Securityaffairs网站消息，网络安全公司ESET已经解决了其Windows安全方案中的一个高严重性权限提升漏洞。 据了解，该漏洞由Zero Day Initiative（ZDI）提交给ESET，被追踪为CVE-2024-0353（CVSS评分7.8），是一个本地权限提升问题。 ESET发布的安全通告中提到，Windows操作系统的实时文件系统保护功能在处理文件操作时存在漏洞，这一漏洞允许攻击者在没有适当权限的情况下在目标系统上执行代码，并以NT AUTHORITY\SYSTEM的身份删除任意文件，从而提高攻击者的权限。 目前，ESET并没有发现有关此漏洞在实际环境中被利用的攻击事件。 以下是受影响的程序和版本列表： ESET NOD32 杀毒软件、互联网安全、智能安全高级版、安全终极版，版本号至16.2.15.0及以前的版本； ESET 终端杀毒软件 for Windows 和 终端安全 for Windows，版本号至10.1.2058.0、10.0.2049.0、9.1.2066.0、8.1.2052.0及相应版本系列的以前版本； ESET Windows服务器安全（之前称为Microsoft Windows服务器文件安全），版本号至10.0.12014.0、9.0.12018.0、8.0.12015.0、7.3.12011.0及相应版本系列的以前版本； ESET Microsoft Exchange服务器邮件安全，版本号至10.1.10010.0、10.0.10017.0、9.0.10011.0、8.0.10022.0、7.3.10014.0及相应版本系列的以前版本； ESET IBM Domino邮件安全，版本号至10.0.14006.0、9.0.14007.0、8.0.14010.0、7.3.14004.0及相应版本系列的以前版本； ESET Microsoft SharePoint服务器安全，版本号至10.0.15004.0、9.0.15005.0、8.0.15011.0、7.3.15004.0及相应版本系列的以前版本； ESET Microsoft Azure文件安全，包括所有版本。 ESET已经发布了补丁，以解决NOD32防病毒软件、互联网安全、智能安全高级版、安全终极版、Windows端点防病毒和端点安全、Windows服务器的服务器安全、Exchange服务器和IBM Domino的邮件安全、SharePoint服务器的安全、以及Microsoft Azure文件安全中的问题。 该公司没有为那些已达到EoL状态的产品提供安全补丁，公司建议客户尽早为其产品应用安全补丁。   转自Freebuf，原文链接：https://www.freebuf.com/news/391969.html 封面来源于网络，如有侵权请联系删除

领先的金融和保险公司之一保德信金融集团（Prudential Financial）成为网络攻击的受害者，在此期间该公司员工和承包商的数据被泄露。 有关安全漏洞的信息 已在向美国证券交易委员会 ( SEC ) 提交的8-K 表格中公开，其中指出黑客攻击发生于 2 月 4 日，该公司于 2 月 5 日阻止了黑客访问受感染的系统。 Prudential 表示，网络犯罪分子能够访问某些 IT 系统的管理和用户数据，以及一小部分员工和承包商的帐户。 该公司已向执法机构报告了这一事件，并通知了所有相关监管机构。调查正在进行中，以评估该事件的全面范围和影响。目前，保德信没有证据表明犯罪分子已访问客户或客户信息。保德信金融表示，该事件并未对公司运营产生重大影响，也不会对其财务状况或经营业绩产生影响。 保德信金融集团管理着约 1.4 万亿美元的资产，为美国、亚洲、欧洲和拉丁美洲超过 5000 万客户提供保险、退休计划以及金融和投资管理服务。该公司报告 2023 年收入超过 500 亿美元，在全球拥有 40,000 名员工。   转自安全客，原文链接：https://www.anquanke.com/post/id/293237 封面来源于网络，如有侵权请联系删除

英国最大的水和废水供应商之一 南方水务公司在一份声明中承认，其 5% 至 10% 的客户数据在 1 月份的一次网络攻击中被盗 。 该信息发布之际，人们已经对也受到该事件影响的公司员工的数据安全存在担忧。该公司打算在未来几天直接联系受影响的客户。 虽然南方水公司尚未证实该事件是由勒索软件引起的，但此前声称对此次攻击负责的网络犯罪组织 Black Basta 已在网上公布了部分被盗数据。公布的信息包括个人文件和人事档案。 该公司在发给客户的信中警告称，姓名、出生日期、国民保险号码、银行账号和其他信息可能被盗。受影响的人可以免费订阅Experian IdentityWorks（一项信用记录监控服务）一年。 南方水务网站称，该公司为250万水务客户和超过470万污水处理客户提供服务，这意味着数十万客户可能很快就会收到数据盗窃通知信。 该公司最新声明称，尽管发生了这一事件，但南方水务客户的运营和服务并未受到干扰。该公司正在积极与政府、监管机构、国家网络安全中心合作，同时也已通知警方和数据保护局。 针对该事件，IT安全团队还采取了额外措施来保护公司内部系统。 值得注意的是，Black Basta 勒索软件已经从其泄露站点删除了有关 Southern Water 的信息。这通常发生在支付赎金后，但该公司拒绝对此发表评论。有可能仅发布的一小部分数据就足以让南方水务管理部门决定支付赎金，以不发布所有剩余信息。 该事件突显了供水和废水处理等关键基础设施面临的日益严重的威胁，这些基础设施已日益成为网络攻击的目标。   转自安全客，原文链接：https://www.anquanke.com/post/id/293240 封面来源于网络，如有侵权请联系删除

德国电池制造商 VARTA AG 面临 网络攻击，迫使该公司五个工厂暂时停止生产。 由于部分IT基础设施遭到攻击，该公司不得不停止运行IT系统并断开与互联网的连接，以确保安全。目前尚不清楚该事件造成的总体损失有多大。尽管该事件具有勒索软件攻击的所有特征，但目前尚不清楚这是否是发生的攻击类型，也没有主要组织声称对此事件负责。 为了应对此次攻击，该公司启动了应急计划，成立了一个由网络安全专家和计算机取证专家组成的工作组，以帮助恢复系统。 VARTA 的首要任务是确保数据完整性，并决定主动关闭系统。 网络攻击消息公布后，五家工厂的生产业务关闭，且没有明确的恢复正常运营的时间表，导致 VARTA 股价下跌 4.75%。 VARTA 为汽车、消费和工业市场生产电池，由 Energizer Holdings 部分拥有，拥有超过 136 年的研发历史，其产品在全球销售。公司年收入超过8.75亿美元。   转自安全客，原文链接：https://www.anquanke.com/post/id/293242 封面来源于网络，如有侵权请联系删除

由于大规模勒索软件攻击导致当地卫生管理系统瘫痪,导致罗马尼亚至少 25 家医院面临严重的运营问题。 罗马尼亚医院用来管理医疗活动和患者数据的希波克拉底信息系统（HIS）在周末遭到攻击。结果，系统数据库被加密，导致HIS无法访问。 罗马尼亚卫生部 于2月11日至12日晚报告了这一事件。由于运行HIS信息系统的生产服务器遭到攻击，系统完全瘫痪，文件和数据库被Phobos家族勒索软件Backmydata加密。 由于系统离线或关闭，医生被迫重新开处方并将所有记录保存在纸上。 IT专家正在调查这一事件，其中包括罗马尼亚国家网络安全局（DNSC）的专家。作为预防措施，在调查事件期间，其他 75 家使用 HIS 的医疗机构也已将其系统关闭。 DNSC 表示：“大多数受影响的医院都在受影响的服务器上备份了数据，其中备份的数据相对较新（1-2-3 天前），但有一家医院的数据备份时间是 12 天前。” 这次袭击影响了罗马尼亚各地的许多医院，包括地区医院和癌症中心。 DNSC 的网络安全专家目前正在调查该事件，并 建议 受影响医院的 IT 团队暂时不要受到干扰，以便他们可以专注于恢复服务和数据。 攻击者已经提出了 3.5 BTC（约 157,000 欧元）的赎金要求。然而，勒索信中并未提及负责此次攻击的组织名称，仅提及了电子邮件地址。 希波克拉底医疗系统软件供应商 RSC 不太可能支付赎金，因为拥有备份副本可以使恢复变得更加容易。 IT 专家必须应对并尽快让受影响的系统恢复运行。   转自安全客，原文链接：https://www.anquanke.com/post/id/293255 封面来源于网络，如有侵权请联系删除

Black Basta 公布了威利斯租赁金融公司 (Willis Lease Finance Corporation) 的秘密文件。 威利斯租赁金融公司是一家喷气发动机租赁公司，是本次网络攻击的受害者，在此期间机密数据最终落入 Black Basta 组织手中。这是从 2 月 9 日向美国证券交易委员会 ( SEC ) 提交的 8-K 表文件中得知的。该公司于 1 月 31 日发现了未经授权访问的迹象，并立即开始对该事件进行补救。 文件指出，已聘请网络安全领域的顶尖专家来调查该事件并予以平息。尽管如此，该公司承认，由于某些系统中断，必须开发临时解决方案才能继续运营和服务客户。 有关损害的详细信息尚未披露，但该公司已通知执法部门，并正在继续努力确定数据泄露的程度。 Black Basta 组织声称，该组织能够窃取 910GB 的数据，包括员工个人数据、人力资源文件、保密协议以及与主要航空公司的租赁协议的详细信息和 40 份护照扫描件。 Black Basta 在其泄露网站上发布了相关文件的样本，以及各种人事文件，其中列出了公司各个部门和职位的员工的社会安全号码。威利斯租赁金融公司的代表尚未对此事发表评论。     转自安全客，原文链接：https://www.anquanke.com/post/id/293253 封面来源于网络，如有侵权请联系删除

威胁情报公司 Group-IB 报告称，2023 年 11 月至 12 月期间，一名黑客成功从至少 65 个网站窃取了超过 200 万个电子邮件地址和其他个人信息。 该黑客组织主要依靠 SQL 注入攻击，被追踪为ResumeLooters，自 2023 年初以来一直活跃，在中文黑客主题 Telegram 群组中出售窃取的信息。 观察到的攻击类似于GambleForce发起的攻击，GambleForce 是一个依靠 SQL 注入来危害亚太地区赌博和政府网站的黑客。 与 GambleForce 一样，ResumeLooters 在 SQL 注入攻击中也使用了各种开源工具和渗透测试框架。 然而，主要区别在于 ResumeLooters 还使用注入合法求职网站的 XSS 脚本，旨在显示网络钓鱼表单并获取管理凭据。这些脚本在至少四个网站和一些具有管理访问权限的设备上执行。 在一个例子中，该组织在招聘网站上创建了一份虚假的雇主资料，并使用该资料中的一个字段注入了 XSS 脚本。在另一个例子中，XSS 代码被包含在伪造的简历中。 通过注入恶意 SQL 查询，攻击者能够检索包含近 220 万行的数据库，其中超过 50 万行代表来自就业网站的用户数据。 Group-IB 表示：“ResumeLooters 已被证实窃取了多个数据库，其中包含 2,079,027 封独特的电子邮件和其他记录，例如姓名、电话号码、出生日期以及有关求职者的经历和就业历史的信息。” Group-IB 指出，由于安全性差和数据库管理实践不足，这些攻击表明使用公开可用的工具可以造成多大的损害，并指出公司可以轻松避免成为 GambleForce 和 ResumeLooters 等组织的受害者。 该网络安全公司指出：“除了潜在暴露求职者数据（包括电话号码、电子邮件地址和其他个人信息）之外，各种 APT 组织还可以利用这些信息来进一步针对特定个人。”   转自安全客，原文链接：https://www.anquanke.com/post/id/293180 封面来源于网络，如有侵权请联系删除

黑客继续将目光瞄准世界各地的城市，这一次在最近几周袭击了美国和西班牙的多个目标。 在美国，田纳西州的日耳曼敦周五下午宣布发生勒索软件攻击，影响了内部现场服务器。周一，这座拥有 41,000 人口的城市表示，它已经能够恢复办公室电话线路。政府运营设施的部分 WiFi 仍然无法连接。 市政府官员在周五早上 6 点首次获悉该事件后，该镇的“网络安全恶意软件系统立即被触发，以限制损失”，他们在之前的一份声明中表示。 “初步评估表明，与金融、公用事业和支付信息相关的数据并未受到损害。由于采取了积极主动的措施，这些系统特意基于云并在场外托管，以尽量减少潜在网络安全攻击的影响，”他们表示。 “虽然影响很小，但发放许可证和响应公共记录请求等服务的获取可能会延迟。” 该镇没有回应有关受影响服务器上具体内容的置评请求，但声明称服务器已“隔离”，所有网络计算机均已关闭。临时网站是为了支付公用事业和税款而创建的，但该市指出，也可以亲自在市政厅支付。 所有消防和警察服务，包括该市的 911 系统，仍在运行。联邦调查局正在帮助该镇进行调查，事件响应人员正在协助恢复工作。 在 2023 年发生了针对市、县和州级政府的毁灭性攻击之后，2024 年已经发生了多起事件。 亚特兰大的所在地富尔顿县仍在努力从勒索软件攻击中恢复过来，这场勒索软件攻击导致全县范围内的停电几乎触及政府的每个部门。 西班牙袭击 西班牙的两个城镇——特奥和圣安东尼德波特曼尼——上周也宣布发生了限制其运作和提供服务能力的事件。 这两个城镇的居民均不足 30,000 人，他们联系了国家密码中心 (CCN) 以及其他执法机构寻求帮助。 位于伊维萨岛的圣安东尼德波特曼尼表示，周四午夜发现了勒索软件攻击，该攻击已经限制了该市员工的工作。在分析攻击范围的同时，正在制定遏制措施。 该市在一份机器翻译声明中表示：“IT 设备仍然处于瘫痪状态，在分析和解决情况的同时，员工已收到行动指南。” “市议会建议市民在亲自前往之前致电，以确认是否可以办理手续或是否可以参加预约。” Teo 的攻击发生在 1 月 24 日下午，“导致接下来几天的行政活动瘫痪”。此次攻击影响了社会服务办公室和 Teo 妇女信息中心使用的计算机。 该市市长和市议会正在与州官员、西班牙数据保护局和国家警察机构协调恢复工作。   转自安全客，原文链接：https://www.anquanke.com/post/id/293197 封面来源于网络，如有侵权请联系删除

首席大法官黛布拉·托德 (Debra Todd) 表示，恩西瓦尼亚的法院系统遭受了分布式拒绝服务 (DDoS) 攻击，并且正在遭受中断。 由于此次攻击，宾夕法尼亚州法院网站的部分内容目前已关闭，托德表示，联邦调查局 (FBI) 和网络安全与基础设施安全局 (CISA) 都参与了恢复工作。 她在周一下午的一份声明中表示：“仍然没有迹象表明任何法庭数据已被泄露，我们的法庭仍然开放并向公众开放。” 该州周日晚上宣布面临服务中断。律师使用的电子归档系统以及跟踪指定监护人等的其他关键系统不可用。网络摘要系统也已关闭。 用于法庭付款的系统——包括罚款、赔偿、保释和登记——也无法使用。该州的执法机构仍然可以使用包含逮捕令和刑事投诉信息的网站。 法院官员没有回应关于是否就 DDoS 攻击提出任何要求或赎金的置评请求。他们也没有透露 DDoS 事件是否与另一场专门针对华盛顿宾夕法尼亚县的网络攻击有关。 1 月 28 日，该县官员向该州最高法院发出紧急信息，宣布“该地区进入司法紧急状态”，并解释说“该地区发生了一起严重事件，导致该县的大部分技术基础设施无法访问”和/或无法操作。” “司法区的技术与县的技术交织在一起，由县的信息技术人员维护；从而使法院依赖于该县的技术资源，”华盛顿县主席法官加里·吉尔曼说。 1 月 24 日上午 10 点，县官员切断了他们与法院网络和服务器的连接，切断了他们与电子邮件、录音系统、陪审团管理平台、案件管理文件等的联系。在网络安全专家清理这些设备之前，任何人都不能使用法院发放的计算机。 吉尔曼表示，法院一直在努力运作，他补充说，1 月 24 日至 28 日期间几乎没有任何进展。 “目前尚不清楚司法区的技术资源何时能恢复到可运行状态。吉尔曼写道，司法区有可能会因为这一重大事件而遭受一定程度的数据丢失。他指出，法院聘请了律师和数字数据取证公司 Sylint 来帮助他们。 CISA 执行助理主任埃里克·戈尔茨坦 (Eric Goldstein) 向 Recorded Future News 证实，他们正在与宾夕法尼亚州法院合作，并“随时准备提供 CISA 的任何可能有帮助的服务。” 一位 CISA 官员指出，他们就联邦和州机构如何预防和应对持续的 DDoS 攻击（有人通过超载请求而导致服务不堪重负）提供了大量指导。 去年 3 月，威斯康星州法院系统也遭受了 DDoS 攻击，导致其大部分数字系统瘫痪。 美国州级法院继续面临前所未有的严重网络攻击，需要数月时间才能恢复。 佛罗里达州、路易斯安那州、俄亥俄州、内布拉斯加州、德克萨斯州、密苏里州、堪萨斯州和伊利诺伊州的法院今年都处理过数据泄露、勒索软件事件或分布式拒绝服务攻击，这些攻击限制了运营并造成了重大问题。 堪萨斯州最高法院首席大法官玛拉·卢克特 (Marla Lucert)在州立法机构面前的年度演讲中，重点讨论了从 10 月份开始席卷整个法院的毁灭性勒索软件攻击。 她说，针对他们的俄罗斯勒索软件团伙“攻击了我们的民主机构之一，这是我们民主社会的基础，也是我们政府的三个分支之一”。   转自安全客，原文链接：https://www.anquanke.com/post/id/293143 封面来源于网络，如有侵权请联系删除

AnyDesk已采取补救措施，包括吊销安全相关证书、更新受影响系统，并呼吁用户更新至最新版本软件。 本周六凌晨远程桌面软件AnyDesk发布安全公告，确认其公司服务器遭到网络攻击，攻击者窃取了部分源代码和代码签名密钥。根据Shodan搜索结果，美国和中国的AnyDesk端点最多，全球受影响的AnyDesk远程桌面分布如下（7070端口）： AnyDesk是一款流行的远程桌面解决方案，常用于企业IT管理和远程文件访问。此次攻击事件引发了众多安全焦虑，尤其是该软件（与TeamViewer类似）在勒索软件和APT等黑客群体中颇受欢迎，常被用于恶意持久化访问。 AnyDesk公司在声明中表示，他们在发现服务器系统异常后第一时间启动了安全响应计划，并与网络安全公司CrowdStrike合作进行调查。目前尚不清楚攻击者是否窃取了用户数据，但BleepingComputer证实了源代码和代码签名证书的泄露。 值得庆幸的是，此次攻击并非勒索软件感染，也没有证据表明用户终端设备受到影响。AnyDesk已采取补救措施，包括吊销安全相关证书、更新受影响系统，并呼吁用户更新至最新版本软件。 AnyDesk在声明中宣称： “我们的系统设计为不存储可被用来连接最终用户设备的私钥、安全令牌或密码。作为预防措施，我们将撤销门户网站my.anydesk.com的所有密码，并且如果在其他地方使用相同的凭据，我们建议用户更改密码。“ 缓解措施 以下为AnyDesk用户需注意的安全要点： 立即更新至最新版本AnyDesk，新版本使用新的代码签名证书，旧版本证书即将被吊销。 重设AnyDesk账户密码，即使官方表示密码未被窃取，出于谨慎考虑仍建议更改密码。 若AnyDesk密码与其他网站通用，务必在其他平台也进行密码更改。 启用双因素认证（2FA）为账户添加额外的安全保护。 保持警惕，避免点击可疑链接或打开未知文件。 安全研究人员FlorianRoth发布了一个YARA规则检测受损的AnyDesk签名证书二进制文件：https://github.com/Neo23x0/signature-base/blob/master/yara/gen_anydesk_compromised_cert_feb23.yar 截至发稿，根据参与事件调查的网络安全研究人员哈蒙德发布的更新：1.新的AnyDesk代码签名证书是最新版本。2客户数据不受影响，AnyDesk应用程序正常，没有更新或代码被篡改。 AnyDesk是2024年继微软、惠普之后第三家曝出严重安全事件的知名IT企业，且性质极为严重。该事件提醒我们网络安全工作的重要性、艰巨性和复杂性，即便是知名IT企业（产品）也会成为攻击目标，并快速波及全球供应链上的大量企业。   转自Goupsec，原文链接：https://mp.weixin.qq.com/s/2ujyofKMnUlIXNmxF7oGoQ 封面来源于网络，如有侵权请联系删除