近日，Intel修复了其现代台式机、服务器、移动和嵌入式 CPU（包括最新的 Alder Lake、Raptor Lake 和 Sapphire Rapids 微体系结构）中的一个高严重性 CPU 漏洞。 攻击者可以利用CVE-2023-23583漏洞提升权限、访问敏感信息或触发拒绝服务状态，这可能会让云提供商为此付出高昂的代价。 Intel公司表示：在某些微体系结构条件下发现，在某些情况下，执行以冗余 REX 前缀编码的指令 (REP MOVSB) 可能会导致不可预测的系统行为，造成系统崩溃/挂起，或者在某些有限的情况下，可能会允许从 CPL3 到 CPL0 的权限升级 (EoP)。 Intel公司表示，任何非恶意的实际软件都不会遇到这个问题。多余的 REX 前缀不会出现在代码中，也不会由编译器生成。黑客在恶意利用此漏洞前需要执行任意代码。Intel在受控的Intel实验室环境中进行内部安全验证时，发现在有限的情况下存在权限升级的可能性。使用受影响处理器的特定系统，包括使用 Alder Lake、Raptor Lake 和 Sapphire Rapids 的系统，已经在 2023 年 11 月之前收到了更新的微代码，目前并未观察到性能影响或预期问题。 此外，为了解决其他 CPU 的问题，Intel公司还发布了微码更新，并建议用户更新 BIOS、系统操作系统和驱动程序，以便从原始设备制造商 (OEM)、操作系统供应商 (OSV) 和管理程序供应商那里获得最新的微码。 Intel公司建议广大用户尽快将受影响的处理器更新到下面受影响处理器表中列出的微码版本，以缓解这一冗余前缀问题。OSV 也可尽快提供包含此新微码的更新。 Reptar 是一个 “非常奇怪 “的漏洞 谷歌漏洞研究员Tavis Ormandy透露，谷歌信息安全工程和 silifuzz 团队等多个研究团队也独立发现了这个安全漏洞，并将其命名为 Reptar。 谷歌云副总裁兼首席信息安全官Phil Venables提到，该漏洞与 “CPU如何解释冗余前缀有关，如果利用成功，将导致绕过CPU的安全边界”。通常情况下，冗余前缀应该被忽略，但 Ormandy 在测试过程中发现，由于这个漏洞，冗余前缀引发了 “非常奇怪的行为”。 Tavis Ormandy称在测试过程中发现了一些非常奇怪的行为。比如分支到意外位置，无条件分支被忽略，处理器不再准确记录 xsave 或调用指令中的指令指针。这表明这其中可能存在严重问题，在实验中，我们发现当多个内核触发同一个错误时，处理器就会开始报告机器检查异常并停止运行。 今年早些时候，谷歌安全研究人员发现了影响现代英特尔CPU的Downfall漏洞和Zenbleed漏洞，攻击者可以从使用AMD Zen2 CPU的系统中窃取密码和加密密钥等敏感数据。 昨天（11月14日），AMD 还修补了一个名为 CacheWarp 的漏洞，该漏洞可让恶意行为者入侵 AMD SEV 保护的虚拟机，从而提升权限并获得远程代码执行。     转自Freebuf，原文链接：https://www.freebuf.com/news/383884.html 封面来源于网络，如有侵权请联系删除

今天是微软的 2023 年 11 月补丁日，微软修复了58 个缺陷，其中包括 5 个0day。 本月更新修复了 14 个远程代码执行 (RCE) 漏洞，微软将其中一个评为严重级。今天修复的三个关键漏洞是 Azure 信息泄露错误、Windows Internet 连接共享 (ICS) 中的 RCE 漏洞以及允许在具有 SYSTEM 权限的主机上执行程序的 Hyper-V 转义缺陷。 下面列出了每个漏洞类别中的漏洞数量： 16 个特权提升漏洞 6 个安全功能绕过漏洞 15 个远程代码执行漏洞 6 个信息泄露漏洞 5 个拒绝服务漏洞 11 个欺骗漏洞 58 个漏洞的总数不包括本月早些时候发布的 5 个 Mariner 安全更新和 20 个 Microsoft Edge 安全更新。 三个被积极利用的0day漏洞： CVE-2023-36036 – Windows 云文件微型筛选器驱动程序特权提升漏洞 Microsoft 修复了一个经常被利用的 Windows 云文件迷你过滤器权限提升错误。 微软解释说：“成功利用此漏洞的攻击者可以获得系统权限。” 目前尚不清楚该缺陷是如何在攻击中被滥用的，也不清楚是由哪些攻击者滥用的。 该漏洞是由 Microsoft 威胁情报 Microsoft 安全响应中心内部发现的。 CVE-2023-36033 – Windows DWM 核心库特权提升漏洞 Microsoft 修复了一个被积极利用并公开披露的 Windows DWM 核心库漏洞，该漏洞可用于提升 SYSTEM 权限。 微软解释说：“成功利用此漏洞的攻击者可以获得系统权限。” 微软表示该漏洞是由 DBAPPSecurity WeBin Lab 的 Quan Jin(@jq0904) 发现的 ， 但没有透露如何在攻击中使用它们的详细信息。 CVE-2023-36025 – Windows SmartScreen 安全功能绕过漏洞 一个经常被利用的 Windows SmartScreen 缺陷，该缺陷允许恶意 Internet 快捷方式绕过安全检查和警告。 微软解释说：“攻击者将能够绕过 Windows Defender SmartScreen 检查及其相关提示。” 用户必须单击特制的 Internet 快捷方式 (.URL) 或指向 Internet 快捷方式文件的超链接，才会受到攻击者的攻击。 该漏洞是由 Will Metcalf (Splunk)、微软威胁情报和微软 Office 产品组安全团队发现的。 另外两个公开披露的0day漏洞“CVE-2023-36413 – Microsoft Office 安全功能绕过漏洞”和“CVE-2023-36038 – ASP.NET Core 拒绝服务漏洞”，这两个漏洞也进行了修复。微软表示，它们并未在攻击中被积极利用。 本周，Adobe 推出了大量安全修复程序，以覆盖其 Acrobat 和 Reader、ColdFusion、inDesign、inCopy 和 Audition 产品中的严重缺陷。 Adobe 记录了 72 个不同的安全漏洞，并呼吁特别关注广泛部署的 Adobe Acrobat 和 Reader 软件中的代码执行缺陷。 在一份漏洞严重性公告中，Adobe 记录了至少 17 个 Acrobat 和 Reader 错误，这些错误使未修补的 Windows 和 macOS 系统面临任意代码执行和内存泄漏风险。 Adobe 还针对至少六个不同的 ColdFusion 漏洞发布了补丁，这些漏洞可能导致任意代码执行和安全功能绕过。ColdFusion 漏洞被标记为严重级别并影响 2023 和 2021两个版本。     转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/zF0YJhQt56nC1L5RsrBD4Q 封面来源于网络，如有侵权请联系删除

据观察，与巴基斯坦有关的威胁行为者SideCopy在针对印度政府实体的攻击中利用最近的 WinRAR 安全漏洞来传播各种远程访问木马，例如 AllaKore RAT、Ares RAT 和 DRat。 企业安全公司 SEQRITE 将该活动描述为多平台攻击，这些攻击还旨在通过兼容版本的 Ares RAT 渗透 Linux 系统。 SideCopy 至少从 2019 年开始活跃，以攻击印度和阿富汗实体而闻名。它被怀疑是透明部落（又名 APT36）演员的一个子团体。 SEQRITE 研究员 Sathwik Ram Prakki在周一的一份报告中表示：“SideCopy 和 APT36 共享基础设施和代码，以积极瞄准印度。” 今年 5 月初，该组织与一次网络钓鱼活动有关，该活动利用与印度国防研究与发展组织 (DRDO) 相关的诱饵来传播信息窃取恶意软件。 此后，SideCopy 还参与了一系列针对印度国防部门的网络钓鱼攻击，这些攻击通过 ZIP 存档附件传播 Action RAT 和支持 18 种不同命令的基于 .NET 的新特洛伊木马。 SEQRITE 检测到的新网络钓鱼活动涉及两个不同的攻击链，每个攻击链都针对 Linux 和 Windows 操作系统。 前者围绕基于 Golang 的 ELF 二进制文件，为 Linux 版本的Ares RAT铺平了道路，该版本能够枚举文件、截屏以及文件下载和上传等。 另一方面，第二个活动需要利用WinRAR 归档工具中的安全漏洞CVE-2023-38831来触发恶意代码的执行，从而导致部署 AllaKore RAT、Ares RAT 和两个新的 RAT。称为 DRat 和 Key RAT 的木马。 Ram Prakki 表示：“[AllaKore RAT] 具有窃取系统信息、键盘记录、截取屏幕截图、上传和下载文件以及远程访问受害计算机以发送命令并将窃取的数据上传到 C2 的功能。” DRat 能够解析来自 C2 服务器的多达 13 个命令，以收集系统数据、下载和执行其他有效负载以及执行其他文件操作。 针对 Linux 的攻击并非巧合，其动机很可能是印度政府和国防部门决定用名为 Maya OS 的 Linux 版本取代 Microsoft Windows。 Ram Prakki 表示：“SideCopy 通过零日漏洞扩展其武器库，持续利用各种远程访问木马来针对印度国防组织。” “APT36 正在不断扩展其 Linux 武器库，据观察，APT36 与 SideCopy 共享其 Linux stagers，以部署名为 Ares 的开源 Python RAT。”   转自安全客，原文链接：https://www.anquanke.com/post/id/291279 封面来源于网络，如有侵权请联系删除

暴露于互联网的 Apache ActiveMQ 服务器也是 TellYouThePass 勒索软件攻击的目标，该攻击针对的是先前被用作零日漏洞的关键远程代码执行 (RCE) 漏洞。 该缺陷被追踪为CVE-2023-46604，是 ActiveMQ 可扩展开源消息代理中的一个最严重的错误，它使未经身份验证的攻击者能够在易受攻击的服务器上执行任意 shell 命令。 尽管 Apache 于 10 月 27 日发布了安全更新来修复该漏洞，但网络安全公司ArcticWolf和Huntress Labs发现，至少从 10 月 10 日起，威胁行为者已经利用该漏洞作为零日漏洞部署 SparkRAT 恶意软件已有两周多的时间。 根据威胁监控服务 ShadowServer 的数据，目前在线暴露的 Apache ActiveMQ 服务器超过 9,200 个，其中超过 4,770 个服务器容易受到 CVE-2023-46604 漏洞的攻击。 由于 Apache ActiveMQ 在企业环境中用作消息代理，因此应用安全更新应被视为时间敏感的。 建议管理员立即升级到 ActiveMQ 版本 5.15.16、5.16.7、5.17.6 和 5.18.3，修补所有易受攻击的系统。 未针对 CVE-2023-46604 (ShadowServer) 修补的服务器 成为勒索软件团伙的目标 Apache 修补了这一关键 ActiveMQ 漏洞一周后，Huntress Labs 和 Rapid7 均报告发现攻击者利用该漏洞在客户网络上部署 HelloKitty 勒索软件有效负载。 两家网络安全公司的安全研究人员观察到的攻击始于 10 月 27 日，即 Apache 发布安全补丁几天后。 Arctic Wolf Labs 在一天后发布的一份报告中透露，积极利用 CVE-2023-46604 缺陷的威胁行为者还利用它来进行针对 Linux 系统的攻击和推送 TellYouThePass 勒索软件的初始访问。 安全研究人员还发现 HelloKitty 和 TellYouThePass 攻击之间的相似之处，这两个攻击活动共享“电子邮件地址、基础设施以及比特币钱包地址”。 北极狼研究人员警告说：“各种具有不同目标的黑客在野外利用 CVE-2023-46604 的证据表明，需要快速修复这一漏洞。” 自两年前Log4Shell 概念验证漏洞在线发布后， TellYouThePass 勒索软件的活动突然大幅增加。 随着 2021 年 12 月以 Golang 编译的恶意软件的形式回归，该勒索软件菌株还增加了跨平台目标功能，使得攻击 Linux 和 macOS 系统成为可能（macOS 样本尚未在野外发现）。   转自安全客，原文链接：https://www.anquanke.com/post/id/291248 封面来源于网络，如有侵权请联系删除

攻击者正在利用最近修补的严重 Atlassian Confluence 身份验证绕过漏洞，使用 Cerber 勒索软件加密受害者的文件。 Atlassian 将该漏洞描述为不正确的授权漏洞，并跟踪为 CVE-2023-22518，该漏洞的严重程度为 9.1/10，它影响所有版本的 Confluence Data Center 和 Confluence Server 软件。 Atlassian上周二发布了安全更新，警告管理员立即修补所有易受攻击的实例，因为该缺陷也可能被利用来擦除数据。 Atlassian 首席信息安全官 (CISO) Bala Sathiamurthy表示：“作为我们持续安全评估流程的一部分，我们发现 Confluence 数据中心和服务器客户如果被未经身份验证的攻击者利用，很容易遭受重大数据丢失。” “目前没有关于主动利用的报告；但是，客户必须立即采取行动来保护他们的实例。” 几天后，该公司发布了第二次警告，提醒客户，概念验证漏洞已经在网上可用，尽管没有证据表明该漏洞正在进行。 那些无法修补系统的人被敦促采取缓解措施，包括备份未修补的实例并阻止对未修补的服务器的互联网访问，直到它们得到保护。 还可以选择通过修改/<confluence-install-dir>/confluence/WEB-INF/web.xml来删除已知的攻击媒介，如公告中所述并重新启动易受攻击的实例。 根据威胁监控服务 ShadowServer 的数据，目前有超过 24,000 个 Confluence 实例暴露在网上，但无法得知有多少个实例容易受到 CVE-2023-22518 攻击。 暴露在互联网上的 Atlassian Confluence 实例 (Shadowserver) 在勒索软件攻击中被利用 Atlassian 于周五更新了他们的公告，警告威胁行为者在 PoC 漏洞发布后已经针对攻击中的缺陷进行了攻击。 该公司表示：“我们收到了一份关于活跃漏洞的客户报告。客户必须立即采取行动来保护他们的实例。如果您已经应用了补丁，则无需采取进一步的行动。” 周末，威胁情报公司 GreyNoise警告称，CVE-2023-22518从11 月 5 日星期日开始广泛利用。 网络安全公司 Rapid7 还观察到针对暴露在互联网上的 Atlassian Confluence 服务器的攻击，其中包括针对 CVE-2023-22518 身份验证绕过的漏洞以及先前被用作零日漏洞的旧版关键权限升级(CVE-2023-22515)。 该公司表示：“截至 2023 年 11 月 5 日，Rapid7 托管检测和响应 (MDR) 正在观察多个客户环境中 Atlassian Confluence 的利用情况，包括勒索软件部署。” “在多个攻击链中，Rapid7 观察到利用后命令执行来下载托管在 193.43.72[.]11 和/或 193.176.179[.]41 上的恶意有效负载，如果成功，将导致单系统 Cerber 勒索软件部署在被利用的 Confluence 服务器上。” CISA、FBI 和多州信息共享与分析中心 (MS-ISAC) 上个月发布了一份联合公告，敦促网络管理员立即保护 Atlassian Confluence 服务器免受主动利用的 CVE-2023-22515 权限升级漏洞的影响。根据微软的一份报告，至少从 9 月 14 日起就一直受到积极的利用。 两年前， Cerber 勒索软件（又名 CerberImposter）也被部署在针对 Atlassian Confluence 服务器的攻击中，利用远程代码执行漏洞 (CVE-2021-26084)，该漏洞之前被用来安装加密挖矿程序。   转自安全客，原文链接：https://www.anquanke.com/post/id/291246 封面来源于网络，如有侵权请联系删除

QNAP Systems 发布了针对两个关键命令注入漏洞的安全公告，这些漏洞影响 QTS 操作系统的多个版本及其网络附加存储 (NAS) 设备上的应用程序。 第一个漏洞的编号为 CVE-2023-23368 ，严重程度为 9.8（满分 10）。这是一个命令注入漏洞，远程攻击者可利用该漏洞通过网络执行命令。 受安全问题影响的QTS版本为QTS 5.0.x和4.5.x、QuTS Hero h5.0.x和h4.5.x以及QuTScloud c5.0.1。 以下版本中提供了修复： QTS 5.0.1.2376 内部版本 20230421 及更高版本 QTS 4.5.4.2374 内部版本 20230416 及更高版本 QuTS Hero h5.0.1.2376 内部版本 20230421 及更高版本 QuTS Hero h4.5.4.2374 内部版本 20230417 及更高版本 QuTScloud c5.0.1.2374 及更高版本 第二个漏洞被识别为CVE-2023-23369  ，严重程度较低，为 9.0，也可以被远程攻击者利用，达到与前一个漏洞相同的效果。 受影响的 QTS 版本包括 5.1.x、4.3.6、4.3.4、4.3.3 和 4.2.x、多媒体控制台 2.1.x 和 1.4.x，以及媒体流加载项 500.1.x 和 500.0.x。 修复程序可用于： QTS 5.1.0.2399 内部版本 20230515 及更高版本 QTS 4.3.6.2441 内部版本 20230621 及更高版本 QTS 4.3.4.2451 内部版本 20230621 及更高版本 QTS 4.3.3.2420 内部版本 20230621 及更高版本 QTS 4.2.6 内部版本 20230621 及更高版本 多媒体控制台 2.1.2 (2023/05/04) 及更高版本 多媒体控制台 1.4.8 (2023/05/05) 及更高版本 媒体流附加组件 500.1.1.2 (2023/06/12) 及更高版本 媒体流附加组件 500.0.0.11 (2023/06/16) 及更高版本 要更新 QTS、QuTS Hero 或 QuTScloud，管理员可以登录并导航至控制面板 > 系统 > 固件更新，然后单击实时更新下的“检查更新”以下载并安装最新版本。还可以从 QNAP 网站手动下载更新。 可以通过在应用程序中心查找安装并单击“更新”按钮（仅在存在更新版本时可用）来更新多媒体控制台。更新媒体流插件的过程类似，用户也可以通过搜索应用中心找到该插件。 由于 NAS 设备通常用于存储数据，因此命令执行缺陷可能会产生严重影响，因为网络犯罪分子经常寻找新目标来窃取和/或加密敏感数据。然后，攻击者可以向受害者索要赎金，以免泄露数据或解密数据。 QNAP 设备过去曾成为大规模勒索软件攻击的目标。一年前，Deadbolt 勒索软件团伙利用零日漏洞 对公共互联网上暴露的 NAS 设备进行加密。   转自安全客，原文链接：https://www.anquanke.com/post/id/291241 封面来源于网络，如有侵权请联系删除

据观察，与 Kinsing 有关的威胁行为者试图利用最近披露的名为 Looney Tunables 的 Linux 权限升级漏洞，入侵云环境。 云安全公司 Aqua 在一份报告中称：攻击者还通过从云服务提供商（CSP）提取凭证来扩大其云原生攻击的范围。 这一事件标志着首次公开记录的主动利用Looney Tunables（CVE-2023-4911）的实例，它可以让威胁行为者获得根权限。 Kinsing Actor 一直在伺机调整其攻击链，利用新披露的安全漏洞为自己谋利，最近一次是利用 Openfire 中的一个高严重性漏洞（CVE-2023-32315）来实现远程代码执行。 最新的一组攻击需要利用 PHPUnit（CVE-2017-9841）中的一个关键远程代码执行漏洞，据了解，该加密劫持组织至少从 2021 年开始就采用这种策略来获取初始访问权限。 Linux 漏洞 随后，一名在 X（以前的 Twitter）上化名为 bl4sty 的研究人员发布了一个基于 Python 的漏洞利用程序，利用该漏洞手动探测受害者环境中的 Looney Tunables。 随后，Kinsing 会获取并执行一个额外的 PHP 漏洞。Aqua 表示：起初，该漏洞利用程序是模糊的。然而，在去混淆后，我们可以看到这是为进一步利用活动而设计的 JavaScript。 JavaScript代码本身是一个网络外壳，可对服务器进行后门访问，使其能够执行文件管理、命令执行，并收集更多有关其运行机器的信息。 攻击的最终目的似乎是提取与云服务提供商相关的凭证，以便采取后续行动，这与威胁行为者部署 Kinsing 恶意软件和启动加密货币矿机的模式相比，是一个重大的战术转变。 安全研究员阿萨夫-莫拉格（Assaf Morag）说：这标志着 Kinsing 首次主动寻求收集此类信息。 这一最新进展表明，他们的行动范围有可能扩大，预示着Kinsing的行动在不久的将来可能会多样化，从而对云原生环境构成更大的威胁。   转自Freebuf，原文链接：https://www.freebuf.com/news/382887.html 封面来源于网络，如有侵权请联系删除

超过三千个暴露在互联网上的 Apache ActiveMQ 服务器容易受到最近披露的关键远程代码执行 (RCE) 漏洞的影响。 Apache ActiveMQ 是一个可扩展的开源消息代理，可促进客户端和服务器之间的通信，支持 Java 和各种跨语言客户端以及许多协议，包括 AMQP、MQTT、OpenWire 和 STOMP。 由于该项目支持多种安全身份验证和授权机制，因此它广泛应用于系统无需直接连接即可进行通信的企业环境中。 所涉及的缺陷是 CVE-2023-46604，这是一个严重严重性（CVSS v3 评分：10.0）RCE，允许攻击者通过利用 OpenWire 协议中的序列化类类型来执行任意 shell 命令。 根据 Apache  2023 年 10 月 27 日披露的信息，该问题影响以下 Apache Active MQ 和 Legacy OpenWire Module 版本： 5.18.3 之前的 5.18.x 版本 5.17.6 之前的 5.17.x 版本 5.16.7 之前的 5.16.x 版本 5.15.16 之前的所有版本 修复程序已在同一天发布版本 5.15.16、  5.16.7、  5.17.6和 5.18.3，这是建议的升级目标。 数千台服务器未打补丁 威胁监控服务 ShadowServer的研究人员 发现 7,249 台服务器可通过 ActiveMQ 服务访问。 其中，3,329 台服务器被发现运行易受 CVE-2023-4660 影响的 ActiveMQ 版本，所有这些服务器都容易受到远程代码执行的影响。 大多数易受攻击的实例（1,400 个）位于中国。美国以 530 台位居第二，德国以 153 台位居第三，印度、荷兰、俄罗斯、法国和韩国各有 100 台暴露服务器。 截至 10 月 30 日，存在漏洞的 ActiveMQ 服务器 (ShadowServer) 鉴于 Apache ActiveMQ 在企业环境中充当消息代理的角色，利用 CVE-2023-46604 可能会导致消息拦截、工作流程中断、数据盗窃，甚至网络中的横向移动。 由于利用 CVE-2023-46604 的技术细节已公开，因此应用安全更新应被视为时间敏感的。   转自安全客，原文链接：https://www.anquanke.com/post/id/291176 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站披露，黑客正在利用 “Citrix Bleed “漏洞（被追踪为 CVE-2023-4966）攻击美洲、欧洲、非洲和亚太地区的政府机构、技术和法律组织。 Mandiant 研究人员表示，自 2023 年 8 月下旬以来，有四项网络攻击活动持续针对易受攻击的 Citrix NetScaler ADC 和 Gateway 设备。 Citrix Bleed 漏洞 2023 年 10 月 10 日，安全研究人员发现并披露 Citrix Bleed CVE-2023-4966 漏洞。该漏洞主要影响 Citrix NetScaler ADC 和 NetScaler Gateway，允许未经授权的网络攻击者访问设备上的敏感信息。漏洞修复程序发布一周后，Mandiant 又透露该漏洞自 8 月下旬以来一直处于零日攻击状态，威胁攻击者利用该漏洞劫持现有的已验证会话，绕过多因素保护。 据悉，威胁攻击者使用特制的 HTTP GET 请求，迫使目标设备返回身份验证后和 MFA 检查后发布的有效 Netscaler AAA 会话 cookie 等系统内存内容，在窃取这些验证 cookie 后，网络攻击者可以无需再次执行 MFA 验证，便可访问设备。 发现上述问题后，Citrix 再次向管理员发出了警示，敦促采取有效手段，以保护自己的系统免遭网络攻击。 10 月 25 日，AssetNote 研究人员发布了一个概念验证（PoC）漏洞，演示了如何通过会话令牌盗窃劫持 NetScaler 帐户。 攻击活动持续进行中 Mandiant 强调由于设备上缺乏日志记录，需要网络应用程序防火墙 (WAF) 和其它网络流量监控设备记录流量并确定设备是否被利用，除非企业网络在攻击前使用上述监控设备，否则就无法进行任何历史分析，研究人员只能进行实时观察，这就给调查 CVE-2023-3966 的利用情况带来了更多的挑战。 更糟糕的是，即使受害目标发现自身遭遇了攻击，网络攻击者仍能保持隐蔽性，使用 net.exe 和 netscan.exe 等常用管理工具作掩护，与日常操作融为一体。Mandiant  的研究人员主要通过以下途径识别利用企图和会话劫持： WAF 请求分析：WAF 工具可记录对脆弱端点的请求； 登录模式监控：客户端和源 IP 地址不匹配以及 ns.log 文件中写入的来自同一 IP 地址的多个会话是潜在的未经授权访问的迹象。 IP 不匹配示例（Mandiant） Windows 注册表相关性： 将 Citrix VDA 系统上的 Windows 注册表项与 ns.log 数据关联起来，可以追踪网络攻击者的来源。 内存转储检查：可对 NSPPE 进程内存核心转储文件进行分析，以发现包含重复字符的异常长字符串，这些字符串可能表明有人试图进行攻击。 利用请求的响应示例（Mandiant） 攻击目标 一旦威胁攻击者成功利用 CVE-2023-4966 漏洞，便可进行网络侦察，窃取账户凭据，并通过 RDP 进行横向移动，此阶段使用的工具如下： net.exe – 活动目录 (AD) 侦查 netscan.exe – 内部网络枚举 7-zip – 创建用于压缩侦察数据的加密分段归档文件 certutil – 对数据文件进行编码（base64）和解码，并部署后门程序 e.exe和d.dll–加载到 LSASS 进程内存并创建内存转储文件 sh3.exe – 运行 Mimikatz LSADUMP 命令以提取凭证 FREEFIRE – 新型轻量级 .NET 后门，使用 Slack 进行命令和控制 Atera – 远程监控和管理 AnyDesk – 远程桌面 SplashTop – 远程桌面 值得注意的是，尽管上述许多工具在企业环境中非常常见，但它们组合部署，可能就是内部正在遭受网络攻击的标志，像 FREEFIRE 工具更能表明内部存在漏洞。   转自Freebuf，原文链接：https://www.freebuf.com/news/382563.html 封面来源于网络，如有侵权请联系删除

近日，事故响应与安全团队论坛（FIRST）正式发布了通用漏洞评分系统标准CVSS v4.0，这个全新版本距离上一版 CVSS v3.0 已经过去了八年。 CVSS 是评估软件安全漏洞严重性的标准化框架，可根据可利用性、可依据保密性、完整性、可用性和所需权限的影响等因素进行评分，或以低、中、高和关键几种等级定性，最终分数越高则表示漏洞越严重。 这种评估方法可能够通过漏洞的影响来比较不同系统和软件的风险，有助于人们优先应对安全威胁。 FIRST 方面表示：这一版修订后的评估标准为消费者提供了更加精细的基础指标，消除了之前模糊的下游评分，简化了威胁指标，并提高了评估特定环境安全要求和补偿控制的有效性。此外，新版标准还增加了几个用于漏洞评估的补充指标，包括自动（可蠕虫）、漏洞响应力度和紧迫性等。 今年 6 月，FIRST 在加拿大蒙特利尔举行的第 35 届年会上正式发布了 CVSS 4.0 版本，并称其为 “网络领域的游戏规则改变者”，此版本距离 2005 年 2 月发布的 CVSS 第一版本已经过去了 18 年。 FIRST 首席执行官 Chris Gibson 表示：目前全球漏洞威胁数量显著增加， CVSS4.0 版本的发布恰逢其时。在过去的 18 年中，CVSS 系统发展的很快，几乎每一个版本都赋予了人们更强的抵御网络犯罪的能力。我们对于 CVSS-SIG 开发 4.0 版本所付出的努力感到无比自豪。 作为一个会员制的组织，Chris Gibson认为其主要目标就是增强会员的能力，以及保护全球人民免受网络攻击。 去年，FIRST 还发布了 TLP 2.0，这是计算机安全事件响应小组（CSIRT）社区在共享敏感信息时使用的最新版交通灯协议（TLP）标准。   转自Freebuf，原文链接：https://www.freebuf.com/news/382555.html 封面来源于网络，如有侵权请联系删除