CrowdStrike错误更新导致全球范围Windows蓝屏事件已经发酵数日，该事件被业内人士看作是“历史上最大规模系统崩溃事件”，震惊了整个世界。这次事件并非是某个国家级黑客组织或大师级黑客的杰作，而是CrowdStrike更新文件的一个错误，导致包括机场、银行、政府甚至紧急服务在内的大量关键基础设施系统因蓝屏死机而瘫痪。以下是安全专业人士从这次事件中可以汲取的五点重要教训。 无需幸灾乐祸，警惕害群之马 Crowdstrike大规模系统崩溃事件是过去几天最热门的聊天话题之一，IT和安全专业人士们热衷转发表情包嘲讽该公司犯下的愚蠢错误，但请记住，下一个出现在热搜的可能就是你供职的公司。随着平台化和云化的深入，网络安全市场的市场集中度不断提高，任何一次失误都可能引发全球性的连锁反应。公有云的几次重大停机事故已经引发了全球性的“下云运动”，网络安全行业需要反思如何缓解过度集中化的风险，避免单个企业的失误对整个行业造成毁灭性的打击。 网络攻击还是意外？ CrowdStrike的官方声明否认该事件是“网络安全事件”或者“网络攻击”。但是网络安全的一个关键原则是可用性，从手段和结果来看，对于CIO和CISO来说，这次事件显然与一次大规模的网络攻击没有什么区别（无需支付赎金，但恢复工作仍然极为痛苦）。“一遭被蛇咬十年怕井绳”，此次事件后，相信大量CIO都会对EDR终端代理感到紧张。网络安全行业的其他企业可能会是该事件的最大受害者，网络安全企业与客户之间的基本信任已经被击碎。现在，CISO们需要为服务器和终端上运行的每个安全解决方案重新辩护。接下来的几周和几个月里，CISO们和安全供应商之间将会有很多艰难的对话。 立即对威胁模型进行评估 过去几天经常会看到这样的肤浅言论：“我们用的是Macbook，所以躲过了一劫”或“我们不用CrowdStrike，谢天谢地！”“我们是中资企业，所以不受影响，哈哈哈。”要知道，今天出事的是网络安全巨头CrowdStrike，明天可能就是其他更拉垮的草台班子。现代IT环境是由各种软件代理和厂商产品混合而成，单点故障几乎不可避免。评估这种情况时，我们需要扪心自问：如果我的所有Windows服务器和终端都瘫痪了会怎样？我们能转向基于云的服务吗？我们有其他可用的终端代理吗？可以肯定的是，网络犯罪分子已经看到了这次停机事件造成惊人损失，并在思考如何从中获利（最常见的操作是冒充修复工具或漏洞补丁的网络钓鱼攻击）。 检查你的补丁管理流程 永远不要在周末前或周末期间打补丁。在打补丁时，分阶段进行，而不是批量更新。可以想象，全球数百万IT支持人员会无法理解CrowdStrike这种头部企业居然会忽视这些最基本的流程。即使微软和Crowdstrike发布了修复程序和指南，但手动修复方式对于管理成千上万台服务器/终端的IT团队来说依然是一场噩梦。再加上大多数使用CrowdStrike的公司已经加密了他们的服务器（例如Bitlocker），这让恢复工作的痛苦指数进一步上升。更不用说，基于云的服务器不能简单地进入安全模式进行修复；你必须分离存储，修复它，然后重新连接。这将是对公司灾难恢复流程的巨大考验。幸运的是，已经有许多可用的自动化脚本发布，大大提高恢复流程的效率。如果你所在的（网络安全）公司经常发布补丁，现在是重新评估补丁管理实践的好时机！永远不要在周末打补丁，如果必须这样做，请采用分阶段的灰度更新方法，确保能随时回滚到安全状态。 重新审视你的软件供应链 软件供应链是网络安全最大的盲点之一，业界对开源代码或网络安全企业自身的产品安全往往重视不足。事实上，没有任何软件是100%从头开始制作的，大多是各种软件代码库和依赖关系的混合体。即使你无法剔除这些依赖关系，至少可以深入了解你所拥有的代码资产及其风险状况。要知道，与监控并掌管全球数亿设备的EDR/XDR软件市场相比，Crowdstrike事件只是冰山一角。此外，开源供应链攻击和AI大模型数据泄漏的规模和损失可能会超出你的想象，任何企业，无论是软件供应链的上游还是下游企业，都需要为此类风险做好预案和防御措施。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/6DbH46fkk9Yc9s7dN64B9Q 封面来源于网络，如有侵权请联系删除

虽然无法切换红灯绿灯，但通过篡改信号时长，依然可以制造出交通堵塞事故；研究员已发现数十个公网暴露的Intelight X-1交通信号灯。 安全内参7月22日消息，一名安全研究人员表示，他发现了一个交通信号控制器的漏洞。恶意黑客或能利用该漏洞改变交通信号灯，制造交通堵塞。 网络安全公司Red Threat的研究员Andrew Lemon近日发表了两篇博客文章，详细介绍了他在调查交通信号控制器安全性时发现的研究结果。 Lemon研究的一种设备型号是Intelight X-1。他表示，在该设备上发现了一个漏洞，允许任何人完全控制交通信号灯。根据Lemon的说法，这是一个非常简单的基础性漏洞：设备暴露在互联网上的网页界面，且没有认证机制。 Lemon告诉外媒TechCrunch：“我简直不敢相信。如此明显的问题居然会被忽略，令我感到震惊。” Lemon说，他试着验证是否可以触发，类似电影《偷天换日》中所展示的场景——黑客将所有十字路口的灯都切换为绿灯。不过，一种名为故障管理单元的设备令这种情况无法成真。 Lemon表示：“我们仍然可以更改信号灯的时间设置。例如，可以将一个方向的切换时间设置为三分钟，另一个方向设置为三秒钟。在物理世界中，这大抵是一种拒绝服务攻击，因此可以堵塞交通。” 目前尚不清楚有多少易受攻击的Intelight设备可以从互联网访问。Lemon表示，他带领的团队发现了大约30个暴露的设备。 研究员称制造商拒绝修漏洞并警告他们 Lemon说，他联系了Intelight的制造公司Q-Free，报告了这个漏洞。但根据Lemon的说法，Q-Free没有回应并与他合作修复这个漏洞，反而给他发了一封法律信件。他在博客文章中发布了该信件的副本。 信件副本中写道：“我们只接受与目前在售的Q-Free产品相关的漏洞报告。我们没有足够的资源来处理对过时产品的分析。”该信件似乎由Q-Free的总法律顾问Steven D. Tibbets签署。 信件副本中还说，Lemon分析的设备并不在售，而且他和Red Threat研究该设备的方式可能违反了美国反黑客法《计算机欺诈和滥用法》。公司没有具体说明Lemon的研究可能如何违反法律。信中要求Lemon和Red Threat承诺不公布漏洞的详细信息，因为这可能危害国家安全。 信中写道：“我们还敦促Red Threat考虑发布对使用Q-Free设备的关键基础设施安全性的影响。与您所述的改善网络安全的目标相反，漏洞的发布可能会鼓励对基础设施的攻击，并给Red Threat带来相关责任。” Lemon表示，他对这封信感到惊讶，并说“真的感觉他们只是想通过法律威胁和其他手段让我保持沉默。” 制造商称产品早已停产，客户应限制公网访问 Q-Free的发言人Trisha Tunilla告诉TechCrunch：“需要指出的是，涉事控制器早在近十年前就停产了。” Tunilla在一封电子邮件中写道：“根据我们的记录，无法确认这些控制器是否都已更新。然而，如果这些旧控制器仍在使用，强烈建议客户立即联系我们，以便我们提供指导和解决方案。” 关于Q-Free总法律顾问发出的信件，Tunilla表示：“这是我们法律部门处理此类询问的标准程序。” Lemon表示，通过研究，他还发现了一些由Econolite制造的交通控制器设备暴露在互联网上，并运行一种可能存在漏洞的协议。 该协议称为NTCIP，是交通信号控制器的行业标准。Lemon表示，对于那些暴露在互联网上的设备，黑客无需登录即可更改系统中的数值。这些数值可以控制灯光闪烁的时间，或者设置十字路口所有灯光同时闪烁。 Lemon说，他没有联系Econolite，因为NTCIP问题已被先前知晓。 Econolite工程副总裁Sunny Chakravarty在接受TechCrunch采访时证实了这一点。Chakravarty告诉TechCrunch，Lemon测试的Econolite设备已“报废多年，所有用户应将这些旧控制器更换为合适的新型产品。” Chakravarty表示：“Econolite强烈建议客户遵循网络安全和访问控制的最佳实践，限制所有关键设备在开放的公共互联网上的访问。如果设备未暴露在开放的互联网，作者的行为是不可能实现的。”   转自安全内参，原文链接：https://www.secrss.com/articles/68350 封面来源于网络，如有侵权请联系删除

近日，网络安全公司趋势科技的分析师发现了Play勒索软件的最新Linux版本变种，专门用于加密 VMware ESXi 虚拟机。 研究人员称这是首次观察到 Play 勒索软件以 ESXi 环境为攻击目标。这表明，该勒索组织可能正在扩大其在 Linux 平台上的攻击范围，从而扩大受害者总数，使得他们的赎金谈判更加成功。 由于 ESXi 虚拟机的资源处理效率更高，在企业转而使用 ESXi 虚拟机进行数据存储和托管关键应用程序后，大多数勒索软件组织都将重点转向了 ESXi 虚拟机。 所以一旦企业的 ESXi 虚拟机被破坏将导致重大业务运营中断，而加密文件和备份则会大大减少受害者恢复受影响数据的选择。 Play 勒索软件 Linux 攻击流程，图源：趋势科技 在调查 Play 勒索软件样本时，趋势科技还发现该勒索软件团伙使用了由名为 Prolific Puma 的威胁行为者提供的 URL 缩短服务。 成功启动后，Play 勒索软件 Linux 样本将扫描并关闭受攻击环境中发现的所有虚拟机，然后开始加密文件（如虚拟机磁盘、配置和元数据文件），并在每个文件末尾添加 .PLAY 扩展名。 趋势科技称，要关闭所有运行中的 VMware ESXi 虚拟机以便对其进行加密，加密程序将执行以下代码： /bin/sh -c "for vmid in $(vim-cmd vmsvc/getallvms | grep -v Vmid | awk '{print $1}'); do vim-cmd vmsvc/power.off $vmid; done" 研究人员在分析时发现，该变种专门针对 VMFS（虚拟机文件系统）设计，VMFS 是 VMware 的 vSphere 服务器虚拟化套件使用的文件系统。 它还会在虚拟机的根目录中投放一张赎金条，该赎金条将显示在 ESXi 客户端的登录门户和虚拟机重启后的控制台中。 Play 勒索软件 Linux 控制台赎金说明，图源：趋势科技 2022 年 6 月，Play 勒索软件首次浮出水面，首批受害者开始在 BleepingComputer 论坛上寻求帮助。 该勒索软件的操作者以从被入侵设备中窃取敏感文件而闻名，他们在双重勒索攻击中使用这些文件，迫使受害者支付赎金，并威胁将被盗数据泄露到网上。 Play 勒索软件的受害者包括云计算公司 Rackspace、加利福尼亚州奥克兰市、汽车零售巨头阿诺德-克拉克、比利时安特卫普市和达拉斯县。 去年12 月，美国联邦调查局在与 CISA 和澳大利亚网络安全中心（ACSC）的联合公告中警告说，截至 2023 年 10 月，该勒索软件团伙已入侵了全球约 300 家组织。 这三个政府机构建议防御者尽可能启用多因素身份验证，保持离线备份，实施恢复计划，并保持所有软件处于最新版本。   转自FreeBuf，原文链接：https://www.freebuf.com/news/406727.html 封面来源于网络，如有侵权请联系删除

据网络安全公司Barracuda近期的一项研究报告，一些攻击者正滥用电子邮件安全服务隐藏恶意链接并传播钓鱼邮件，到目前为止这些攻击已针对至少数百家公司。 这些攻击主要利用了电子邮件安全网关中的URL保护功能，该功能能够检查链接是否指向已知的网络钓鱼或恶意软件网站，并根据结果阻止对该链接的访问或将请求重定向到最终目的地，以此来保护用户免受钓鱼或恶意软件威胁。 从2024 年 5 月中旬开始，Barracuda观察到网络钓鱼攻击利用三种不同的 URL 保护服务来掩盖他们的网络钓鱼链接，且提供这些保护服务的都是信誉良好的合法品牌。 目前还不清楚这些攻击者是如何生成指向其虚假网站的重写 URL， 不过，研究人员推测，他们很可能入侵了企业内部使用这些服务的电子邮件账户，向这些被入侵的账户发送电子邮件（或从这些账户发出电子邮件），以强制重写URL。 随后，只需从生成的电子邮件信息中获取重写的URL，并重复使用来制作新的网络钓鱼电子邮件即可。 在目标域被标记为恶意域之前，这些 URL 将在多个用户的点击中无限期地发挥作用。 一些使用这种技术的钓鱼电子邮件可以伪装成微软的密码修改提醒或 DocuSign 的文档签名请求。 伪装成微软账户密码修改的钓鱼邮件 URL保护功能在实施过程中存在一些争议，最大的一项缺陷是该功能的黑名单制度，难以有效快速更新最新生成的网络钓鱼网站。因为攻击者已经擅长使用便宜的域名生成大量钓鱼URL，当某一个链接被标记为网络钓鱼网站时，可能已经产生了数百名受害者。 另一个缺陷在于该功能会破坏加密电子邮件签名，因为安全电子邮件网关会通过更改链接来修改原始电子邮件。 例如，微软为 Office 365 用户提供了名为 “安全链接 “的功能，在 Outlook 和 Teams 等应用程序中，收到的电子邮件和信息中的链接会被重写为 na01.safelinks.protection.outlook.com/?url=[original_URL]，这一方式过去曾受到安全公司的批评，因为它实际上没有执行动态扫描，且很容易被基于 IP 的流量重定向绕过，或者被使用来自合法和可信域的开放重定向 URL 绕过。 目前，传统的电子邮件安全工具可能很难检测到这些攻击，最有效的防御是通过多层级安全的方法，全面检测和阻止异常或意外活动。   转自FreeBuf，原文链接：https://www.freebuf.com/news/406740.html 封面来源于网络，如有侵权请联系删除

ESET Research在一个地下论坛上发现了一个针对Android Telegram的零日漏洞广告。 ESET将该漏洞命名为“EvilVideo”，并将其报告给Telegram，Telegram于7月11日更新了该应用程序。 EvilVideo允许攻击者发送恶意的有效载荷，这些载荷以视频文件的形式出现在Android的旧Telegram应用程序中。 该漏洞仅影响Android Telegram 10.14.4及更早版本。 近日， ESET研究人员发现了一个针对Android Telegram的零日漏洞，该漏洞名为“EvilVideo”，从今年6月开始在一个地下论坛出售，价格不详。利用该漏洞，攻击者可以通过Telegram频道、群组和聊天共享恶意的Android有效载荷，并使其看起来像是多媒体文件。 “我们在一个地下论坛上发现了出售该漏洞的广告。在帖子中，卖家展示了在公共Telegram频道中测试该漏洞的截图和视频。我们识别出了有问题的频道，漏洞仍然可用，因此我们可以获得有效载荷并自己进行测试，”ESET研究员Lukáš Štefanko解释说。 发布在地下论坛的帖子 ESET Research对该漏洞的分析显示，它影响Telegram 10.14.4及更早版本。原因可能是特定的有效载荷是使用Telegram API制作的，因为它允许开发人员以编程方式将特制的多媒体文件上传到Telegram聊天或频道。该漏洞似乎依赖于攻击者能够创建一个有效载荷，将Android应用显示为多媒体预览，而不是二进制附件。一旦在聊天中分享，恶意有效载荷看起来就像是一个30秒的视频。 漏洞利用的例子 默认情况下，通过Telegram接收的媒体文件设置为自动下载。这意味着启用此选项的用户一旦打开共享的对话，就会自动下载恶意负载。虽然默认的自动下载选项可以手动禁用，但在这种情况下，仍然可以通过点击共享视频的下载按钮下载有效载荷。 如果用户试图播放“视频”，会触发真正的Telegram弹出错误信息：“应用程序无法播放此视频，是否尝试使用外部播放器？”这是在合法的Android Telegram应用程序源代码中发现的原始Telegram警告，而不是由恶意负载设计和推送的。 警告无法播放“视频” 用户可以选择取消或尝试打开文件。但如果用户选择“打开”，他们还需要允许Telegram应用程序安装Android应用程序包（APK）。在安装之前，Telegram会要求用户启用未知应用程序的安装。因此，用户需要执行一系列操作才能激活恶意载荷，但伪装的文件和Telegram的错误分类仍然引起了明显的安全担忧。 Telegram要求用户允许安装未知的应用程序 在2024年6月26日发现EvilVideo漏洞后，ESET按照协调的披露政策向Telegram报告了该漏洞，但当时没有收到任何回应。7月4日，ESET再次报告了这个漏洞，当天，Telegram联系了ESET，确认其团队正在调查EvilVideo。随后，Telegam修复了这个问题，于7月11日发布了10.14.5版本。该漏洞影响到10.14.4之前的所有版本的Android Telegram，已在10.14.5版本中更新。   转自FreeBuf，原文链接：https://www.freebuf.com/news/406751.html 封面来源于网络，如有侵权请联系删除

随着全球隐私法规的日益严格，跨国企业在网络安全战略上正面临前所未有的挑战。Gartner最新报告指出，隐私法规的实施可能导致全球IT架构的解体，并预测到2027年，至少25%的跨国企业将因数据主权战略而增加业务单位的交付成本，增幅超过一倍。 地缘政治风险与隐私法规驱动的数据本地化 在欧盟的《通用数据保护条例》(GDPR)、中国的《个人信息保护法》以及巴西的《通用数据保护法》等法规的推动下，跨国企业在全球范围内的IT和安全架构正变得日益复杂。这不仅考验了企业的组织结构和运营模式，也对网络安全战略提出了新的要求。 Gartner研究总监陈延全指出：“跨国企业正在采取多种应用和数据本地化战略，以降低合规风险，并在高度监管的市场中建立竞争优势。然而，随着本地化程度的加深，企业的全球IT架构和安全运营也变得日趋复杂。” 图1：隐私驱动的应用和数据本地化 跨国企业网络安全面临的三大挑战 Gartner指出，跨国企业网络安全面临三大挑战，企业安全和风险管理（SRM）领导者必须与法律和合规领域的专家合作，对网络安全计划进行调整，以更好地支持目标市场的业务运营。三大挑战具体如下： 地理分布式应用和数据托管增加数据访问管理的复杂性 随着合规风险和数据本地化要求的持续增加，跨国企业正在转变其应用和数据架构，从传统的中心化和单例设计模式转向组装式架构。这一转变不仅扩大了企业的攻击面，也增加了数据在不同地区分散化带来的风险。要求数据本地化存储的地区拥有较大规模业务的跨国企业，正在对其企业资源规划（ERP）、客户关系管理（CRM）以及数据和分析平台等中心化应用进行解耦。此举扩大了企业的攻击面。数据在不同地区的分散化，增加了攻击者借助物理或远程手段访问数据的风险。 2022年Gartner首席信息官（CIO）和技术高管调研显示，7%的受访者已就打造组装式企业展开了投资，另有61%的受访者预计将在2024年底之前采取这一行动。 多样化的合规要求将推动跨国企业协调安全标准 数据和应用的本地化实施，需要企业在应用开发和部署过程中，对不同司法管辖区的安全标准进行协调。这要求安全和风险管理（SRM）领导者采取系统化方法，整合各类安全标准，创建统一且适应性强的安全框架。实施数据和应用本地化，通常涉及复制应用和数据存储库，或者从相应国家/地区采购应用。针对特定地区的需求对应用进行调整和优化，为企业提供了一个机会，可以将安全要求嵌入应用的开发过程，而不是等开发完成后再行添加。对于存在解耦需求的应用，鉴于不同司法管辖区采用的安全标准可能并不相同，企业必须在应用开发和部署过程中，对不同的安全标准和要求进行协调。 图2：系统化协调和整合安全标准的方法 数据隔离和数据传输管理挑战 应用和数据的本地化导致了数据的碎片化，引发数据隔离和互操作性的挑战。SRM领导者需要采取综合性方法，全面考虑技术和非技术因素，以支持信息在不同地区间的顺畅流动。 陈延全表示：“数据隔离可能会降低信息的保真度、影响业务连续性并阻碍创新。” 此外，云服务和API的使用，增加了跨国企业数据传输管理出现缺口的风险。跨国企业可以通过实施API网关等安全控制措施来降低此类风险。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/Qs3pECspXNqkAOxpNUXP0g 封面来源于网络，如有侵权请联系删除

近期，由于全球网络安全公司CrowdStrike的软件更新问题，引发了大规模的“蓝屏死机”事件，全球超过850万台设备一度瘫痪。尽管微软和Crowdstrike发布了修复指南和工具，且大多数受影响的微软客户已经恢复正常运作，但许多企业仍在努力恢复其系统功能。其中，亚特兰大总部的达美航空（Delta）仍在艰难地恢复中。 上周五事件爆发时，大多数航空公司，包括使用微软产品进行机组调度系统的达美航空，被迫取消航班并停止其他服务。截止到周日，达美航空取消了额外的1250个航班，而截至本周二，又取消了600个航班。这使得自事件发生以来，达美航空的航班取消总数已超过5000次。不幸的是，达美航空官员尚无法提供恢复正常运营的具体时间表。达美航空CEO埃德·巴斯蒂安（Ed Bastian）在一篇博客文章中表示，此次问题影响了他们运行在Windows操作系统上的主要系统之一。他们的团队正在夜以继日地工作，努力恢复并恢复全部功能。他进一步指出，持续的停运问题归因于“机组跟踪相关工具”无法处理因停运而产生的大量变更。 尽管微软迅速提供了解决方案以恢复服务，但需要手动更新设备——对于拥有成千上万受影响计算机的公司来说，这是一个巨大的挑战。 达美航空的问题也突显了交通基础设施对软件故障的脆弱性，这不仅限于安全漏洞。虽然许多公司都有备份和其他应急措施，但如果有缺陷的代码导致计算机无法启动，这些措施也无济于事。 除了达美航空，其他多个行业和企业也在努力应对这一前所未有的IT危机。一些制造业巨头报告称，其生产线因为关键系统的瘫痪而被迫停工。零售行业的供应链管理系统和支付处理系统也受到严重影响，导致大量订单延迟和交易失败。 尽管微软和CrowdStrike都在加紧努力，以帮助受影响的客户恢复正常运营，但预计完全恢复可能还需要数天甚至数周的时间。专家指出，此次事件再次提醒企业在选择和管理IT基础设施时，必须考虑到潜在的风险和应急预案的完善，“蓝屏死机”事件再次证明，我们的数字社会关键基础设施是何等的脆弱。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/FEVCIwg_5Q7bwGXPKandHA 封面来源于网络，如有侵权请联系删除

在最近发生的一系列中断主要业务的事件中，KADOKAWA 公司经历了延伸到多个网站的服务中断。最初看似技术故障的事件很快升级为由臭名昭著的 BlackSuit 勒索软件组织策划的全面勒索软件攻击。五周前，BlackSuit 声称对此次攻击负责，并发出最后通牒：要么满足他们的赎金要求，要么在 7 月 1 日公开发布被盗信息。 Deep Instinct 威胁实验室的深入分析显示，BlackSuit 的战术和技术发生了巨大演变。该勒索软件现在采用的是先进的混淆方法，包括将其有效载荷伪装成奇虎 360 杀毒软件的合法组件。与早期版本相比，最新的 BlackSuit 样本的检测率要低得多，这表明威胁行为者在刻意规避安全措施。 VirusTotal 检测率 最新的样本包含编码字符串和导入 DLL ，旨在阻止分析工作。强制性 ID 参数绕过了自动仿真，提高了规避能力。最有影响的变化之一是将勒索软件伪装成知名免费杀毒软件奇虎 360 的合法组成部分，这包括虚假水印，大大降低了检测率。伪装文件虽然没有签名，但与奇虎真正的 QHAccount.exe 文件非常相似，从而有效地规避了安全软件。 BlackSuit 还集成了一些高级功能，如用于加密的非对称密钥交换、删除影子副本以禁止轻松恢复，以及禁用安全模式和关闭系统的功能。加密后的文件会添加 .blacksuit 扩展名，并附带赎金说明（通常名为 readme.blacksuit.txt）。 BlackSuit 勒索软件采用了多种初始攻击载体，包括使用窃取凭证的 RDP、VPN 和防火墙漏洞、带宏的 Office 电子邮件附件、torrent 网站、恶意广告和第三方木马。攻击者还利用 CobaltStrike、WinRAR、PUTTY、Rclone、Advanced IP Scanner、Mimikatz 和 GMER 等工具。这种多样化的载体使 BlackSuit 的目标更为广泛，危及大量数据。 BlackSuit 泄密网站上的受害者资料示例 另外，BlackSuit 在暗网上运营着一个新闻和泄密网站，一旦过了赎金的截止日期，他们就会在网站上公布受害者的外泄数据。这些资料包括受影响组织的关键信息，如行业、员工人数、收入和联系方式等。   转自Freebuf，原文链接：https://www.freebuf.com/news/406645.html 封面来源于网络，如有侵权请联系删除

思科修复了一个严重漏洞，编号为 CVE-2024-20401（CVSS 评分 9.8），该漏洞可能允许未经身份验证的远程攻击者添加具有 root 权限的新用户并永久破坏安全电子邮件网关 (SEG) 设备。 该缺陷存在于思科安全电子邮件网关的内容扫描和消息过滤功能中。 此漏洞源于在启用文件分析和内容过滤器时对电子邮件附件的处理不当。攻击者可以通过发送特制的电子邮件附件来利用此漏洞，从而替换文件系统上的任何文件。这可以使他们添加 root 用户、修改配置、执行任意代码或在受影响的设备上触发永久拒绝服务 (DoS) 条件。 思科发布的公告称：“思科安全电子邮件网关的内容扫描和消息过滤功能中存在一个漏洞，可能允许未经身份验证的远程攻击者覆盖底层操作系统上的任意文件。” 此漏洞是由于在启用文件分析和内容过滤器时对电子邮件附件的处理不当造成的。攻击者可以通过受影响的设备发送包含精心设计的附件的电子邮件来利用此漏洞。 成功利用此漏洞可让攻击者替换底层文件系统上的任何文件。然后，攻击者可以执行以下任何操作：添加具有 root 权限的用户、修改设备配置、执行任意代码或在受影响的设备上造成永久拒绝服务 (DoS) 条件。 如果启用了文件分析功能（思科高级恶意软件防护的一部分）或内容过滤功能并将其分配给传入邮件策略，并且内容扫描工具版本早于 23.3.0.4823，则此漏洞会影响运行存在漏洞的 Cisco AsyncOS 版本的思科安全电子邮件网关。 内容扫描工具版本 23.3.0.4823 及更高版本解决了此漏洞。此更新版本也是 Cisco AsyncOS for Cisco Secure Email Software 版本 15.5.1-055 及更高版本的一部分。 用户可以通过连接产品网页管理界面（“邮件策略 > 传入邮件策略 > 高级恶意软件防护 > 邮件策略”），检查“启用文件分析”选项是否被选中来确定是否启用了文件分析。 要确定内容过滤器是否启用，用户可以打开产品 Web 界面并检查“内容过滤器”列（“选择邮件策略 > 传入邮件策略 > 内容过滤器”）是否不包含值“已禁用”。 该公司的产品安全事件响应团队 (PSIRT) 尚未发现针对 CVE-2024-20401 漏洞的攻击尝试。 本周，这家 IT 巨头解决了思科智能软件管理器 On-Prem（Cisco SSM On-Prem）许可证服务器中的一个严重漏洞，该漏洞编号为 CVE-2024-20419（CVSS 评分为 10.0），攻击者可以利用该漏洞更改任何用户的密码。 此问题是由于密码更改流程实施不当造成的。攻击者可以通过向易受攻击的设备发送特制的 HTTP 请求来触发此漏洞。   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/oVbtQrcfWffkW70c7f_kow 封面来源于网络，如有侵权请联系删除

网络安全研究人员发现了一个广告软件模块，该模块旨在阻止广告和恶意网站，同时秘密卸载内核驱动程序组件，使攻击者能够在 Windows 主机上提升权限运行任意代码。 根据 ESET 的最新发现，这种被称为 HotPage 的恶意软件的名称取自同名安装程序（“HotPage.exe”），ESET 于 2023 年底发现了该恶意软件。 ESET 研究员 Romain Dumont在今天发布的技术分析报告中表示，安装程序“部署了一个能够将代码注入远程进程的驱动程序，以及两个能够拦截和篡改浏览器网络流量的库”。 “该恶意软件可以修改或替换所请求页面的内容，将用户重定向到另一个页面，或根据某些条件在新选项卡中打开新页面。” 除了利用其浏览器流量拦截和过滤功能来显示与游戏相关的广告之外，它还旨在收集和泄露系统信息到与一家名为湖北盾网网络科技有限公司的中国公司相关联的远程服务器。 这是通过驱动程序实现的，其主要目的是将库注入浏览器应用程序并改变其执行流程以更改正在访问的 URL 或确保新 Web 浏览器实例的主页重定向到配置中指定的 URL。 不仅如此，由于该驱动程序没有任何访问控制列表 ( ACL )，因此拥有非特权帐户的攻击者可以利用它来提升权限并以 NT AUTHORITY\System 帐户身份运行代码。 Dumont 表示：“该内核组件无意中为其他威胁打开了大门，使其能够以 Windows 操作系统中可用的最高权限级别（即系统帐户）运行代码。由于对该内核组件的访问限制不当，任何进程都可以与其通信，并利用其代码注入功能来攻击任何未受保护的进程。” 安装程序工作流程 简化的驱动程序逻辑 虽然安装程序分发的具体方法尚不清楚，但ESET收集的证据表明，它被宣传为网吧安全解决方案，旨在通过阻止广告来改善用户的浏览体验。 嵌入式驱动程序值得注意的是它是由微软签名的。据信这家中国公司已经通过了微软的驱动程序代码签名要求，并成功获得了扩展验证 (EV) 证书。自 2024 年 5 月 1 日起，它已从Windows Server 目录中删除。 内核模式驱动程序需要经过数字签名才能由 Windows 操作系统加载，这是微软建立的重要防御层，旨在防止可能被武器化以破坏安全控制并干扰系统进程的恶意驱动程序。 思科 Talos去年 7 月透露了攻击者如何利用微软 Windows 策略漏洞来伪造内核模式驱动程序的签名。 ESET研究员说：“对这种看上去相当普通的恶意软件的分析再次证明，广告软件开发人员仍然愿意付出更多努力来实现他们的目标。” “不仅如此，他们还开发了一个内核组件，其中包含大量操纵进程的技术，而且他们还满足了微软的要求，为其驱动程序组件获得了代码签名证书。”   转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/WwD56Jsw4MtzCfTTvP2GMA 封面来源于网络，如有侵权请联系删除