为常见漏洞和披露(CVE)记录添加重要信息，帮助组织改善漏洞管理流程。 美国网络安全与基础设施安全局(CISA)本周发布了一个名为“Vulnrichment”的漏洞信息富化项目，为常见漏洞和披露(CVE)记录添加重要信息，帮助组织改善漏洞管理流程。 Vulnrichment项目将为公共CVE记录添加常见平台枚举(CPE)、常见漏洞评分系统(CVSS)、常见弱点枚举(CWE)和已知可利用漏洞(KEV)数据。CISA表示，他们已经完成了1300个CVE记录的富化工作，尤其针对新近出现的漏洞，并呼吁所有CVE编号机构(CNA)在向CVE.org提交漏洞信息时提供完整的数据。 CISA表示，他们最初会采用利益相关者特定漏洞分类(SSVC)评分流程评估每个CVE记录。SSVC评分方法是由CISA与卡内基梅隆大学软件工程研究所合作开发，能够综合考虑漏洞的可利用状态、安全影响以及受影响产品的普及度等因素进行漏洞分析。 对于影响重大、可自动化利用、拥有概念验证漏洞利用代码或已被用于攻击的漏洞，CISA会在后续阶段进行进一步的分析。 CISA指出，Vulnrichment项目添加的信息可以帮助组织优先开展漏洞修复工作、理解漏洞趋势，并敦促厂商修复漏洞类别问题。Vulnrichment项目托管于GitHub平台，每个富化后的CVE条目均采用JSON格式提供，方便组织轻松将更新内容整合到漏洞管理流程中。 CISA是业界最早发布可利用漏洞的公共警告机构之一。其包含超过1100个已利用漏洞条目的KEV目录已成为漏洞管理的重要资源。   转自GoUpSec，原文链接：https://www.goupsec.com/news/16324.html 封面来源于网络，如有侵权请联系删除

据供应链网络安全公司Eclypsium 5月8日发布的一份报告，研究人员在 F5 的 Next Central Manager 中发现了重大安全漏洞，可使攻击者长期且隐蔽地存在于任何F5资产相关的组织网络基础设施中。 这些漏洞被追踪为CVE-2024-21793 和 CVE-2024-26026，可能允许攻击者执行危及网络安全的未经身份验证的攻击。F5 在 4 月份发布了针对这些缺陷的补丁，但Eclypsium的研究人员称披露給F5的漏洞一共有5个，尚未确认另外3个漏洞是否已经修复。 F5 的 Next Central Manager 是 BIG-IP Next 机群所有生命周期任务的集中控制点，该工具为企业提供了一个统一的管理用户界面，用于管理应用程序可用性、访问控制和安全解决方案。Eclypsium研究人员表示，攻击者可以利用这些漏洞在该公司的Central Manager系统管理的任何BIG-IP Next资产上开设不可见的板载帐户，即使在管理员密码被重置和系统打补丁后，黑客仍能通过这种规避方法留在网络中。 Eclypsium敦促F5客户尽快升级到最新的20.2.0软件版本，并已向该公司问询另外3个漏洞的修复情况，目前还未得到回复。 网络边缘设备通常具有不完善的端点保护和专有软件，使漏洞检测变得复杂，日益成为了国家支持的黑客和全球网络犯罪分子的攻击目标。 Mandiant 在 4 月份发布了一份报告，警告攻击者正在将重点转向规避策略，同时利用离地攻击、零日漏洞等技术或方式瞄准边缘设备。   转自FreeBuf，原文链接：https://www.freebuf.com/news/400364.html 封面来源于网络，如有侵权请联系删除

AI 安全公司 HiddenLayer 警告称，当加载和引用恶意 RDS 文件时，R 编程语言实现中的漏洞可被利用来执行任意代码，并且可能被用作供应链攻击的一部分。 该漏洞编号为CVE-2024-27322（CVSS 评分为 8.8），是在 R 的序列化和反序列化过程中发现的，该过程用于创建和加载 RDS（R 数据序列化）文件。 R 是一种开源编程语言，支持数据可视化、机器学习和统计计算，广泛用于金融、政府和医疗保健等行业的统计分析，在人工智能和机器学习应用中也很受欢迎。 R 有自己的序列化格式，在保存和加载包时使用。编译包时，将创建一个包含要序列化对象的 .rdb 文件和一个包含与这些对象及其偏移量关联元数据的 .rdx 文件。 “加载包时，.rdx 文件中以 RDS 格式存储的元数据用于定位 .rdb 文件中的对象。然后这些对象被解压缩和反序列化，本质上是将它们加载为 RDS 文件。” HiddenLayer 解释道。 因为 R 支持创建 Promise 对象的指令（该对象具有符号（变量）和附加的表达式，表达式仅在访问符号后运行）和惰性求值（仅在需要时才求值符号的策略）。 攻击者可以使用将变量设置为未绑定值的指令和包含任意代码的表达式来创建 Promise 对象。由于惰性求值，仅当访问与 RDF 文件关联的符号时才求值并运行表达式，并且当用户引用该符号时将执行代码。 “一旦 R 创建并加载恶意文件，无论如何引用变量，漏洞都会运行。”HiddenLayer 继续说道。 漏洞可用于软件供应链攻击 该安全公司还警告说，由于 RDS 包允许用户与其他人共享编译后的 R 代码，并且由于有大量专用于 R 的 GitHub 存储库，攻击者可能会在针对 R 用户的供应链攻击中滥用此漏洞。 readRDS 是可用于利用该漏洞的 R 函数之一，在超过 135,000 个 R 源文件中被引用，而CRAN的存储库声称拥有超过 20,000 个包并允许任何人上传代码，但不会检查新包这个漏洞。 “通过查看存储库，我们发现大量使用是在不受信任的用户提供的数据上，这可能会导致运行该程序的系统完全受到损害。一些包含潜在易受攻击代码的源文件包括来自 R Studio、Facebook、Google、Microsoft、AWS 和其他主要软件供应商的项目。”HiddenLayer 解释道。 要接管 R 包，攻击者只需用恶意文件覆盖 .rdx 文件，确保包加载后立即自动执行代码。通过修改可能的系统包，例如编译器，恶意代码将在R初始化时执行。 CVE-2024-27322 的补丁包含在 R Core 版本 4.4.0 中，该版本于 4 月 24 日作为源代码发布，随后很快发布了 Windows 和 Mac 二进制文件。更新后的版本也将包含在各种 Linux 发行版中。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/MfPWbg3-fbEUJXsUbzPUXw 封面来源于网络，如有侵权请联系删除

与朝鲜政府有联系的黑客正在利用电子邮件安全系统的漏洞发送看似合法的欺骗性消息，使他们能够冒充记者或学者。 包括联邦调查局 (FBI)、国家安全局 (NSA) 和国务院在内的多个联邦机构本周发布了一份公告，警告Kimsuky 行动中的黑客正在瞄准配置不当的基于 DNS 域的消息身份验证、报告和一致性 (DMARC) 记录策略。 DMARC 已有十多年的历史，是一种安全工具，电子邮件平台使用它来验证邮件并使其流行的域无法被欺骗。成功的 DMARC 实施可以阻止试图伪装成来自经过验证的组织的恶意电子邮件。根据配置，未通过合法性测试的电子邮件可能会被标记为垃圾邮件或被阻止。 据这些机构称，朝鲜黑客的目标是配置不当的 DMARC 设置，使他们的电子邮件看起来像是来自合法域的电子邮件，从而使他们能够伪装成与朝鲜政策圈有可靠联系的专家或学者。这些机构跟踪的活动从 2023 年底到 2024 年初。 在咨询报告的一个示例中，攻击者向受害者提供演讲费，作为让他们打开电子邮件的一种方式。一些电子邮件显示，有证据表明朝鲜黑客能够访问大学的合法电子邮件客户端来发送电子邮件。 大多数其他电子邮件都欺骗了合法记者的姓名和真实的电子邮件域，由于组织没有任何 DMARC 政策，因此仍然能够进入收件箱。 这些机构表示：“朝鲜利用这些鱼叉式网络钓鱼活动来收集有关地缘政治事件、对手外交政策战略的情报，以及通过非法获取目标私人文件、研究和通信来影响朝鲜利益的任何信息。” Kimsuky 是一个黑客组织，执法机构认为该组织由朝鲜侦察总局 (RGB) 内的第 63 研究中心运营。该组织的目标是“通过损害政策分析师和其他专家的利益，向朝鲜政权提供被盗数据和宝贵的地缘政治见解。” 黑客花时间研究受害者并定制鱼叉式网络钓鱼电子邮件，以“显得更加真实，对目标更有吸引力”。据美国机构称，他们经常使用以前被入侵的电子邮件帐户的邮件内容来增强其欺骗性电子邮件的真实性。 “除了令人信服的电子邮件信息外，Kimsuky 黑客组织还被发现创建虚假用户名并使用合法域名冒充受信任组织（包括智囊团和高等教育机构）的个人，以获取信任并与电子邮件收件人建立融洽关系。”该咨询报告说。 如果有人对一封电子邮件产生怀疑并检查了“回复”部分，它仍然看起来来自合法域。 在美国或韩国从事朝鲜、亚洲、中国和/或东南亚事务的任何人都应该留意这些电子邮件，尤其是政府官员和军人。 该建议警告人们警惕那些最初通信无害、随后来自不同电子邮件地址的奇怪链接或附加文档的电子邮件。 长期以来，朝鲜黑客一直被指控冒充记者和研究人员，试图闯入组织系统。SentinelLabs 表示， SentinelLabs一月份发布了一份报告，重点介绍了一项针对韩国学术界朝鲜事务专家以及一家专注于朝鲜问题的新闻机构的攻击活动。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/M87Aby-1TykR1z97N0ig4Q 封面来源于网络，如有侵权请联系删除

研究人员发现 20 个安全漏洞与部署的谷歌 Android 操作系统有关。小米公司一周内修复了这些漏洞，用户应尽快更新手机系统。 网络安全研究人员表示，小米智能手机存在的安全缺陷，可能会让黑客窃取密码并危及社交媒体帐户。 发现这些漏洞的移动安全初创公司 Oversecured 的创始人谢尔盖·托辛 (Sergey Toshin) 表示，这些缺陷影响了小米设备上运行的多种软件，从设置应用程序到蓝牙软件。 Toshin 告诉《福布斯》，最危险的缺陷可能会被滥用来授予攻击者“系统权限”，从而窃取用户密码并访问私人用户文件，Toshin 并不认为这些漏洞已被恶意黑客利用。 “小米需要在设备安全方面投入更多资源。”谢尔盖·托申 (Sergey Toshin) Oversecured 创始人表示。 如果黑客想要利用最严重的弱点，他们可能会尝试通过网络钓鱼或在 Google Play 等市场上推送恶意应用程序，在小米手机上安装恶意应用程序。 Toshin 表示，黑客可以使用该应用程序来利用其中一个弱点，并执行诸如拦截受害者的社交网络消息、获取用户联系人以及收集有关其连接的蓝牙设备的信息等操作。 Oversecured 上周在小米 13 Ultra 上测试后向小米披露了这些缺陷。“我们相信每个设备都容易受到攻击，因为缺陷是固件的一部分。”Toshin 说。他表示，这家中国公司在一周内修复了这些漏洞。 他表示，如果小米作为其在 HackerOne 平台上运行的漏洞赏金计划的一部分，向黑客提供更大的奖励，也许能够避免重大问题。 根据 HackerOne 的数据，其平均支出在 80 至 100 美元之间，在过去 90 天内奖励黑客 2,600 美元。相比之下，谷歌在 2023 年向 Android 安全研究人员支付了340 万美元。 小米表示，该公司拥有“业界领先的安全团队”，并正在与谷歌和 Hackerone 合作“构建安全的 Android 系统”。Toshin 表示，小米目前的支出“明显低于谷歌”，并且“小米需要在其设备的安全性上投入更多资源。”   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/5KAWzpedfc3IkEXGKwP7yA 封面来源于网络，如有侵权请联系删除

近日，研究人员披露了一个名为“Dirty Stream”的严重安全漏洞，该漏洞可能影响几款下载总量数十亿的 Android 应用程序。 微软威胁情报团队成员 Dimitrios Valsamaras 在一份报告中声明，黑客可以利用该安全漏洞，执行任意代码以及盗取令牌。一旦成功利用漏洞，黑客就可以完全控制应用程序的“行为”，并利用窃取的令牌在未经授权的情况下访问受害者的在线账户和其他数据。 这一安全漏洞可能会给大量设备带来威胁风险， Google Play 商店中目前已经发现了几个易受攻击的应用程序，这些应用程序的总安装量超过了 40 亿，其中受该安全漏洞影响程度最大的两个应用程序如下： 小米文件管理器 (com.mi. Android.globalFileexplorer) -，安装量超过 10 亿次 WPS Office (cn.wps.moffice_eng) -，安装量超过 5 亿次 安卓系统通过为每个应用程序分配专用的数据和内存空间来实现隔离，并以安全的方式促进应用程序之间的数据和文件共享。但实施过程中的疏忽可能会导致绕过应用程序主目录内的读/写限制。 Valsamaras 表示，这种基于内容提供商的模式提供了一种定义明确的文件共享机制，使服务应用程序能够以安全的方式与其他应用程序共享文件，并进行细粒度控制。 然而，在执行的过程中，经常遇到消费应用程序并不验证其接收到的文件内容，而且最令人担忧的是，它使用服务应用程序提供的文件名将接收到的文件缓存在消费应用程序的内部数据目录中。当服务应用程序为了实现应用程序之间的文件共享而声明恶意版本的 FileProvider 类时，这一“陷阱”可能会造成严重后果，最终导致消费应用程序覆盖其私有数据空间中的关键文件。 换句话说，该机制利用了消费应用程序盲目信任输入这一事实，通过自定义、明确的意图，在用户不知情或未经用户同意的情况下发送带有特定文件名的任意有效载荷，从而导致代码执行。 这时候，威胁攻击者就可以覆盖目标应用程序的共享首选项文件，使其与受其控制的服务器通信，从而外泄敏感信息。另一种情况是应用程序从自己的数据目录（而不是”/data/app-lib”）加载本地库，在这种情况下，恶意应用程序可以利用上述漏洞，在加载本地库时用恶意代码覆盖该库并执行。 值得一提的是，在接到安全漏洞披露通知后，小米和 WPS Office 均已于 2024 年 2 月对该安全漏洞问题进行了整改。与此同时，谷歌也就此发布了详细的指导意见，敦促开发者正确处理服务器应用程序提供的文件名。 谷歌方面强调，当客户端应用程序将接收到的文件写入存储时，应该忽略服务器应用程序提供的文件名，而使用自己内部生成的唯一标识符作为文件名，如果生成唯一的文件名不能轻易实现，客户端应用程序就应该对提供的文件名进行核验、清查。 最后，微软方面指出，该安全漏洞问题非常普遍，相关开发者应当采取措施，仔细检查自身应用程序是否存在类似问题。   转自FreeBuf，原文链接：https://www.freebuf.com/news/400004.html 封面来源于网络，如有侵权请联系删除

therecord 网站消息，研究人员发现，联邦政府维护的已知被利用漏洞（KEV）目录对联邦政府内外的组织机构产生了实质性的影响。 网络安全和基础设施安全局（CISA）的 KEV 目录已经运行了近三年，早已迅速成为全球黑客积极利用的软件和硬件漏洞的首选存储库。对此，网络安全扫描公司Bitsight 的专家提出了一个问题：”与不在 KEV 目录中的漏洞相比，企业修复 KEV 的速度是否更快？“ 答案明确是「是」。根据 Bitsight 的研究人员对 100 多万个实体（包括公司、学校、地方政府等）进行漏洞扫描的数据显示，KEV 所列漏洞的修复时间中位数为 174 天，而非 KEV 所列漏洞的修复时间为 621 天。换句话说，修补目录中列出的漏洞所需的时间中位数是非 KEV 漏洞的 3.5 倍。 该公司证实，KEV 列表通过帮助公司和地方政府从大量漏洞中筛选出真正重要的漏洞产生了实际效果。2023 年，在 Bitsight 观察到的所有组织中，有 35% 的组织处理过 KEV ，其中绝大多数的组织有一个以上的 KEV。 漏洞修复时间 每个添加到 KEV 列表中的漏洞都附带一个截止日期，该日期根据漏洞的严重程度和被定位的紧急性而有所不同。这个截止日期正式适用于联邦机构，但对于美国政府之外的组织，它可以作为漏洞严重程度的一个指南。 Bitsight 发现，受 CISA 约束性指令监管的联邦民事机构比其他组织更有可能在截止日期前解决 KEV 漏洞，概率高出 63% 。而大约 40% 的组织（即那些不必遵守 CISA 规定的联邦政府以外的组织）能够在 CISA 的截止日期前解决漏洞。 报告指出，从 KEV 列表创建至今，给予漏洞修补的截止日期发生了巨大变化。该列表首次创建时，CISA 通常给联邦民事机构一周、两周或六个月的时间来修补漏洞。但到 2022 年春季，他们将截止日期调整为三周。直到最近几个月，又重新规定了一周的期限。 为什么会发生这种变化？早期的这些漏洞通常在添加到 KEV 目录时就已经存在了，考虑到这种情况，CISA 给组织时间解决问题似乎是合理的。 截止日期还可能受漏洞是否被勒索软件使用的影响：一周内需要解决的漏洞比其他漏洞更容易被用于勒索软件，因为这些漏洞非常紧急，如果黑客在组织机构系统上利用它们，可能会造成重大损失。 科技公司是最快解决漏洞的公司之一，部分原因是它们在 Bitsight 列出的暴露漏洞最多的行业中名列榜首。 在 Bitsight 追踪的行业中，教育机构和地方政府的情况最为糟糕，这两个行业受 KEV 列表漏洞影响较大，修复时间较慢。而保险公司、信用社和工程公司受 KEV 列表漏洞影响的程度相对较低，通常修复问题的速度也较快。 列表上的新漏洞 上周，CISA 在 KEV 列表中增加了两个漏洞。其中被命名为 CVE-2024-29988 的漏洞是微软在四月份发布的 “补丁星期二”（Patch Tuesday）中公布的，该漏洞会影响微软产品中包含的云端反钓鱼和反恶意软件组件 SmartScreen。 Immersive Labs 的首席网络安全工程师本·麦卡锡（Ben McCarthy）表示，SmartScreen 是一个大型弹出窗口，会警告用户有关运行未知文件的情况，它通常是网络钓鱼攻击的终端，用于吓唬用户，让他们不敢继续打开文件。 他补充说，该漏洞在使用文件下载作为获取初始访问权限的攻击技术的攻击者中很流行，因为他们想找到绕过 SmartScreen 等安全功能的方法。 CISA 指出，在攻击过程中，该漏洞可以与 CVE-2024-21412 链接。一位发现 CVE-2024-21412 和 CVE-2024-29988 漏洞的零日计划研究人员表示，通过直接手段（电子邮件和直接消息）进行的社会工程攻击需要某种用户交互，这是这类漏洞典型的利用途径。 CVE-2024-21412 被用作 DarkGate 活动的一部分，该活动利用假冒苹果 iTunes、Notion、英伟达（NVIDIA）等公司的虚假软件安装程序。Microsoft Defender SmartScreen 本应为终端用户提供额外保护，防止网络钓鱼和恶意网站，但由于这些漏洞绕过了安全功能，导致终端用户感染恶意软件。 上个月，《Bleeping Computer》报道称，一个出于经济动机的黑客组织利用该漏洞攻击了外汇交易论坛和股票交易 Telegram 频道。   转自FreeBuf，原文链接：https://www.freebuf.com/news/399968.html 封面来源于网络，如有侵权请联系删除

近日，Citizenlab 研究人员调查了多家厂商的输入法应用安全漏洞并报告称：除华为以外，百度、荣耀、科大讯飞、OPPO 、三星、腾讯、Vivo 和小米等供应商的九款应用程序中有八款均存在安全漏洞。 随着用户规模的不断增长，云输入法应用的后端技术正变得越来越复杂，人们对此类应用的潜在安全风险也越来越重视。其中，用户数据在云服务器上是否安全；信息从用户设备传输到云服务器的过程中是否安全是研究人员关注的两个重点问题。 为此，研究人员分别测试了腾讯、百度、讯飞、三星、华为、小米、OPPO 、vivo和荣耀输入法的多个平台版本（安卓、iOS 和 Windows 版本）。 其中腾讯、百度和科大讯飞是键盘输入法应用的开发者；三星、华为、小米、OPPO 、vivo和荣耀是手机制造商，它们要么自己开发了键盘输入法，要么预装了上述三个输入法产品。 为了更好地了解这些厂商的键盘应用是否安全地实现了其云推荐功能，研究者对这些输入法进行了安全分析以确定它们是否充分加密了用户的输入按键记录。 对九家厂商的输入法进行分析后，研究者发现只有华为的输入法应用在传输用户按键记录时未发现任何安全问题。其余八家厂商的每一家至少有一款应用发现了漏洞，黑客可以利用该漏洞完全窃取用户输入的内容。 去年 8 月，多伦多大学跨学科实验室发现了腾讯搜狗输入法中的加密漏洞，此次披露的信息建立在该实验室此前研究的基础上。 据估计，有近十亿用户受到这类漏洞的影响，其中搜狗、百度和 iFlytek 的输入法编辑器（IME）占据了很大的市场份额。 已发现出现漏洞的输入法应用如下： 腾讯 QQ 拼音易受 CBC padding oracle 攻击，可恢复明文 百度输入法，由于 BAIDUv3.1 加密协议中的错误，允许网络窃听者解密网络传输并提取 Windows 上键入的文本 iFlytek IME，其安卓应用程序允许网络窃听者恢复未充分加密的网络传输明文 安卓系统上的三星键盘，通过未加密的纯 HTTP 传输按键数据 小米手机，预装了百度、iFlytek 和搜狗的键盘应用程序 OPPO，预装了百度和搜狗的键盘应用程序 vivo，预装搜狗 IME 荣耀，预装百度 IME 由于输入法安全漏洞可导致个人财务信息、登录账号和隐私泄露。因此研究人员建议使用这些键盘的用户及时更新应用程序和操作系统，并改用完全在设备上操作的键盘应用程序，以减少这些隐私问题。 隐私专家建议手机用户应保持应用程序和操作系统更新到最新版本。如果用户担心云输入法的隐私问题，建议考虑切换到完全在设备上运行的本地输入法应用。 同时，应用程序开发人员应注意使用经过严格测试的标准加密协议，而不是开发可能存在安全问题的自制版本。此外，研究人员还敦促应用程序商店运营商不要对安全更新进行地理封锁，并允许开发者证明所有数据都是通过加密传输的。 以下是研究人员给广大用户的建议： 荣耀预装键盘的用户或 QQ 拼音用户应立即切换键盘。 任何搜狗、百度或科大讯飞键盘的用户，包括操作系统上捆绑或预装的版本，都应确保其键盘和操作系统是最新的。 任何百度输入法输入法键盘的用户都应考虑切换到其他键盘或禁用“基于云”的功能。 有隐私顾虑的用户不应在其键盘或 IME 上启用“基于云”的功能，或者应切换到不提供“基于云”预测的键盘。 有隐私顾虑的 iOS 用户不应为其键盘或 IME 启用“完全访问权限”。 研究人员表示，在大多数情况下，攻击者只需要是网络上的被动窃听者即可利用这些漏洞。但是，在某种情况下，针对使用腾讯搜狗 API 的应用，攻击者还需要能够向云服务器发送网络流量，但他们不必一定是中间人(MitM)或在网络第 3 层欺骗来自用户的流量。在所有情况下，攻击者都必须能够访问客户端软件的副本。 由于苹果和谷歌的键盘输入法应用都没有将按键记录传输到云服务器以进行云推荐，因此没有（也无法）分析这些键盘的安全功能。 研究者表示，虽然业界一直在推动开发能够保密用户数据的隐私感知云输入法，但目前并未得到广泛使用。 对此，研究人员分析了大量中文键盘应用程序，发现它们几乎普遍存在用户按键被网络窃听者解密的漏洞。然而，造成这些漏洞的既没有通用的库，也没有单一的实施缺陷。虽然有些键盘应用程序确实从其他公司获得了代码授权，但目前只能解释为大量开发者独立地犯了同样的错误。 公民实验室推断，中国的应用程序开发商大概率不会使用“”西方”加密标准，因为他们担心这些标准可能包含后门。事实上，这并非杞人忧天，有太多类似的事件被曝光，不少国外的标准在里面埋下了安全风险。   转自FreeBuf，原文链接：https://www.freebuf.com/news/399237.html 封面来源于网络，如有侵权请联系删除

日前，代码托管网站 GitHub 被曝高危严重漏洞，存在于 comment 文件上传系统中，黑客利用该漏洞可以分发各种恶意软件。 用户可以将文件上传到指定 GitHub comment 中（即便该条 comment 并不存在），也会自动生成下载链接。此链接包括存储库的名称及其所有者，可能会诱使受害者认为该文件是合法的。 例如上传到 GitHub 的文件 URL 地址可以表明来自微软，但事实上该项目代码中从未提及相关内容，IT 之家附上两个案例如下： https//github[]com/microsoft/vcpkg/files/14125503/Cheat.Lab.2.7.2.zip https//github[]com/microsoft/STL/files/14432565/Cheater.Pro.1.6.0.zip 而且该漏洞并不需要任何复杂的专业技术，只需要上传恶意文件到指定 comment 即可。攻击者可以在任何受信任的存储库中上传恶意软件，然后通过 GitHub 链接进行分发。 而且这些链接属于 GitHub 官方 URL 域名，且后缀是“Microsoft”等官方储存库，因此用户很大几率认为该 URL 下载链接的内容是正规安全的。 GitHub 目前已经删除了部分恶意软件链接，对尚未完全修复该漏洞。对于开发者而言，现阶段没有足够有效的方法阻止这种滥用，唯一的方案就是完全禁用 comment。     转自FreeBuf，原文链接：https://www.freebuf.com/news/399336.html 封面来源于网络，如有侵权请联系删除

EDR/XDR 是当前流行的网络安全解决方案，在高级威胁检测中发挥着重要作用，监控着数以百万计的端点和服务器。然而，权力越大，责任越大，这些安全工具中的严重漏洞可被黑客武器化成“超级恶意软件“，用来部署勒索软件、窃取机密信息，而且难以被发觉和删除。 近日，安全研究员 Shmuel Cohen 在 Black Hat Asia 大会上展示了如何用逆向工程破解 Palo Alto Networks 的 Cortex XDR 安全软件，并将其转换为隐蔽持久的“超级恶意工具“，用于部署后门程序和勒索软件。这一发现凸显了 EDR/XDR 等强大安全工具的潜在风险，也为网络安全防御敲响了警钟。 XDR（Extended Detection and Response）是一种集成了威胁检测、调查和响应功能的安全解决方案，能够为企业提供全面的安全防护。然而，强大的功能也伴随着潜在的风险。Shmuel Cohen 的研究表明，EDR/XDR 本身也可能成为攻击者的目标，被用来实施恶意攻击。 Cohen 通过逆向工程和分析 Cortex XDR 软件，发现了一些可以被利用的漏洞。他利用这些漏洞，成功地绕过了 Cortex XDR 的安全机制（包括机器学习检测模块、行为模块规避、实时预防规则以及防止文件篡改的过滤驱动程序保护）。 具体来说，Cohen 做到以下几件事： 修改了 XDR 的安全规则，使其无法检测到他的恶意活动。 部署了后门程序，使他能远程控制受感染的计算机。 植入了勒索软件，向受害者索取赎金。 敏感用户账号泄露 在系统中长期驻留（无法从管理界面远程删除） 整机加密（FUD） 完整的 LSASS 内存转储 隐藏恶意活动通知 绕过 XDR 管理员密码 全面利用XDR 实施攻击 Cohen 指出，虽然 Palo Alto Networks 与其合作修复了漏洞并发布补丁程序，但其他 XDR 平台也很可能存在类似的漏洞，容易受到攻击。 Cohen 的攻击证明，即使是像 Palo Alto Cortex XDR 这样的知名安全软件也并非绝对安全。 安全专家指出，用户部署使用功能强大的安全工具时，不可避免地存在“魔鬼交易“：为了让这些安全工具完成工作，必须授予它们高级权限来访问系统中的每个角落。 例如，为了跨 IT 系统执行实时监控和威胁检测，XDR 需要尽可能高的权限，访问非常敏感的信息，而且启动时不能被轻易删除。 这意味着一旦攻击者能够利用安全软件的漏洞，就可将其变成杀伤力极大的攻击武器。因此，企业在部署 EDR/XDR 等安全解决方案时，需要提高警惕，加强安全管理，并定期进行安全评估和漏洞修复。   转自GoUpSec，原文链接：https://www.goupsec.com/news/16198.html 封面来源于网络，如有侵权请联系删除