虚假的 IT 支持网站宣传针对常见 Windows 错误（如 0x80070643 错误）的恶意 PowerShell“修复”，以使用窃取信息的恶意软件感染设备。 这些虚假支持网站首先由 eSentire 的威胁响应部门 (TRU) 发现，它们通过已被入侵和劫持的 YouTube 频道进行推广，以增加内容创建者的合法性。 具体来说，威胁行为者正在制作虚假视频，宣传修复自一月份以来数百万 Windows 用户一直在处理的 0x80070643 错误。 在 2024 年 1 月补丁星期二期间，微软发布了安全更新以修复 BitLocker 加密绕过漏洞，该漏洞被追踪为 CVE-2024-20666。 安装更新后，全球的 Windows 用户报告称，在尝试安装更新时收到“0x80070643 – ERROR_INSTALL_FAILURE”，无论他们如何努力，该错误都不会消失。 “安装更新时出现一些问题，但我们稍后会再试。如果您继续看到此信息并想在网上搜索或联系支持人员获取信息，这可能会有所帮助：（0x80070643）”，Windows 更新错误显示。 Windows 更新中的 0x80070643 事实证明，Windows Update 显示了不正确的错误消息，因为它应该在 Windows 恢复环境 (WinRE) 分区太小而无法安装更新的系统上显示 CBS_E_INSUFFICIENT_DISK_SPACE 错误。微软解释称，新的安全更新要求 WinRE 分区有 250MB 的可用空间，如果没有，则必须自行手动扩展该分区。但是，对于那些 WinRE 不是驱动器上的最后一个分区的人来说，扩展 WinRE 分区很复杂，甚至是不可能的。因此，许多人无法安装安全更新，并且每次使用 Windows 更新时都会出现 0x80070643 错误消息。 这些错误导致许多沮丧的 Windows 用户在线寻求解决方案，从而让威胁行为者得以利用他们寻找解决方案的机会。 虚假 IT 网站宣传 PowerShell 修复程序 据 eSentire 称，威胁行为者正在创建许多虚假的 IT 支持网站，这些网站专门用于帮助用户解决常见的 Windows 错误，重点关注 0x80070643 错误。 eSentire 报告解释道：“2024 年 6 月，eSentire 的 威胁响应部门 (TRU)观察到一个有趣的案例，涉及通过虚假 IT 支持网站发起的 Vidar Stealer 感染（图 1）。” “当受害者在网上搜索 Windows 更新错误代码的解决方案时，感染就开始了。” 研究人员在 YouTube 上发现了两个虚假的 IT 支持网站，名为 pchelprwizzards[.]com 和 pchelprwizardsguide[.]com、pchelprwizardpro[.]com、pchelperwizard[.]com 和 fixedguides[.]com 等网站。 就像 eSentire 为 PCHelperWizard 拼写错误网站找到的其他视频一样，研究人员还在 FixedGuides 网站上找到了 YouTube 视频，同样宣传了针对 0x80070643 错误的修复。 YouTube 上宣传的虚假 IT 支持网站 这些网站都提供了修复方法，要么要求您复制并运行 PowerShell 脚本，要么导入 Windows 注册表文件的内容。无论使用哪种“解决方案”，都会执行一个 PowerShell 脚本，在设备上下载恶意软件。eSentire 的报告概述了 PCHelperWizard 网站（不要与合法课程网站混淆）如何引导用户将 PowerShell 脚本复制到 Windows 剪贴板并在 PowerShell 提示符中执行它。 伪装成 Windows 错误修复程序的恶意 PowerShell 脚本 该 PowerShell 脚本包含一个 Base64 编码的脚本，它将连接到远程服务器以下载另一个 PowerShell 脚本，该脚本会在设备上安装 Vidar 信息窃取恶意软件。脚本完成后，它会显示修复成功的消息并重新启动计算机，同时还会启动恶意软件。FixedGuides 网站的做法略有不同，它使用混淆的 Windows 注册表文件来隐藏启动恶意 PowerShell 脚本的自动启动程序。 混淆的 Windows 注册表文件 但是，当从上述文件中提取字符串时，您可以看到它包含一个有效的注册表文件，该文件添加了运行 PowerShell 脚本的 Windows 自动启动 (RunOnce) 条目。该脚本最终会在计算机上下载并安装窃取信息的恶意软件。 未混淆的 Windows 注册表文件 使用任何虚假修复都会导致在 Windows 重新启动后启动窃取信息的恶意软件。一旦启动，恶意软件将从您的浏览器中提取已保存的凭据、信用卡、cookie 和浏览历史记录。Vidar 还可以窃取加密货币钱包、文本文件和 Authy 2FA 身份验证器数据库，以及截取您的桌面屏幕截图。这些数据被汇编成一个名为“日志”的档案，然后上传到攻击者的服务器。被盗数据随后被用来发动其他攻击，例如勒索软件攻击，或在暗网市场上出售给其他威胁行为者。然而，受感染的用户现在面临一场噩梦，他们的所有帐户均被盗用，并可能遭受金融欺诈。 虽然 Windows 错误可能令人烦恼，但至关重要的是只从可信赖的网站下载软件和修复程序，而不是从随机视频和信誉不佳或没有信誉的网站下载。 您的凭证已经成为一种宝贵的商品，而威胁行为者正在想出各种狡猾且有创意的方法来窃取它们，因此不幸的是，每个人都需要对不寻常的攻击方法保持警惕。 至于 0x80070643 错误，如果您无法调整 WinRE 分区的大小，最好的办法是使用Microsoft 的显示或隐藏工具来隐藏 KB5034441 更新，以便 Windows Update 不再在您的系统上提供它，并且不会在 Internet 上搜索神奇的修复方法。   转自E安全，原文链接：https://mp.weixin.qq.com/s/BCN4EZMLj7Hhlszvau0xdA 封面来源于网络，如有侵权请联系删除

近日，Juniper Networks被曝存在一个极其严重的“身份验证”漏洞，对Session Smart 路由器（SSR）、Session Smart Conductor和WAN Assurance 路由器等产品造成比较明显的影响。目前，Juniper已紧急发布了相应的漏洞补丁，用户可及时进行系统更新。 该漏洞编号为CVE-2024-2973，攻击者可利用该漏洞完全控制设备。简单来说，JuniperSession Smart 路由器、Session Smart Conductor在运行冗余对等设备时，存在使用替代路径或通道绕过身份验证的漏洞，从而使得攻击者可以有效绕过身份验证，并对设备具有高控制度。 Juniper Networks进一步指出，只有在高可用性冗余配置中运行的Router或Conductor才会受到该漏洞的影响。 事实上，大多数企业为了保证服务或业务的连续性，网络管理员往往都会应用 “高可用性冗余配置”，以此提升不间断服务或者对恶意事件的抵抗能力。这也意味着，易受攻击的配置在关键任务网络基础设施中相当常见，包括大型企业环境、数据中心、电信、电子商务以及政府或公共服务。 受 该漏洞（CVE-2024-2973 ）影响的产品版本包括： 1、Session Smart 路由器 5.6.15 之前的所有版本 从 6.0 到 6.1.9-lts 之前的所有版本 从 6.2 起，6.2.5-sts 之前的所有版本 2、WAN Assurance 路由器 6.1.9-lts 之前的 6.0 版本 6.2.5-sts 之前的 6.2 版本 Session Smart 路由器在 5.6.15、6.1.9-lts 和 6.2.5-sts 版本中提供了安全更新。 WAN Assurance路由器在连接到Mist Cloud时会自动打上补丁，但High-Availability集群的管理员需要升级到SSR-6.1.9或SSR-6.2.5。 Juniper Networks指出，升级 Conductor 节点足以将修复程序自动应用到连接的路由器上，但路由器仍应升级到最新可用版本。应用漏洞修复程序不会中断生产流量，对基于 Web 的管理和 API 的停机时间影响极小，约为30秒。 注意，该漏洞没有其他变通方法，建议采取的行动仅限于应用可用的修复程序。 由于瞻博网络产品部署在关键和有价值的环境中，因此成为黑客攻击的目标。2023年，Juniper Networks  EX 交换机和 SRX 防火墙涉及四个漏洞组成的攻击链，且在供应商发布相关公告后不到一周就观察到了恶意活动。 几个月后，CISA 对上述漏洞的主动利用发出警告，并敦促联邦机构和关键组织在四天内应用安全更新，足以体现CISA的急迫性和漏洞的危害性。   转自FreeBuf，原文链接：https://www.freebuf.com/news/404900.html 封面来源于网络，如有侵权请联系删除

DARKReading 网站消息，一个严重的 GitLab 漏洞可能允许攻击者以另一个用户的身份运行管道，该公司正敦促运行易受攻击版本的用户立即修补该漏洞，以避免 CI/CD 失常。 GitLab 是仅次于 GitHub 的流行 Git 存储库，拥有数百万活跃用户。上周，它发布了社区版（开源）和企业版的新版本。 更新包括对 14 个不同安全问题的修复，包括跨站请求伪造（CSRF）、跨站脚本（XSS）、拒绝服务（DoS）等。根据通用漏洞评分系统 (CVSS)，其中一个问题的严重程度较低，九个问题的严重程度中等，三个问题的严重程度较高，但有一个关键漏洞的 CVSS 得分为 9.6（满分 10 分）。 CVE-2024-5655 对代码开发构成严重威胁 据该公司称，CVE-2024-5655 这个关键漏洞影响的 GitLab 版本从 15.8 到 16.11.5，从 17.0 到 17.0.3，以及从 17.1 到 17.1.1。该漏洞允许攻击者以另一个用户的身份触发管道，但仅限于 GitLab 没有详细说明的情况（GitLab 也没有提供有关该漏洞的任何其他信息）。 在 GitLab 中，管道可以自动完成构建、测试和部署代码的过程。从理论上讲，攻击者如果有能力以其他用户的身份运行管道，就可以访问他们的私有存储库，并操作、窃取或外泄其中包含的敏感代码和数据。 与 CVE-2023-7028 不同，GitLab 到目前为止还没有发现 CVE-2024-5655 漏洞在野外被利用的证据，而 CVE-2023-7028 在今年春天早些时候已经被利用。不过，这种情况可能很快就会改变。 合规问题，不仅仅是安全问题 像 CVE-2024-5655 这样根植于开发过程中的问题，有时会带来的困扰远不止于它们在文档上所呈现的简单风险。 Synopsys Software Integrity Group 首席副顾问 Jamie Boote 说：”在最坏的情况下，这个漏洞甚至不需要被利用就会给公司造成收入损失。”一个软件或软件驱动的产品是使用一个易受攻击的 GitLab 版本构建的，这一事实本身就可能引起关注。 像这样的管道漏洞不仅会带来安全风险，还会带来监管和合规风险。Jamie Boote 解释说：”由于美国公司正在努力满足向美国政府销售软件和产品所需的自检表要求，如果不解决这个漏洞，可能会导致合规性漏洞，从而使销售和合同面临风险。”他特别提到了美国商务部《安全软件开发证明表说明》第三部分的第 1c 行，其中要求 “在开发和构建软件的相关环境中执行多因素身份验证和有条件访问，以最大限度地降低安全风险”。 Jamie Boote 表示，不解决这一漏洞的公司将很难符合第 1c 项的要求，因为攻击者可以利用漏洞绕过公司为符合要求而依赖的条件访问控制。   转自FreeBuf，原文链接：https://www.freebuf.com/news/404873.html 封面来源于网络，如有侵权请联系删除

黑客正在利用影响所有 D-Link DIR-859 WiFi 路由器的严重漏洞来从设备收集帐户信息，包括密码。 该安全问题于一月份披露，目前编号为CVE-2024-0769  （严重程度评分为 9.8），这是一个导致信息泄露的路径遍历漏洞。 尽管 D-Link DIR-859 WiFi路由器型号已到达使用寿命（EoL）并且不再接收任何更新，但该供应商仍然发布了安全公告 ，解释称该漏洞存在于设备的“fatlady.php”文件中，影响所有固件版本，并允许攻击者泄露会话数据，实现权限提升，并通过管理面板获得完全控制权。 D-Link 预计不会发布针对 CVE-2024-0769 的修复补丁，因此该设备的所有者应尽快切换到受支持的设备。 检测到的利用活动 威胁监控平台 GreyNoise 观察到，在依赖于公开漏洞的细微变种的攻击中，CVE-2024-0769 遭到积极利用。 研究人员解释说，黑客的目标是“DEVICE.ACCOUNT.xml”文件，以转储设备上的所有帐户名、密码、用户组和用户描述。 检索到的配置文件内容，来源：GreyNoise 该攻击利用对“/hedwig.cgi”的恶意 POST 请求，利用 CVE-2024-0769 通过“fatlady.php”文件访问敏感配置文件（“getcfg”），该文件可能包含用户凭据。 恶意 POST 请求，来源：GreyNoise GreyNoise 尚未确定攻击者的动机，但针对用户密码的攻击表明其意图进行设备接管，从而使攻击者完全控制设备。 研究人员解释说：“目前尚不清楚这些披露信息的预期用途是什么，需要注意的是，这些设备永远不会收到补丁。只要设备一直面向互联网，从设备中泄露的任何信息在设备的整个生命周期内都将对攻击者有价值。” GreyNoise 指出，当前攻击所依赖的公开概念验证漏洞针对的是“DHCPS6.BRIDGE-1.xml”文件，而不是“DEVICE.ACCOUNT.xml”，因此它可以用于攻击其他配置文件，包括： ACL.xml.php ROUTE.STATIC.xml.php INET.WAN-1.xml.php WIFI.WLAN-1.xml.php 这些文件可能会暴露访问控制列表 (ACL)、NAT、防火墙设置、设备帐户和诊断的配置，因此防御者应该意识到它们是潜在的利用目标。 GreyNoise 提供了可在利用 CVE-2024-0769 的攻击中调用的文件的更大列表。如果发生其他变体，这应该可以为防御者提供帮助。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/p-urHN8ueAHAZ4wpcvWyLg 封面来源于网络，如有侵权请联系删除

无线服务提供商优先考虑正常运行时间和延迟时间，有时以牺牲安全性为代价，允许攻击者利用这一漏洞窃取数据，甚至更糟。 由于 5G 技术存在漏洞，移动设备面临着数据被肆意窃取和拒绝服务的风险。 在即将于拉斯维加斯举行的「黑帽 2024」大会上，宾夕法尼亚州立大学的一个七人研究小组将介绍黑客如何通过提供互联网连接来窃听互联网流量。这就意味着，间谍活动、网络钓鱼以及更多其他活动都将成为可能。 研究人员表示，这是一种非常容易受到攻击的方式，涉及到通常被忽视的漏洞和几百美元就能在网上买到的设备。 步骤一：设置假基站 当设备首次尝试与移动网络基站连接时，两者要进行身份验证和密钥协议（AKA）。设备发送注册请求，基站回复认证和安全检查请求。 虽然基站会审查手机，但手机不会审查基站，基站的合法性基本上被视为既定事实。 宾夕法尼亚州立大学研究助理赛义德-穆基特-拉希德（Syed Md Mukit Rashid）解释说：”基站每 20 分钟或 40 分钟广播一次’你好’，以此宣传它们在特定区域的存在。但这些广播消息没有经过身份验证，也没有任何安全机制。它们只是明文信息，因此，移动设备根本无法检查它是否来自伪基站。” 建立伪基站并不像看起来那么困难，只需要用树莓派（Raspberry Pi）或者更好的软件定义无线电（SDR）来模拟一个真实的基站。宾夕法尼亚州立大学的另一位研究助理 Kai Tu 指出：”模拟基站需要的工具都可以在网上买到，然后在伪基站上运行一些开源软件（OSS）就可以以假乱真。”昂贵的 SDR 可能要花费数万美元，而能完成任务的廉价 SDR 只需要几百美元。 一个小装置就能诱使你的手机远离一个已建成的商业发射塔，这似乎过于简单了。但是，利用附近的 SDR 进行有针对性的攻击，可以提供比同时为成千上万人提供服务的基站更强的 5G 信号强度。拉希德说：”从本质上讲，设备会尝试连接到最好的基站，即提供最高信号强度的基站。” 步骤二：利用漏洞 与其他安全程序一样，AKA 也可以被利用。例如，在一种流行的移动处理器中集成的 5G 调制解调器中，研究人员发现了一个处理不当的安全头，攻击者可以利用这个安全头完全绕过 AKA 进程。全球最大的两家智能手机公司生产的大部分设备都使用了这种处理器，具体不方便透露是哪两家公司。 在吸引到目标设备后，攻击者可以利用这种 AKA 绕过返回恶意制作的 “接受注册”信息，并启动连接。这样一来，攻击者就成了受害者的互联网服务提供商，能够以未加密的形式看到受害者在网上的一切行为。他们还可以通过发送鱼叉式网络钓鱼短信或将受害者重定向到恶意网站等方式与受害者互动。 虽然 AKA 绕过漏洞已经很严重了，但研究人员还发现了其他漏洞，允许攻击者确定设备的位置，并执行拒绝服务（DoS）。 如何确保 5G 安全 宾夕法尼亚州立大学的研究人员已经向各自的移动供应商报告了他们发现的所有漏洞，这些供应商都已经部署了补丁。 不过，更持久的解决方案必须从确保 5G 身份验证的安全开始。正如拉希德所说：”如果要确保这些广播信息的真实性，就需要使用公钥（基础设施）加密（PKI）。而部署 PKI 的成本很高，需要更新所有的基站。”此外，还有一些非技术方面的挑战，比如谁将是公钥的根证书颁发机构等等…… 这种大改不太可能在短期内发生，因为 5G 系统是在知道以上情况的情况下建立的，以纯文本形式传输信息是出于特殊原因。 “这是一个激励机制问题。信息是以毫秒为单位发送的，因此如果采用某种加密机制，就会增加基站和用户设备的计算开销。”拉希德解释说，计算开销也与时间有关，因此从性能上来说会慢一些。 拉希德表示，性能方面的激励要大于安全方面的激励。但无论是通过假基站、Stingray 设备还是其他手段，攻击者发起攻击都利用了基站的初始广播信息缺乏验证这一特点，这是万恶之源。   转自FreeBuf，原文链接：https://www.freebuf.com/news/404737.html 封面来源于网络，如有侵权请联系删除

最近，一个安全警报震动了信息安全行业： 一个恶意行为者在著名的暗网论坛 BreachForum 上宣布出售影响 Linux 内核的（UAF）零日漏洞。该漏洞允许低权限用户执行高权限代码，对受影响系统构成严重威胁。 漏洞详情 漏洞利用者指出该漏洞影响 6.6.15 – amd64 版本的 Linux 内核。UAF 发生时，先前释放的内存随后可能被重新使用，允许攻击者以高权限(本地特权升级)执行任意代码，绕过操作系统的标准安全措施。 支付方法 在帖子中，漏洞利用者称 “出售影响 Linux 内核的零日漏洞，你可以用它来执行特权代码（LPE本地特权升级，或以 root 权限执行代码）、窃取数据……”。漏洞售价固定为 15 万美元，只允许通过 Monero (XMR) 或 Bitcoin (BTC) 加密货币进行支付。选择使用加密货币是为了确保交易的匿名性。 中间人 这笔交易的中间人是众所周知的恶意行为者 IntelBroker。尽管交易是匿名进行的，但使用受信任的中间人可确保相关各方的信任和透明度，买家更容易付款。 安全考虑 零日市场对全球范围内的网络安全构成了重大威胁。系统管理员和信息安全从业人员需要时刻保持警惕，一旦威胁行为者可以访问这些网站，就应立即打上安全补丁。安全界必须通力合作，尽快识别并减轻此类威胁。 结论 这个 Linux 内核零日漏洞的发现再次凸显了计算机安全的重要性以及警惕新出现危险的必要性。技术界必须继续投资响应性安全措施，以保护系统和敏感数据免受日益复杂的攻击。   转自FreeBuf，原文链接：https://www.freebuf.com/news/404615.html 封面来源于网络，如有侵权请联系删除

近日，苹果公司发布了 AirPods 的固件更新，但此版本固件曝出了一个严重漏洞，被追踪为 CVE-2024-27867，可能允许恶意行为者以未经授权的方式访问耳机。 该漏洞影响 AirPods第二代及更高版本、AirPods Pro所有型号、AirPods Max、Powerbeats Pro 和 Beats Fit Pro。 本周二（7月25日），苹果公司发布公告称：当你的耳机正在寻求配对设备的连接请求时，蓝牙范围内的攻击者可能会欺骗预期的源设备，并获得你耳机的访问权限。物理距离很近的攻击者可以利用这个漏洞窃听私人对话。 Jonas Dreßler 最早发现并立刻报告了该漏洞。对此苹果公司表示，该漏洞现已通过改进状态管理得到解决。该漏洞在 AirPods 固件更新 6A326、AirPods 固件更新 6F8 和 Beats 固件更新 6F8 的一部分得到修补。 两周前，iPhone 制造商推出了 visionOS（1.2 版）更新，共修复了 21 个缺陷，包括 WebKit 浏览器引擎中的 7 个缺陷。 其中涉及到一个逻辑漏洞，被追踪为CVE-2024-27812，用户在使用设备处理网页内容时可能导致拒绝服务（DoS）。该公司表示，该漏洞已通过改进文件处理得到修复。 安全研究员 Ryan Pickren 报告了这一漏洞，并将其描述为 “世界上第一个空间计算黑客”，其可以绕过所有警告，在没有用户交互的情况下，用任意数量的 3D 动画对象强行填满你的房间”。 该漏洞利用了苹果公司在使用 ARKit 快速查看功能时未应用权限模型的漏洞，在受害者的房间里生成 3D 物体。更糟糕的是，这些动画对象在退出 Safari 后仍会继续存在，因为它们是由一个单独的应用程序处理的。 对此，Pickren 表示：它甚至不需要人类’点击’这个标签就可以实现上述的情景。因此，JavaScript 的程序化点击（即 document.querySelector(‘a’).click()）是没有问题的。这意味着我们可以在不与用户进行任何交互的情况下，启动任意数量的三维动画声音对象。   转自FreeBuf，原文链接：https://www.freebuf.com/news/404605.html 封面来源于网络，如有侵权请联系删除

最近披露的一个影响 Progress Software MOVEit Transfer 的严重安全漏洞，在漏洞细节被公开披露后数小时就出现广泛的攻击利用。 该漏洞编号为 CVE-2024-5806（CVSS 评分：9.1），涉及身份验证绕过，影响以下版本： 从 2023.0.0 到 2023.0.11 从 2023.1.0 到 2023.1.6 之间，以及 从 2024.0.0 到 2024.0.2 该公司在周二发布的安全公告中表示：“Progress MOVEit Transfer（SFTP 模块）中不当的身份验证漏洞可能导致身份验证绕过。” Progress 还解决了另一个影响 MOVEit Gateway 版本 2024.0.0 的严重 SFTP 相关身份验证绕过漏洞 (CVE-2024-5805，CVSS 评分：9.1)。 成功利用这些漏洞可以让攻击者绕过 SFTP 身份验证并获得 MOVEit Transfer 和 Gateway 系统的访问权限。 此后，watchTowr Labs 发布了有关 CVE-2024-5806 的更多技术细节，安全研究人员 Aliz Hammond 和 Sina Kheirkhah 指出，它可以被武器化以冒充服务器上的任何用户。 该网络安全公司进一步描述该漏洞由两个独立的漏洞组成，一个在 Progress MOVEit 中，另一个在 IPWorks SSH 库中。 研究人员表示：“虽然更具破坏性的漏洞（即冒充任意用户的能力）是 MOVEit 独有的，但影响较小的（但仍然非常真实）强制身份验证漏洞可能会影响所有使用 IPWorks SSH 服务器的应用程序。” Progress Software 表示，如果不及时修补，第三方组件的缺陷将“增加原始问题的风险”，并敦促客户遵循以下两个步骤： 阻止对 MOVEit Transfer 服务器的公共入站 RDP 访问 将出站访问限制为仅来自 MOVEit Transfer 服务器的已知可信端点 据 Rapid7 称，利用 CVE-2024-5806 有三个先决条件：攻击者需要知道现有的用户名、目标帐户可以进行远程身份验证，并且 SFTP 服务可通过互联网公开访问。 截至 6 月 25 日，Censys 收集的数据显示，在线 MOVEit Transfer 实例约有 2,700 个，其中大部分位于美国、英国、德国、荷兰、加拿大、瑞士、澳大利亚、法国、爱尔兰和丹麦。 由于 MOVEit Transfer 中的另一个严重漏洞（ CVE-2023-34362，CVSS 评分：9.8）在去年引发一系列 Cl0p 勒索软件攻击。 此前，美国网络安全和基础设施安全局 (CISA) 透露，今年 1 月初，一个未知攻击者利用Ivanti Connect Secure (ICS) 设备中的安全漏洞(CVE-2023-46805、CVE-2024-21887 和 CVE-2024-21893) 攻击了其化学安全评估工具 (CSAT)。 该机构表示：“此次入侵可能导致对 Top-Screen 调查、安全漏洞评估、站点安全计划、人员保障计划 (PSP) 提交和 CSAT 用户帐户的潜在未经授权的访问”，并补充说没有发现数据泄露的证据。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/IuF8f21eYg1_FPi69U4YWg 封面来源于网络，如有侵权请联系删除

Phoenix 科技的SecureCore UEFI 固件解决方案中最近发现一个高严重漏洞，数百种使用英特尔处理器的 PC 和服务器型号可能会受到该漏洞的影响。 该漏洞的编号为 CVE-2024-0762，又名UEFIcanhazbufferoverflow，是由企业固件和硬件安全公司 Eclypsium 开发的自动分析系统发现的。 本地攻击者可以利用此安全漏洞来提升权限并在运行时在 UEFI 固件中执行任意代码。 Eclypsium 警告称，这是一种可能被Black Lotus UEFI rootkit等威胁利用的漏洞。 “此漏洞体现了 IT 基础设施供应链事件的两个特点——影响大、影响范围广。UEFI 固件是现代设备上最有价值的代码之一，任何代码被攻破都可能让攻击者完全控制设备并驻留在设备上。”Eclypsium 指出。 调查显示，该漏洞与可信平台模块 (TPM) 配置中的不安全变量有关。存在漏洞的 SecureCore UEFI 固件运行在联想、宏碁、戴尔和惠普等电脑制造商使用的多款英特尔移动、台式机和服务器处理器上。 Phoenix Technologies在 5 月份发布的公告中解决了该漏洞，确认在 Alder Lake、Coffee Lake、Comet Lake、Ice Lake、Jasper Lake、Kaby Lake、Meteor Lake、Raptor Lake、Rocket Lake 和 Tiger Lake 等英特尔处理器系列上运行的 SecureCore 固件受到影响。 Phoenix 已修补 CVE-2024-0762，设备制造商已开始将补丁部署到其产品中。 联想在 5 月份发布的公告中向客户通报了该漏洞。该公司已开始发布补丁，预计部分电脑的修复程序将于今年夏末推出。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/zQlirU2fsFXlAjTFTgzRhA 封面来源于网络，如有侵权请联系删除

近日，Broadcom 发布了影响 VMware vCenter 的三个漏洞的修复程序，其中两个是严重漏洞，允许远程代码执行 (RCE)。由于虚拟机（VM）往往存放大量敏感数据和应用程序，因此这些漏洞的披露引起了黑客的注意。 vCenter 是 VMware 虚拟环境的集中管理控制台，用于从单个集中位置查看和管理虚拟机、多个 ESXi 主机和所有附属组件。CVE-2024-37079 和 CVE-2024-37080 是 vCenter 实现 DCERPC（Distributed Computing Environment/Remote Procedure Call 的缩写）时存在的堆溢出漏洞。 对于黑客而言，DCERPC 在与远程机器交互时非常有用。利用特制的网络数据包，拥有网络访问权限的攻击者可以利用这些漏洞在 vCenter 管理的虚拟机上远程执行自己的代码。这两个漏洞的潜在危害在 CVSS 评级中都获得了 9.8 分的高分（满分 10 分）。 Broadcom 还修补了一些因 vCenter 中 sudo 配置错误而导致的本地权限升级漏洞。sudo是 “superuser do “或 “substitute user do “的缩写，它允许 Unix 系统中的用户以另一个用户（默认为root级）的权限运行命令。通过身份验证的本地用户可以利用标有 CVE-2024-37081 的漏洞获得 vCenter Server 设备的管理权限。该漏洞的 CVSS 得分高达 7.8。 到目前为止，还没有证据表明这三个漏洞中的任何一个在野外被利用过，不过这种情况可能会很快改变。有关补救措施及相关问答，可以参考： https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/24453 https://core.vmware.com/resource/vmsa-2024-0012-questions-answers 云虚拟机的风险 根据 VMware 公布的文件，VMware 拥有 40 多万家客户，其中包括财富 500 强和财富全球 100 强企业。其技术为 80% 以上的虚拟化工作负载和大量关键业务应用提供支持。 “随着云计算的日益普及，虚拟机的使用量也相应激增，多个应用程序被整合到一台物理服务器上，”Keeper Security 公司安全和架构副总裁 Patrick Tiquet 解释说。”这种整合不仅提高了运行效率，也为攻击者提供了通过单一漏洞入侵各种服务的机会。” vCenter Server 就是这种风险的缩影。作为支持 VMWare vSphere 和 Cloud Foundation 平台的集中管理软件，它为 IT 管理员和黑客提供了一个启动点，使他们可以接触到运行在各个组织中的许多虚拟机。 Tiquet 警告说：”成功的漏洞攻击不仅会中断服务并造成经济损失，还可能导致敏感数据的暴露和违反监管要求，严重损害组织的声誉。”因此，修补新出现的漏洞非常必要。 另外，除了网络分段、漏洞审计和其他安全加固策略（如事件响应计划和维护强大的备份）之外，网络管理员的工作还包括从正面进行引导。Tiquet 表示： “管理员应该始终确保使用的是安全的保险库和机密管理解决方案，并且尽快应用必要的更新，还应该检查云控制台的安全控制，以确保遵循了最新的建议。”   转自Freebuf，原文链接：https://www.freebuf.com/news/403897.html 封面来源于网络，如有侵权请联系删除