HackerNews 编译，转载请注明出处： 安全研究发现，Microsoft Visual Studio Code、Visual Studio、IntelliJ IDEA 和 Cursor 等主流集成开发环境（IDE）在扩展验证流程中存在缺陷，可能使攻击者通过恶意扩展在开发者机器上执行任意代码。 OX Security 研究人员 Nir Zadok 和 Moshe Siman Tov Bustan 向The Hacker News提供的报告指出：“我们发现 Visual Studio Code 的验证机制存在缺陷，允许扩展发布者在保留‘已验证’图标的同时添加恶意功能。这会让恶意扩展看似经过官方认证，诱导开发者放松警惕。” 具体而言，VS Code 会通过向域名 marketplace.visualstudio.com 发送 HTTP POST 请求来验证扩展的签名状态。攻击者可利用此机制： 复制已验证扩展（如微软官方扩展）的验证参数； 创建同名恶意扩展并绕过信任检查； 使扩展在市场中显示“已验证”标识，同时植入可执行系统命令的恶意代码。 这种“扩展侧载”攻击模式无需官方市场审核，攻击者通过第三方渠道分发看似合法的 VSIX 文件即可实施。由于开发环境通常存储敏感凭据和源代码，此类漏洞可能导致严重的远程代码执行风险。 在 OX Security 的概念验证（PoC）中，恶意扩展成功在 Windows 系统启动计算器程序，证明其具备底层命令执行能力。研究人员进一步发现，通过篡改验证请求参数，可生成欺骗性 VSIX 文件，使恶意扩展在 IntelliJ IDEA 和 Cursor 等 IDE 中同样显示“已验证”状态。 微软回应称，该行为属于“设计特性”，并强调默认启用的扩展签名验证机制会阻止此类恶意 VSIX 文件上架官方市场。但 OX Security 在 2025 年 6 月 29 日 仍可复现漏洞利用。The Hacker News已联系微软寻求进一步评论，尚未收到回复。 研究再次警示：开发者不应仅凭“已验证”标识判断扩展安全性。建议： 优先从官方市场安装扩展； 避免使用来源不明的 VSIX/ZIP 文件； 对 GitHub 等第三方平台分享的扩展保持警惕。 研究人员总结：“恶意代码可注入扩展、打包为 VSIX 文件，并在多个主流开发平台上保留‘已验证’标识，这对习惯从网络资源安装扩展的开发者构成严重威胁。”     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软正式宣布将淘汰沿用四十余年的经典“蓝屏死机”（Blue Screen of Death）界面，代之以黑色背景的错误提示。这一变革源于去年CrowdStrike事件引发全球数百万Windows设备崩溃的教训，旨在提升系统恢复能力。 “如今应对意外重启和加速恢复变得前所未有的便捷”，微软在公告中强调。作为系统韧性升级计划的核心举措，公司正“简化”用户遭遇意外重启时的体验，为此彻底重构了故障界面。 新界面核心变更 视觉革新：标志性蓝色背景替换为纯黑底色，移除皱眉表情符号。 信息精简：错误提示文本大幅缩短，新增实时显示的进度百分比条，直观呈现重启进程。 功能升级：配套推出“快速机器恢复”（Quick Machine Recovery）机制，可在设备无法启动时通过Windows Update实施定向修复。该技术能自动化部署解决方案，无需IT人员手动干预，特别适用于大规模故障场景。 简化版错误界面将于今夏随Windows 11 24H2版本全面推送。快速恢复机制同步上线，更多扩展功能预计年底前陆续推出。 此次设计变革与微软“Windows弹性计划”（Windows Resiliency Initiative）深度关联。该计划通过将安全软件移出内核层运行，显著降低系统崩溃风险。2024年CrowdStrike事件导致全球850万台设备蓝屏瘫痪，直接推动此次架构重构。       消息来源： securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Whole Foods最大供应商联合天然食品公司（UNFI）宣布，已成功修复本月初遭网络攻击瘫痪的系统。但该事件导致多地超市货架空置的诡异场景被当地媒体报道，预计将对公司8月结束的2025财年第四季度收益产生实质影响。 UNFI周四下午向美国证券交易委员会提交更新文件，声明6月5日的网络攻击迫使公司关闭管理客户订单处理与配送的系统。文件指出：“关键进展在于，公司已安全恢复客户及供应商用于电子下单和票据处理的核心系统，使业务运营恢复正常化。本次事件不涉及法律定义的个人信息或健康隐私泄露，因此无需向消费者发送通知。” 经历数周延误导致部分零售商关键商品短缺后，UNFI现已恢复北美地区常规收货与发货能力。公司大部分数字系统耗时约10天实现初步修复，期间多地超市被迫采用纸笔记录配送信息。截至周五，尚无黑客组织宣称对此次攻击负责。 短期冲击 UNFI上季度净销售额超80亿美元，但披露攻击后数周内“因全力保障客户供应链，销售额下滑而运营成本激增”。事件直接产生调查及修复费用，管理层明确表示网络攻击将“显著影响公司2025财年第四季度净利润，实际表现将大幅低于事件前内部预测”。公司虽配置网络安全保险覆盖部分损失，但理赔预计延至下财年。短期冲击不影响“实现既定长期战略及财务目标的能力”。 背景补充：UNFI作为北美最大健康食品及特色食品批发商，服务超3万个客户网点，管理约25万种商品，依托55个分销中心与仓库支撑全食超市等零售体系。       消息来源： therecord； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 思科近日发布安全公告，警告其身份服务引擎（ISE）及被动身份连接器（ISE-PIC）存在两个未认证的远程代码执行（RCE）漏洞（编号CVE-2025-20281与CVE-2025-20282），均被评定为最高危级（CVSS评分：10.0）。其中CVE-2025-20281影响ISE与ISE-PIC的3.3和3.4版本，而CVE-2025-20282仅影响3.4版本。 漏洞原理与影响 CVE-2025-20281：特定API对用户输入验证不足，未认证攻击者可构造恶意API请求，以root权限执行任意操作系统命令。 CVE-2025-20282：内部API文件校验机制缺陷，攻击者可向特权目录上传任意文件并以root权限执行。 思科ISE作为企业级网络访问控制与策略执行平台，广泛应用于政府、高校及大型企业网络核心层。成功利用上述漏洞可实现设备完全接管，无需用户交互或认证凭证。目前尚无活跃攻击迹象，但强烈建议优先修复。 修复方案 升级至3.3 Patch 6（补丁号：ise-apply-CSCwo99449_3.3.0.430_patch4）或更高版本 升级至3.4 Patch 2（补丁号：ise-apply-CSCwo99449_3.4.0.608_patch1）或更高版本 注：无临时缓解措施，必须安装安全更新。 关联漏洞 同步披露的中危认证绕过漏洞CVE-2025-20264影响所有3.4及更早版本。该漏洞源于SAML单点登录集成授权缺陷，攻击者可利用合法凭证修改系统配置或重启设备。修复方案： 3.4版本需升级至Patch 2 3.3版本需升级至Patch 5 3.2版本预计2025年11月通过Patch 8修复 注：3.1及更早版本已停止支持，需迁移至新版本。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Palo Alto Networks 旗下的研究团队 Unit 42 发现了一个针对非洲多家金融机构的新型恶意活动。 这些被追踪为 CL-CRI-1014 的攻击者，至少自 2023 年以来一直活跃地针对非洲金融行业。Unit 42 研究人员评估认为，他们扮演着初始访问经纪人（IABs）的角色，即先获取目标的初始访问权限，然后在暗网上将其出售给其他攻击者。 为了实施攻击，黑客通常利用一系列开源工具，包括攻击框架 PoshC2、隧道工具 Chisel，以及公开可用的软件如微软的 PsExec 和远程管理工具 Classroom Spy。后者替代了该组织先前活动中使用的 MeshAgent。 他们还创建隧道进行网络通信并执行远程管理操作。 Unit 42 的研究结果已在其 6 月 24 日发布的报告中分享。 攻击链解析 以下是 Unit 42 研究人员观察到的 CL-CRI-1014 最新活动中典型的攻击链步骤： 攻击者使用 PsExec 远程连接到另一台机器，将其作为代理； 在代理机器上使用 Chisel 绕过目标组织系统的防火墙保护，并连接到多台机器； 在部分机器上，攻击者使用 PsExec 投递 PoshC2 并在系统内进行侦察活动，网络流量通过 Chisel 隧道传输； 在其他机器上，攻击者使用 PsExec 运行 PowerShell 并安装 Classroom Spy。 攻击者在攻击流程中如何使用 PsExec、Chisel、PoshC2 和 Classroom Spy（如下图）。来源：Unit 42, Palo Alto Networks PoshC2 是攻击者用来执行命令并在受感染环境中建立立足点的关键工具。该框架支持生成不同类型的植入程序（PowerShell、C#.NET 和 Python），并预装了多种攻击模块。 Classroom Spy 具备一系列功能，包括： 实时监控电脑屏幕（包括截图）； 控制鼠标和键盘； 在机器间收集和部署文件； 记录访问的网页； 键盘记录； 录音； 访问摄像头； 打开终端； 收集系统信息； 监控和阻止应用程序。 最后，CL-CRI-1014 采用了多种方法来规避检测，包括使用加壳器、用窃取的签名为其工具进行签名，以及使用来自合法产品的图标。 没有证据表明该活动利用了目标组织产品或服务中的任何漏洞。       消息来源： infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 西门子公司周二告知客户，其正与微软合作解决Microsoft Defender防病毒软件（MDAV）与Simatic PCS工业控制系统间的兼容性问题。根据该工业巨头发布的安全通告，核心问题在于Defender当前缺乏“仅警报”功能。 西门子在Simatic PCS 7及PCS Neo过程控制系统的技术文档中，曾建议通过配置Defender实现威胁分级警报——即在检测到特定级别威胁时不自动处置，仅触发告警。但实际运行中存在两类风险： 静默忽略风险 若将威胁响应设为“忽略”，不仅不会采取行动，系统甚至不会向工厂操作员和管理员发送任何警报，导致恶意软件潜伏未被察觉。 误删关键文件风险 若采用其他设置，Defender可能直接删除或隔离被标记为潜在威胁的文件（包括误报文件）。当系统依赖这些文件运行时，将引发生产中断。西门子在通告中强调：“受影响的设备可能完全失效，导致工厂丧失监控与控制能力。” 在微软提供解决方案前，西门子建议客户执行以下应急措施： 风险评估决策：企业需权衡选择——优先接收感染警报（可能面临误报干扰），或容忍文件误删风险（保障系统连续性）。 设备集群化管理：对受影响设备进行分组，根据各组功能重要性配置差异化的Defender策略。       消息来源： securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国众议院正式禁止国会工作人员在政府配发设备上使用WhatsApp，理由是该应用存在安全风险。Axios率先报道了这一决定。 据众议院首席行政官（CAO）声明，此举源于对该应用安全性的担忧。CAO在备忘录中指出：“网络安全办公室认定WhatsApp对用户构成高风险，因其数据保护机制缺乏透明度、存储数据未加密，且使用过程存在潜在安全隐患。”因此，工作人员不得在政府配发的任何设备（包括手机、电脑及网页版）上安装该应用。 WhatsApp母公司Meta对此提出反驳，强调该平台默认采用端到端加密，其安全级别“高于CAO批准名单中的多数应用”。Meta传播总监安迪·斯通在社交平台X上回应：“我们以最强烈措辞反对众议院首席行政官的定性。我们知道议员及工作人员长期使用WhatsApp，期待众议院能像参议院那样正式批准其使用。” CAO推荐工作人员使用Microsoft Teams、亚马逊Wickr、Signal、苹果iMessage及FaceTime作为合规替代品。WhatsApp成为继TikTok、OpenAI ChatGPT及DeepSeek之后，众议院最新封禁的应用。 值得补充的是，上周Meta曾宣布将在WhatsApp引入广告，但承诺“绝不牺牲用户隐私”。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络基础设施服务商Cloudflare近日拦截了一次峰值达7.3Tbps的分布式拒绝服务（DDoS）攻击，再度刷新历史纪录。此前Cloudflare拦截的最高纪录为5.6Tbps和6.5Tbps攻击，而网络安全博主布莱恩·克雷布斯（Brian Krebs）上月报告其网站曾遭遇6.3Tbps攻击。 此次发生于5月中旬的7.3Tbps攻击仅持续45秒，目标直指某托管服务提供商。“托管服务商与关键互联网基础设施正日益成为DDoS攻击的主要目标”，Cloudflare在周四的博客中指出。此次攻击在45秒内产生37.4TB流量，相当于传输9000多部高清电影的数据总量。 攻击聚焦单一IP地址，平均每秒冲击21,925个目标端口，峰值时达34,517个端口，且源端口分布呈现类似特征。本次攻击中99%以上为UDP洪水攻击，其余1.3GB流量包含六种复合攻击：QOTD反射攻击、Echo反射攻击、NTP反射攻击、Mirai僵尸网络发起的UDP洪水攻击、Portmap洪水攻击以及RIPv1放大攻击。攻击源覆盖161个国家/地区的5,400个自治系统中的122,000余个IP地址。     消息来源： securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究员杰里米亚·福勒发现一个疑似属于房地产管理公司的数据库，内含大量未加密的个人身份信息(PII)。该数据库高达116.24GB，包含约17万条记录，且未设置密码保护，处于完全开放状态。 暴露的数据类型包括： 姓名与出生日期 社会安全号码 实际住址及电子邮箱 员工人事档案（含处分/解雇/辞职文件） 内部管理文件（安防记录/事件报告/警方档案/维修单据/报销明细） 福勒获取的样本数据显示，汽车旅馆员工的个人身份信息以明文形式存储在电子表格中。由于数据未经加密，黑客可轻易获取这些信息用于身份盗窃、金融欺诈或精准钓鱼攻击。 福勒在网站星球报告中指出：“数据库还包含房产检查报告、租客驱逐通知、员工降职解聘函、零用金报表，以及含有支付卡类型和末四位卡号的消费凭证。”他特别强调这是近年来接触过最值得警惕的数据库之一，因其涉及： 涉案人员逮捕记录 个人医疗状况文件 物业损毁现场照片 这些记录疑似关联加利福尼亚州的收益地产投资公司，该公司在美国多地经营房产项目。虽然数据归属指向该企业，但福勒无法确认是公司自身还是第三方服务商管理疏漏导致泄露。在收到漏洞披露通知当日，该数据库访问权限已被立即限制。       消息来源： cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现两个本地权限提升（LPE）漏洞，攻击者可借此在主流Linux发行版中获取root权限。Qualys披露的两处漏洞如下： CVE-2025-6018：SUSE 15的可插拔认证模块（PAM）配置缺陷，允许普通用户获取“活跃用户权限”（allow_active） CVE-2025-6019：通过udisks守护进程，利用libblockdev漏洞将活跃用户权限提升至root Qualys威胁研究部门高级经理Saeed Abbasi指出：“这类现代‘本地到root’漏洞利用技术，彻底消除了普通登录用户与完全控制系统之间的安全屏障。攻击者通过串联udisks合法功能（如循环挂载）和PAM/环境特性，能在数秒内突破polkit的allow_active信任区，获取root控制权。” 漏洞细节 CVE-2025-6018存在于openSUSE Leap 15和SUSE Enterprise 15的PAM配置中，致使远程SSH等普通会话被误判为物理在场操作，从而授予本应受限的polkit操作权。 CVE-2025-6019则影响默认安装于多数Linux发行版的udisks服务，结合前漏洞可让攻击者获得完整root权限。Abbasi强调：“尽管名义上需要‘allow_active’权限，但udisks几乎预装在所有Linux系统中。而包括本次PAM漏洞在内的技术，进一步削弱了权限壁垒。” 攻击后果 获取root权限后，攻击者能完全控制系统：关闭安全防护（如EDR）、植入持久后门、篡改配置，并将受控设备作为渗透内网的跳板。 影响范围与验证 Qualys已开发概念验证（PoC）代码，确认漏洞影响Ubuntu、Debian、Fedora及openSUSE Leap 15等主流发行版。其中openSUSE/SUSE同时受两漏洞影响，其他发行版主要面临CVE-2025-6019风险。 修复方案 立即安装补丁：各发行版已推送libblockdev安全更新（如Debian/Ubuntu需升级至libblockdev≥2.30或3.3.1） 临时缓解措施： 修改polkit规则，将org.freedesktop.udisks2.modify-device操作的allow_active=yes设为auth_admin 非必要场景可关闭udisks服务：systemctl mask udisks2.service 关联漏洞披露 Linux PAM维护者同时修复高危路径遍历漏洞CVE-2025-6020（CVSS 7.8）。该漏洞存在于pam_namespace模块（≤1.7.0版本），允许本地用户通过符号链接攻击和竞争条件提权至root。缓解方案包括禁用pam_namespace或确保其不操作用户可控路径。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文