LiteSpeed Cache WordPress 插件中存在一个严重漏洞，攻击者可以利用该漏洞创建恶意管理员账户，从而控制数百万个网站。 LiteSpeed Cache 是一个开源且极受欢迎的 WordPress 网站加速插件，拥有超过 500 万个活跃安装，并支持 WooCommerce、bbPress、ClassicPress 和 Yoast SEO。 该插件的用户模拟功能中发现了未经身份验证的权限提升漏洞 ( CVE-2024-28000 )，该漏洞源自 LiteSpeed Cache 6.3.0.1 及更高版本中的弱hash校验。 安全研究员 John Blackbourn 于 8 月 1 日向 Patchstack 的漏洞赏金计划提交了此漏洞报告。LiteSpeed 团队开发了一个修复补丁，并将其与 8 月 13 日发布的 LiteSpeed Cache 6.4 版一起发布。 成功利用该漏洞可使任何未经身份验证的访问者获得管理员级别的访问权限，从而可以通过安装恶意插件、更改关键设置、将流量重定向到恶意网站、分发恶意软件或窃取用户数据，完全控制运行易受攻击的 LiteSpeed Cache 版本的网站。 “我们能够确定，暴力攻破解会迭代安全hash的所有 100 万个已知可能值并将它们传递到 litespeed_hash cookie 中，即使以每秒 3 个请求的相对较低速度运行，也能够在几小时到一个星期内以访问到任何给定的用户 ID。”Patchstack 安全研究员 Rafie Muhammad 周三解释说，“唯一的先决条件是知道管理员级别用户的 ID，并将其传递到 litespeed_role cookie 中。确定此类用户的难度取决于目标站点，许多情况下，使用用户 ID 1 就能成功。” 虽然开发团队已于上周二发布了修复此严重安全漏洞的版本，但根据WordPress 官方插件库的下载统计数据，该插件的下载次数仅为 250 多万次，这意味着超过一半使用该插件的网站可能仍面临攻击风险。 今年早些时候，攻击者利用 LiteSpeed Cache未经身份验证的跨站点脚本漏洞 (CVE-2023-40000)创建了恶意管理员账户并控制了易受攻击的网站。5 月，Automattic 的安全团队 WPScan 警告称，威胁行为者在 4 月份开始扫描目标，因为他们发现仅一个恶意 IP 地址就发起了超过 120 万次探测。 Wordfence 威胁情报负责人 Chloe Chamberland 今天也警告称：“我们强烈建议用户尽快更新到 Litespeed Cache 的最新修补版本（截至本文撰写时为 6.4.1 版）。我们认为这个漏洞很快就会被积极利用。” 此外，Wordfence 威胁情报团队在 6 月报告称，某威胁行为者在 WordPress.org 上至少植入了五个插件后门，并添加了恶意 PHP 脚本，以在运行这些插件的网站上创建具有管理员权限的账户。   消息来源：bleepingcomputer，译者：YY；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

Broadcom Symantec的研究人员发现了一个以前未被发现的后门，称为Msupedge，它被用于攻击中国台湾一所未命名的大学。 该后门最显着的特点是它依赖于 DNS 隧道与 C2 服务器进行通信。   “Msupedge是动态链接库（DLL）形式的后门，”Broadcom Symantec发布的报告写道。“已发现它已安装在以下文件路径中： csidl_drive_fixed\xampp\wuplog.dll csidl_system\wbem\wmiclnt.dll 虽然 wuplog.dll 是由 Apache （httpd.exe） 加载的，但 wmiclnt.dll 的父进程未知。” Msupedge 使用的 DNS 隧道工具代码基于公开的 dnscat2 工具。 该后门通过解析特殊结构的主机名来接收和执行命令。这些命令的结果会被编码并以第五级域名的形式返回。此外，该后门还将解析到的 C&C 服务器的 IP 地址的第三个八位字节解释为命令开关，并根据该值调整其行为。内存分配、命令解压和执行的错误通知也通过这种方式发送。 威胁行为者被发现利用一个关键的 PHP 漏洞（追踪编号为 CVE-2024-4577，CVSS 评分为 9.8））来部署 Msupedge 后门。攻击者利用这一缺陷实现了远程代码执行，并获得了对目标网络的初步访问。 后门支持以下命令： 案例 0x8a ： 创建流程。该命令通过 DNS TXT 记录接收。 案例 0x75 ： 下载文件。下载 URL 通过 DNS TXT 记录接收。 情况 0x24 ： 休眠 （ip_4 * 86400 * 1000 ms）。 情况 0x66 ： 休眠 （ip_4 * 3600 * 1000 ms）。 案例 0x38 ： 创建 %temp%\1e5bf625-1678-zzcv-90b1-199aa47c345.tmp。此文件的用途未知。 案例 0x3c：删除 %temp%\1e5bf625-1678-zzcv-90b1-199aa47c345.tmp。 Symantec没有将攻击归咎于特定的威胁行为者，也未能确定攻击的动机。 “最近几周，Symantec观察到多个威胁行为者在扫描易受攻击的系统。迄今为止，我们尚未找到任何证据能够将此次威胁归因于特定的行为者，攻击动机仍然未知。”报告总结道，“报告中还包括了妥协指标（Indicators of Compromise）。”   消息来源：securityaffairs，译者：YY；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

根据 Cisco Talos 的最新研究，macOS 上的八个微软应用程序容易受到库注入攻击，有可能让攻击者劫持应用程序的权限并泄露敏感数据。 受影响的微软应用程序包括 Microsoft Teams、Outlook、PowerPoint 和 Word 等流行服务，共有八个 CVE 编号。 Microsoft Outlook: CVE-2024-42220 Microsoft Teams (work or school): CVE-2024-42004 Microsoft PowerPoint: CVE-2024-39804 Microsoft OneNote: CVE-2024-41159 Microsoft Excel: CVE-2024-43106 Microsoft Word: CVE-2024-41165 Microsoft Teams (work or school) WebView.app helper app: CVE-2024-41145 Microsoft Teams (work or school) com.microsoft.teams2.modulehost.app: CVE-2024-41138 攻击者通过使用现有的应用程序权限而不提示用户进行任何额外验证来绕过 macOS 的权限模型，这样，就可以在用户未察觉的情况下从用户账户发送电子邮件、录制音频片段、拍照或录制视频，而无需与用户进行任何交互。 macOS 的许可模式受到审查 Cisco Talos 强调了 macOS 基于用户同意的权限模型，该模型包含旨在保护用户隐私和维护系统安全的功能。但研究发现，macOS 对应用程序的权限管理过于信任，允许它们自我监管，这一缺陷可能使攻击者得以利用应用程序的高级权限。 更令人担忧的是，八款流行的微软  macOS 应用程序都激活了禁用库验证的权限“com.apple.security.cs.disable-library-validation ”。 据苹果公司称，该权限允许加载由第三方开发者签名的插件，旨在增强应用程序的功能性。但这一机制存在安全隐患，攻击者可能利用这一点注入任意库，并在被攻击的应用程序中运行恶意代码，进而完全控制应用程序的权限和功能。 研究人员还观察到，macOS 上的所有 Microsoft Office 应用程序都允许加载未签名的动态库。如果要修改已经执行过一次的应用程序，需要特定的权限。不过，攻击者可以通过将应用程序复制到如 /tmp 等其他文件夹来绕过这一安全措施，但这也增加了数据泄露和系统被攻击的风险。 研究人员指出，由于存在相对导入和禁用库验证的权限，所有 Microsoft Office 应用程序都容易受到库注入攻击。 微软用户面临不必要的风险 Cisco Talos 的研究人员说，他们的发现让人们对禁用库验证的必要性产生了疑问，尤其是应用程序不打算加载其他库的情况下。微软通过使用特定权限绕开了 macOS 的加固安全措施，这可能使用户面临原本不必要的风险。 在 Cisco Talos 报告漏洞后，微软虽然认为发现的问题风险较低，但已经对其中的四款应用程序进行了更新，移除了 com.apple.security.cs.disable-library-validation 权限，这意味着它们不再容易受到已知库注入攻击的威胁。 这四款应用程序是 Microsoft Teams 的主应用程序、WebView 应用程序和 ModuleHost 应用程序，以及 Microsoft OneNote。不过，截至 2024 年 8 月 19 日，Microsoft Excel、Outlook、PowerPoint 和 Word 仍然存在漏洞。 检查 macOS 应用程序是否易受库注入攻击影响的流程图 研究人员建议，macOS 可以引入用户提示来降低这一风险。这将允许用户决定是否加载特定的第三方插件，从而提供一种更可控的访问授权方式。   转自FreeBuf，原文链接：https://www.freebuf.com/news/409025.html 封面来源于网络，如有侵权请联系删除

Gen Threat Labs 的安全研究人员认为，微软上周修补的一个被利用的0day漏洞与朝鲜的 Lazarus APT 组织有关。 该漏洞被编号为CVE-2024-38193，并被微软标记为“积极利用”，允许在最新的 Windows 操作系统上获得 SYSTEM 权限。 Gen 是 Norton、Avast、LifeLock 和 Avira 等消费品牌的集合，该公司发布了一条简短的说明，称此次攻击与 Lazarus 通过使用 FudModule rootkit 相关联。但是，该公司并未发布任何指标或技术文档来支持这种关联。 “6 月初，Luigino Camastra 和 Milanek 发现 Lazarus 组织正在利用 Windows 中一个关键部分 AFD.sys 驱动程序中隐藏的安全漏洞。该漏洞使他们能够未经授权访问敏感系统区域。我们还发现他们使用一种名为 Fudmodule 的特殊恶意软件来隐藏他们的活动，不让安全软件发现。”该公司表示，但没有提供更多细节。 Avast 之前曾将 FudModule 记录为 Lazarus APT 工具包的一部分，该工具包包含可追溯至二月份的管理员到内核的 Windows 0day漏洞。 这是微软在 8 月补丁日安全更新中发现的六个0day漏洞之一。安全专家还认为，朝鲜 APT 组织正在利用第二个漏洞 ( CVE-2024-38178 ) 来攻击韩国受害者。 该漏洞是 Windows 脚本引擎中的一个内存损坏漏洞，如果经过身份验证的客户端被诱骗点击链接，则会导致远程代码执行攻击。要成功利用此漏洞，攻击者首先需要准备目标，使其在 Internet Explorer 模式下使用 Edge。 Ahn 实验室和韩国国家网络安全中心报告了此脚本引擎0day漏洞，表明该漏洞被用于国家级 APT 攻击。微软并未发布 IOC（攻击指标）或任何其他数据来帮助防御者寻找感染迹象。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/OgFKCyYGQd221n52-E4Vww 封面来源于网络，如有侵权请联系删除

近日，一场大规模勒索活动利用可公开访问的环境变量文件（.env）入侵了多个组织，这些文件包含与云和社交媒体应用程序相关的凭据。 “在这次勒索活动中存在多种安全漏洞，包括暴露环境变量、使用长期凭证以及缺乏最小权限架构 。”Palo Alto Networks Unit 42 在一份报告中指出。 该活动的显著特点是在受感染组织的亚马逊网络服务（AWS）环境中设置了攻击基础设施，并将其作为跳板，扫描超过 2.3 亿个唯一目标的敏感数据。 据了解，该恶意活动以 11 万个域为目标，在 .env 文件中获取了超过 9 万个独特变量，其中 7000 个变量属于组织的云服务，1500 个变量与社交媒体账户相关联。 Unit 42 表示，这次活动攻击者成功对托管在云存储容器中的数据进行勒索。不过，攻击者并没有在勒索之前对数据进行加密，而是将数据提取出来，并将勒索信放在被入侵的云存储容器中。 这些攻击最引人注目的一点是，它并不依赖于云提供商服务中的安全漏洞或错误配置，而是源于不安全 Web 应用程序上的 .env 文件意外曝光，从而获得初始访问权限。 成功破坏云环境为广泛的发现和侦察步骤铺平了道路，目的是扩大他们的影响力，威胁行为者将 AWS 身份和访问管理（IAM）访问密钥武器化，以创建新角色并提升他们的权限。 具有管理权限的新 IAM 角色随后被用于创建新的 AWS Lambda 函数，以启动包含数百万个域名和 IP 地址的全网自动扫描操作。 Unit 42 的研究人员 Margaret Zimmermann、Sean Johnstone、William Gamazo 和 Nathaniel Quist 说：”脚本从威胁行为者利用的可公开访问的第三方 S3 桶中检索到了潜在目标列表。恶意 lambda 函数迭代的潜在目标列表包含受害者域名的记录。对于列表中的每个域名，代码都会执行一个 cURL 请求，目标是该域名暴露的任何环境变量文件（即 https://<target>/.env）。” 如果目标域名托管了已暴露的环境文件，文件中包含的明文凭据就会被提取出来，并存储在另一个由威胁行为者控制的公共 AWS S3 存储桶中新建的文件夹中。目前，该存储桶已被 AWS 关闭。 研究人员发现，这场攻击活动特别针对包含 Mailgun 凭证的 .env 文件实例，表明攻击者试图利用它们从合法域名发送钓鱼邮件并绕过安全保护。 感染链的最后，威胁者会从受害者的 S3 存储桶中提取并删除敏感数据，并上传一张勒索信，提醒受害者联系并支付赎金，以避免敏感信息在在暗网上被出售。 威胁行为者试图创建新的弹性云计算（EC2）资源用于非法加密货币挖矿，但以失败告终，这也表明了攻击的经济动机。 目前还不清楚谁是这场活动的幕后黑手，部分原因是使用了 VPN 和 TOR 网络来掩盖其真实来源，不过 Unit 42 表示，它检测到两个 IP 地址分别位于乌克兰和摩洛哥，是 lambda 功能和 S3 提取活动的一部分。 研究人员强调：”这次活动背后的攻击者很可能利用了大量自动化技术来成功、快速地开展行动。这表明，这些威胁行为者在高级云架构流程和技术方面既熟练又专业。”   转自FreeBuf，原文链接：https://www.freebuf.com/news/408949.html 封面来源于网络，如有侵权请联系删除

据观察，一个与 RansomHub 勒索软件有关联的网络犯罪团伙使用了一种新工具，该工具能够终止受攻击主机上的端点检测和响应（EDR）软件，并加入了 AuKill（又名 AvNeutralizer）和 Terminator 等其他类似程序。 网络安全公司Sophos将这种工具命名为EDRKillShifter，该公司是在今年5月的一次勒索软件攻击事件中注意到该工具的。 安全研究员 Andreas Klopsch 称EDRKillShifter 工具是一个‘加载器’可执行文件，一种合法驱动程序的交付机制，容易被滥用（也被称为‘自带易受攻击驱动程序’或 BYOVD 工具）。根据威胁行为者的要求，它可以提供各种不同的驱动程序有效载荷。 RansomHub看起来似乎是 Knight 勒索软件的改良版，最早被发现于2024年2月。它利用已知的安全漏洞获取初始访问权限，并将Atera和Splashtop等合法远程桌面软件丢弃以实现持久访问。 上个月，微软披露， Scattered Spider 电子犯罪集团 已将 RansomHub 和 Qilin 等勒索软件纳入其武器库。 该可执行文件通过命令行和密码字符串输入执行，解密名为 BIN 的嵌入式资源并在内存中执行。BIN 资源解包并运行基于 Go 的最终混淆有效载荷，然后利用不同的易受攻击的合法驱动程序来获得更高的权限并解除 EDR 软件。 二进制文件的语言属性是俄语，这表明恶意软件作者是在具有俄语本地化设置的计算机上编译可执行文件的。Klopsch 表示，所有解压缩的 EDR 杀手都在 .data 部分嵌入了一个易受攻击的驱动程序。 为减轻威胁，研究人员建议保持系统处于最新状态，并启用 EDR 软件中的篡改保护功能，对 Windows 安全角色采取严格措施。 Klopsch 认为：只有当攻击者升级了他们所控制的权限，或者当他们可以获得管理员权限时，这种攻击才有可能发生。因此，将用户和管理员权限加以区分有助于防止攻击事件的发生。   转自FreeBuf，原文链接：https://www.freebuf.com/news/408777.html 封面来源于网络，如有侵权请联系删除

安全内参8月15日消息，法国当局周二表示，在巴黎奥运会期间，共报告了超过140起网络攻击，但均未对比赛造成干扰。 在奥运会筹备期间和整个比赛期间，法国的网络安全机构一直保持高度警戒，防范可能破坏组委会、票务或交通的攻击。 从7月26日到8月11日，法国政府网络安全机构ANSSI记录了119起影响较低的“安全事件”，以及22起“恶意行为者”成功攻击受害者信息系统的事件。 该机构表示，这些攻击主要针对政府实体以及体育、交通和电信基础设施。 根据ANSSI的数据，三分之一的事件是宕机事件，其中一半是通过拒绝服务攻击压垮服务器造成的。其他网络事件则与既遂或未遂系统入侵和数据泄露等相关。 ANSSI表示：“在此期间发生的所有网络事件具有共同特点，它们的影响一般较低。” 据ANSSI称，巴黎奥运会举办地大皇宫及法国其他约40家博物馆在8月初遭遇勒索软件攻击，但这并没有影响到奥运会比赛的信息系统。 勒索软件利用安全漏洞加密并阻止计算机系统运行，要求用户或组织支付赎金以解锁系统。 在因疫情推迟于2021年举办的东京奥运会上，组织者报告了4.5亿次此类操作，是2012年伦敦奥运会期间的两倍。 在巴黎奥运会之前，巴黎奥运会技术和信息系统主管Marie-Rose Bruno曾表示，他预计此次奥运会的网络攻击次数将是东京奥运会的“8到10倍”。   转自安全内参，原文链接：https://mp.weixin.qq.com/s/cNXD14jLGIIPhmorNbKtPg 封面来源于网络，如有侵权请联系删除

除了药物兴奋剂以外，职业自行车比赛近年来作弊手段不断“创新”，从赛道上的钉子陷阱，到隐蔽在轮毂中的电机等“电子兴奋剂”。如今，随着自行车变速系统的电子化演变，黑客开始将注意力转向高端自行车的热门组件——无线变速器。 本周，在美国的Usenix安全研讨会上，加州大学圣地亚哥分校和东北大学的研究人员展示了一种黑客技术，利用几百美元的硬件设备，便可攻击禧玛诺（Shimano）的无线变速系统。这种攻击可以在10米之外伪造信号，使目标自行车在关键时刻意外换挡，甚至完全锁定变速器，强迫车手以错误的挡位骑行。 如果用户没有及时下载最新的固件补丁，可能会在赛道上被远程控制，改变比赛结果甚至引发伤亡事故。 无线变速的“软肋” 现代高端自行车越来越多地使用电子组件，如功率计、无线悬架控制和无线变速器。尤其在职业比赛中，电子变速器已经成为主流。这种变速器通过数字信号控制，通常比机械变速器更为可靠。然而，随着有线电子变速器逐渐过渡到蓝牙无线版本，安全隐患也随之而来。研究人员公布的黑客攻击手法简单来说，就是通过拦截目标车手的变速信号，并在比赛关键时刻重放这些信号，从而控制目标自行车的变速。研究人员仅通过一个300美元的软件无线电、天线和笔记本电脑，就成功实施了重放攻击。更简单的干扰攻击甚至无需拦截信号，只需通过广播干扰信号，便可使多个车手的变速器失效。 Shimano Di2无线变速组件和研究人员的黑客工具包 通过攻击无线变速器来操纵比赛结果可能听起来像科幻小说，但对职业比赛的影响却是显而易见的。东北大学的研究人员Aanjhan Ranganathan指出，黑客可以通过这种方法让一个车手受益，同时干扰其他车手的变速器：“你可以干扰所有人，唯独让你自己不受影响”。这种技术的可怕之处在于，它不仅能影响个别车手，甚至可影响整支车队。 研究人员指出，在诸如环法自行车赛这样的比赛中，如果黑客能够控制对手的变速器，便能轻松扰乱其节奏，甚至引发致命的失误。例如，在爬坡阶段将车手的挡位从低档切换到高档，或是在冲刺时强行切换挡位，都足以让对手输掉比赛，甚至发生摔车事故。 加州大学圣地亚哥分校的计算机科学助理教授Earlence Fernandes指出，这种攻击方式属于“无痕作弊”。在竞争激烈的自行车运动中，黑客攻击无疑是一种全新的威胁。 禧玛诺的应对措施 面对这一安全漏洞，禧玛诺迅速作出了反应。公司在与研究团队密切合作后，开发了新的固件更新，以增强其Di2无线变速系统的安全性。然而，值得注意的是，这一补丁直到8月底才会全面提供给用户。在此之前，职业车队已经收到该补丁，但普通用户仍需等待更新的正式发布。 禧玛诺表示，此次固件更新旨在改进无线信号传输的安全性，尽管公司并未详细说明具体修复了哪些漏洞。用户可以通过Shimano的E-TUBE Cyclist智能手机应用程序自行更新后拨固件，但前拨是否包含在更新范围内尚不明确。公司表示，关于更新过程的更多信息将在稍后发布。 自行车网络化的“安全债” 职业自行车比赛近年来饱受多种作弊手段的冲击，但通过攻击对手的无线变速器来操纵比赛无疑是最新威胁。研究人员指出，这不仅是自行车行业面临的挑战，也是整个科技行业需要警惕的趋势。随着越来越多的设备实现联网化、无线化，从车库门到汽车，再到自行车，它们都变得容易受到类似的重放攻击和干扰攻击。 正如Ranganathan所言，“制造商在产品中加入无线功能时，往往会对现实世界中的控制系统产生影响，而这种影响可能带来物理伤害。” 这一研究为整个自行车行业敲响了警钟，提醒人们在追求技术进步的同时，必须更加重视安全问题。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/Kr_M1AzDoZ5jPKe1t-GU-w 封面来源于网络，如有侵权请联系删除

微软的AI医疗聊天机器人服务中存在严重的安全漏洞。漏洞允许未经授权的访问者获取用户和客户的个人信息。 漏洞中其中一个被评定为“严重”等级，攻击者可能利用漏洞在Azure Health Bot服务的网络环境中进行横向移动。 目前，微软已对发现的漏洞采取了缓解措施，无需客户再做行动。 AI聊天机器人被利用 Azure Health Bot Service是一个云平台，医疗保健组织能够构建和部署AI驱动的虚拟助手，以降低成本并提高效率。在检查该服务的安全问题时，Tenable研究人员研究了“数据连接”这一功能上，机器人能够从外部数据源获取信息，这可能包括患者医疗信息等敏感数据。 这个数据连接功能是为了使得服务的后端系统能够向第三方应用程序API接口发送请求。 在测试这些连接以查看它们是否可以与服务内部的端点交互时，研究人员发现，发出重定向响应使他们能够绕过这些端点上的一些安全措施，例如过滤机制。 在此过程中发现了两个权限提升漏洞。 漏洞一：严重权限提升漏洞 Tenable研究人员详述的第一个漏洞是通过服务器端请求伪造的方式被利用，通用漏洞披露CVE编号为CVE-2024-38109。随后，研究人员配置了这个外部主机，使其对请求以301重定向响应，目标是IMDS（内部元数据服务）。 在接收到有效的元数据响应后，研究人员能够获得一个访问令牌，这个令牌为他们提供了一个微软内部的订阅ID。最后发现访问的资源中包含了数百个属于其他客户的资源。 这些发现在2024年6月17日报告给了微软，并且在一周内，修复措施被引入到受影响的环境中。到7月2日，修复措施已经在全球范围内推出。 修复这个漏洞的方法是完全拒绝数据连接端点的重定向状态码，这消除了这个攻击向量。 微软将这个漏洞评为严重等级，确认它将提供跨租户访问。它已被包含在微软2024年8月的Patch Tuesday出版物中。 没有证据表明这个问题被恶意行为者利用过。 漏洞二：重要权限提升漏洞 在Microsoft修复第一个漏洞后，Tenable研究人员在Azure Health Bot Service的数据连接功能中发现了另一个权限升级漏洞。研究人员使用类似的服务器端请求伪造技术来利用FHIR端点向量中包含的漏洞，该向量规定了访问电子病历资源和对资源执行操作的格式。 这个漏洞比IMDS漏洞的严重程度要低，因为它不提供跨租户访问权限。 研究人员在7月9日向微软报告了这个漏洞，微软在7月12日提供了修复措施。这个漏洞被评定为重要级别。但目前没有证据表明这个问题被恶意行为者所利用。   转自e安全，原文链接：https://mp.weixin.qq.com/s/p2FvrlVK1_wx1deUA_xFJA 封面来源于网络，如有侵权请联系删除

微软周二警告客户修补一个严重的 TCP/IP 远程代码执行 (RCE) 漏洞，该漏洞被利用的可能性较高，会影响所有使用 IPv6（默认情况下启用）的 Windows 系统。 该安全漏洞由昆仑实验室的 xiaowei 发现，编号为CVE-2024-38063 ，是由整数下溢漏洞引起的，攻击者可以利用该漏洞触发缓冲区溢出，从而可用于在易受攻击的 Windows 10、Windows 11 和 Windows Server 系统上执行任意代码。 该安全研究员在推特上表示：“考虑到其危害，我不会在短期内透露更多细节”，并补充道，在本地 Windows 防火墙上阻止 IPv6 不会阻止漏洞利用，因为该漏洞在被防火墙处理之前就被触发。 正如微软在周二补丁日公告中所解释的那样，未经身份验证的攻击者可以通过反复发送包含特制数据包的 IPv6 数据包，在低复杂度攻击中远程利用此漏洞。 微软还分享了对此严重漏洞的可利用性评估，并为其贴上“更有可能被利用”的标签，这意味着攻击者可以创建漏洞代码来“在攻击中持续利用该漏洞”。 鉴于该漏洞的高风险，微软建议用户优先修补。对于那些无法立即安装本周 Windows 安全更新的用户，作为一种缓解措施，微软建议禁用 IPv6 以消除攻击面。 微软同时表示 IPv6 网络协议栈是“Windows Vista 和 Windows Server 2008 及更新版本的强制性部分”，并且不建议关闭 IPv6 或其组件，因为这可能会导致某些 Windows 组件停止工作。 可蠕虫漏洞 趋势科技Zero Day 团队表示，将 CVE-2024-38063 漏洞列为微软本周补丁日修复的最严重漏洞之一，并将其标记为可感染蠕虫的漏洞。 “最糟糕的情况可能是 TCP/IP 中的漏洞，它允许远程、未经身份验证的攻击者通过向受影响的目标发送特制的 IPv6 数据包来获得提升的代码执行能力。”趋势科技说。 “这意味着它是可感染蠕虫的。可以禁用 IPv6 来防止此漏洞，但几乎所有程序都默认启用 IPv6。” 虽然微软和其他公司警告 Windows 用户尽快修补其系统以阻止使用 CVE-2024-38063 漏洞的潜在攻击，但这并不是第一个并且可能不会是最后一个利用 IPv6 数据包进行攻击的 Windows 漏洞。 在过去四年中，微软修补了多个其他 IPv6 问题，包括两个被追踪为CVE-2020-16898 / 9  （也称为 Ping of Death）的 TCP/IP 漏洞，这些漏洞可被利用于远程代码执行 (RCE) 和使用恶意 ICMPv6 路由器通告数据包的拒绝服务 (DoS) 攻击。 此外，IPv6 碎片错误 ( CVE-2021-24086 ) 导致所有 Windows 版本都容易受到 DoS 攻击，而 DHCPv6 缺陷 ( CVE-2023-28231 ) 使得通过特制的调用获得 RCE 成为可能。 尽管攻击者尚未利用它们针对所有支持 IPv6 的 Windows 设备进行大规模攻击，但由于 CVE-2024-38063 被利用的可能性增加，建议用户立即应用本月 Windows 安全更新。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/VsfLU1n53a9PaVlx9wz_SA 封面来源于网络，如有侵权请联系删除