安全研究员Johann Rehberger近期报告了一个ChatGPT漏洞。该漏洞允许攻击者在用户的长期记忆设置中存储虚假信息和恶意指令。OpenAI迅速关闭了问题报告，称其为安全（Safety）问题，而非技术意义上的安全（Security）漏洞。 面对这一情况，Rehberger做了所有优秀研究员都会做的事情：他利用该漏洞创建了一个概念验证（PoC）攻击，能够永久提取用户的所有输入。OpenAI的工程师注意到这一点，并于本月早些时候对该问题进行了部分修复。 回顾漏洞产生的过程 此次漏洞利用了ChatGPT的长期对话记忆功能。OpenAI从今年2月开始测试这一功能，并于9月广泛推广。ChatGPT的记忆功能可以存储此前对话中的信息，并在后续的对话中继续使用这些信息作为上下文。因此，模型能够记住用户的年龄、性别、信仰等各种细节，免去用户每次对话时重新输入这些信息的麻烦。 然而，在该功能推出后的三个月内，Rehberger发现，记忆可以通过间接提示注入进行恶意植入并永久存储。这是一种AI系统的漏洞，会导致大模型执行来自不受信任内容（如电子邮件、博客文章或文档）的指令。 Rehberger演示了如何欺骗ChatGPT，使其相信某位目标用户已经102岁，居住在《黑客帝国》世界中，并坚信地球是平的。模型会将这些虚假信息纳入所有未来的对话中。 这类虚假记忆的植入方式很简单，可以通过在Google Drive或Microsoft OneDrive存储文件、上传图片，或浏览如Bing之类的站点来实现，而这些都可能是由恶意攻击者创建的。 Rehberger于5月将这一发现私下报告给了OpenAI。同月，OpenAI关闭了报告工单。然而，一个月后，Rehberger提交了一份新的披露声明，这次他创建了一个概念验证（PoC），该概念验证使macOS版ChatGPT应用将所有用户输入和ChatGPT的输出逐字发送到他指定的服务器。目标用户只需指示模型访问一个包含恶意图片的网页链接，从那时起，所有的输入和输出数据便会自动传送至攻击者控制的网站。 在演示视频中，Rehberger指出：“真正有趣的是，记忆现在具有了持久性。提示注入已经将一个记忆植入了ChatGPT的长期存储中。即使开始新的对话，模型实际上仍在提取这些数据。” 需要注意的是，通过ChatGPT的网页界面无法实现此类攻击，这要归功于OpenAI去年推出的API限制。 尽管OpenAI已经引入了修复措施，防止记忆功能被滥用为数据提取的工具，但Rehberger指出，不受信任的内容依然可以通过提示注入，导致恶意攻击者植入的长期信息被存储在记忆工具中。 为防止类似攻击，大模型用户应在对话过程中密切关注输出，检查是否有新的记忆被意外添加。他们还应定期审查已存储的记忆，以防有不受信任的内容被植入。OpenAI提供了相关管理记忆工具和存储记忆的详细指南。然而，该公司代表未回应关于其在防止其他虚假记忆攻击方面所作努力的邮件询问。     转自安全内参，原文链接：https://www.secrss.com/articles/70682 封面来源于网络，如有侵权请联系删除

美国最高网络监管机构CISA敦促联邦机构移除或升级一款不再更新且已被用于攻击的 Ivanti 设备。 该科技公司周五更新了一份公告，警告称，由于 CVE-2024-8190 的利用，“有限数量的客户”遭到入侵。 该漏洞于周二公布，影响了 Ivanti 的云服务设备 (CSA) – 一种通过互联网提供安全通信并作为托管设备和中央控制台连接的中心点的工具。 网络安全和基础设施安全局 (CISA)也在周五证实了这一漏洞的存在，利用该漏洞，黑客可以“访问运行 CSA 的设备”。 该咨询指出，CSA 4.6 已终止使用并且“不再接收针对操作系统或第三方库的补丁”。 “此外，随着生命周期结束，这是 Ivanti 将为该版本反向移植的最后一个修复。客户必须升级到 Ivanti CSA 5.0 才能继续获得支持。”他们说。“CSA 5.0 是唯一受支持的版本，不包含此漏洞。已经运行 Ivanti CSA 5.0 的客户无需采取任何其他措施。” CISA命令所有联邦民事机构在 10 月 4 日之前停止使用 CSA 4.6 或升级到 5.0。 Ivanti 表示，用户可以通过查看是否有修改或新增的管理用户来判断自己是否受到该漏洞的影响。他们还敦促客户检查安全警报，看是否涉及某些安全工具。 这个问题出现的前一天，Ivanti 的另一个漏洞引起了防御者的警惕。今年 4 月，美国和欧洲政府机构的系统遭到一系列引人注目的国家攻击，这些攻击利用 Ivanti 产品中的漏洞，攻破了这些政府机构的系统。此后，该公司承诺进行安全整改。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/hkZSlnEcUiBloKEieu8PLg 封面来源于网络，如有侵权请联系删除

据Cyber Security News消息，VMware 披露了两个影响其 vCenter Server 和 Cloud Foundation 产品的关键安全漏洞，这些漏洞可能允许攻击者执行远程代码并提升权限。该公司敦促客户立即修补受影响的系统。 其中一个漏洞被追踪为 CVE-2024-38812，是在 vCenter Server 中实施 DCERPC 协议时存在的堆溢出漏洞，CVSS 评分高达 9.8。根据 VMware 的公告，具有网络访问权限的攻击者对易受攻击的 vCenter Server可以通过发送特制网络数据包来触发此漏洞，从而导致远程代码执行。 另一个漏洞被追踪为CVE-2024-38813，属 vCenter Server 中的权限提升缺陷，CVSS 评分7.5，可能允许攻击者通过发送恶意网络数据包将权限升级到 root。 这两个漏洞都会影响 VMware vCenter Server 7.0 和 8.0 版本，以及 VMware Cloud Foundation 4.x 和 5.x 版本。 VMware 已发布修补程序来解决这些缺陷，并强烈建议客户尽快应用这些更新。对于 vCenter Server，用户应尽快升级到8.0 U3b 或 7.0 U3s 版本，Cloud Foundation 客户应应用 KB88287 中引用的异步修补程序。 该公司表示，到目前为止还没有发现任何对这些漏洞的野外利用。但是，鉴于 vCenter Server 在管理虚拟化环境方面的关键性质，这些缺陷可能成为攻击者的诱人目标。 据悉，这两个漏洞由参加中国2024“矩阵杯”网络安全大赛的TZL研究人员发现，并在事后向 VMware 进行了报告。 今年6月，VMware 曾修复了一个类似的 vCenter Server 远程代码执行漏洞 （CVE-2024-37079），该漏洞可通过特制数据包进行攻击。   转自Freebuf，原文链接：https://www.freebuf.com/news/411162.html 封面来源于网络，如有侵权请联系删除

近日，苹果公司的 Vision Pro 混合现实头戴式设备曝出一个安全漏洞，一旦被黑客成功利用，他们就可以推断出用户在该设备的虚拟键盘上输入的具体数据。 该攻击活动名为 GAZEploit，该漏洞被追踪为 CVE-2024-40865。 佛罗里达大学的学者对此表示：这是一种新颖的攻击，因为攻击者可以从头像图片中推断出与眼睛有关的生物特征，从而重建通过注视控制输入的文本。GAZEploit攻击利用了用户共享虚拟化身时凝视控制文本输入的固有漏洞。 在该漏洞披露后，苹果公司在 2024 年 7 月 29 日发布的 visionOS 1.3 中解决了这一问题。据苹果描述，该漏洞影响了一个名为 “Presence ”的组件。 该公司在一份安全公告中说：虚拟键盘的输入可能是从 Persona 中推断出来的，其主要通过 “在虚拟键盘激活时暂停 Persona ”来解决这个问题。 研究人员发现，黑客可以通过分析虚拟化身的眼球运动或 “凝视”来确定佩戴该设备的用户在虚拟键盘上输入的内容，极易导致用户的隐私泄露。 假设黑客可以分析通过视频通话、在线会议应用程序或直播平台共享的虚拟化身，并远程执行按键推断，那么他们就可以利用这一点提取用户键入的密码等敏感信息。 攻击主要是通过对 Persona 记录、眼球长宽比（EAR）和眼球注视估计进行训练的监督学习模型来完成的，以区分打字会话和其他 VR 相关活动（如观看电影或玩游戏）。虚拟键盘上的注视方向会被映射到特定的按键上，以便确定潜在的击键方式，同时还考虑到键盘在虚拟空间中的位置。 研究人员表示：通过远程捕捉和分析虚拟化身视频，攻击者可以重建用户键入的按键。目前，GAZEploit 是该领域首个已知利用泄露的注视信息远程执行按键推断的攻击方式。   转自Freebuf，原文链接：https://www.freebuf.com/news/411003.html 封面来源于网络，如有侵权请联系删除

网络安全研究人员发现了一场针对Linux环境的新恶意软件活动，目的是进行非法加密货币挖矿和传播僵尸网络恶意软件。云安全公司Aqua指出，这项活动特别针对甲骨文Weblogic服务器，旨在传播一种名为Hadooken的恶意软件。 该恶意软件利用的是Oracle Weblogic中的一个已知漏洞，即CVE-2020-14882。该漏洞允许攻击者获得对Weblogic服务器的未经授权访问，并执行任意代码。 安全研究员Assaf Moran表示，“当Hadooken行动被执行时，它会释放一种名为Tsunami的恶意软件，并部署一个加密货币挖矿程序来获取加密货币，如门罗币（XMR）。” 攻击链利用已知的安全漏洞和配置错误，例如弱密码，以获得初始立足点并在易受攻击的实例上执行任意代码。这是通过启动两个几乎相同的有效载荷来完成的，一个用Python编写，另一个是shell脚本，两者都负责从远程服务器（“89.185.85[.]102”或“185.174.136[.]204”）检索Hadooken恶意软件。 Morag进一步表示，“shell脚本版本试图遍历包含SSH数据（如用户凭据、主机信息和秘密）的各种目录，并利用这些信息攻击已知服务器。然后它在组织内或连接的环境中横向移动，以进一步传播Hadooken恶意软件。” Hadooken勒索软件内置了两个组件，一个加密货币挖矿程序和一个名为Tsunami（又称Kaiten）的分布式拒绝服务（DDoS）僵尸网络，后者有针对部署在Kubernetes集群中的Jenkins和Weblogic服务的攻击历史。 此外，该恶意软件还负责通过在主机上创建cron作业以不同频率定期运行加密货币挖矿程序来建立持久性。 Aqua指出，IP地址89.185.85[.]102在德国注册，隶属于托管公司Aeza International LTD（AS210644），Uptycs在2024年2月的先前报告将其与8220 Gang加密货币活动联系起来，该活动滥用Apache Log4j和Atlassian Confluence Server及数据中心中的漏洞。 第二个IP地址185.174.136[.]204虽然目前处于非活动状态，但也与Aeza Group Ltd.（AS216246）有关。正如Qurium和EU DisinfoLab在2024年7月强调的，Aeza是一家在莫斯科M9和法兰克福的两个数据中心都有业务的防弹托管服务提供商。 研究人员在报告中说：“Aeza的运作方式和快速增长可以通过招募与俄罗斯防弹托管服务提供商有关联的年轻开发者来解释，这些提供商为网络犯罪提供庇护。”   转自Freebuf，原文链接：https://www.freebuf.com/news/410985.html 封面来源于网络，如有侵权请联系删除

Ivanti 周五证实，其云服务设备 (CSA) 解决方案中存在一个高危漏洞，目前正遭到攻击利用。 Ivanti 在 8 月份的公告更新中表示：“截至 9 月 10 日披露时，我们尚未发现有任何客户受到此漏洞的利用。至 9 月 13 日更新时，已确认少数客户受到此漏洞的利用。” “Ivanti 建议采用 ETH-0 作为内部网络的双宿主 CSA 配置，可显著降低漏洞利用风险。” Ivanti 建议管理员检查任何新的或修改的管理用户的配置设置和访问权限，以检测漏洞利用尝试。虽然并不总是一致的，但有些漏洞可能记录在本地系统的代理日志中。还建议检查来自 EDR 或其他安全软件的任何警报。 该安全漏洞 (CVE-2024-8190) 允许具有管理权限的经过远程身份验证的攻击者通过命令注入在运行 Ivanti CSA 4.6 的易受攻击的设备上进行远程代码执行。 Ivanti 建议客户从 CSA 4.6.x（已达到使用寿命终止状态）升级到 CSA 5.0（仍在支持中）。 “CSA 4.6 Patch 518 客户也可以更新到 Patch 519。但由于该产品已进入生命周期结束阶段，首选途径是升级到 CSA 5.0。已经使用 CSA 5.0 的客户无需采取任何进一步的行动，”该公司补充道。 Ivanti CSA 是一款安全产品，它充当网关，为外部用户提供对企业内部资源的安全访问。 CISA要求联邦机构须在 10 月 4 日前完成修补 周五，CISA 还将CVE-2024-8190 Ivanti CSA 漏洞添加到其已知被利用漏洞目录中。根据《约束性行动指令》(BOD) 22-01 的规定，联邦民事行政部门 (FCEB) 机构必须在 10 月 4 日之前的三周内保护易受攻击的设备。 CISA警告称：“这些类型的漏洞是恶意网络行为者频繁使用的攻击媒介，对联邦企业构成重大风险。” 本周二，Ivanti 修复了其端点管理软件 (EPM) 中一个最高严重性漏洞，该漏洞允许未经身份验证的攻击者在核心服务器上执行远程代码。 同一天，它还修补了 Ivanti EPM、工作区控制 (IWC)和云服务设备 (CSA)中的近二十几个其他高危和严重漏洞。 Ivanti表示，近几个月来，该公司已经提升了内部扫描和测试能力，同时还致力于改进其负责任的披露流程，以更快地解决潜在的安全问题。 Ivanti 表示：“这导致发现和披露数量激增，我们同意 CISA 的声明，即负责任地发现和披露 CVE 是‘健康代码分析和测试社区的标志’。” Ivanti 在全球拥有超过 7,000 个合作伙伴，超过 40,000 家公司使用其产品来管理他们的系统和 IT 资产。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/aQvmvilT5wo-C37nuuAZ0g 封面来源于网络，如有侵权请联系删除

GitLab 周三发布了安全更新，解决了 17 个安全漏洞，其中包括一个允许攻击者以任意用户身份运行管道作业的严重漏洞。 该漏洞编号为 CVE-2024-6678，CVSS 评分为 9.9（满分 10.0）。 该公司在警报中表示：“GitLab CE/EE 中发现一个问题，影响从 8.14 开始到 17.1.7 之前的所有版本、从 17.2 开始到 17.2.5 之前的所有版本以及从 17.3 开始到 17.3.2 之前的所有版本，该漏洞允许攻击者在某些情况下以任意用户身份触发管道。” 该漏洞以及其他 3 个高严重程度漏洞、11 个中严重程度漏洞和 2 个低严重程度漏洞已在 GitLab 社区版 (CE) 和企业版 (EE) 的 17.3.2、17.2.5、17.1.7 版本中得到解决。 值得注意的是，CVE-2024-6678 是 GitLab 在过去一年中修补的第四个此类漏洞，此前的漏洞有CVE-2023-5009（CVSS 分数：9.6）、CVE-2024-5655（CVSS 分数：9.6）和CVE-2024-6385（CVSS 分数：9.6）。 虽然没有证据表明有人主动利用这些漏洞，但建议用户尽快应用补丁以减轻潜在威胁。 今年 5 月初，美国网络安全和基础设施安全局 (CISA)透露，一个严重的 GitLab 漏洞 (CVE-2023-7028，CVSS 评分：10.0) 已被广泛利用。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/peEcNP0wRwor6XoTq3AwOg 封面来源于网络，如有侵权请联系删除

多年以来，硬件密钥一直被视为保护个人隐私和敏感数据的最后一道防线，然而最新研究发现，这些被认为牢不可破的“安全硬件”，实际上暗藏严重漏洞。 近日，来自NinjaLab的研究团队发表了一篇题为“EUCLEAK”的技术论文，披露英飞凌（Infineon）安全微控制器中存在一个重大侧信道漏洞。该漏洞影响了广泛应用于电子护照、加密货币硬件钱包、智能汽车和FIDO硬件认证设备（如YubiKey 5系列）的加密库。 由于漏洞波及范围广大，影响深远，这一发现立刻引发了安全行业的广泛关注。 “最流行硬件密钥”YubiKey被破解 YubiKey 5系列硬件密钥产品是当下最流行的FIDO硬件令牌，内置了英飞凌的SLE78安全微控制器，以确保设备的高安全性。然而，研究人员发现，该微控制器在ECDSA实现中存在一个关键漏洞，可被攻击者利用并克隆密钥。 FIDO硬件令牌是一种用于网络服务身份验证的强认证工具，广泛应用于政府、企业和个人的敏感数据保护中。这些令牌通常嵌入安全元素（Secure Element），依赖椭圆曲线数字签名算法（ECDSA）作为其核心的加密原语。 该漏洞涉及一种非恒定时间的模逆运算，导致加密操作产生可预测的电磁辐射。研究人员通过分析电磁信号，发现攻击者可以利用这些泄露的信息推断出ECDSA私钥。具体而言，攻击者通过在受害设备附近部署特定的物理设备并进行几分钟的电磁侧信道采集，即可获得足够的信息来推导密钥。 研究的突破点是利用Feitian A22设备上的JavaCard开放平台进行逆向工程。该设备基于与YubiKey 5系列相同的Infineon SLE78微控制器，研究人员通过此平台发现了ECDSA实现中的侧信道漏洞，并成功设计了一种可行的攻击方法。最终，他们在YubiKey 5Ci设备上成功验证了该攻击。 产品漏洞顺利通过了80次顶级安全认证 该漏洞不仅影响YubiKey 5系列设备，还扩展至其他采用Infineon加密库的设备，如Optiga Trust M和Optiga TPM等安全微控制器。这些微控制器被广泛应用于各种复杂的安全系统，包括电子护照、智能家居、智能汽车等。尽管研究人员尚未确认该漏洞是否适用于所有这些系统，但潜在风险不容忽视。 根据论文，受影响的设备多达80款，且在过去14年中通过了多个最高级别的安全认证（如Common Criteria CC认证）。这一漏洞的长期未被发现，反映出即使是经过严格审查的加密系统，也可能存在未察觉的严重安全漏洞。 更糟糕的是，该漏洞还摧毁了人们对安全认证的信心，因为该漏洞在英飞凌顶级安全芯片中存在了14年之久，期间存在漏洞的芯片和加密库在2010年至2024年期间顺利通过了大约80次AVA VAN 4级（用于TPM）或AVA VAN 5级（用于其他芯片）的CC认证评估，（以及近30次证书维护）。 漏洞严重，但不紧急 尽管Yubikey等硬件密钥曝出高危漏洞，但对于普通用户来说，未必需要紧急停用或者更换密钥。研究人员强调，利用这一漏洞的前提条件相对苛刻。首先，攻击者需要物理访问目标设备，其次，还需要昂贵的设备、定制软件以及高度专业的技术能力（编者：克隆YubiKey密钥还需要需要掌握受害者的用户名和密码，以及对其YubiKey的物理访问权）。因此，在现实中，该漏洞被大规模利用的风险较低。研究人员指出，对于普通用户而言，继续使用FIDO硬件令牌仍是抵御网络钓鱼攻击的最安全手段。虽然存在漏洞，但相比不使用硬件认证，使用受影响的FIDO令牌依然提供了更高的安全性。 未来应对措施 针对这一漏洞，研究人员提出了若干应对方案，包括加强物理防护、通过电磁干扰阻断侧信道、使用法拉第笼屏蔽设备外部的电磁辐射等。这些措施虽然有效，但在实际部署中可能带来较高的成本和复杂性。 此外，研究人员呼吁安全系统制造商尽快修复这一漏洞，尤其是那些依赖ECDSA加密的设备。未来的硬件设计中，应更加关注侧信道攻击的防御能力，并确保加密操作的时间一致性。 也有安全专家建议关注开源硬件密钥方案，例如Soma、Solokey、Nitrokey、Onlykeys等，虽然这些硬件密钥也都存在漏洞（有些甚至无法修复）。 截止本文发稿，有报道称，yubikey已经在密钥固件中用自己的ECC上游库替换了Infineon密码库。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/iVxB7faNkGuRwP7nHwJ9fg 封面来源于网络，如有侵权请联系删除

近日，有黑客利用 SonicWall SonicOS 防火墙设备中的一个关键安全漏洞入侵受害者的网络。 这个不当访问控制漏洞被追踪为 CVE-2024-40766，影响到第 5 代、第 6 代和第 7 代防火墙。SonicWall于8月22日对其进行了修补，并警告称其只影响防火墙的管理访问界面。 然而，SonicWall上周五（9月6日）透露，该安全漏洞还影响了防火墙的SSLVPN功能，且已被黑客用以网络攻击。该公司提醒客户尽快为受影响的产品打上补丁，但没有透露有关野外利用的详细信息。 Arctic Wolf的安全研究人员认为这些攻击与Akira勒索软件背后的运营者有所关联，他们试图以SonicWall设备为目标，获得对目标网络的初始访问权。 Arctic Wolf高级威胁情报研究员Stefan Hostetler表示：在每个实例中，被攻击的账户都是设备本身的本地账户，而不是与微软活动目录等集中式身份验证解决方案集成在一起。此外，所有被入侵账户的 MFA 都被禁用，受影响设备上的 SonicOS 固件属于已知易受 CVE-2024-40766 影响的版本。 同时，网络安全机构Rapid7也在最近的事件中发现了针对SonicWall SSLVPN账户的勒索软件组织，但其表示将CVE-2024-40766与这些事件联系起来的证据仍然是间接的。 Arctic Wolf 和 Rapid7 复制了 SonicWall 的警告，并敦促管理员尽快升级到最新的 SonicOS 固件版本。 联邦机构被勒令在 9 月 30 日前打补丁 本周一（9月9日），CISA将此关键访问控制漏洞添加到其已知漏洞目录中，并命令联邦机构在 9 月 30 日之前的三周内，按照约束性操作指令 (BOD) 22-01 的规定，确保其网络中存在漏洞的 SonicWall 防火墙的安全。 SonicWall 缓解建议将防火墙管理和 SSLVPN 访问限制为可信来源，并尽可能禁止互联网访问。管理员还应为所有使用 TOTP 或基于电子邮件的一次性密码 (OTP) 的 SSLVPN 用户启用多因素身份验证 (MFA)。 在网络间谍和勒索软件攻击中，攻击者经常以 SonicWall 设备和设备为目标。例如，包括HelloKitty和FiveHands在内的多个勒索软件团伙也利用SonicWall的安全漏洞初步访问了受害者的企业网络。   转自Freebuf，原文链接：https://www.freebuf.com/news/410635.html 封面来源于网络，如有侵权请联系删除

微软周二对 Windows Update 中一个严重漏洞的利用发出警报，警告攻击者正在回滚其操作系统某些版本的安全修复程序。 该 Windows 漏洞被标记为CVE-2024-43491，且已被积极利用，其等级为严重，CVSS 严重性评分为 9.8/10。 微软没有提供任何有关公开利用的信息，也没有发布 IOC（入侵指标）或其他数据来帮助防御者寻找感染迹象。该公司表示，该问题是匿名报告的。 根据微软关于该漏洞的文档，表明这是一种系统降级回滚攻击，类似于今年黑帽大会上讨论的 “Windows Downdate”问题。 微软安全公告称： 微软已经意识到服务堆栈中存在一个漏洞，该漏洞可撤销 Windows 10 版本 1507（初始版本于 2015 年 7 月发布）可选组件的一些漏洞的修复。 这个漏洞会导致可选组件（例如 Active Directory 轻量级目录服务、XPS 查看器、Internet Explorer 11、LPD 打印服务、IIS 和 Windows Media Player）回滚到其原始 RTM 版本。 这会导致任何先前已修复的 CVE 被重新引入，然后可被利用。 微软 2024 年 9 月补丁日，提供了包含 79 个漏洞的安全更新，其中包括4个被主动利用的漏洞和一个公开披露的0day漏洞。 本次补丁日修复了7个严重级别漏洞，这些漏洞要么是远程代码执行，要么是权限提升漏洞。 按漏洞性质分类如下： 30 个特权提升漏洞 4 个安全功能绕过漏洞 23 个远程代码执行漏洞 11 个信息泄露漏洞 8 个拒绝服务漏洞 3 个欺骗漏洞 今天的更新中被积极利用的四个0day漏洞是： 1.CVE-2024-38014 – Windows Installer 特权提升漏洞 该漏洞允许攻击者获取 Windows 系统的 SYSTEM 权限。微软尚未透露该漏洞如何遭到攻击的详细信息。该漏洞是由 SEC Consult Vulnerability Lab 的 Michael Baer 发现的。 2. CVE-2024-38217 – Windows Mark of the Web 安全功能绕过漏洞 Elastic Security 的 Joe Desimone上个月公开披露了这一漏洞，据信自 2018 年以来就一直被积极利用。 在报告中，Desimone 概述了一种名为 LNK stomping 的技术，该技术允许使用非标准目标路径或内部结构特制的 LNK 文件打开该文件，同时绕过智能应用程序控制和 Web 标记安全警告。 微软的建议解释说：“攻击者可以制作一个恶意文件来逃避 Web 标记 (MOTW) 防御，从而导致安全功能（如 SmartScreen 应用程序信誉安全检查和/或旧版 Windows 附件服务安全提示）的完整性和可用性受到一定程度的损失。” 一旦被利用，它就会导致 LNK 文件中的命令在没有警告的情况下被执行。 3. CVE-2024-38226 – Microsoft Publisher 安全功能绕过漏洞 Microsoft Publisher 的一个漏洞，该漏洞可以绕过针对下载文档中嵌入宏的安全保护。 微软的建议解释道：“成功利用此漏洞的攻击者可以绕过用于阻止不受信任或恶意文件的 Office 宏策略。” 微软尚未透露是谁披露了该漏洞以及它是如何被利用的。 4. CVE-2024-43491 – Microsoft Windows 更新远程代码执行漏洞 微软修复了一个允许远程代码执行的服务堆栈缺陷。 微软在公告中解释道：“微软已经意识到服务堆栈中存在一个漏洞，并且已经撤销了对影响 Windows 10 版本 1507（初始版本于 2015 年 7 月发布）可选组件的一些漏洞的修复。” 微软尚未透露是谁披露了该漏洞以及它是如何被利用的。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/np5hNqHweHgj2A8yR60WKQ 封面来源于网络，如有侵权请联系删除