HackerNews 编译，转载请注明出处： 研究人员发现Windows Server 2025存在权限提升漏洞，攻击者可借此攻陷Active Directory（AD）中的任意用户。Akamai安全研究员Yuval Gordon在报告中指出：“该攻击利用Windows Server 2025新增的委托托管服务账户（dMSA）功能，在默认配置下即可实施且实现难度极低。我们检测的环境中有91%存在具备攻击条件的非域管理员用户。” 这项被命名为BadSuccessor的攻击技术主要针对微软为防御Kerberoasting攻击引入的dMSA功能。根据微软文档，dMSA允许创建独立账户或替代现有标准服务账户。当替代发生时，原账户密码认证会被阻断，请求将重定向至本地安全机构（LSA）使用dMSA认证，后者自动继承原账户在AD中的所有访问权限。 Akamai发现的关键问题在于：dMSA的Kerberos认证阶段，密钥分发中心（KDC）签发的票据授予凭证（TGT）中嵌入的特权属性证书（PAC）会同时包含dMSA自身的安全标识符（SID）、被替代服务账户及其关联组的SID。攻击者通过模拟dMSA迁移流程，可让KDC误判合法权限继承，进而获取目标用户的完整权限——即使企业未实际部署dMSA功能。 Gordon解释：“攻击过程无需对被替代账户拥有任何权限，仅需对任意dMSA对象具备属性写入权限。我们将dMSA标记为某用户的前任账户后，KDC就会自动授予该dMSA与原用户完全相同的权限。” Akamai已于2025年4月1日向微软提交漏洞细节，微软将其评估为中等严重性，认为成功利用需攻击者已具备对dMSA对象的特定权限，故暂不发布紧急补丁。目前该公司正在开发修复程序。 鉴于漏洞暂无官方修复方案，建议企业采取以下措施： 限制创建dMSA账户的权限，特别是检查各组织单元（OU）的非默认主体权限。 部署Akamai提供的PowerShell脚本检测具备CreateChild权限的账户。 加强AD对象属性修改行为的日志监控，重点关注事件ID 5136等关键日志项。 该漏洞的特殊性在于：即使攻击者仅拥有普通用户常见的CreateChild权限，也可通过操纵dMSA属性接管域内任意账户，其危害程度等同于具备DCSync攻击所需的目录复制权限。微软文档显示，dMSA功能设计初衷是帮助企业安全迁移遗留服务账户，但此次研究表明新安全功能本身可能成为攻击突破口。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Elementor建站工具配套插件RomethemeKit曝出严重安全漏洞，该漏洞允许远程代码执行（RCE），目前已在1.5.5版本中完成修复。这款拥有超3万活跃安装量的插件主要用于为Elementor用户提供模板、部件和图标包，简化缺乏编程经验用户的建站流程。 网络安全公司Patchstack研究发现，旧版本中的install_requirements函数因缺少权限验证和非随机数（nonce）检查，使得任何已认证用户（包括仅具备订阅者权限的低权账户）均可利用此漏洞安装并激活任意插件。恶意插件一旦激活，攻击者即可远程执行任意代码。该漏洞被收录为CVE-2025-30911。 开发商Rometheme于2025年1月14日收到漏洞通报，1月30日发布的1.5.4版本尝试修补但未彻底解决问题。直至3月14日推出的1.5.5版本才通过添加权限验证和非随机数检查实现完整修复。 为避免同类漏洞，安全专家建议插件开发者在设计与开发阶段采取以下措施： 对涉及文件上传、插件安装、设置变更等管理级操作实施严格权限控制。 为所有通过AJAX发起的操作添加非随机数验证，防范跨站请求伪造（CSRF）攻击。 禁止向订阅者、投稿者等低权限角色开放插件安装/激活等敏感功能接口。 建立完善的验证框架并遵循WordPress官方编码规范，可显著降低远程代码执行等风险。定期代码审计、安全测试与及时更新同样是保障插件安全的关键措施。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 苏黎世联邦理工学院（ETH Zürich）的研究人员发现了一个新的安全漏洞，影响所有现代英特尔CPU并导致内存敏感数据泄露，这表明被称为Spectre的漏洞在七年后仍在持续影响计算机系统。该漏洞被命名为分支特权注入（BPI），“可被利用来滥用CPU（中央处理器）的预测计算，从而未经授权获取其他处理器用户的信息”。 研究作者之一、计算机安全组（COMSEC）负责人Kaveh Razavi表示，该缺陷影响所有英特尔处理器，可能使攻击者读取处理器缓存内容及同一CPU其他用户的工作内存。该攻击利用分支预测器竞态条件（BPRC），当处理器为不同权限用户切换预测计算时，未授权的黑客可借此绕过安全屏障获取特权进程的机密信息。 英特尔已发布微码补丁修复该漏洞（CVE编号CVE-2024-45332，CVSS v4评分5.7）。在5月13日的公告中，英特尔称“某些英特尔处理器间接分支预测器中由共享微架构预测状态引发的敏感信息泄露，可能允许已认证用户通过本地访问实现信息泄露”。 与此同时，阿姆斯特丹自由大学系统与网络安全组（VUSec）的研究人员披露了一类自训练Spectre v2攻击（代号Training Solo）。VUSec表示：“攻击者可在同一域（如内核）内推测劫持控制流，跨权限边界泄露机密，无需依赖eBPF等强大沙箱环境即可重现经典Spectre v2场景。” 这两个硬件漏洞（CVE-2024-28956和CVE-2025-24495）可针对英特尔CPU以最高17 KB/s的速度泄露内核内存。研究发现它们能“完全打破域隔离，重新启用传统用户-用户、虚拟机-虚拟机甚至虚拟机-宿主机Spectre-v2攻击”： CVE-2024-28956（CVSS v4评分5.7）：间接目标选择（ITS）漏洞，影响第9-11代英特尔酷睿及第2-3代至强等处理器 CVE-2025-24495（CVSS v4评分6.8）：Lion Cove分支预测单元问题，影响采用Lion Cove核心的英特尔CPU 尽管英特尔已发布微码更新修复这些缺陷，AMD表示已修订现有Spectre和Meltdown漏洞指南，明确强调使用经典伯克利数据包过滤器（cBPF）的风险。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全公司ReliaQuest今日发布最新报告称，至少有两个网络犯罪团伙BianLian和RansomExx正在利用SAP NetWeaver近期披露的安全漏洞，表明多组威胁分子正在争相利用该漏洞。 ReliaQuest表示发现了BianLian数据勒索团伙和RansomExx勒索软件家族（微软追踪代号Storm-2460）的活动痕迹。通过基础设施关联，研究人员确认BianLian至少参与了一起攻击事件，其服务器184[.]174[.]96[.]74运行的rs64.exe程序负责反向代理服务，该IP与同一托管商运营的184[.]174[.]96[.]70存在关联，后者曾被标记为BianLian的命令控制（C2）服务器，两者共享相同的证书与端口配置。 研究人员还观察到名为PipeMagic的插件式木马被部署，该恶意软件近期通过Windows通用日志文件系统（CLFS）权限提升漏洞（CVE-2025-29824）的零日攻击，针对美国、委内瑞拉、西班牙和沙特阿拉伯实体发起定向攻击。攻击者通过利用SAP NetWeaver漏洞植入WebShell后投放PipeMagic木马。 “尽管首次攻击尝试失败，但后续攻击通过内联MSBuild任务执行部署了Brute Ratel C2框架，”ReliaQuest指出，“在此过程中生成的dllhost.exe进程表明攻击者试图再次利用CLFS漏洞（CVE-2025-29824），此次通过内联汇编技术发起新攻击。” SAP安全公司Onapsis补充称，自2025年3月以来，威胁分子同时利用CVE-2025-31324漏洞及同组件的反序列化漏洞（CVE-2025-42999）实施攻击，新补丁已修复CVE-2025-31324的根本原因。 ReliaQuest在声明中强调：“只要CVE-2025-31324仍可被利用，其与CVE-2025-42999的实际危害差异微乎其微。尽管CVE-2025-42999需要更高权限，但CVE-2025-31324本身已能获取完整系统权限。攻击者无论通过认证或非认证用户均能同样利用这两个漏洞，因此两者的修复建议完全一致。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 新西兰研究员“MrBruh”指出，华硕主板预装的驱动程序软件DriverHub存在两个可通过远程利用执行任意代码的漏洞。 这两个漏洞被追踪为CVE-2025-3462（CVSS评分8.4）和CVE-2025-3463（CVSS评分9.4），攻击者可通过构造恶意HTTP请求与DriverHub交互。 华硕表示，漏洞源于缺乏充分验证，分别可被用于与软件功能交互及影响系统行为。该公司同时称“笔记本电脑、台式机或其他终端设备”不受影响。 然而MrBruh解释称，安全缺陷存在于预装软件接收和执行软件包的过程中，可实现远程代码执行。 DriverHub在后台运行，与driverhub.asus.com通信以通知用户需安装或更新的驱动程序。其依赖远程过程调用（RPC）协议，并通过本地服务允许网站通过API请求连接。 据MrBruh分析，虽然DriverHub仅接受来自driverhub.asus.com的RPC请求，但将源地址改为“driverhub.asus.com.*”即可允许未授权用户发送请求。 此外，驱动程序的UpdateApp端点接受包含“.asus.com”的构造URL参数，保存指定名称文件，下载任意扩展名文件，自动以管理员权限执行签名文件，且不删除签名验证失败的文件。 在分析以ZIP压缩包分发的独立Wi-Fi驱动程序时，MrBruh发现可利用静默安装功能通过UpdateApp端点执行任意文件。 该研究员演示了如何通过诱使用户访问托管在driverhub.asus.com.*子域名的恶意网页，实现一键远程代码执行。 MrBruh于4月8日报告漏洞，华硕于5月9日发布修复补丁。研究员称未发现任何注册的driverhub.asus.com.*域名，“表明漏洞在报告前未被主动利用”。       消息来源：securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 研究人员周一披露，一个与土耳其政府结盟的网络间谍组织似乎利用某即时通讯应用的零日漏洞，监视伊拉克境内库尔德军事行动。 据微软威胁情报部门称，追踪代号为Marbled Dust的黑客自2024年4月起入侵Output Messenger（一款常用于工作场所和组织聊天的应用）用户账户。 该团队表示“高度确信攻击目标与伊拉克境内库尔德军事组织相关，这与Marbled Dust既往攻击优先级一致。”库尔德武装组织库尔德工人党（PKK）周一宣布，在与土耳其持续数十年的冲突后，将解散并解除武装。伊拉克多数库尔德人居住在与土耳其接壤的半自治地区。 Marbled Dust的活动与其他公司追踪的Sea Turtle或UNC1326行动存在重叠。微软指出，该组织以攻击欧洲和中东实体闻名，“特别是与土耳其政府存在利益冲突的政府机构及组织，以及电信和信息技术行业目标。” 此前未记录的Output Messenger漏洞（CVE-2025-27920）可使认证用户将恶意文件上传至服务器启动目录。微软称尚不确定Marbled Dust如何每次均获取认证账户权限，但推测该组织可能使用DNS劫持或仿冒域名等技术拦截网络流量并窃取用户凭证。 在微软通报漏洞后，Output Messenger开发商印度公司Srimax发布了软件更新。研究人员还发现第二个未遭利用的漏洞（CVE-2025-27921），Srimax补丁亦涵盖该缺陷。 微软表示，利用首个漏洞可使攻击者“无差别访问所有用户的通信内容、窃取敏感数据并冒充用户身份，进而导致运营中断、内部系统未授权访问及大规模凭证泄露。”       消息来源：therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 影响 OttoKit（原名 SureTriggers）WordPress 插件的第二个安全漏洞已在野外遭到积极利用。 该漏洞被追踪为 CVE-2025-27007（CVSS 评分：9.8），是一个权限提升漏洞，影响了该插件1.0.82版本及之前的所有版本。 Wordfence表示：“这是由于 create_wp_connection() 函数缺少能力检查，且对用户的身份验证凭据验证不足。这使得未经认证的攻击者能够建立连接，最终可能导致权限提升。” 也就是说，该漏洞仅在以下两种可能的情况下可被利用—— 当网站从未启用或使用过应用密码，且 OttoKit 以前也从未使用应用密码连接到该网站时； 当攻击者已获得网站的认证访问权限并能够生成有效的应用密码时。 Wordfence 透露，其观察到威胁行为者试图利用初始连接漏洞与网站建立连接，随后通过 automation/action 端点创建管理员用户账户。 此外，攻击尝试同时针对 CVE-2025-3102（CVSS 评分：8.1），这是同一插件中的另一个漏洞，自上个月以来也在野外遭到了利用。 这表明威胁行为者可能在伺机扫描 WordPress 安装，查看其是否易受这两个漏洞中的任何一个影响。以下是观察到针对这些漏洞的 IP 地址—— 2a0b:4141:820:1f4::2 41.216.188.205 144.91.119.115 194.87.29.57 196.251.69.118 107.189.29.12 205.185.123.102 198.98.51.24 198.98.52.226 199.195.248.147 鉴于该插件的活跃安装量超过10万次，用户必须尽快应用最新补丁（版本1.0.83）。 Wordfence 表示：“攻击者可能早在2025年5月2日就开始积极瞄准此漏洞，大规模利用则始于2025年5月4日。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 谷歌近日修复了46个Android安全漏洞，其中包括一个已被在野利用的高危漏洞（追踪编号CVE-2025-27363，CVSS评分8.1）。该公司未透露相关攻击活动细节及漏洞利用者的身份信息。 该漏洞存在于系统组件中，成功利用可导致本地代码执行。2025年5月安卓安全公告指出：“最严重的问题是系统组件中的高危漏洞，攻击者无需额外权限即可执行本地代码，且无需用户交互即可完成利用。有迹象表明CVE-2025-27363可能已被定向攻击者有限度利用。” 今年3月中旬，Meta曾警告称FreeType库中的越界写入漏洞（同样追踪为CVE-2025-27363）可能已遭活跃利用。该漏洞影响FreeType 2.13.0及更早版本，具体存在于解析TrueType GX和可变字体文件的子字形结构时。“漏洞代码将带符号短整型数值赋给无符号长整型变量，叠加静态值后引发数值回绕，导致堆缓冲区分配过小。攻击者可借此越界写入最多6个带符号长整型数据，最终可能实现任意代码执行。”Meta公告称，同样未披露攻击细节、攻击者身份或攻击规模。 安全专家警告，多个Linux发行版仍在使用存在漏洞的旧版FreeType库，面临被攻击风险。谷歌在公告中强调：“新版安卓平台的多项安全增强机制大幅提升了漏洞利用难度，建议所有用户尽可能升级至最新系统版本。”       消息来源： securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 新发现的iOS漏洞可让攻击者仅用一行代码远程破坏并锁死iPhone。苹果目前已修复这个漏洞。 应用开发者兼安全研究人员Guilherme Rambo协助苹果发现并修复了与Darwin通知相关的严重漏洞，这是苹果操作系统中底层的进程间通信机制。 发送和接收Darwin通知无需特殊权限，且没有机制验证发送者身份。该功能作为公共API开放，iOS上的任何进程（包括沙盒应用）都能通过发送这些通知实现基本更新和状态变更。 尽管传输的数据量非常有限，但研究人员发现Darwin通知可能干扰系统运行，因为某些组件会以破坏设备正常功能的方式响应这些通知。 Rambo首先开发了名为“EvilNotify”的概念验证应用进行演示。该应用可实现以下破坏： 在状态栏显示特定图标（如“液体检测”） 在动态岛触发Display Port连接状态 禁用全局手势（如下拉控制中心、通知中心和锁屏） 强制系统使用蜂窝网络而非Wi-Fi 锁定屏幕 触发设备进入“恢复中”模式 研究人员指出：“由于我正在寻找拒绝服务攻击手段，最后这个‘恢复中’模式最有效，因为除了点击‘重启’按钮外别无退出方式，而重启总会导致设备重新进入该状态。” 应用中仅需加入一行代码即可引发崩溃。即使应用不在前台运行，通知仍会生效，导致设备无限重启。Rambo还开发了“VeryEvilNotify”小组件扩展，可有效软锁iOS设备，迫使用户必须抹除数据并从备份恢复。 “如果恶意应用被包含在备份中，设备从该备份恢复后漏洞会再次触发，这将极大增强拒绝服务攻击的效果。”Rambo补充道。 该漏洞于2024年6月26日提交给苹果。苹果确认漏洞并在后续安全更新中修复，并向研究人员解释称：“敏感通知现在需要受限权限。”Rambo证实：“越来越多的进程开始采用受限通知的新权限，随着iOS 18.3的发布，我的概念验证中演示的所有问题都已解决。” 研究人员因此获得17,500美元漏洞赏金。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国网络安全和基础设施安全局（CISA）于本周一将两个高危安全漏洞纳入其“已知被利用漏洞”（KEV）目录。这两个漏洞分别影响博科（Broadcom Brocade）光纤通道操作系统和Commvault Web服务器，已有证据表明其已被主动利用。 具体漏洞信息如下： CVE-2025-1976（CVSS评分：8.6） 博科光纤通道操作系统（Fabric OS）的代码注入漏洞，允许拥有管理员权限的本地用户以root权限执行任意代码。 CVE-2025-3928（CVSS评分：8.7） Commvault Web服务器中未公开具体细节的漏洞，允许经过身份验证的远程攻击者创建并执行Web Shell。 关于Commvault漏洞，该公司在2025年2月的安全公告中指出：“利用此漏洞需要攻击者已通过身份验证获取Commvault软件环境内的用户凭证。未经认证的访问无法利用此漏洞。对于软件用户而言，这意味着您的环境必须同时满足：(i) 可通过互联网访问；(ii) 已通过其他途径被入侵；(iii) 攻击者持有合法用户凭证。” 该漏洞影响以下Windows和Linux版本： 11.36.0 – 11.36.45（已在11.36.46修复） 11.32.0 – 11.32.88（已在11.32.89修复） 11.28.0 – 11.28.140（已在11.28.141修复） 11.20.0 – 11.20.216（已在11.20.217修复） 针对CVE-2025-1976漏洞，博科公司表示由于IP地址验证缺陷，拥有管理员权限的本地用户可在Fabric OS 9.1.0至9.1.1d6版本中通过root权限执行任意代码，该漏洞已在9.1.1d7版本修复。公司在2025年4月17日的公告中强调：“虽然利用此漏洞需首先获取管理员权限，但该漏洞已在真实环境中被主动利用。攻击者不仅可以执行现有系统命令，还能修改操作系统内核，甚至植入自定义子程序。” 目前，关于这两个漏洞被利用的具体方式、攻击规模及幕后组织的信息尚未公开。CISA建议联邦民事行政部门（FCEB）机构分别于2025年5月17日（Commvault）和5月19日（博科）前完成相关补丁安装。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；  转载请注明“转自 HackerNews.cc”并附上原文