近日，微软称正在调查安装2023年12月的Office安全更新补丁后，一打开.ICS日历文件就会触发Outlook安全警报的问题。 受到此问题影响的Microsoft 365用户报告称，在双击保存在本地的ICS文件时，会弹出包含“ Microsoft Office已发现潜在的安全问题”和“此位置可能不安全”内容的警告对话框。 微软支持文档中解释称，正常情况下用户打开 .ICS 文件时不会出现这种行为，所以这是一个漏洞，将会在后续的更新中得以解决。 该公司还透露，在部署修补 CVE-2023-35636 Microsoft Outlook 信息泄露漏洞的安全更新后，将显示安全警告。如果不对该漏洞进行修补，黑客就会利用该安全漏洞诱骗未修补 Outlook 安装的用户打开恶意制作的文件，从而窃取 NTLM 哈希值（其混淆的 Windows 凭据）。黑客可以利用它们来验证被攻击用户的身份、访问敏感数据或在网上传播。 微软 Outlook ICS 安全通知 可通过注册表键值禁用安全提示 在找到解决方案之前，Redmond 为受影响的用户提供了一个临时修复方案，即通过注册表键值禁用安全提示。 不过采取了这个方法后，除了收不到 ICS 日历提示，也无法再收到所有其他潜在危险文件类型的安全提示。受到这个漏洞影响的用户必须添加一个新的 DWORD 键，值为 “1”： HKEY_CURRENT_USER\software\policies\microsoft\office\16.0\common\security （组策略注册表路径） Computer\HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\Security （OCT 注册表路径） 受影响的客户还可以按照 “在 Office 程序中启用或禁用超链接警告消息 “支持文档中提供的分步说明禁用对话框。 本月早些时候，微软修复了另一个已知的 Outlook 问题，该问题导致台式机和移动电子邮件客户端在使用 Outlook.com 账户时无法连接。 去年12 月，该公司又解决了两个导致用户在发送电子邮件时遇到大量文件夹的漏洞，以及一个导致 Outlook 桌面客户端在从 Outlook.com 账户发送电子邮件时崩溃的漏洞。   转自Freebuf，原文链接：https://www.freebuf.com/news/391656.html 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站消息，安全研究员发现 Ivanti Connect Secure 和 Ivanti Policy Secure 服务器端请求伪造 (SSRF) 漏洞（CVE-2024-21893 ）正在被多个威胁攻击者大规模利用。 2024 年 1 月 31 日，Ivanti 首次就网关 SAML 组件中的安全漏洞发出 CVE-2024-21893 警告，并将该漏洞判定为”零日状态“，一旦威胁攻击者成功利用安全漏洞，就可以轻松绕过身份验证并访问易受攻击设备（版本 9.x 和 22.x）上的受限资源。 随后，威胁监测服务机构 Shadowserver 发现有多个威胁攻击者正在积极利用 SSRF 漏洞。（其中有 170 个不同的 IP 地址试图利用 CVE-2024-21893 漏洞） CVE-2024-21893 漏洞的利用量远远超过近期修复或缓解的其他 Ivanti 漏洞，表明威胁攻击者的重点可能发生明显转移。   最新 Ivanti 漏洞的利用量 2024 年 2 月 2 日，Rapid7 安全研究人员发布了概念验证（PoC）漏洞，此举可能帮助潜在威胁攻击者更好的利用 CVE-2024-21893 安全漏洞。但是 Shadowserver 指出，其网络安全人员在 Rapid7 报告发布前几个小时，就观察到威胁攻击者利用了 CVE-2024-21893 安全漏洞。 这意味着威胁攻击者已经知道如何利用 CVE-2024-21893 安全漏洞对易受攻击的 Ivanti 端点进行不受限制、未经验证的访问。从 ShadowServer 的分析结果来看，目前有近 22500 台 Ivanti Connect Secure 设备暴露在互联网上，但目前尚不清楚有多少设备易受 CVE-2024-21893 安全漏洞的影响。 Ivanti 安全漏洞频出 披露 CVE-2024-21893 安全漏洞的同时， Ivanti 还发布了影响同一产品的另外两个零点漏洞（CVE-2023-46805 和 CVE-2024-21887）的安全更新补丁。据悉，安全研究人员已经发现威胁攻击者成功入侵了设备，并安装 了webshell 和后门程序。1 月中旬，设备感染量达到峰值，约为 1700 次。 鉴于多个关键零日漏洞正在被大规模利用、缺乏有效的缓解措施以及部分受影响产品版本缺乏安全更新，美国网络安全和基础设施安全局（CISA）已下令联邦机构断开所有 Ivanti Connect Secure 和 Policy Secure VPN 设备的连接，只有经过出厂重置并升级到最新固件版本的设备才能重新连接到网络。   转自Freebuf，原文链接：https://www.freebuf.com/news/391652.html 封面来源于网络，如有侵权请联系删除

总部位于美国的拼车公司 HopSkipDrive 遭第三方数据泄露，导致用户驾驶执照号码泄露。 HopSkipDrive是一家主要服务于儿童和老年人的公司，最近遭受了第三方数据泄露事件。据称，攻击者于2023年5月底入侵了HopSkipDrive使用的第三方应用程序，并在系统中滞留了近两周。 据该公司称，可能泄露的信息包括用户名、邮寄地址、电子邮件地址，以及驾驶执照号码或非驾驶员ID号码。该事件影响了超过约15.5万人。 暴露的驾驶执照和身份证号码可能被用来进行网络欺诈，给受害者带来严重的安全风险。 HopSkipDrive成立于2015年，为美国校车系统之外的地区的儿童和老年人提供乘车服务。该公司的合作伙伴包括丹佛公立学校、加利福尼亚县、联邦路公立学校以及其他组织。   消息来源：cybernews，译者：dengdeng；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

匿名苏丹组织声称对此次网络攻击负责，并称其动机是阿联酋向苏丹快速支援部队（RSF）提供支持。亲巴勒斯坦和俄罗斯的黑客组织“匿名苏丹”声称对 Flydubai 进行了一系列分布式拒绝服务攻击（DDoS 攻击），Flydubai 是位于阿拉伯联合酋长国迪拜的阿联酋政府拥有的航空公司。 值得注意的是，在两次网络攻击中，“匿名苏丹”透露的动机都是阿联酋对快速支援部队（RSF）通信的明显支持。值得注意的是，RSF 是一支以前由苏丹政府运营的准军事部队，被黑客活动分子指控对苏丹人民犯下战争罪。 该组织于2024年2月1日通过其官方 Telegram 频道宣布了此次所谓的网络攻击。匿名苏丹通常通过 Telegram 宣布其攻击，但迄今为止该组织尚未使用任何已知网站。 匿名苏丹“我们对 FlyDubai 的数字基础设施发起了重大网络攻击。我们已经将 FlyDubai 数字基础设施最关键的部分合而为一。我们已确认 Flydubai 的网络完全中断。由于阿联酋继续支持苏丹的种族灭绝快速支援部队，针对阿联酋的袭击将会继续。因此，我们对 FlyDubai 系统的整体健康状况造成的任何损害以及任何附带损害提出索赔。” 尽管Flydubai的官方网站仍然在线，但几小时后，匿名苏丹组织在随后的消息中声称，Flydubai的基础设施，包括预订系统，受到了严重影响，该航空公司的网站成为唯一的功能性资产。 然而，Hackread.com 在 Flydubai 网站上预订机票的尝试被证明是成功的。以下是匿名苏丹在 Telegram 上的发言： DDoS攻击已成为各种规模企业的重大担忧。根据卡巴斯基的报告，DDoS经济在暗网上蓬勃发展，越来越多的网络犯罪分子将目光投向了关键基础设施。 尽管存在缓解DDoS攻击的公司，但第一道防线是保护自身的IoT设备免遭此类攻击中使用的僵尸网络的攻击。因此，请确保您的网络安全防御尽可能强大。   转自E安全，原文链接：https://mp.weixin.qq.com/s/FjXTleNC3Krw6IFFITYdMg 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站消息，2023 年 11 月，Snyk 安全研究员 Rory McNamara 发现了四个统称为 “Leaky Vessels “的漏洞群。据悉，这些漏洞允许黑客逃离容器并访问底层主机操作系统上的数据信息。 发现安全漏洞问题后，安全研究员立即将这一问题报告给了受影响的各方，以便进行及时修复。值得一提的是，安全研究员没有发现泄漏容器漏洞在野外被积极利用的迹象，但是还是建议所有受影响的系统管理员尽快应用可用的安全更新。 安全漏洞影响范围广泛，危害极大 容器是打包到一个文件中的应用程序，包含运行应用程序所需的所有运行时依赖项、可执行文件和代码，一般由 Docker 和 Kubernetes 等平台执行，这些平台在与操作系统隔离的虚拟化环境中运行应用程序。 当威黑客或恶意应用程序脱离隔离的容器环境，未经授权访问主机系统或其他容器时，就会发生容器逃逸。Snyk 团队发现四个统称为 “Leaky Vessels “的漏洞，主要影响了 runc 和 Buildkit 容器基础架构和构建工具，可能允许威胁攻击者在各种软件产品上执行容器逃逸。 演示图片：https://www.bleepstatic.com/images/news/security/l/leaky-vessels/blog-cve-2024-21626-docker-run%5B1%5D.gif 由于多种流行的容器管理软件（如 Docker 和 Kubernetes）都在使用 runc 或 Buildkit，因此安全漏洞造成的网络完全风险显得尤为严重。 ”Leaky Vessels “漏洞概述如下： CVE-2024-21626：该漏洞源于 runc 中 WORKDIR 命令的操作顺序漏洞，允许威胁攻击者逃离容器的隔离环境，对主机操作系统进行未经授权的访问，并可能危及整个系统； CVE-2024-23651：Buildkit 的挂载缓存处理中的竞赛条件导致不可预测的行为，可能允许黑客操纵进程进行未经授权的访问或破坏正常的容器操作； CVE-2024-23652：允许在 Buildkit 的容器拆卸阶段任意删除文件或目录的漏洞，可能导致拒绝服务、数据损坏或未经授权的数据操作； CVE-2024-23653：该漏洞源于 Buildkit 的 GRPC 接口权限检查不足，可能允许黑客执行超出其权限的操作，导致权限升级或未经授权访问敏感数据。 “Leaky Vessels “安全漏洞群的补救措施 鉴于 Buildkit 和 runc 被 Docker 等流行项目和多个 Linux 发行版广泛使用，因此 Snyk 安全研究团队、受影响组件（runc 和 Buildkit）的维护者以及更广泛的容器基础架构社区需要采取协调一致的行动，立刻修补 “Leaky Vessels “漏洞群。 2024 年 1 月 31 日，Buildkit 在 0.12.5 版本中修复了安全漏洞，runc 在 1.1.12 版本中解决了影响它的安全漏洞问题。Docker 也在同一天发布了 4.27.0 版，在其 Moby 引擎中纳入了组件的安全版本 25.0.1 和 24.0.8。 随后，亚马逊网络服务、谷歌云和 Ubuntu 相继发布了安全公告，指导用户采取适当步骤解决其软件和服务中的安全漏洞。最后，CISA 还发布了一份警报，敦促云系统管理员采取适当措施，确保其系统免受潜在攻击。   转自Freebuf，原文链接：https://www.freebuf.com/news/391525.html 封面来源于网络，如有侵权请联系删除  

目前，微软正在将 Linux 的 “sudo “功能引入 Windows Server 2025，为管理员提升控制台应用程序的权限提供了一种新方法。 超级用户（Superuser do，简称sudo）是一种 Linux 控制台程序，允许低权限用户以提升的权限执行命令。通过Sudo，服务器可以在低权限账户下正常使用，这提高了 Linux 的安全性。 以下是一个使用 sudo 命令的示例，我们先以低权限用户身份运行 “whoami”，然后使用 sudo 运行它。 请注意，whoami 命令显示是以 bleeping 用户身份运行的。当使用 sudo 执行 whoami 命令时，试验账户的权限会提升到 root。 使用 whoami 演示 sudo 命令 在 Windows Server 2025 中测试 sudo 微软上周发布了首个 Windows Server 2025 Insider 预览版。不久后，网上又泄露出一个更新的版本。 据 Windows Latest 报道，泄露的版本包含一些正在开发的新功能，其中包括 Windows “sudo “命令的新设置。 Windows Server 2025 预览版中的新 sudo 设置 这些设置只有在启用开发者模式后才可用，而且 sudo 命令目前还不能从命令行运行，这表明它还处于开发初期。 不过，sudo 设置提供了该命令将如何运行的一些线索，包括 “在新窗口中”、”禁用输入 “和 “内联 “运行 sudo 应用程序的功能。Windows 已经提供了使用 UAC 提示自动提升程序权限的功能，可让程序在窗口中以提升的权限运行。 某些管理工具（如 bcdedit 和 reagentc）需要管理员身份才能运行这些命令。在这种情况下，sudo 命令将允许程序根据其 Windows 设置运行，如在新窗口、当前窗口中内嵌运行，或使用禁用输入设置在非交互式 shell 中运行。 Windows 11 中目前还没有这个功能，但微软未来也或许会在该操作系统中添加 sudo 功能。值得注意的是，微软通常会在预览版中测试新功能，但不会将其应用到正式版中。     转自Freebuf，原文链接：https://www.freebuf.com/news/391509.html 封面来源于网络，如有侵权请联系删除

Pen Test Partners发现空客公司的 Flysmart+ Manager 应用程序包中存在严重漏洞。 适用于 iPad 的Flysmart+ Manager应用程序是由空中客车公司旗下的NAVBLUE部门开发的，该应用旨在在电子飞行员设备（EFB）以及其他程序和设备上同步和安装最新的航空数据。 Pen Test Partners专家发现，Flysmart+ Manager中的一个主要安全机制被故意禁用。因此，该应用程序可以通过不安全的通道与服务器交换数据，为黑客攻击提供了充足的机会。 电子飞行包（EFB）用于存储和快速访问飞行所需的关键信息。然而，在机场和酒店停留期间，利用该漏洞，可以通过Wi-Fi网络访问它们。在这种情况下，干预很可能不会被发现，因为标准航空公司程序并非旨在检测此类威胁。 iOS版本的Flysmart+ Manager中已禁用应用程序传输安全（ATS）保护。通过分析，Pen Test Partners专家能够访问NAVBLUE服务器上的机密数据。除此之外，他们还能够研究SQLite数据库的结构，其中包含有关飞机特性和起飞性能参数的关键信息。 表格对于正确计算飞机能力至关重要，尤其是在起飞和着陆期间。例如，最低设备清单或标准离场程序表中的错误可能会导致危险的燃料短缺事件。对发动机性能的错误计算会导致例如超速，这是最无害的情况。 研究人员表示：“我们已经与波音、汉莎航空和空客公司合作解决这些漏洞，并且很高兴该问题已成功解决——这是航空安全领域的一项重大成就，禁用 ATS 还允许攻击者拦截和解密任何敏感信息。” 在2022年6月28日向空中客车公司报告该漏洞后，该公司承认了该问题，并承诺在2022年底前在下一版本的Flysmart+ Manager中修复该问题。2023年2月22日，空客专家正式确认应用程序已更新，飞机不再处于危险之中。同年5月26日，该问题解决方案的详细信息已发送给该公司的客户。 Pen Test Partners 专家在致力于网络安全问题的主要会议（包括拉斯维加斯举行的 DEF CON 31）上介绍了该研究的结果。演讲的主题是对发现的漏洞的详细分析以及空中客车公司消除该漏洞的时间顺序。 此外，Pen Test Partners 专家还在 2023 年在都柏林举办的航空航天村和航空 ISAC 活动上展示了结果。   转自安全客，原文链接：https://www.anquanke.com/post/id/293084 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： 美国财政部外国资产控制办公室（OFAC）宣布对六名涉嫌与伊朗情报机构有关的官员实施制裁，原因是他们袭击了美国和其他国家的关键基础设施实体。 这些被制裁的官员隶属于伊朗伊斯兰革命卫队网络电子司令部（IRGC-CEC），其中礼萨·拉什加里安也是IRGC-CEC的负责人兼IRGC-Qods部队指挥官，据称他还参与了伊斯兰革命卫队的各种网络和情报行动。 根据美国财政部的声明，这些个人被追责是因为其涉及的网络行动。在这些行动中他们入侵了以色列公司Unitronics制造的可编程逻辑控制器，并发布了图像。 根据2023年11月下旬美国网络安全和基础设施安全局（CISA）的披露，宾夕法尼亚州西部阿利基帕市政水务局成为伊朗威胁行为者利用Unitronics PLC的目标。 这次攻击是由一个名为Cyber Av3ngers的伊朗黑客组织发起的，该组织在以色列与哈马斯冲突后加剧，对以色列和美国的实体发动了破坏性攻击。其自2020年以来活跃，曾针对波士顿儿童医院、欧洲和以色列等地进行多起网络攻击。 根据美国财政部的表示：“工业控制设备如可编程逻辑控制器等，是水和其他关键基础设施系统的敏感目标。虽然此次特殊行动未中断任何关键服务，但未经授权访问关键基础设施系统可能对公众造成伤害，引发毁灭性人道主义后果。” 与此同时，另一个亲伊朗的“psychological operation group”组织声称袭击了阿尔巴尼亚统计研究所（INSTAT），并声称窃取了数TB的数据。自2022年7月中旬以来，Homeland Justice 就有针对阿尔巴尼亚的跟踪记录，最近观察到该黑客传播了代号为No-Justice的擦除器恶意软件。   消息来源：thehackernews，译者：dengdeng；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文  

安全研究人员最近在 Google 旗舰开源产品之一 Bazel 中发现了一个供应链漏洞。 该缺陷主要围绕依赖 GitHub Actions 工作流程中的命令注入漏洞，可能允许恶意行为者将有害代码插入 Bazel 的代码库中。 Cycode 研究人员表示，这种情况的严重性意味着它可能会影响各种平台上的数百万个项目和用户，包括 Kubernetes、Angular、Uber、LinkedIn、Databricks、Dropbox、Nvidia 和 Google 本身。 从技术角度来看，这一发现主要针对 GitHub Actions，这是一个持续集成和持续交付 (CI/CD) 平台。 GitHub Actions 允许用户通过可定制的工作流程自动化构建、测试和部署流程。但是，使用充当单独工作流任务的自定义操作会带来复杂性和潜在的安全风险。 了解有关 GitHub 漏洞的更多信息：安全专家敦促 IT 部门锁定 GitHub 服务 在今天早些时候发布的一份公告中，Cycode 强调，工作流程中的广泛依赖性（通常利用第三方操作）给软件供应链的安全带来了挑战。 该公司的研究重点关注间接依赖项中的漏洞，例如自定义操作，这些漏洞可能驻留在不同的存储库、生态系统中并由不同的维护者负责。本文讨论了 GitHub Actions 生态系统中的自定义操作带来的风险，特别是复合操作，它将多个工作流程步骤组合到一个操作中。 该通报还深入探讨了 Bazel 的 GitHub Actions 工作流程中发现的漏洞的具体情况，详细说明了从触发工作流程到注入点的步骤。一个关键问题是由于复合操作中缺乏适当的输入验证而导致注入和执行任意命令的能力。 Cycode 研究团队于 2023 年 11 月 1 日通过 Google 漏洞奖励计划及时报告了该漏洞，几天后就收到了确认。随后，Google 在 12 月 5 日之前解决并纠正了 Bazel 中的易受攻击的组件。 实施了必要的修复，包括更新工作流基础权限和修改相关操作，消除了命令注入漏洞。   转自安全客，原文链接：https://www.anquanke.com/post/id/293066 封面来源于网络，如有侵权请联系删除

美国政府网络安全机构 CISA 采取前所未有的举措，要求联邦机构在 48 小时内断开 Ivanti Connect Secure 和 Ivanti Policy Secure 产品的所有实例。 该机构在一份新的紧急指令中表示：“尽快且不晚于 2024 年 2 月 2 日星期五晚上 11:59，断开所有 Ivanti Connect Secure 和 Ivanti Policy Secure 解决方案产品实例与机构网络的连接”，该指令加大了压力，帮助防御者缓解至少三个在野外被积极利用的 Ivanti 安全漏洞。 CISA 正在推动联邦民事行政部门 (FCEB) 机构“继续对连接到或最近连接到受影响的 Ivanti 设备的任何系统进行威胁搜寻”，并监控可能暴露的身份验证或身份管理服务。 该机构表示，联邦网络管理员还必须在 48 小时内最大程度地将系统与任何企业资源隔离，并继续审核特权级别访问帐户。 为了使产品重新投入使用，CISA 表示，各机构需要导出设备配置设置，按照 Ivanti 的说明完成出厂重置，并重建设备并升级到完全修补的软件版本。 在努力满足自己的补丁交付时间表后，Ivanti 于周三开始按交错时间表推出修复程序，并披露了面向企业的 VPN 设备中的两个新安全缺陷。 Ivanti 记录了四个独立的漏洞风险： CVE-2023-46805——Ivanti Connect Secure（9.x、22.x）和 Ivanti Policy Secure 的 Web组件中存在身份验证绕过漏洞，允许远程攻击者绕过控制检查来访问受限资源。CVSS 严重性评分 8.2/10。已确认被利用为0Day漏洞。 CVE-2024-21887 ——Ivanti Connect Secure（9.x、22.x）和Ivanti Policy Secure Web 组件中的命令注入漏洞允许经过身份验证的管理员发送特制请求并在设备上执行任意命令。该漏洞可通过互联网被利用。CVSS 评分9.1/10。已确认被利用。 CVE-2024-21888 ——Ivanti Connect Secure（9.x、22.x）和 Ivanti Policy Secure（9.x、22.x）的Web组件中存在权限提升漏洞，允许用户将权限提升至行政人员。CVSS评分 8.8/10。 CVE-2024-21893 ——Ivanti Connect Secure（9.x、22.x）、Ivanti Policy Secure（9.x、22.x）和 Ivanti     Neurons for ZTA 的 SAML 组件中存在服务器端请求伪造漏洞，允许攻击者无需身份验证即可访问某些受限资源。CVSS 严重性评分8.2/10。已确认有针对性的利用。 三周前，Volexity 首次发现了对这些问题的利用，并警告说，某国背景的 APT 黑客团队已经建立了一条漏洞链来侵入美国组织。 Mandiant 的恶意软件猎人报告通过自动化方法进行的“广泛的利用活动”，并指出与某国有关的黑客早在 2023 年 12 月 3 日就已经发现了这些漏洞。《安全周刊》消息人士称，网络犯罪组织已利用公开的漏洞部署加密器和后门。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/b5IKSQpozAIokvnp_P6pjg 封面来源于网络，如有侵权请联系删除