近半年来，一个未知的威胁行为者一直在向Python包索引（PyPI）资源库发布typosquat包，其目的是发布能够获得持久性、窃取敏感数据和访问加密货币钱包以获取经济利益的恶意软件。 Checkmarx 在一份新报告中说，这 27 个软件包伪装成流行的合法 Python 库，吸引了数千次下载。大部分下载来自美国、中国、法国、香港、德国、俄罗斯、爱尔兰、新加坡、英国和日本。 该软件供应链安全公司说：这次攻击的一个显著特点是利用隐写术将恶意有效载荷隐藏在一个图像文件中，增加了攻击的隐蔽性。 这些软件包包括 pyefflorer、pyminor、pyowler、pystallerer、pystob 和 pywool，其中最后一个软件包于 2023 年 5 月 13 日被植入。 这些软件包的一个共同点是使用 setup.py 脚本包含对其他恶意软件包（即 pystob 和 pywool）的引用，这些软件包部署了一个 Visual Basic 脚本（VBScript），以便下载和执行一个名为 “Runtime.exe “的文件，从而实现在主机上的持久化。 二进制文件中嵌入了一个编译文件，能够从网络浏览器、加密货币钱包和其他应用程序中收集信息。 Checkmarx 观察到的另一种攻击链将可执行代码隐藏在 PNG 图像（”uwu.png”）中，随后解码并运行该图像，以提取受影响系统的公共 IP 地址和通用唯一标识符（UUID）。 特别是 Pystob 和 Pywool，它们打着 API 管理工具的幌子发布，只是为了将数据外泄到 Discord webhook，并试图通过将 VBS 文件放置在 Windows 启动文件夹中来保持持久性。 Checkmarx表示：这一活动再次提醒我们，当今的数字环境中存在着无处不在的威胁，尤其是在以协作和开放代码交换为基础的领域。 针对软件供应链的持续攻击浪潮也促使美国政府在本月发布了新的指南，要求软件开发商和供应商维护软件安全并提高安全意识。 网络安全和基础设施安全局（CISA）、国家安全局（NSA）和国家情报局局长办公室（ODNI）表示：鉴于近期备受关注的软件供应链事件，建议采购组织在其采购决策中指定供应链风险评估。 软件开发商和供应商应改进其软件开发流程，不仅要降低对员工和股东的伤害风险，还要降低对用户的伤害风险。   转自Freebuf，原文链接：https://www.freebuf.com/articles/384308.html 封面来源于网络，如有侵权请联系删除

10 月 25 日首次发现漏洞后，雅马哈方面就立刻聘请外部网络安全专家进行事件调查，随后披露其菲律宾摩托车制造和销售子公司雅马哈汽车菲律宾股份有限公司（YMPH）管理的服务器之一，遭受未经第三方授权的非法访问并受到勒索软件攻击。 目前，YMPH 公司员工个人数据被盗的消息已得到证实，但雅马哈方面一直强调，威胁攻击者入侵的是雅马哈发动机菲律宾子公司的一台服务器，没有影响到雅马哈发动机集团的总部或任何其他子公司。 安全事件发生后，YMPH 和雅马哈发动机总部 IT 中心联合成立了指导小组，在调查安全事件影响范围的同时，也在与外部互联网安全公司合作，一起进行恢复工作。此外，YMPH 公司已经向菲律宾有关当局报告了这一安全事件。 INC 勒索团伙声称对网络攻击负责 值得一提的是，虽然雅马哈公司尚未披露此次攻击事件背后的“黑手”是那个威胁组织，但 INC 勒索软件团伙已声称对此次袭击负责，并泄露了从雅马哈汽车菲律宾子公司窃取的数据信息。几天前，威胁攻击者将雅马哈添加到其暗网泄露网站上，并公布了多个文件档案，其中约 37GB 被盗数据包括员工身份信息、备份文件、公司和销售信息等。 INC RANSOM 网站页面 据悉，INC 勒索软件团伙于 2023 年 8 月首次“浮出水面”，主要针对医疗保健、教育和政府等多个领域的组织实施双重勒索攻击。自“出道”以来，INC Ransom 已在其泄密网站上增加了 30 名受害者。必须要说的是，被该团伙入侵的组织数量可能有更多，毕竟只有拒绝支付赎金的受惠者才会被公开披露在数据泄露网站上。 据 SentinelOne 报道，威胁攻击者通过鱼叉式网络钓鱼电子邮件访问目标网络，同时也发现他们使用 Citrix NetScaler CVE-2023-3519 漏洞。获得访问权限后，网络攻击者通过网络横向移动，首先获取并下载敏感文件以索取赎金，然后部署勒索软件有效载荷来加密被入侵的系统。此外，INC-README.TXT 和 INC-README.HTML 文件会自动投放到带有加密文件的每个文件夹中。 INC RANSOM 注释 成功发动网络攻击后，勒索软件团伙以在其泄密网站上公开披露所有被盗数据为威胁，向受害者发出 72 小时最后通牒，要求支付赎金。此外，威胁攻击者还承诺向受害者提供初始攻击方法、网络安全指南、数据销毁证据的详细信息，并“保证”不会再次对其进行网络攻击。   转自Freebuf，原文链接：https://www.freebuf.com/news/384303.html 封面来源于网络，如有侵权请联系删除

据观察，隶属于联邦安全局 (FSB) 的俄罗斯网络间谍活动者在针对乌克兰实体的攻击中使用了名为LitterDrifter的 USB 蠕虫。 以色列安全公司Check Point详细介绍了Gamaredon（又名 Aqua Blizzard、Iron Tilden、Primitive Bear、Shuckworm 和 Winterflounder）的最新战术，称该组织从事大规模活动，随后“针对特定目标进行数据收集工作，其选择很可能是出于间谍目的。” 技术报告URL:https://research.checkpoint.com/2023/malware-spotlight-into-the-trash-analyzing-litterdrifter/ LitterDrifter 蠕虫病毒包具有两个主要功能：通过连接的 USB 驱动器自动传播恶意软件以及与攻击者的命令和控制 (C&C) 服务器进行通信。它还被怀疑是赛门铁克于 2023 年 6 月披露的基于 PowerShell 的 USB 蠕虫的演变。 传播器模块用 VBS 编写，负责将蠕虫作为 USB 驱动器中的隐藏文件以及分配了随机名称的诱饵 LNK 进行分发。该恶意软件因其初始编排组件名为“trash.dll”而得名 LitterDrifter。 Check Point 解释说：“Gamaredon 的 C&C 方法相当独特，因为它利用域名作为实际用作 C2 服务器的循环 IP 地址的占位符。” LitterDrifter 还能够连接到从 Telegram 频道提取的 C&C 服务器，这是至少从今年年初以来它反复使用的策略。 该网络安全公司表示，根据来自美国、越南、智利、波兰、德国和香港的 VirusTotal 提交的信息，它还发现了乌克兰境外可能受到感染的迹象。   Gamaredon 今年表现活跃，同时不断改进其攻击方法。2023 年 7 月，对手的快速数据泄露能力曝光，威胁行为者在最初入侵后一小时内传输敏感信息。 “很明显，LitterDrifter 的设计目的是支持大规模情报收集业务。”该公司总结道。“它利用简单而有效的技术来确保它能够实现该地区最广泛的目标。” 这一事态发展正值乌克兰国家网络安全协调中心（NCSCC）透露俄罗斯国家支持的黑客针对欧洲各地大使馆（包括意大利、希腊、罗马尼亚和阿塞拜疆）策划的攻击。 这些入侵归因于APT29（又名 BlueBravo、Cloaked Ursa、Cozy Bear、Iron Hemlock、Midnight Blizzard 和 The Dukes），涉及通过看似良性的诱饵来利用最近披露的 WinRAR 漏洞 ( CVE-2023-38831 )出售宝马汽车，这是它过去采用的主题。 攻击链首先向受害者发送网络钓鱼电子邮件，其中包含指向特制 ZIP 文件的链接，该文件启动后会利用该缺陷从 Ngrok 上托管的远程服务器检索 PowerShell 脚本。 NCSCC 表示：“俄罗斯黑客组织利用 CVE-2023-38831 漏洞的趋势令人担忧，这表明该漏洞日益流行且复杂。” 本周早些时候，乌克兰计算机紧急响应小组 (CERT-UA)发现了一场网络钓鱼活动，该活动传播恶意 RAR 档案，这些档案伪装成来自乌克兰安全局 (SBU) 的 PDF 文档，但实际上是一个可执行文件，可导致部署 Remcos RAT。 CERT-UA 正在追踪名为 UAC-0050 的活动，该活动也与 2023 年 2 月针对该国国家当局交付 Remcos RAT 的另一轮网络攻击有关。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/zU-9AFRM0lhJrh9ea46GSw 封面来源于网络，如有侵权请联系删除

一个利用最近披露的 WinRAR 软件零日安全漏洞的黑客组织现已被归类为全新的高级持续威胁（APT）。 网络安全公司 NSFOCUS 将 DarkCasino 描述为一个 “出于经济动机 “的行为者，该威胁行为者于 2021 年首次曝光。 该公司在一份分析报告中说：DarkCasino是一个APT威胁行为体，具有很强的技术和学习能力，善于将各种流行的APT攻击技术整合到其攻击流程中。 APT组织DarkCasino发起的攻击非常频繁，显示其窃取网络财产的强烈愿望。 DarkCasino最近与CVE-2023-38831（CVSS评分：7.8）的零日利用有关，该安全漏洞可被武器化以传播恶意有效载荷。 2023 年 8 月，Group-IB 披露了将该漏洞武器化的真实攻击，至少自 2023 年 4 月以来，该攻击一直瞄准在线交易论坛，以交付名为 DarkMe 的最终有效载荷，这是一个 Visual Basic 木马，归属于 DarkCasino。 该恶意软件可以收集主机信息、截图、操作文件和 Windows 注册表、执行任意命令，并在被入侵主机上进行自我更新。 虽然DarkCasino之前被归类为EvilNum组织针对欧洲和亚洲在线赌博、加密货币和信贷平台策划的网络钓鱼活动，但NSFOCUS表示，通过对对手活动的持续跟踪，它已经排除了与已知威胁行为者的任何潜在联系。 目前尚不清楚该威胁行为者的确切出处。 早期，DarkCasino 主要在地中海周边国家和其他亚洲国家利用在线金融服务开展活动。 最近，随着网络钓鱼方式的改变，其攻击已波及全球加密货币用户，甚至包括韩国和越南等非英语亚洲国家。 最近几个月，多个威胁行为体加入了 CVE-2023-38831 漏洞利用的行列，包括 APT28、APT40、Dark Pink、Ghostwriter、Konni 和 Sandworm。 据观察，Ghostwriter 利用该漏洞的攻击链为 PicassoLoader 铺平了道路，PicassoLoader 是一种中间恶意软件，充当其他有效载荷的加载器。 APT组织DarkCasino带来的WinRAR漏洞CVE-2023-38831给2023年下半年的APT攻击形势带来了不确定性。很多APT组织利用这个漏洞的窗口期攻击政府等关键目标，希望绕过目标的防护系统，达到自己的目的。   转自Freebuf，原文链接：https://www.freebuf.com/news/384114.html 封面来源于网络，如有侵权请联系删除

美国政府周二宣布取缔 IPStorm 僵尸网络代理网络及其基础设施，此次行动背后的Sergei Makinin已遭逮捕且已认罪。 美国司法部 (DoJ) 表示：“僵尸网络基础设施感染了 Windows 系统，然后进一步扩大到感染Linux、Mac 和 Android 设备，使世界各地的计算机和其他电子设备受害，包括亚洲、欧洲、北美和南美。其中被植入IPStorm恶意程式的受害者主要位于亚洲，前三名是香港、韩国与中国台湾。 崛起于2019年6月的IPStorm是以Golang所撰写，原本锁定Windows装置进行感染，随后并将版图扩大到Linux、macOS与Android，其恶意程式目的是令这些装置为Makinin所控制，Makinin对外宣称总共握有全球2.3万个装置的控制权，遍及亚洲、美洲与欧洲。 基于 Golang 的僵尸网络恶意软件在拆除之前，将受感染的设备转变为代理，作为营利计划的一部分，然后通过 proxx[.]io 和 proxx[.]net 向其他客户提供。 网络安全公司 Intezer在2020 年 10 月指出：“IPStorm 是一个僵尸网络，它滥用名为星际文件系统 ( IPFS ) 的合法点对点 (p2p) 网络来掩盖恶意流量。” 隐藏其恶意活动的威胁行为者“每月花费数百美元”购买对 23,000 多个机器人的非法访问权限来路由其流量。据估计，Makinin 从该计划中至少净赚了 55 万美元。 根据认罪协议，Makinin 预计将没收与犯罪相关的加密货币钱包。 Bitdefender 调查和取证部门高级主管 Alexandru Catalin Cosoi 在一份声明中表示：“星际风暴僵尸网络非常复杂，通过将其租用为受感染物联网设备的代理即服务系统，来支持各种网络犯罪活动。” 据了解，Makinin同时拥有俄罗斯及摩尔多瓦国籍，美国司法部并未说明FBI是如何摧毁IPStorm的基础设施又是如何逮捕Makinin，仅说是联邦调查局与西班牙警方，以及Bitdefender、Anomali Threat Research及Intezer等网络安全从业者的合作下共同破获IPStorm。其中，Intezer本周提供了IPStorm的网路入侵指标，并协助使用者侦测及终止系统所执行的恶意程序。 Makinin承认了3项罪名，涉及未经授权故意传送程序并造成损害，每项罪名最高都可判处10年刑期。   转自E安全，原文链接：https://mp.weixin.qq.com/s/luH7QvKGIOrsM6CDumvj6w 封面来源于网络，如有侵权请联系删除

11月13日，国家金融监管总局网站显示，华美银行（中国）有限公司（简称华美中国）因“生产环境安全管控不足”和“生产数据安全管控不足”被责令整改，并处罚款60万元人民币（下同）。 财联社记者注意到，据国家金融管理总局官网查询，这是外资银行公开可查询的首张类似罚单，亦是华美银行在华经营以来首张监管罚单。 此外，罚单显示，与华美中国一同被处罚的还有时任华美中国信息科技部主管仲蔚，因“对华美中国生产环境安全管控不足及生产数据安全管控不足负直接管理责任”被处于警告。 一位在外资行和国内大行金融科技部门都曾有过工作经历的人士告诉财联社记者，现实中行业出现这类事件（指数据安全问题）应该比较多，只是开罚单比较少，主要还是看造成的影响。 财联社记者注意到，此次罚单对违法违规事实表述与过往稍有不同。据国家金融管理总局网站显示，过往罚单对此类情况多笼统表述为“数据安全”，例如在2021年1月，原中国银保监会对农业银行的罚单中指出其“数据安全管理较粗放，存在数据泄露风险”。 “数据安全是泛指所有和数据相关的安全工作，不限于生产数据，涵盖不限于测试数据，验证结果、解决方案等有价值的信息。”上述人士表示。此次监管对华美中国的罚单所涉及数据安全领域更为细化，在罚单表述中尚属首例。 此外，财联社记者注意到，此次罚单中提到“生产环境安全管控不足”，在过往罚单中也比较罕见。上述人士指出，“生产环境”指的是正式发布使用的系统环境，以及和生产环境同步的灰度环境、容灾环境等。据国家金融管理总局网站查询，目前已公开罚单中涉及该表述的也仅此一例。 据公司官网显示，华美银行是总部位于美国南加州最大的商业银行，于1973年在加州洛杉矶唐人街开业，是全美首家主要为华裔社区提供服务的联邦储贷银行。 华美中国是由美国华美银行在上海市设立的外商独资法人银行，注册资本为人民币14亿元，2003年在北京设立首个办事处。目前，华美中国在上海（总部）、深圳、汕头设有分行，同时在北京、广州、重庆和厦门设有办事处。 据华美中国企业年报显示，截至2022年末，公司资产总额为128.76亿元，较2021年同期增加了18.71亿元，增幅为17%；2022年营收2.55亿元，同比增长46.90%；净利润净利润为9217万元，较2021年增加6548万元。资本充足率为19.16%，一级资本充足率为18.09%。 财联社记者注意到，此次为华美银行在华经营以来收到的首张监管罚单。 “从趋势来看，银行信息安全领域监管正在加强。尤其在AIGC（即生成式人工智能）这一波冲击下，国家对数据安全肯定会更加严格。”上述人士指出。   转自安全圈，原文链接：https://mp.weixin.qq.com/s/ee9Jx_rp7KiK6ZkXnZATrA 封面来源于网络，如有侵权请联系删除

据BleepingComputer 11月14日消息，Lockbit 勒索软件正利用 Citrix Bleed已公开的漏洞 (CVE-2023-4966) 来破坏大型企业系统、窃取数据并加密文件。该组织近来因陆续攻击勒索波音、中国工商银行等知名企业而再度引发世人关注。 威胁研究员 Kevin Beaumont 一直在追踪针对中国工商银行、  DP World、Allen & Overy 和波音等多家公司的攻击，发现了其中的一些共同点。这些暴露的 Citrix 服务器容易受到 Citrix Bleed 漏洞的影响。 《华尔街日报》进一步证实了这一点，该报获得了美国财政部发给特定金融服务提供商的一封电子邮件，其中提到 LockBit 对中国工商银行的网络攻击负有责任，该攻击是通过利用 Citrix Bleed 缺陷实现。 根据日本威胁研究人员Yutaka Sejiyama与 BleepingComputer 分享的调查结果，截至撰写本文时，超过 10400 台 Citrix 服务器容易受到 CVE-2023-4966 漏洞的攻击。这些服务器中大多数位于美国，达3133 台。 Sejiyama 的扫描显示了上述大型关键组织中存在易受攻击的服务器，所有这些服务器在公开披露该关键缺陷后整整一个月都没有进行修补。 Citrix Bleed 于 10 月 10 日首次披露了该漏洞，影响 Citrix NetScaler ADC 和网关，从而允许访问敏感设备信息，并建议相关企业及时升级至已实施安全更新的修复版本。 Mandiant 报告称，攻击者 于 8 月下旬开始利用 Citrix Bleed，当时该安全漏洞仍为零日漏洞。在攻击中，黑客在多重身份验证阶段（MFA）后使用 HTTP GET 请求来获取 Netscaler AAA 会话 cookie。 Citrix 敦促管理员保护系统免受这种低复杂性、无交互的攻击。10 月 25 日，外部攻击面管理公司 AssetNote 发布了一个概念验证漏洞， 演示了如何窃取会话令牌。     转自Freebuf，原文链接：https://www.freebuf.com/news/383908.html 封面来源于网络，如有侵权请联系删除

近日，Intel修复了其现代台式机、服务器、移动和嵌入式 CPU（包括最新的 Alder Lake、Raptor Lake 和 Sapphire Rapids 微体系结构）中的一个高严重性 CPU 漏洞。 攻击者可以利用CVE-2023-23583漏洞提升权限、访问敏感信息或触发拒绝服务状态，这可能会让云提供商为此付出高昂的代价。 Intel公司表示：在某些微体系结构条件下发现，在某些情况下，执行以冗余 REX 前缀编码的指令 (REP MOVSB) 可能会导致不可预测的系统行为，造成系统崩溃/挂起，或者在某些有限的情况下，可能会允许从 CPL3 到 CPL0 的权限升级 (EoP)。 Intel公司表示，任何非恶意的实际软件都不会遇到这个问题。多余的 REX 前缀不会出现在代码中，也不会由编译器生成。黑客在恶意利用此漏洞前需要执行任意代码。Intel在受控的Intel实验室环境中进行内部安全验证时，发现在有限的情况下存在权限升级的可能性。使用受影响处理器的特定系统，包括使用 Alder Lake、Raptor Lake 和 Sapphire Rapids 的系统，已经在 2023 年 11 月之前收到了更新的微代码，目前并未观察到性能影响或预期问题。 此外，为了解决其他 CPU 的问题，Intel公司还发布了微码更新，并建议用户更新 BIOS、系统操作系统和驱动程序，以便从原始设备制造商 (OEM)、操作系统供应商 (OSV) 和管理程序供应商那里获得最新的微码。 Intel公司建议广大用户尽快将受影响的处理器更新到下面受影响处理器表中列出的微码版本，以缓解这一冗余前缀问题。OSV 也可尽快提供包含此新微码的更新。 Reptar 是一个 “非常奇怪 “的漏洞 谷歌漏洞研究员Tavis Ormandy透露，谷歌信息安全工程和 silifuzz 团队等多个研究团队也独立发现了这个安全漏洞，并将其命名为 Reptar。 谷歌云副总裁兼首席信息安全官Phil Venables提到，该漏洞与 “CPU如何解释冗余前缀有关，如果利用成功，将导致绕过CPU的安全边界”。通常情况下，冗余前缀应该被忽略，但 Ormandy 在测试过程中发现，由于这个漏洞，冗余前缀引发了 “非常奇怪的行为”。 Tavis Ormandy称在测试过程中发现了一些非常奇怪的行为。比如分支到意外位置，无条件分支被忽略，处理器不再准确记录 xsave 或调用指令中的指令指针。这表明这其中可能存在严重问题，在实验中，我们发现当多个内核触发同一个错误时，处理器就会开始报告机器检查异常并停止运行。 今年早些时候，谷歌安全研究人员发现了影响现代英特尔CPU的Downfall漏洞和Zenbleed漏洞，攻击者可以从使用AMD Zen2 CPU的系统中窃取密码和加密密钥等敏感数据。 昨天（11月14日），AMD 还修补了一个名为 CacheWarp 的漏洞，该漏洞可让恶意行为者入侵 AMD SEV 保护的虚拟机，从而提升权限并获得远程代码执行。     转自Freebuf，原文链接：https://www.freebuf.com/news/383884.html 封面来源于网络，如有侵权请联系删除

Ducktail 窃取恶意软件背后的越南威胁行为者与 2023 年 3 月至 10 月初开展的一项新活动有关，该活动针对印度的营销专业人士，旨在劫持 Facebook 企业帐户。 卡巴斯基在上周发布的一份报告中表示，“它与众不同的一个重要特点是，与之前依赖 .NET 应用程序的活动不同，这次活动使用 Delphi 作为编程语言。” Ducktail与Duckport和NodeStealer一样，都是在越南运营的网络犯罪生态系统的一部分，攻击者主要使用 Facebook 上的赞助广告来传播恶意广告并部署能够掠夺受害者登录 cookie 并最终控制其帐户的恶意软件。 此类攻击主要针对可能有权访问 Facebook Business 帐户的用户。然后，欺诈者利用未经授权的访问来投放广告以获取经济利益，从而进一步加剧感染。 在俄罗斯网络安全公司记录的活动中，寻求职业转变的潜在目标会收到包含恶意可执行文件的存档文件，该恶意可执行文件伪装成 PDF 图标，以诱骗他们启动二进制文件。 这样做会导致恶意文件将名为 param.ps1 的 PowerShell 脚本和一个诱饵 PDF 文档本地保存到 Windows 中的“C:\Users\Public”文件夹中。 卡巴斯基表示：“该脚本使用设备上的默认 PDF 查看器打开诱饵，暂停五分钟，然后终止 Chrome 浏览器进程。” 父可执行文件还会下载并启动名为 libEGL.dll 的恶意库，该库会扫描“C:\ProgramData\Microsoft\Windows\Start Menu\Programs”和“C:\ProgramData\Microsoft\Internet Explorer\Quick Launch\User Pinned” \TaskBar\” 文件夹，用于存放基于 Chromium 的 Web 浏览器的任何快捷方式（即 LNK 文件）。 下一阶段需要通过添加“ –load-extension ”命令行开关后缀来更改浏览器的 LNK 快捷方式文件，以启动一个恶意扩展程序，该扩展程序伪装成合法的Google Docs Offline 附加组件以在雷达下运行。 该扩展程序旨在将所有打开的选项卡的信息发送到在越南注册的由攻击者控制的服务器，并劫持 Facebook 企业帐户。 谷歌起诉诈骗者使用巴德诱饵传播恶意软件 这些发现凸显了 Ducktail 攻击技术的战略转变，与此同时，谷歌对印度和越南的三名身份不明的个人提起诉讼，指控他们利用公众对 Bard 等生成式 AI 工具的兴趣，通过 Facebook 传播恶意软件并窃取社交媒体登录凭据。 该公司在诉状中称，“被告通过社交媒体帖子、广告（即赞助 帖子）和页面分发其恶意软件的链接，每个页面都声称提供 Bard 或其他 Google AI 产品的可下载版本。” “当登录社交媒体帐户的用户点击被告广告或其页面上显示的链接时，这些链接会重定向到外部网站，从该网站将 RAR 存档（一种文件类型）下载到用户的计算机上。” 存档文件包括一个安装程序文件，该文件能够安装擅长窃取受害者社交媒体帐户的浏览器扩展。 今年 5 月初，Meta 表示，它观察到威胁行为者在官方网络商店中创建了欺骗性浏览器扩展，这些扩展声称提供 ChatGPT 相关工具，并且它检测到并阻止了 1,000 多个唯一 URL 在其服务中共享。     转自安全客，原文链接：https://www.anquanke.com/post/id/291370 封面来源于网络，如有侵权请联系删除

今天是微软的 2023 年 11 月补丁日，微软修复了58 个缺陷，其中包括 5 个0day。 本月更新修复了 14 个远程代码执行 (RCE) 漏洞，微软将其中一个评为严重级。今天修复的三个关键漏洞是 Azure 信息泄露错误、Windows Internet 连接共享 (ICS) 中的 RCE 漏洞以及允许在具有 SYSTEM 权限的主机上执行程序的 Hyper-V 转义缺陷。 下面列出了每个漏洞类别中的漏洞数量： 16 个特权提升漏洞 6 个安全功能绕过漏洞 15 个远程代码执行漏洞 6 个信息泄露漏洞 5 个拒绝服务漏洞 11 个欺骗漏洞 58 个漏洞的总数不包括本月早些时候发布的 5 个 Mariner 安全更新和 20 个 Microsoft Edge 安全更新。 三个被积极利用的0day漏洞： CVE-2023-36036 – Windows 云文件微型筛选器驱动程序特权提升漏洞 Microsoft 修复了一个经常被利用的 Windows 云文件迷你过滤器权限提升错误。 微软解释说：“成功利用此漏洞的攻击者可以获得系统权限。” 目前尚不清楚该缺陷是如何在攻击中被滥用的，也不清楚是由哪些攻击者滥用的。 该漏洞是由 Microsoft 威胁情报 Microsoft 安全响应中心内部发现的。 CVE-2023-36033 – Windows DWM 核心库特权提升漏洞 Microsoft 修复了一个被积极利用并公开披露的 Windows DWM 核心库漏洞，该漏洞可用于提升 SYSTEM 权限。 微软解释说：“成功利用此漏洞的攻击者可以获得系统权限。” 微软表示该漏洞是由 DBAPPSecurity WeBin Lab 的 Quan Jin(@jq0904) 发现的 ， 但没有透露如何在攻击中使用它们的详细信息。 CVE-2023-36025 – Windows SmartScreen 安全功能绕过漏洞 一个经常被利用的 Windows SmartScreen 缺陷，该缺陷允许恶意 Internet 快捷方式绕过安全检查和警告。 微软解释说：“攻击者将能够绕过 Windows Defender SmartScreen 检查及其相关提示。” 用户必须单击特制的 Internet 快捷方式 (.URL) 或指向 Internet 快捷方式文件的超链接，才会受到攻击者的攻击。 该漏洞是由 Will Metcalf (Splunk)、微软威胁情报和微软 Office 产品组安全团队发现的。 另外两个公开披露的0day漏洞“CVE-2023-36413 – Microsoft Office 安全功能绕过漏洞”和“CVE-2023-36038 – ASP.NET Core 拒绝服务漏洞”，这两个漏洞也进行了修复。微软表示，它们并未在攻击中被积极利用。 本周，Adobe 推出了大量安全修复程序，以覆盖其 Acrobat 和 Reader、ColdFusion、inDesign、inCopy 和 Audition 产品中的严重缺陷。 Adobe 记录了 72 个不同的安全漏洞，并呼吁特别关注广泛部署的 Adobe Acrobat 和 Reader 软件中的代码执行缺陷。 在一份漏洞严重性公告中，Adobe 记录了至少 17 个 Acrobat 和 Reader 错误，这些错误使未修补的 Windows 和 macOS 系统面临任意代码执行和内存泄漏风险。 Adobe 还针对至少六个不同的 ColdFusion 漏洞发布了补丁，这些漏洞可能导致任意代码执行和安全功能绕过。ColdFusion 漏洞被标记为严重级别并影响 2023 和 2021两个版本。     转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/zF0YJhQt56nC1L5RsrBD4Q 封面来源于网络，如有侵权请联系删除