近日，数十万个可能存在漏洞的 Atlassian Confluence Data Center 和 Confluence Server 实例暴露在互联网山，黑客能够在这些实例上远程运行任意代码。 Atlassian 是一家澳大利亚裔美国软件巨头，为开发人员和管理人员提供产品，该公司拥有 10000 多名员工，2023 年报告的收入超过 35 亿美元。研究人员在两款 Atlassian 产品中发现了一个安全漏洞 CVE-2024-21683（ CVSS 得分为 8.3），经过仔细分析得出，黑客可以对受影响的系统实施远程代码执行 (RCE) 攻击。 Cyber news 安全研究小组表示，鉴于很多企业正在使用 Atlassian Confluence Data Center 和 Confluence Server 服务，以帮助其团队协同工作和共享信息。这样的话，黑客就可以利用 CVE-2024-21683 安全漏洞侵入受影响的系统，并盗取受害者大量数据信息。 更为糟糕的是，CVE-2024-21683 安全漏洞不仅允许未经验证的黑客执行任意代码，而且不需要用户交互。 大量 Atlassian 实例暴露在互联网上 值得一提的是，虽然 Atlassian 收到 根据 Cybernews 的勒索软件监控工具 Ransomlooker 的数据，平均赎金要求为 530 万美元，因此尽快修复任何具有 RCE 功能的漏洞至关重要。报告后，便立刻针对两个受影响的服务发布了修复程序。然而，其安全团队还是发现数十万个易受攻击的实例暴露在互联网上，不断”诱惑“威胁攻击者发动网络攻击活动。 Cyber news 的安全研究人员指出，共有多达 224962 个数据中心和服务器实例暴露在互联网上，威胁攻击者可以利用 CVE-2024-21683 安全漏洞侵入受害者的网络系统中，一旦有了“立足点”，就可以轻松获得对系统的完全控制，随意安装恶意软件、访问敏感数据以及操纵系统配置。 此外， Atlassian 暴露的实例还危及到很多普通用户。研究人员认为，黑客可以窃取受害者登录凭证，从而侵入 Atlassian 账户和其他重复使用相同凭证的账户。 对此，研究人员强调，RCE 漏洞是高级勒索软件团伙经常使用的一种攻击载体，可以获得进入目标系统的初始入口，帮助勒索软件团伙开展攻击活动，（ Cyber news 勒索软件监控工具 Ransomlooker 的数据显示，勒索攻击事件平均赎金为 530 万美元）因此尽快修复任何具有 RCE 功能的安全漏洞非常重要。 以著名勒索软件 Cl0p 为例， 该组织曾经利用 Progress 软件公司 MOVEit Transfer 软件中一个零日漏洞（现已修复），入侵了受害者的内部系统，非法访问、盗取大量敏感数据，数千家机构和数千万人受到影响，造成数千万美元的损失。 最后，安全研究人员深入分析后发现，Atlassian Confluence Data Center 和 Confluence Server 出现安全漏洞后，仍旧有五个国家/地区托管了一半易受攻击的实例。其中，美国拥有最多的可能易受攻击的实例，为53195个，另有22007个易受攻击的实例被追踪到日本。 与此同时，南非、法国和德国各自托管了超过 11000 个暴露的未打补丁的 Confluence 服务。   转自FreeBuf，原文链接：https://www.freebuf.com/news/401663.html 封面来源于网络，如有侵权请联系删除

近日，安全研究人员披露了GitHub企业服务器（GHES）的关键漏洞（CVE-2024-4985，cvss得分：10.0），该漏洞允许未经授权的攻击者，在不需要预先认证的情况下访问GHES实例。漏洞影响所有GHES 3.13.0之前的版本，并在3.9.15、3.10.12、3.11.10和3.12.4版本中得到修复。 目前GitHub已经推出了修复措施，没有发现该漏洞已经被大规模利用，用户可将GHES更新到已修补的版本（3.9.15、3.10.12、3.11.10、3.12.4或更高版本）。如果无法立即更新，考虑暂时禁用SAML认证或加密断言功能作为临时缓解措施。 GHES是一个自托管的软件开发平台，允许组织使用Git版本控制存储和构建软件，并自动化部署流程。 该漏洞利用了GHES处理加密的SAML声明的方式中的一个缺陷。攻击者可以创建一个包含正确用户信息的假SAML声明。当GHES处理一个假的SAML声明时，它将无法正确验证其签名，从而允许攻击者访问GHES实例。 成功利用这个漏洞可能允许未经授权的攻击者获得对GHES实例的完全管理控制权，使他们能够访问所有数据并在系统上执行任何操作。 GitHub进一步指出，默认情况下不启用加密断言，而且此漏洞不影响那些不使用SAML单一登录（SSO）或使用SAML SSO认证但没有加密断言的实例。加密断言允许网站管理员通过在认证过程中对SAML身份提供者（IdP）发送的消息进行加密，来提高GHES实例的安全性。 附PoC <Assertion ID="1234567890" IssueInstant="2024-05-21T06:40:00Z" Subject="CN=John Doe,OU=Users,O=Acme Corporation,C=US">   <Audience>https://your-ghes-instance.com</Audience>   <SubjectConfirmation Method="urn:oasis:names:tc:SAML:2.0:assertion:method:bearer">     <SubjectConfirmationData>       <NameID Type="urn:oasis:names:tc:SAML:2.0:nameid-type:persistent" Format="urn:oasis:names:tc:SAML:2.0:nameid-format:basic">jdoe</NameID>     </SubjectConfirmationData>   </SubjectConfirmation>   <AuthnStatement AuthnInstant="2024-05-21T06:40:00Z" AuthnContextClassRef="urn:oasis:names:tc:SAML:2.0:assertion:AuthnContextClassRef:unspecified">     <AuthnMethod>urn:oasis:names:tc:SAML:2.0:methodName:password</AuthnMethod>   </AuthnStatement>   <AttributeStatement>     <Attribute Name="urn:oid:1.3.6.1.4.1.11.2.17.19.3.4.0.10">Acme Corporation</Attribute>     <Attribute Name="urn:oid:1.3.6.1.4.1.11.2.17.19.3.4.0.4">jdoe@acme.com</Attribute>   </AttributeStatement> </Assertion>   转自FreeBuf，原文链接：https://www.freebuf.com/news/401583.html 封面来源于网络，如有侵权请联系删除

近日，据美国检方发布的一份起诉书，检察官指控麻省理工学院毕业的两兄弟被指控利用以太坊区块链的一个漏洞，进行了一场“闪电般的抢劫行动”，他们在12秒内窃取了2500万美元（折合人民币约1.8亿元）。 曼哈顿的联邦检察官指控，24岁的Anton Peraire-Bueno和28岁的James Peraire-Bueno犯有欺诈和洗钱罪。调查人员表示，在几个月的时间内，两人利用以太坊的安全漏洞策划、实施了此次攻击，并通过成立空壳公司来隐藏他们获得的非法利润。 两人都曾就读于麻省理工学院，Anton于今年2月毕业，获得计算机科学和数学学士学位，James于2021年毕业，获得航空航天硕士学位。纽约南区联邦检察官达米安·威廉姆斯在一份声明中表示：“这对兄弟曾在世界上最负盛名的大学之一学习计算机科学和数学，他们被控利用自己的专业技能和教育来篡改和操纵全球数百万以太坊用户所依赖的协议。” 美国检方表示，这对兄弟开发了一种名为验证器的东西，旨在帮助在以太坊网络上下单交易，并通过促进套利和其他有利可图的交易来帮助机器人赚钱。检方称，他们两人同时安装了自己的验证器，以欺骗操作机器人的交易员。他们获得了待处理交易的访问权限，并改变了电子货币的流动，以窃取加密货币。 当局表示，他们于2023年4月实施了精心策划的抢劫，在短短12秒内从交易员那里窃取了2500万美元，欺诈性地获得了待处理交易的访问权限，并改变了加密货币的走势。这对兄弟随后通过一个交易网络转移了加密货币，试图隐藏资金来源。检察官表示，在实施抢劫后，兄弟俩拒绝了归还资金的请求，而是采取措施清洗和隐藏被盗的加密货币。 起诉书指控他们共谋实施电信诈骗和共谋洗钱。Anton在波士顿被捕，James在纽约被捕。检察官指出，这是此类“新颖”的欺诈形式首次受到刑事指控。如果罪名成立，他们每人将面临20年以上的监禁。   转自FreeBuf，原文链接：https://www.freebuf.com/news/401266.html 封面来源于网络，如有侵权请联系删除

据Info risk today消息，英特尔公司的人工智能模型压缩软件Neural Compressor 中存在一个最高级别的漏洞，该漏洞在 CVSS 的评分为满分10分，黑客可以在运行受影响版本的系统上执行任意代码。 Neural Compressor 软件可帮助公司减少人工智能模型所需的内存量，同时降低缓存丢失率和使用神经网络的计算成本，帮助系统实现更高的推理性能。公司使用开源 Python 库在不同类型的硬件设备上部署人工智能应用，包括那些计算能力有限的设备（如移动设备）。 英特尔没有说明有多少公司使用该软件，也没有说明受影响的用户数量，称该漏洞只影响使用 2.5.0 之前版本的用户。 在英特尔上周发布的 41 份安全公告中，该漏洞被追踪为 CVE-2024-22476，源于输入验证不当或未对用户输入进行消毒，黑客无需任何特殊权限或用户交互即可远程利用该漏洞，对数据的保密性、完整性和可用性构成很大影响。 除此以外，还有另一个漏洞被追踪为 CVE-2024-21792，严重程度为中等，是一个检查时间、使用时间漏洞，可能会让黑客获取未经授权的信息。黑客需要通过本地验证访问存在漏洞的系统才能利用该漏洞。 英特尔表示，一个外部安全实体提交了该漏洞报告，但没有说明个人或公司的身份。目前，英特尔已经发布了针对上述两个 Neural Compressor 漏洞的修复程序。 去年，研究人员在大型语言模型中发现了几十个漏洞，这些漏洞可能导致操纵实时对话、自我传播零点击漏洞以及利用幻觉传播恶意软件。 使用这种软件作为核心组件来构建和支持人工智能产品的公司可能会增加漏洞的影响，英特尔就是一个例子。一个月前，来自 Wiz 的研究人员在流行的人工智能应用开发商 HuggingFace 上发现了现已缓解的漏洞，允许攻击者篡改其注册表上的模型，甚至向其中添加恶意模型。   转自FreeBuf，原文链接：https://www.freebuf.com/news/401448.html 封面来源于网络，如有侵权请联系删除

据网络安全公司 Tenable 称，Fluent Bit 是多家大公司使用的流行日志记录实用程序，受到一个严重漏洞的影响，该漏洞可能导致拒绝服务 (DoS) 攻击、信息泄露，甚至可能导致远程代码执行 (RCE)。 Fluent Bit 是一个开源数据收集器和处理器，能够处理来自各种来源的大量日志数据。该工具的下载量已达数十亿次，目前每日部署量超过 1000 万次。 其开发人员表示，微软、谷歌云和 AWS 等主要云公司以及思科、LinkedIn、VMware、Splunk、英特尔、Arm 和 Adobe 等科技巨头都在使用它。 Tenable 研究人员在 Fluent Bit 的内置 HTTP 服务器中发现了他们所说的严重内存损坏漏洞（CVSS 评分为 9.8）。该问题已被命名为Linguistic Lumberjack，官方编号为 CVE-2024-4323。 该网络安全公司已确认，有权访问 Fluent Bit 监控 API（旨在查询和监控内部服务信息）的用户或服务可以发起 DoS 攻击或获取潜在的敏感信息。 也有可能利用 CVE-2024-4323 进行 RCE，但 Tenable 指出，利用取决于多种因素，例如操作系统和主机架构。 Tenable 解释说：“虽然已知此类堆缓冲区溢出是可利用的，但创建可靠的漏洞利用不仅很困难，而且非常耗时。” 该公司周一公开了技术信息和可用于 DoS 攻击的概念验证 (PoC) 代码。 Tenable于 4 月下旬向 Fluent Bit 开发人员报告了其调查结果，虽然已经开发了补丁，但尚未包含在正式版本中。该安全公司表示，它还于 5 月 15 日向微软、AWS 和谷歌云报告了调查结果。 在自己的基础设施和环境中部署 Fluent Bit 的用户可以采取缓解措施，包括限制对该工具 API 的访问以及禁用受影响的端点（如果不使用）。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/714brgIVzP-UVkp79v12jQ 封面来源于网络，如有侵权请联系删除

据英国TOP10VPN的一份最新研究报告指出，一种基于 IEEE 802.11 Wi-Fi 标准中的设计缺陷能够允许攻击者诱导用户连接至不安全的网络，进而对用户进行网络窃听。 报告指出，该缺陷是基于CVE-2023-52424 SSID 混淆攻击的漏洞利用，涉及所有操作系统和 Wi-Fi 客户端，包括基于 WEP、WPA3、802.11X/EAP 和 AMPE 协议的家庭网络和网状网络。 TopVPN表示，攻击者可以通过发动 “中间人”（AitM）攻击，欺骗客户端连接到一个不受信任的 Wi-Fi 网络，而不是它打算连接的网络。比如当用户想要连接到网络 TrustedNet 时，攻击者会诱骗它连接到使用类似凭证的另一个网络 WrongNet。因此，用户客户端会显示连接到了 TrustedNet，而实际上却连接到的是 WrongNet。 换句话说，即使在连接到受保护的 Wi-Fi 网络时——密码或其他凭证经过了相互验证，也不能保证用户连接到的是他们想要的网络。 研究人员指出，之所以能够利用这一缺陷，一个重要原因是目前的Wi-Fi网络依靠 4 路握手来验证自己和客户端的身份，并协商加密连接的密钥。4路握手需要一个共享的配对主密钥（PMK），根据Wi-Fi版本和所使用的特定认证协议，PMK可以以不同的方式获得。 问题在于，IEEE 802.11 标准并未强制要求在密钥推导过程中包含 SSID。换句话说，当客户端设备连接到 SSID 时，SSID 并不总是认证过程的一部分。在这些实施过程中，攻击者有机会设置一个恶意接入点，欺骗受信任网络的 SSID，并利用它将受害者降级到信任度较低的网络。 攻击者要利用这一弱点，必须具备某些条件，即只在可能拥有两个共享凭证的 Wi-Fi 网络的情况下起作用。例如，环境中可能有分别有一个 2.4 GHz 和5GHz 网络频段，每个频段都有不同的 SSID，但具有相同的验证凭据。通常情况下，客户端设备会连接到安全性更好的 5 GHz 网络。但如果攻击者足够接近目标网络以实施中间人攻击，就可以粘贴一个与 5 GHz 频段具有相同 SSID 的恶意接入点，然后就可以利用恶意接入点接收所有验证帧并将其转发到较弱的 2.4 GHz 接入点，让客户端设备与该网络连接。 值得注意的是，在某些情况下它还可能使 VPN 保护失效。研究人员表示，许多 VPN，如 Clouldflare’s Warp、hide.me 和 Windscribe在连接到受信任的 Wi-Fi 网络时可以自动禁用 VPN。他们指出，这是因为 VPN 根据 SSID 识别 Wi-Fi 网络。 TOP10VPN也指出了了针对SSID混淆攻击的三种防御措施： 更新IEEE 802.11标准，以强制执行SSID身份验证； 妥善存储接入点定期发送的信标，以在客户端连接时能检测 SSID 变化； 避免在不同的 SSID 之间重复使用凭证。   转自FreeBuf，原文链接：https://www.freebuf.com/news/401222.html 封面来源于网络，如有侵权请联系删除

研究者展示了如何在不同的语音大模型上进行对抗性攻击，使用跨模型和交叉提示攻击等技术来引发意想不到的响应。 OpenAI近日发布的GPT-4o多模态大语言模型震惊了世界，该模型可以通过传感器感知世界并与人类通过语音进行无缝交流，完成各种复杂任务（例如给孩子辅导数学），将科幻电影中的智能机器人场景带入现实。 GPT-4o的问世标志着大语言模型与人类交互的主要渠道正从键盘/文本转向语音，能够遵循语音指令并生成文本/语音响应的集成式语音和大语言模型(SLM)越来越受欢迎。苹果Siri、亚马逊Alexa等可与大语言模型整合的语音智能助理也将迎来第二春。但与此同时，一个新的人工智能安全风险也正浮出水面：对抗性语音攻击。 语音大模型的致命漏洞 近日，亚马逊网络服务（AWS）的研究人员发布了一项新研究，揭示了能够理解和回应语音的多模态大语言模型存在重大安全漏洞。该论文题为《SpeechGuard：探索多模态大语言模型的对抗鲁棒性》，详细描述了这些AI系统如何被精心设计的音频攻击操控，进而生成有害、危险或不道德的响应。 语音接口已经在智能音箱和AI助手（例如苹果的Siri和亚马逊的Alexa）中普及，随着功能强大的大语言模型也开始依赖语音接口执行复杂任务，确保语音大模型技术的安全性和可靠性变得空前紧迫起来。 AWS的研究人员发现，即使内置了安全检查，语音大模型在“对抗性攻击”面前表现得极为脆弱。这些攻击通过对音频输入进行人类难以察觉的微小篡改，就能完全改变大模型的行为（越狱）。 研究论文中的一幅图示（上图）展示了一个语音问答AI系统在遭受对抗性攻击时，如何被操控以提供不道德或者非法内容，例如如何抢劫银行。研究人员提出了一种预处理防御方法，以缓解基于语音的大模型中的此类漏洞（图片来源：arxiv.org）。 攻击成功率高达90% 研究者设计了一种算法，可以在白盒攻击（攻击者拥有有关目标模型的所有信息，例如其架构和训练数据）和黑盒攻击（攻击者仅能访问目标模型的输入和输出，而不知道其内部工作原理）设置下生成对抗性样本，实现无需人工干预的语音大模型越狱。 “我们的越狱实验展示了语音大模型在对抗性攻击/白盒攻击和转移攻击/黑盒攻击面前是多么脆弱。基于精心设计的有害问题数据集进行评估时，平均攻击成功率分别为90%（对抗性攻击/白盒攻击）和10%（转移攻击/黑盒攻击）。”论文作者写道：“这引发了关于不法分子者可能大规模利用语音大模型的严重担忧。” 通过一种名为投影梯度下降（PGD）的方法，研究人员能够生成对抗性样本，成功使语音大模型输出了12个不同类型的有害内容，包括暴力内容和仇恨言论。令人震惊的是，在能够完全访问模型的情况下，研究者突破模型安全壁垒的成功率高达90%。 黑盒攻击：对现实世界构成威胁 更令人担忧的是，研究显示，在一个语音大模型上设计的音频攻击往往可复用到其他模型，即使没有直接访问权限（这是一个现实的场景，因为大多数商业大模型提供商仅允许有限的API访问）。虽然黑盒攻击的成功率下降到10%，但这仍然是一个严重的漏洞。 该论文的主要作者Raghuveer Peri指出：“对抗性语音攻击在不同模型架构间的可复用性表明，这不仅是特定实现的问题，而是我们目前训练人工智能系统以确保其安全和对齐的方法存在更深层次的缺陷。” 随着企业越来越依赖语音AI提供客户服务、数据分析和其他核心功能，对抗性语音攻击的影响是广泛而深远的。除了AI失控可能带来的声誉损害之外，对抗性攻击还可能被用于欺诈、间谍活动，甚至如果与自动化系统连接，还可能带来物理伤害。 应对措施与未来之路 研究人员还提出了几种应对措施，例如在音频输入中添加随机噪声——一种随机平滑技术。在实验中，该方法显著降低了攻击成功率。然而，作者警告称，这并不是一个完善的解决方案。 “防御对抗性攻击是一场持续的军备竞赛，”Peri指出：“随着大模型的能力不断增强，其被滥用的可能性也在不断增加。人工智能公司需要持续投资确保大模型在对抗性攻击中能够保持安全性和可靠性。” 研究使用的语音大模型通过对话数据进行训练，以在语音问答任务中达到最先进的性能，在攻击前的安全性和可靠性基准均超过了80%。这凸显了随着技术进步，人工智能系统的功能与安全能力已经失衡。 随着全球科技巨头争先恐后开发和部署越来越强大的语音AI，亚马逊的安全研究及时敲响了警钟，安全必须成为发展AI的首要任务，而不是马后炮。监管机构和IT行业需要共同努力，建立严格的标准和测试协议。 正如论文共同作者Katrin Kirchhoff所言：“我们正处于AI技术的拐点。AI具有极大的潜力并为社会带来价值，但如果不负责任地开发，也可能带来危害。这项研究是确保我们在享受语音AI带来的好处的同时，做到风险可控。”   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/DIzz6gTky3EADVO0anvHMg 封面来源于网络，如有侵权请联系删除

目前，PDF 已然成为了数字通信中不可或缺的一部分，在 PDF 阅读器领域，Adobe Acrobat Reader 占据了最大的市场份额，但近些年后起之秀 Foxit PDF Reader 的市场占有率开始突飞猛进，在 200 多个国家拥有超过 7 亿用户。 然而，Check Point Research 近日发现了一种针对 Foxit Reader 用户的 PDF 安全漏洞利用的异常操作模式，该安全漏洞会触发安全警告，诱使毫无戒心的用户执行”有害“命令。目前，该安全漏洞的变体在野外正被积极利用 Foxit PDF Reader 设计中存在安全缺陷 研究人员表示，安全漏洞是由 Foxit Reader 中警告消息中某个设计缺陷引发。据悉，警告消息中提供了一个”有害“的默认选项，一旦有粗心的用户使用默认选项，安全漏洞就会自动触发，从远程服务器下载并执行恶意有效负载。 安全研究人员已经证实安全漏洞已经被多个黑客用于电子犯罪和间谍活动。其中，名为 APT-C-35 / DoNot Team 威胁组织发起的某一间谍组织最为”著名“。黑客通过部署特定恶意软件、获得受害者的数据信息。此外，黑客能够开展针对 Windows 和 Android 设备的混合攻击活动，从而绕过双因素身份验证 （2FA） 。 VenomRAT、Agent-Tesla、Remcos、NjRAT、NanoCore RAT、Pony、Xworm、AsyncRAT、DCRat 等在内的各种网络犯罪攻击者都在利用该安全漏洞，以分发、部署恶意软件。Check Point Research 跟踪了一起可能是通过 Facebook 分发恶意软件的活动，发现了一条攻击链。 在另一场攻击活动中，Check Point Research 确认了黑客为@silentkillertv，主要利用两个链接的PDF 文件执行活动，其中一个文件托管在合法网站 trello.com 上。黑客还销售恶意工具，并于 4 月 27 日宣传了这一漏洞。 研究过程中，Check Point 获得了多个攻击者拥有的构建器，这些构建器利用此漏洞创建恶意 PDF 文件，大多数收集的 PDF 正在执行 PowerShell 命令，该命令从远程服务器下载有效负载，然后立刻执行。 最后，安全人员指出，随着社会工程策略的日益复杂，用户必须时刻保持警惕，随时了解自身网络安全状况，谨慎行事，并实施包括多因素身份验证和安全意识培训等在内的安全措施，以最大程度上降低成为此类攻击受害者的风险。   转自FreeBuf，原文链接：https://www.freebuf.com/news/401073.html 封面来源于网络，如有侵权请联系删除

微软推出最新的安全更新，解决了各种软件产品中的大约 60 个漏洞，并呼吁紧急关注多个外部威胁追踪团队报告的一个被积极利用的0day漏洞。 本月修复的安全漏洞分类如下： 17个特权提升漏洞 2个安全功能绕过漏洞 27个远程代码执行漏洞 7个信息泄露漏洞 3个拒绝服务漏洞 4个欺骗漏洞 标记为CVE-2024-30051的0day漏洞被记录为 Windows 桌面窗口管理器 (DWM) 核心库中基于堆的缓冲区溢出，该漏洞已在需要提升系统权限的恶意软件攻击中被利用。 该漏洞的 CVSS 严重性评分为 7.8/10，并且被 Redmond 评为“重要”。 桌面窗口管理器是 Windows Vista 中引入的一项 Windows 服务，允许操作系统在渲染玻璃窗框架和 3D 过渡动画等图形用户界面元素时使用硬件加速。 卡巴斯基安全研究人员在调查另一个 Windows DWM 核心库权限提升漏洞（编号为CVE-2023-36033）时发现了该漏洞，该漏洞也被用作攻击中的0day漏洞。 在梳理与最近的漏洞和相关攻击相关的数据时，他们偶然发现了一个于 2024 年 4 月 1 日上传到 VirusTotal 的有趣文件。该文件的名称暗示它包含有关 Windows 漏洞的详细信息。 正如他们所发现的，该文件提供了有关 Windows 桌面窗口管理器 (DWM) 漏洞的信息（以蹩脚的英文），该漏洞可被利用来将权限升级到 SYSTEM，其中概述的利用过程完美地反映了 CVE-2023-36033 攻击中使用的过程，尽管它描述了一个明显的漏洞。 尽管该文档质量不佳，并且在如何利用该漏洞方面存在一些遗漏，但卡巴斯基确认 Windows DWM 核心库中存在新的0day特权升级漏洞。Microsoft 分配了 CVE-2024-30051 CVE 编号并在本月的补丁日修补了该漏洞。 卡巴斯基表示：“在将我们的发现发送给微软后，我们开始密切监控我们的统计数据，以寻找利用这个0day漏洞的攻击，在四月中旬我们发现了野外利用。” “我们看到它与 QakBot 和其他恶意软件一起使用，并相信多个攻击者组织可以访问它。” 谷歌威胁分析小组、DBAPPSecurity WeBin 实验室和谷歌 Mandiant 的安全研究人员也向微软报告了该0day漏洞，指出该漏洞可能在恶意软件攻击中被广泛利用。 QakBot（也称为Qbot）始于 2008 年，最初是一种银行木马，用于窃取银行凭证、网站 cookie 和信用卡以实施金融欺诈。随着时间的推移，QakBot 演变成一种恶意软件交付服务，与其他黑客组织合作，为勒索软件攻击、间谍活动或数据盗窃等攻击活动提供对企业和家庭网络的初始访问。 执法部门将 QakBot 与至少 40 起针对全球公司、医疗保健提供商和政府机构的勒索软件攻击联系起来，据保守估计，这些攻击造成了数亿美元的损失。 多年来，Qakbot 一直是各种勒索软件团伙及其附属机构的初始感染媒介，包括 Conti、ProLock、Egregor、REvil、RansomExx、MegaCortex 以及最近的Black Basta。 其他需要重点关注的漏洞 微软还将CVE-2024-30040标记为已被利用的类别，警告攻击者正在绕过 Microsoft 365 和 Office 中的安全功能。该漏洞的 CVSS 评分为 8.8，如果用户欺骗加载恶意文件，攻击者就可以执行任意代码。 “此漏洞绕过了 Microsoft 365 和 Microsoft Office 中的 OLE 缓解措施，这些缓解措施可保护用户免受易受攻击的 COM/OLE 控件的侵害。成功利用此漏洞的未经身份验证的攻击者可以通过说服用户打开恶意文档来获得代码执行权限，此时攻击者可以在用户的上下文中执行任意代码。”微软表示。 微软还敦促 Windows 管理员关注CVE-2024-30044，这是 Microsoft Sharepoint 中的一个严重级别的远程代码执行漏洞。 微软安全响应中心警告说：“具有站点所有者权限的经过身份验证的攻击者可以利用该漏洞注入任意代码并在 SharePoint Server 上下文中执行此代码。” “具有站点所有者或更高权限、经过身份验证的攻击者可以将特制文件上传到目标 Sharepoint Server，并制作专门的 API 请求来触发文件参数的反序列化。这将使攻击者能够在 Sharepoint Server 的上下文中执行远程代码。”微软补充道。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/Y19DBCGlm-A79RFJ7Q18qg 封面来源于网络，如有侵权请联系删除

美国用于追踪安全漏洞的联邦数据库几乎陷入停顿。对新披露的漏洞和风险的分析几乎已经不存在，专家警告说，巨大的积压和持续的问题可能导致关键部门的供应链风险。 简单地说：国家漏洞数据库出了问题，而且没有一个有效的解决办法。 为了解决NVD的问题，就必须解决另外一个关键问题，Cyber Threat Alliance总裁兼首席执行官，国家安全委员会前网络安全协调员的Michael Daniel表示：谁应该负责向数据库填充信息，以提供全面和可操作的风险信息？关于这个数据库目前由国家标准技术研究院管理是否应该迁移到网络安全和基础设施安全局，甚至迁移到处理大部分漏洞管理流程的私营部门，还存在很大的争议。 “这些不同的方法各有利弊，安全和漏洞管理社区的相关利益相关者应该聚在一起达成共识，看哪种方法会产生最好的结果。一旦我们回答了这个问题，我们应该确保该功能得到充分资金支持和支持。” 根据NIST的数据，目前至少有9762个CVE尚未被NVD分析。这个数字可能还会继续增加。截至5月13日，NIST仅分析了5月份收到的近2000个新CVE中的两个。NIST在4月下旬承认了NVD的积压问题，当时该机构发布了一份通知，将问题归咎于“多种因素”，包括“软件的增加，导致漏洞增加，以及跨机构支持的变化。” NIST没有提供关于跨机构支持中断的更多详情，并且没有回应关于持续积压的评论请求。该机构在其4月的通知中表示，它正在“寻找更长期的解决方案”，包括可能建立一个由行业、政府和利益相关者组织合作的联盟，以改进NVD的现状。 据风险基础的漏洞管理平台Nucleus Security的联合创始人Scott Kuffer所说，NVD的积压可能会影响主要的网络安全供应商，如CrowdStrike、微软Defender for Endpoint，甚至一些领先的云安全姿态管理工具——例如Orca和Wiz。 “如果他们的主要扫描引擎是基于NVD的，那么他们检测漏洞的能力将受到严重影响。事实上大多数网络安全产品的扫描引擎都是这样的。那么接下来最大的问题是，你的环境中会有你看不见或不知道的漏洞。” 一些威胁分析师认为，私营部门应该承担更多的责任来检测和报告漏洞，因为行业已经具备实时检测的能力。私营部门实体已经负责将漏洞指定为CVE，他们的专业知识和敏捷性可以提高漏洞管理工作的整体效果。 对此持反对观点的分析师认为，数据库应该保留在联邦手中，以更好地促进公私部门在漏洞管理方面的合作，并确保一致的标准和监督。政府集中管理也可以有效减轻私营部门潜在的利益冲突，并确保跨部门风险管理机构解决关键漏洞，进一步保护国家安全和关键基础设施。 NVD计划不执行漏洞测试，因为它依赖于第三方安全研究人员、供应商和漏洞协调员来分配风险属性和额外信息给CVE。NVD工作人员负责从CVE描述中聚合数据点，并编译任何可以在公开在线找到的额外数据。 IT服务管理公司Chainguard的营销副总裁Kaylin Trychon在4月份给国会和商务部的一封信上签名，与其他近50名安全专业人士一起表达了恢复和增强NVD运营的需求。敦促国会对围绕数据库的挑战展开调查，并帮助恢复漏洞强化过程。 信中建议国会将 NVD 视为关键基础设施和基本服务，这样就有可能为数据库及其浓缩业务提供更多资金和国家资源。Trychon 认为，将 NVD 的责任交给私营部门将导致灾难。 “将会有更多的力量试图介入或取代NVD，这将在这个已经复杂的领域引起更多的混乱。这也将成为整个网安行业不可承受之重，导致一个更加严重的安全事故。” 安全专家指出，在放缓之前NIST分析师所做的一部分工作可以自动化，从而提供更高质量、更及时、更一致的NVD数据。但即便如此，面对资源日益匮乏的情况，NVD依旧必须要决定，以怎样的顺序来修补漏洞。 Trychon表示，“NVD数据有助于企业做出这些优先级决策，如果NVD数据不一致或不及时，企业就无法做出正确的优先排序决策，那么整个生态系统就会变得不那么安全。”   转自FreeBuf，原文链接：https://www.freebuf.com/news/400844.html 封面来源于网络，如有侵权请联系删除