HackerNews 编译，转载请注明出处： 据观察，不明攻击者正针对暴露公网的Microsoft Exchange服务器发起定向攻击，通过向登录页面注入恶意代码窃取用户凭证。网络安全供应商Positive Technologies在最新分析报告中表示，他们在Outlook登录页面上发现了两种用JavaScript编写的键盘记录器代码变体： • 本地存储型：将窃取的凭证写入服务器上可通过互联网访问的本地文件 • 实时外传型：将收集的数据立即发送至外部服务器 该俄罗斯网络安全公司证实，此次攻击已针对全球26个国家的65个机构，这是2024年5月首次记录的针对非洲和中东实体攻击活动的延续。此前该公司发现至少30名机构受害者，涵盖政府机构、银行、IT公司和教育机构，首次入侵证据可追溯至2021年。 攻击链利用Microsoft Exchange Server中的已知漏洞（例如ProxyShell）向登录页面插入键盘记录代码。目前这些攻击的幕后黑手尚未明确。已被武器化的漏洞包括： • CVE-2014-4078：IIS安全功能绕过漏洞 • CVE-2020-0796：Windows SMBv3客户端/服务器远程代码执行漏洞 • CVE-2021-26855、CVE-2021-26857、CVE-2021-26858、CVE-2021-27065：Microsoft Exchange Server远程代码执行漏洞（ProxyLogon） • CVE-2021-31206：Microsoft Exchange Server远程代码执行漏洞 • CVE-2021-31207、CVE-2021-34473、CVE-2021-34523：Microsoft Exchange Server安全功能绕过漏洞（ProxyShell） 安全研究人员Klimentiy Galkin和Maxim Suslov指出：恶意JavaScript代码读取并处理身份验证表单的数据，通过XHR请求将其发送至受感染Exchange Server上的特定页面。目标页面的源代码包含处理函数，该函数读取传入请求并将数据写入服务器文件。 包含被盗数据的文件可通过外部网络访问。部分本地键盘记录器变种还会收集用户Cookie、User-Agent字符串及时间戳。这种方法的核心优势在于：由于无需建立外联流量传输数据，检测概率趋近于零。 Positive Technologies发现的第二种变体则通过XHR GET请求，将编码后的登录名和密码分别存储在APIKey与AuthToken标头中，利用Telegram机器人作为渗透点；另一种方法结合域名系统（DNS）隧道与HTTPS POST请求发送用户凭证，突破组织防御体系。 受感染的服务器中有22台位于政府机构，其次是IT、工业和物流公司。越南、俄罗斯、中国大陆、中国台湾、巴基斯坦、黎巴嫩、澳大利亚、赞比亚、荷兰和土耳其位列前十大目标。 研究人员强调：大量可通过互联网访问的Exchange服务器仍易受旧漏洞攻击。通过将恶意代码嵌入合法认证页面，攻击者得以长期潜伏，同时直接获取明文凭证。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 趋势科技(Trend Micro)已发布安全更新，修复其Apex Central和端点加密策略服务器(TMEE PolicyServer)产品中的多个高危远程代码执行（RCE）及认证绕过漏洞。该安全厂商强调，目前未发现任何漏洞在野利用证据，但仍建议立即应用更新以规避风险。 一、受影响产品及漏洞详情 1. 端点加密策略服务器(TMEE PolicyServer) 该产品为企业级加密管理平台，为受监管行业提供全磁盘加密及移动介质加密服务。此次修复的关键漏洞包括： CVE-2025-49212 认证前RCE漏洞，因PolicyValueTableSerializationBinder类的不安全反序列化引发。攻击者无需登录即可以SYSTEM权限执行任意代码。 CVE-2025-49213 认证前RCE漏洞，源于PolicyServerWindowsService类对不可信数据的反序列化。攻击者无需认证即可获得SYSTEM权限。 CVE-2025-49216 认证绕过漏洞，因DbAppDomain服务的身份验证机制缺陷所致。攻击者可完全绕过登录流程执行管理员级操作。 CVE-2025-49217 认证前RCE漏洞（ZDI评估为高危），由ValidateToken方法的不安全反序列化触发，攻击者仍可以SYSTEM权限运行代码。 此次更新还修复了4个高危漏洞（含SQL注入及权限提升问题）。所有漏洞影响6.0.0.4013之前所有版本，且无临时缓解措施。 2. 集中安全管理平台(Apex Central) 该产品用于统一监控和管理企业内多款趋势科技产品。修复的2个关键RCE漏洞为： CVE-2025-49219 认证前RCE漏洞（CVSS 9.8），因GetReportDetailView方法的不安全反序列化，攻击者无需认证即可在NETWORK SERVICE权限下执行代码。 CVE-2025-49220 认证前RCE漏洞（CVSS 9.8），由ConvertFromJson方法反序列化时的输入验证缺陷导致，攻击者可远程执行任意代码。 二、修复方案 TMEE PolicyServer：升级至版本6.0.0.4013（Patch 1 Update 6） Apex Central 2019（本地版）：应用补丁B7007 Apex Central（云服务版）：漏洞修复已自动完成 三、背景关联 此次漏洞集中于反序列化机制缺陷，与此前趋势科技产品漏洞（如2023年Apex Central的SQL注入漏洞CVE-2023-32529）存在相似攻击面。企业需警惕此类漏洞在供应链攻击中的串联风险。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现Salesforce行业云（Salesforce Industries）存在20多项配置相关风险，可能导致敏感数据被未授权的内外部人员获取。这些缺陷影响FlexCards、数据映射器、集成程序（IProcs）、数据包、OmniOut及OmniScript会话存储等多个组件。 “Salesforce行业云等低代码平台虽简化了应用构建流程，但若忽视安全则可能付出代价。”AppOmni SaaS安全研究主管Aaron Costello向The Hacker News表示。这些配置疏漏若未修复，将允许攻击者访问加密的员工与客户机密数据、用户交互会话记录、Salesforce及其他系统的凭证，以及核心业务逻辑。 经负责任披露后，Salesforce已修复其中3项缺陷，并为另外2项发布配置指南，其余16项需客户自行修复。已分配CVE编号的漏洞包括： CVE-2025-43697（CVSS评分：暂无）：若未启用“Extract”和“Turbo Extract数据映射器”的字段级安全检查，将绕过“查看加密数据”权限验证，导致加密字段明文泄露 CVE-2025-43698（CVSS评分：暂无）：SOQL数据源获取数据时绕过所有字段级安全控制 CVE-2025-43699（CVSS评分5.3）：FlexCard未强制执行OmniUlCard对象的“必需权限”字段 CVE-2025-43700（CVSS评分7.5）：FlexCard未验证“查看加密数据”权限，返回经典加密字段的明文值 CVE-2025-43701（CVSS评分7.5）：FlexCard允许访客用户访问自定义设置值 攻击者可利用这些漏洞绕过安全控制窃取关键信息。AppOmni指出，CVE-2025-43967和CVE-2025-43698已通过新增的“EnforceDMFLSAndDataEncryption”安全设置修复，客户启用后能确保仅具权限用户可查看数据映射器返回的明文。 “对于需遵守HIPAA、GDPR等合规要求的企业，这些漏洞构成实质性监管风险，”该公司警告，“由于安全配置责任在客户方，单点配置失误可能导致数千条记录泄露，且供应商不承担责任。” Salesforce发言人回应称多数问题“源于客户配置问题”，非应用固有漏洞。“所有问题均已解决，补丁已推送客户，官方文档同步更新。目前未发现相关漏洞在客户环境中的利用证据。” 与此同时，安全研究员Tobia Righi（代号MasterSplinter）披露了未分配CVE编号的SOQL注入漏洞。该零日漏洞存在于所有Salesforce部署的默认Aura控制器中，攻击者通过操控“contentDocumentId”参数注入恶意SOQL语句，可窃取敏感用户数据。结合公开的ID暴力破解脚本（利用Salesforce ID可预测性），攻击者还能获取非公开文档信息。 Salesforce确认：“收到报告后已及时修复该漏洞，未观察到利用迹象。我们感谢Tobia的负责任披露，并持续鼓励通过官方渠道报告安全问题。”       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员发现大量存在漏洞的光伏逆变器暴露在互联网上。近35,000台太阳能发电设备的管理界面可直接访问，攻击者可利用一系列已知漏洞实施攻击。对设备所有者而言，在线查看光伏板发电数据虽然便利，却带来巨大风险——黑客同样能访问这些设备。 网络安全公司Forescout旗下Vedere Labs实验室披露，35,000台暴露设备涵盖42个品牌的逆变器、数据记录仪、网关等设备。攻击者通过Shodan搜索引擎可轻易发现这些设备。研究人员不仅新发现46个漏洞，还确认93个已知漏洞的存在，暴露设备可能面临更多未知风险。 研究人员警告，攻击者可能利用漏洞造成大范围停电，类似今年早些时候西班牙电网瘫痪事件。“随着这些系统逐渐成为全球电网的关键组件，其对电网稳定性的威胁与日俱增”，报告指出。暴露设备最多的品牌包括：德国SMA（12,434台）、奥地利Fronius（4,409台）、德国Solare Datensysteme（3,832台）、日本Contec（2,738台）和中国阳光电源（2,132台）。值得注意的是，这与市场份额排名并不一致，华为、锦浪科技等头部厂商未出现在暴露名单中。 暴露设备中SMA Sunny Webbox占比最高，该设备自2014年12月起就存在硬编码漏洞。地域分布显示：76%位于欧洲（德国与希腊各占全球总量的20%），17%在亚洲，5%在美洲。研究人员解释：“设备暴露通常源于用户配置端口映射，这种行为已被厂商明确反对”。监测还发现，威胁组织频繁攻击暴露设备，至少43个IP地址近期针对SolarView Compact设备发起攻击，这些设备运行着27种不同固件版本，且无一更新至最新版本。 Forescout警告：“数千台暴露设备往往未打补丁，极易被攻击者劫持”。建议用户及时更新固件并关闭管理界面的互联网直连权限。路透社此前报道称，部分中国制造的太阳能设备存在“不明通信模块”，进一步增加了安全风险。       消息来源：  cybernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文  

HackerNews 编译，转载请注明出处： 网络安全研究人员发现多款热门谷歌Chrome扩展存在严重安全隐患：通过HTTP明文传输数据并在代码中硬编码密钥，导致用户隐私与安全面临风险。赛门铁克安全技术响应团队研究员指出：“数款广泛使用的扩展通过未加密的HTTP协议传输敏感数据，以明文形式暴露浏览域名、设备ID、操作系统信息、使用分析数据乃至卸载记录。” 这种未加密的网络流量使其极易遭受中间人攻击（AitM）。恶意攻击者可在公共Wi-Fi等开放网络中拦截甚至篡改数据，引发更严重后果。以下为存在风险的扩展清单： HTTP传输漏洞扩展 SEMRush Rank（ID: idbhoeaiokcojcgappfigpifhpkjgmab）与PI Rank（ID: ccgdboldgdlngcgfdolahmiilojmfndl）：通过HTTP调用“rank.trellian[.]com” Browsec VPN（ID: omghfjlpggmjjaagoclmmobgdodcjboh）：卸载时通过HTTP访问卸载链接 MSN新标签页（ID: lklfbkdigihjaaeamncibechhgalldgl）与MSN主页、必应搜索与新闻（ID: midiombanaceofjhodpdibeppmnamfcj）：通过HTTP向“g.ceipmsn[.]com”发送设备唯一标识符 DualSafe密码管理器与数字保险库（ID: lgbjhdkjmpgjgcbcdlhkokkckpjmedgc）：向“stats.itopupdate[.]com”发送含扩展版本、浏览器语言等信息的HTTP请求 研究人员特别指出：“密码管理器使用未加密请求传输遥测数据，严重削弱用户对其安全性的信任。” 硬编码密钥风险扩展 Online Security & Privacy（ID: gomekmidlodglbbmalcneegieacbdmki）、AVG Online Security（ID: nbmoafcmbajniiapeidgficgifbfmjfo）等：暴露Google Analytics 4密钥，攻击者可伪造数据推高分析成本 Equatio数学工具（ID: hjngolefdpdnooamgdldlkjgmdcmcjnc）：嵌入Azure语音识别API密钥，可能导致开发者服务费用激增 Awesome截屏工具（ID: nlipoenfbbikpbjkfpfillcgkoblgpmj）等：泄露AWS S3访问密钥，攻击者可非法上传文件 Microsoft Editor编辑器（ID: gpaiobkfhnonedkhhfjpmhdalgeoebfa）：暴露遥测密钥“StatsApiKey” Antidote Connector（ID: lmbopdiikkamfphhgcckcjhojnokgfeo）：第三方库InboxSDK含硬编码API密钥（影响超90款扩展） Trust Wallet钱包（ID: egjidjbpglichdcondbcbdnbeeppgdph）：泄露法币通道API密钥，可伪造加密货币交易 攻击者利用这些密钥可能造成API服务费用暴涨、托管非法内容、伪造遥测数据等后果，甚至导致开发者账户被封禁。 研究人员强调：“从GA4密钥到Azure语音密钥，这些案例证明几行代码足以危及整个服务。核心解决方案是永远不要在客户端存储敏感凭证。”开发者应采取三项关键措施： 全面启用HTTPS数据传输 通过凭证管理服务在后端服务器安全存储密钥 定期轮换密钥以降低风险 赛门铁克警告用户：“此类风险绝非理论假设——未加密流量极易被截获，数据可能用于用户画像分析、钓鱼攻击等定向攻击。建议立即卸载存在不安全调用的扩展程序，直至开发者完成修复。”该事件揭示关键教训：安装量或品牌知名度无法等同于安全实践水平，用户需严格审查扩展程序的协议类型与数据共享行为。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 预装应用曝高危漏洞！Ulefone与Krüger&Matz安卓设备存在三项安全缺陷，可致任意应用触发恢复出厂设置及加密应用。漏洞详情如下： CVE-2024-13915（CVSS评分6.9） Ulefone与Krüger&Matz设备预装的“com.pri.factorytest”应用暴露“com.pri.factorytest.emmc.FactoryResetService”服务，允许任意已安装应用执行设备恢复出厂设置。 CVE-2024-13916（CVSS评分6.9） Krüger&Matz设备预装的“com.pri.applock”应用存在缺陷，其内容提供器的“query()”方法（路径：com.android.providers.settings.fingerprint.PriFpShareProvider）允许恶意应用窃取用户设置的PIN码——该PIN码本用于通过生物识别或手动输入加密任意应用。 CVE-2024-13917（CVSS评分8.3） 同款应用暴露的“com.pri.applock.LockUI”活动界面，使恶意应用无需系统权限即可向受保护应用注入具备系统级权限的任意意图。 虽然利用CVE-2024-13917需知晓PIN码，但结合CVE-2024-13916的PIN窃取能力可形成完整攻击链。波兰计算机应急响应中心（CERT Polska）披露漏洞并致谢研究员Szymon Chadam，目前厂商修复状态尚不明确。The Hacker News已联系涉事企业，将及时更新进展。       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员近期发现GitLab的AI编程助手Duo存在间接提示注入漏洞，攻击者可借此窃取私有源代码并在AI响应中注入恶意HTML代码，进而诱导用户访问钓鱼网站。该漏洞由软件供应链安全公司Legit Security披露，主要影响基于Anthropic公司Claude模型构建的代码编写与审查工具GitLab Duo Chat。 技术细节显示，攻击者只需在合并请求描述、提交信息、问题讨论或源代码注释中植入隐藏指令，即可操控AI助手的行为。通过Base16编码、Unicode字符走私，以及利用KaTeX数学公式引擎将白色文字提示嵌入文档等技术，攻击者能绕过常规检测。漏洞根源在于GitLab未对这些输入内容实施有效清洗，导致AI系统在处理时会全盘解析页面上下文信息。 研究人员成功演示了多种攻击场景：在代码变更建议中注入恶意JavaScript包；伪造安全链接诱导用户提交凭证；利用Markdown流式渲染机制执行窃取私有代码的HTML标签。更严重的是，攻击者可通过特定提示使AI助手自动外泄包含零日漏洞细节的敏感源代码至远程服务器。Legit Security研究员Omer Mayraz指出：“当AI助手深度整合至开发流程时，它们不仅继承了上下文环境，更继承了潜在风险。” GitLab已于2025年2月12日修复了涉及HTML注入的关键问题，但其他不涉及代码执行的提示注入场景尚未修补。公司认为后者不会直接导致未授权访问，因此未被列为安全隐患。此次漏洞披露恰逢多项AI安全研究发布：微软SharePoint Copilot被曝可突破“限制视图”权限获取敏感文件；去中心化AI框架ElizaOS存在指令注入风险，可能引发连锁性资产转移事故。 研究还揭示了当前大语言模型的共性缺陷：除提示注入外，强制模型精简回答会加剧事实性错误。AI测试公司Giskard发现，当要求模型缩短响应时，其倾向于编造不准确信息而非承认知识盲区。趋势科技最新报告警示，提示泄露（PLeak）攻击可能暴露企业内部的过滤规则、权限配置等机密数据，为后续针对性攻击铺路。这些发现共同指向AI系统深度集成业务场景时面临的新型攻防挑战。       消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国国家标准与技术研究院（NIST）推出全新漏洞评估指标“可能被利用漏洞（LEV）”，旨在帮助组织量化漏洞遭实际利用的可能性。这项发布于5月19日的技术白皮书显示，LEV模型基于2018年由事件响应与安全团队论坛（FIRST）提出的漏洞利用预测评分系统（EPSS）进行优化，旨在提升企业漏洞优先级排序效率。 EPSS系统通过机器学习模型预测特定漏洞在30天内遭利用的概率，其最新版本EPSS v4于2025年3月发布。LEV指标在此基础上增加多维数据维度，每日为漏洞管理人员提供包含历史利用概率峰值、各30天窗口期EPSS评分等参数的详细分析报告。具体输出数据包括： CVE编号、发布日期及描述 LEV概率值（即历史观测到的利用可能性） 30天窗口期内EPSS评分峰值及出现日期 各窗口期具体评分与对应日期 受影响产品的通用平台枚举（CPE）信息 白皮书提出两种LEV计算模型：标准版采用30天窗口期EPSS原始数据，优化版则将EPSS评分除以30生成单日预测值，后者需更高算力支持但能反映评分动态变化。NIST建议将LEV与CISA已知被利用漏洞（KEV）目录、第三方企业及开源社区的同类数据库结合使用，形成多维度评估体系。研究团队特别指出，现有KEV清单存在覆盖不全的问题，而EPSS模型在设计上无法准确反映历史漏洞的利用情况。 不过NIST也坦承LEV存在误差范围未知的局限性，这主要源于EPSS系统未将历史利用数据纳入评分机制。此外，若某漏洞在30天内遭利用，其后续评分不会因此上调。尽管存在缺陷，NIST期望通过LEV的实践应用，推动漏洞评估体系的持续优化，为网络安全防御提供更精准的决策依据。       消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 研究人员发现Windows Server 2025存在权限提升漏洞，攻击者可借此攻陷Active Directory（AD）中的任意用户。Akamai安全研究员Yuval Gordon在报告中指出：“该攻击利用Windows Server 2025新增的委托托管服务账户（dMSA）功能，在默认配置下即可实施且实现难度极低。我们检测的环境中有91%存在具备攻击条件的非域管理员用户。” 这项被命名为BadSuccessor的攻击技术主要针对微软为防御Kerberoasting攻击引入的dMSA功能。根据微软文档，dMSA允许创建独立账户或替代现有标准服务账户。当替代发生时，原账户密码认证会被阻断，请求将重定向至本地安全机构（LSA）使用dMSA认证，后者自动继承原账户在AD中的所有访问权限。 Akamai发现的关键问题在于：dMSA的Kerberos认证阶段，密钥分发中心（KDC）签发的票据授予凭证（TGT）中嵌入的特权属性证书（PAC）会同时包含dMSA自身的安全标识符（SID）、被替代服务账户及其关联组的SID。攻击者通过模拟dMSA迁移流程，可让KDC误判合法权限继承，进而获取目标用户的完整权限——即使企业未实际部署dMSA功能。 Gordon解释：“攻击过程无需对被替代账户拥有任何权限，仅需对任意dMSA对象具备属性写入权限。我们将dMSA标记为某用户的前任账户后，KDC就会自动授予该dMSA与原用户完全相同的权限。” Akamai已于2025年4月1日向微软提交漏洞细节，微软将其评估为中等严重性，认为成功利用需攻击者已具备对dMSA对象的特定权限，故暂不发布紧急补丁。目前该公司正在开发修复程序。 鉴于漏洞暂无官方修复方案，建议企业采取以下措施： 限制创建dMSA账户的权限，特别是检查各组织单元（OU）的非默认主体权限。 部署Akamai提供的PowerShell脚本检测具备CreateChild权限的账户。 加强AD对象属性修改行为的日志监控，重点关注事件ID 5136等关键日志项。 该漏洞的特殊性在于：即使攻击者仅拥有普通用户常见的CreateChild权限，也可通过操纵dMSA属性接管域内任意账户，其危害程度等同于具备DCSync攻击所需的目录复制权限。微软文档显示，dMSA功能设计初衷是帮助企业安全迁移遗留服务账户，但此次研究表明新安全功能本身可能成为攻击突破口。       消息来源： thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 安全研究人员发现并调查了谷歌云平台（GCP）Cloud Functions与Cloud Build服务中潜在的权限升级漏洞。该漏洞最初由Tenable研究团队披露，攻击者可利用GCP云函数的部署流程获取高权限。谷歌随后发布补丁，限制默认Cloud Build服务账户的过度权限。 思科Talos团队在Tenable研究基础上，复现攻击手法并测试其对多云平台的影响。研究人员在GCP部署含恶意package.json文件的Debian服务器（集成NPM与Ngrok），通过提取令牌模拟攻击，确认谷歌补丁已修复原始提权路径。但实验表明，即使无特权访问，相同技术仍可用于环境探测（如系统映射）。将篡改后的package.json部署至AWS Lambda与Azure Functions后，验证该策略在跨云场景中的普适性。 研究揭示攻击者可利用的多种系统信息收集手段： 基于ICMP协议的网络拓扑发现 检测.dockerenv文件确认容器化环境 分析CPU调度机制识别初始化系统 容器ID与挂载点检查（用于逃逸路径探测） 操作系统与内核版本信息提取 用户权限扫描（辅助提权） 网络流量分析（漏洞评估） 此类技术无需特权凭证即可实施，在服务账户权限受控场景下仍具威胁。 谷歌根据Tenable报告调整Cloud Build运行逻辑，新增细粒度服务账户管控策略。Talos证实，GCP中利用此方法窃取服务账户令牌已不可行。企业防护措施应包括： 对所有服务账户实施最小权限原则 定期审计与监控权限配置 设置云函数异常修改告警 检查外发流量是否存在数据窃取迹象 验证外部NPM包的完整性 尽管原始漏洞已修补，该研究仍凸显宽松配置带来的持续性风险及多云环境持续监控的重要性。       消息来源：infosecurity-magazine； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文