利用 PrintNightmare Print Spooler 漏洞相关的动态链接库 (DLL) 文件注入勒索软件，来攻击那些易受感染的系统。 Talos 还观察到了 Vice Society 黑客用于执行攻击的一些策略、技术和程序（统称 TTP）： ● 比如在入侵期间使用 ProxyChains 将网络流量转移到其它地方。 ● 攻击 ESXi 虚拟服务器和数据备份，让整个系统容易受勒索软件感染阻止恢复。 ● 为了避免被端点安全解决方案检测到，威胁行为者还会绕过反恶意软件软件接口（AMSI）。   （消息及封面来源：cnBeta）

据《The Hacker News》报道，一种出现在DNSaaS（DNS即服务）的一类新漏洞可被黑客用来获取企业网络的敏感信息。基础设施安全公司Wiz的Ami Luttwak和Shir Tamari宣布，他们发现了一个简单的漏洞，允许拦截所有通过Google和亚马逊等管理的DNS供应商的互联网流量中的一部分动态DNS流量。 他们进一步解释说，暴露的流量为威胁者提供了他们发动成功攻击所需的所有信息。令人不安的是，这使任何人都有能力看到公司和政府组织内部正在发生的事情。在某种程度上，它相当于国家级别的间谍活动能力，而且这些数据就像注册一个域名一样容易获得。 研究人员说：”我们能够获取到的动态DNS流量来自15000多个组织，包括财富500强企业、45个美国政府机构和85个国际政府机构，这些数据包括大量有价值的情报，如内部和外部IP地址、计算机名称、员工姓名和办公地点。” 在Google云DNS或处理DNS解析服务的亚马逊Route53上进行的域名注册，创造了一个有效消除用户间的隔离并允许访问宝贵信息的场景。因此，如果一个组织在Route53平台上使用AWS名称服务器配置了一个新的域名，在托管区，他们将新的域名与内部网络相关联后，所有公司终端的动态DNS流量都可以被具有相同名称的欺诈性服务器所访问到。 幸运的是，由于Wiz Research团队开发了一个识别DNS信息泄漏的工具，这些漏洞已经被修补。简而言之，该工具发现了可以利用的DNS漏洞，以确定未经授权的内部DDNS更新是否被泄露给了DNS供应商或恶意行为者。 您可以在这里测试并了解更多细节： https://dynamic-dns-checker.tools.wiz.io/   （消息及封面来源：cnBeta）