谷歌威胁分析小组（TAG）透露，去年解决的一些零日漏洞被商业间谍软件供应商利用，以Android和iOS设备为目标。 这两个不同的活动都有很强的针对性，利用补丁发布与目标设备上实际修复之间的时间差。 这些供应商正在使危险的黑客工具的扩散，武装那些无法在内部开发这些能力的政府，TAG的Clement Lecigne在一份新报告中说。 虽然根据国家或国际法律，监控技术的使用部分是合法的，但人们经常发现有关政府利用这些技术来监控不同政见者、记者、人权工作者和反党人士。 这两次行动中的第一次发生在2022年11月，通过短信向位于意大利、马来西亚和哈萨克斯坦的用户发送缩短的链接。点击后，这些URL将收件人重定向到承载安卓或iOS漏洞的网页，然后他们又被重定向到合法的新闻或货运追踪网站。 iOS的漏洞链利用了多个漏洞，包括CVE-2022-42856（当时的零日）、CVE-2021-30900和一个指针认证代码（PAC）绕过，将一个.IPA文件安装到易受影响的设备上。 安卓系统的漏洞链包括三个漏洞–CVE-2022-3723、CVE-2022-4135（滥用时为零日）和CVE-2022-38181以传递一个未指定的有效载荷。 虽然CVE-2022-38181是一个影响Mali GPU内核驱动的特权升级漏洞，在2022年8月被Arm打了补丁，但对方可能在补丁发布之前已经掌握了该漏洞的利用方法。 另一点值得注意的是，点击链接在三星浏览器中打开的安卓用户，被使用一种称为意图重定向的方法重定向到Chrome。 第二个活动是在2022年12月观察到的，包括几个针对最新版本的三星浏览器的零日和n日，这些漏洞通过短信作为一次性链接发送到位于阿联酋的设备。 该网页与西班牙间谍软件公司Variston IT使用的网页类似，都植入了一个基于C++的恶意工具包，能够从聊天和浏览器应用程序中获取数据。 被利用的漏洞包括CVE-2022-4262、CVE-2022-3038、CVE-2022-22706、CVE-2023-0266和CVE-2023-26083。据信，该漏洞链被瓦里斯顿信息技术公司的一个客户或合作伙伴所利用。 目前，这两个活动的规模和目标的性质目前还不清楚。 在拜登签署“限制使用商业间谍软件”的行政命令几天后，这些消息就被披露出来。足以见得，商业间谍软件行业任然在蓬勃发展。监控供应商之间正在分享漏洞和技术，即使是较小的监控供应商也能获得零日漏洞。供应商秘密储存和使用零日漏洞在短时间内对互联网仍构成严重的风险。     转自 Freebuf，原文链接：https://www.freebuf.com/news/362018.html 封面来源于网络，如有侵权请联系删除

今年在温哥华举行的Pwn2Own黑客大赛向发现和利用许多以前未知的零日安全漏洞的研究人员颁发了超过100万美元的奖金。这笔钱的一半以上给了一个团队。Pwn2Own是由趋势科技的零日计划（ZDI）在温哥华CanSecWest安全会议期间举办的年度黑客大赛。 每年，安全研究人员和代码专家都会加入数字战场，希望能大获全胜，赢得ZDI提供的丰厚的现金奖励。今年，五支安全专家团队揭露了流行软件和技术产品中的一些黑客行为。 在为期三天的活动结束时，参赛者披露了27个独特的零日漏洞，共分得103.5万美元（和被黑的汽车）。渗透测试公司Synacktiv团队获得了”Pwn大师”称号，他们获得了53个Pwn大师积分、53万美元和特斯拉Model 3汽车。 Synacktiv在第一天取得了绝对的领先优势，其团队攻陷了一辆特斯拉Model 3，并破解了macOS的访问权限。第二天，Synacktiv通过展示针对特斯拉信息娱乐系统的堆溢出和OOB写零日漏洞链，进一步巩固了其领先地位。 Synacktiv的代码破解者Thomas Imbert和Thomas Bouzerar还展示了一个在Oracle VirtualBox上升级权限的三个漏洞链，价值80000美元。Tanguy Dubroca在Ubuntu桌面上成功地进行了权限升级演示，获得了30000美元。在第三天的比赛结束时，Thomas Imbert又获得了30000美元的奖金，因为他成功地利用Use-After-Free零日漏洞入侵了一个完全打过补丁的Windows11系统。 Star Labs在利用了微软SharePoint和VMWare Workstation的零日漏洞以及Ubuntu Desktop上的一个先前已知的碰撞后，获得了19.5万美元和19.5 MoP积分，位居第二。Viettel团队获得了第三名，通过入侵微软团队和甲骨文VirtualBox，获得了115000美元和12个MoP积分。Qrious Security和独立安全研究人员AbdulAziz Hariri分别以55000美元（5.5分）和50000美元（5分）的奖金结束了比赛，排名第四和第五。 零日计划现在将向各自的软件供应商提供Pwn2Own 2023期间演示的所有27个零日漏洞的详细信息。在ZDI公开披露这些漏洞之前，各公司将有90天的时间来修复这些漏洞并发布其安全补丁，无论补丁是否可用。     转自 cnBeta，原文链接：https://www.toutiao.com/article/7215722988144951819/ 封面来源于网络，如有侵权请联系删除  

Bleeping Computer 网站披露，苹果公司近期发布了安全更新，以解决旧款 iPhone 和 iPad 的零日漏洞。 漏洞被追踪为 CVE-2023-23529，是一个 WebKit 类型的混淆问题。值得一提的是，苹果公司于 2023 年 2 月 13 日已经在较新的 iPhone 和 iPad 设备上修复了该漏洞。 CVE-2023-23529 漏洞危害极大，一旦攻击者成功利用，可能会引起操作系统崩溃，威胁攻击者甚至可以在诱骗受害者打开恶意网页后，在目标 iPhone 和 iPad 上执行任意代码（该漏洞也会影响 macOS Big Sur 和 Monterey 上的 Safari 16.3.1）。 苹果公司曾在一份报告中声称，CVE-2023-23529 漏洞可能被积极利用了。该公司最后通过改进检查来解决 iOS 15.7.4 和 iPadOS 15.7.4 中的零日问题。 受影响的设备包括： iPhone 6s（所有型号）、iPhone 7（所有机型）、iPhone SE（第一代）、iPad Air 2、iPad mini（第四代）和 iPod touch（第七代）设备。 建议用户尽快更新 苹果公司表示其内部知道漏洞可能在攻击中被利用了，但尚未公布有关这些事件的详细信息。 虽然 CVE-2023-23529 漏洞可能只用于有针对性的攻击，但强烈建议用户尽快安装安全更新，以阻止针对运行旧软件的 iPhone 和 iPad设 备用户的潜在攻击企图。 此外，用户还能够通过限制对技术细节的访问，尽可能多的保护个人设备，并减缓攻击者开发和部署针对易受攻击设备的额外攻击的速度。 今年 1 月，苹果还将一个可远程利用的零日漏洞的补丁（由谷歌威胁分析小组的 Clément Leigne 发现并报告）移植到了旧款 iPhone 和 iPad 上。     转自 Freebuf，原文链接：https://www.freebuf.com/news/361786.html 封面来源于网络，如有侵权请联系删除

近日，根据 Fortinet 最新报告：不明来源的的攻击者利用零日漏洞针对政府和大型组织，导致操作系统和文件损坏以及数据丢失。 Fortinet于2023年3月7日发布了安全更新，以解决这个高危安全漏洞（CVE-2022-41328），该漏洞可以让攻击者执行未经授权的代码或命令。 该公司在公告中说：FortiOS中的路径名对受限目录漏洞的不当限制（路径穿越）[CWE-22]允许有特权的攻击者通过CLI命令读取和写入任意文件。 受影响的产品包括FortiOS 6.4.0至6.4.11版本，FortiOS 7.0.0至7.0.9版本，FortiOS 7.2.0至7.2.3版本，以及FortiOS 6.0和6.2的所有版本。 虽然该漏洞的公告没有提到该漏洞被人在野外利用，但Fortinet上周发布的一份报告显示，CVE-2022-41328漏洞已被用来入侵并攻陷客户的多个FortiGate防火墙设备。 数据窃取恶意软件 该事件是在被攻击的Fortigate设备中断后发现的，由于FIPS错误，系统进入错误模式并无法重新启动。 Fortinet说，发生这种情况是因为其支持FIPS的设备验证了系统组件的完整性，而且它们被设置为自动关闭并停止启动，以便在检测到破坏时阻止网络入侵。 这些Fortigate防火墙是通过受害者网络上的FortiManager设备被破坏的，因为它们同时停止，并且FortiGate路径遍历漏洞与通过FortiManager执行的脚本同时启动。 随后的调查显示，攻击者修改了设备固件镜像（/sbin/init），在启动过程开始前启动一个有效载荷（/bin/fgfm）。 这种恶意软件在收到含有”;7(Zu9YTsA7qQ#vm “字符串的ICMP数据包时，可以进行数据渗透，下载和写入文件，或打开远程外壳。 用来攻击政府网络的零日 Fortinet认为，这些攻击具有很强的针对性，主要针对政府网络。攻击者还具有很强的攻击手段及能力，包括反向设计FortiGate设备的部分操作系统。因为该漏洞需要对FortiOS和底层硬件有深入的了解。 今年1月，Fortinet披露了一系列非常类似的事件，2022年12月打了补丁并被追踪为CVE-2022-42475的FortiOS SSL-VPN漏洞也被用作针对政府组织和政府相关实体的零日漏洞。 最后，该公司建议Fortinet的用户立即升级到FortiOS的补丁版本，以阻止潜在的攻击。     转自 Freebuf，原文链接：https://www.freebuf.com/news/360360.html 封面来源于网络，如有侵权请联系删除

据BleepingComputer 2月10日消息，Clop 勒索软件组织最近利用 GoAnywhere MFT 安全文件传输工具中的零日漏洞，从 130 多个企业组织中窃取了数据。 该安全漏洞被追踪为 CVE-2023-0669，攻击者能够在未修补的 GoAnywhere MFT 实例上远程执行代码，并将其管理控制台暴露在互联网中。 Clop向BleepingComputer透露，他们在攻击系统服务器10天后窃取了相应数据，并称还可以通过受害者网络横向移动，从而部署勒索软件有效负载来加密系统。但他们并没有这么做，只窃取了存储在受感染的 GoAnywhere MFT 服务器上的数据。当BleepingComputer向他们询问何时开始攻击、索要多少赎金时，该组织拒绝透露这些信息。 BleepingComputer 无法独立证实 Clop 的说法，GoAnywhere MFT的开发商 Fortra（以前称为 HelpSystems）也未提供有关漏洞利用和勒索软件组织的更多信息。 2月6日， CVE-2023-0669漏洞的PoC代码被公开，Fortra在2月7日和2月8日分别发布了紧急更新，称其部分 MFTaaS 实例也在攻击中遭到破坏。CISA 已在2月10日正式将漏洞 添加到其已知被利用漏洞目录中。 虽然 Shodan 显示有超过 1000 个 GoAnywhere 实例被暴露，但只有 135 个在易受攻击的 8000 和 8001端口上。 暴露于互联网的 GoAnywhere MFT 设备 (Shodan) 此次Clop 勒索软件攻击被指与他们在 2020 年 12 月使用的策略非常相似，当时他们发现并利用Accellion FTA 零日漏洞窃取了大约 100 家公司的数据，包括能源巨头壳牌公司（Shell）、零售巨头克罗格（Kroger）、网络安全公司 Qualys以及全球多所高校。 2021 年 6 月，在代号为“旋风行动”的国际执法行动之后，Clop 的部分基础设施被封，当时 6 名为 Clop 勒索软件团伙提供服务的人员在乌克兰被捕。     转自 Freebuf，原文链接：https://www.freebuf.com/news/357487.html 封面来源于网络，如有侵权请联系删除

Google威胁分析小组（TAG）的一篇新博文显示，2022年10月，朝鲜积极利用了一个Internet Explorer零日漏洞。这次攻击以韩国用户为目标，将恶意软件嵌入参考最近首尔梨泰院人群踩踏惨案的文件中。 Internet Explorer浏览器早在今年6月初就正式退役了，此后被微软Edge取代。然而，正如TAG的技术分析所解释的那样，Office仍在使用IE引擎来执行启用攻击的JavaScript，这就是为什么它在没有安装2022年11月新的安全更新的Windows7至11和Windows Server 2008至2022机器上依然存在漏洞。 当题为”221031首尔龙山梨泰院事故应对情况（06:00）.docx”的恶意微软Office文档于2022年10月31日被上传到VirusTotal时，TAG意识到来自IE的漏洞依然阴魂不散。这些文件利用了10月29日在梨泰院发生的悲剧的广泛宣传，在这场悲剧中，151人在首尔的万圣节庆祝活动中因人群踩踏而丧生。 TAG认为这次攻击是由朝鲜政府支持的一个名为APT37的组织所为，该组织以前曾在针对朝鲜叛逃者、政策制定者、记者、人权活动家和韩国IE用户的攻击中使用类似的IE零日漏洞。 该文件利用了在”jscript9.dll”（Internet Explorer的JavaScript引擎）中发现的Internet Explorer零日漏洞，在渲染攻击者控制的网站时，该漏洞可被用来传递恶意软件或恶意代码。 TAG在博文中说，它”没有获得这次攻击活动的最终载荷”，但指出之前观察到APT37使用类似的漏洞来输送恶意软件，如Rokrat、Bluelight和Dolphin。在这种情况下，该漏洞在10月31日被发现后的几个小时内就被报告给了微软，并在11月8日被修补。   转自 cnbeta，原文链接：https://www.toutiao.com/article/7174457484654936580/ 封面来源于网络，如有侵权请联系删除

新的网络钓鱼攻击利用Windows零日漏洞在不显示Web安全警告标记的情况下投放Qbot 恶意软件。从不受信任的远程位置（如 Internet 或电子邮件附件）下载文件时，Windows 会向文件添加一个特殊属性，称为 Web 标记。 此Web标记 (MoTW) 是备用数据流，其中包含有关文件的信息，例如文件来源的URL安全区域 、其引荐来源网址及其下载URL。当用户尝试打开具有 MoTW 属性的文件时，Windows 将显示一条安全警告，询问他们是否确定要打开该文件。 Windows 的警告中写道：“虽然来自 Internet 的文件可能很有用，但这种文件类型可能会危害您的计算机。如果您不信任来源，请不要打开此软件。” 上个月，惠普威胁情报团队报告称，网络钓鱼攻击正在使用JavaScript文件分发Magniber 勒索软件。这些JavaScript 文件与网站上使用的文件不同，它们是使用 Windows 脚本宿主 (wscript.exe) 执行的带有“.JS”扩展名的独立文件。 在分析文件后，ANALYGENCE 的高级漏洞分析师 Will Dormann 发现威胁参与者正在使用一个新的Windows零日漏洞 ，该漏洞阻止显示 Web 标记安全警告。 要利用此漏洞，可以使用嵌入式 base64 编码的签名块对JS文件（或其他类型的文件）进行签名，如 Microsoft 支持文章中所述。 但是，当打开具有这些格式错误签名之一的恶意文件时 ，Windows 不会被 Microsoft SmartScreen标记 并显示 MoTW 安全警告，而是自动允许该程序运行。 QBot恶意软件活动使用Windows零日 最近的 QBot 恶意软件网络钓鱼活动分发了包含 ISO 映像的受密码保护的 ZIP 存档。这些 ISO 映像包含用于安装恶意软件的 Windows 快捷方式和 DLL。 ISO 映像被用来分发恶意软件，因为 Windows 没有正确地将 Web 标记传播到其中的文件，从而允许包含的文件绕过 Windows 安全警告。 作为Microsoft 2022年11月补丁星期二的一部分，发布了修复此错误的安全更新，导致 MoTW 标志传播到打开的 ISO 映像内的所有文件，修复了此安全绕过问题。 在安全研究人员 ProxyLife发现的新 QBot 网络钓鱼活动中，威胁行为者通过分发带有格式错误的签名的 JS 文件来切换到 Windows Mark of the Web 零日漏洞。这个新的网络钓鱼活动从一封电子邮件开始，其中包含指向涉嫌文件的链接和该文件的密码。 单击该链接时，将下载一个受密码保护的 ZIP 存档，其中包含另一个 zip 文件，后跟一个 IMG 文件。在 Windows 10 及更高版本中，当双击磁盘映像文件（如 IMG 或 ISO）时，操作系统会自动将其挂载为新的盘符。 此 IMG 文件包含一个 .js 文件（“WW.js”）、一个文本文件（“data.txt”）和另一个包含重命名为 .tmp 文件的 DLL 文件的文件夹（“resemblance.tmp”）[ VirusTotal】，如下图。应该注意的是，文件名会因活动而异，因此不应将其视为静态的。 JS文件包含 VB 脚本，该脚本将读取包含“vR32”字符串的 data.txt 文件，并将内容附加到 shellexecute 命令的参数以加载“port/resemblance.tmp”DLL 文件。在这封特定的电子邮件中，重建的命令是： 由于 JS 文件来自 Internet，因此在 Windows 中启动它会显示 Web 安全警告标记。 但是，正如您从上面的 JS 脚本图像中看到的那样，它使用与 Magniber 勒索软件活动中使用的格式相同的畸形密钥进行签名，以利用 Windows 零日漏洞。 这种格式错误的签名允许 JS 脚本运行和加载 QBot 恶意软件，而不会显示来自 Windows 的任何安全警告，如下面启动的进程所示。 短时间后，恶意软件加载程序会将 QBot DLL 注入合法的 Windows 进程以逃避检测，例如 wermgr.exe 或 AtBroker.exe。 自10月以来，Microsoft 就知道了这个零日漏洞，现在其他恶意软件活动正在利用它，我们希望在 2022 年 12 月补丁星期二安全更新中看到该漏洞得到修复。 QBot 恶意软件 QBot，也称为 Qakbot，是一种 Windows 恶意软件，最初是作为银行木马开发的，但后来发展成为恶意软件植入程序。一旦加载，该恶意软件将在后台悄悄运行，同时窃取电子邮件用于其他网络钓鱼攻击或安装其他有效负载，如 Brute Ratel、 Cobalt Strike和 其他恶意软件。 安装 Brute Ratel 和 Cobalt Strike 后开发工具包通常会导致更具破坏性的攻击，例如数据盗窃和勒索软件攻击。 过去，Egregor 和 Prolock 勒索软件运营与 QBot 分销商合作以获得对公司网络的访问权限。最近， 在 QBot 感染后网络上出现了Black Basta勒索软件攻击。 转自 E安全，原文链接：https://mp.weixin.qq.com/s/GSQ6W_nFDlWcRknl4hnb_Q 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 谷歌Project Zero研究人员报告称，一家监控供应商正在使用三星手机的三个零日漏洞，分别追踪为CVE-2021-25337、CVE-2021-25369和CVE-2021-25370。 这三个漏洞是： CVE-2021-25337：SMR MAR-2021第1版之前的三星移动设备中剪贴板服务访问控制不当，允许不受信任的应用程序读取或写入某些本地文件。 CVE-2021-25369：SMR MAR-2021第1版之前的sec_log文件中存在一个不正确的访问控制漏洞，导致敏感的内核信息暴露给用户空间。 CVE-2021-25370：SMR Mar-2021第1版之前，dpu驱动程序中处理文件描述符的实现不正确，导致内存损坏，从而导致内核崩溃。 研究人员指出，这家监控公司在其间谍软件中包含了这三个漏洞，而这些漏洞在被利用时是零日漏洞。 这个野外漏洞利用链是一个很好的例子，它展示了与我们过去看到的许多Android漏洞不同的攻击面和“形状”。该链中的三个漏洞都在制造商的自定义组件中，而不是在AOSP平台或Linux内核中。并且3个漏洞中有2个是逻辑和设计漏洞，而不是内存安全漏洞。 监控供应商利用上述漏洞入侵三星手机。 TAG团队仅获得了可能处于测试阶段的三星手机的部分漏洞链。专家透露，该样本可追溯到2020年底。 该链值得进一步分析，因为它是一个3个漏洞链，其中所有3个漏洞都在三星自定义组件中，包括Java组件中的漏洞。 专家们解释说，该漏洞样本针对的是运行内核4.14.113和Exynos SOC的三星手机。在欧洲和非洲销售的手机使用这种特定的SOC，该漏洞依赖于Exynos三星手机的Mali GPU驱动程序和DPU驱动程序。 2020年末运行4.14.113内核的三星手机包括S10、A50和A51。 Google在2020年末发现这些漏洞后立即向三星报告，该供应商于2021年3月解决了这些漏洞。 谷歌没有透露监控供应商的名字，只是强调了与其他针对Android用户活动的相似之处，即意大利和哈萨克斯坦。 Project Zero指出，三星针对这些漏洞发布的公告并未提及它们在野外的利用。 当已知漏洞在野外被利用时，标记对于目标用户和安全行业都很重要。如果野外零日漏洞没有被披露，那么我们无法使用该信息来进一步保护用户，使用补丁分析和变体分析来了解攻击者已经知道的情况。 对这个漏洞链的分析为我们提供了新见解，让我们了解到了攻击者是如何瞄准Android设备的。这突出了对制造商特定组件进行更多研究的必要性。   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 自今年年初以来，苹果已经解决了在野外攻击中利用的第九个零日漏洞。该漏洞被跟踪为CVE-2022-42827，是一个越界写入漏洞，攻击者可以利用该漏洞以内核特权执行任意代码。 一位匿名研究人员向苹果报告了该漏洞，该公司通过改进iOS 16.1和iPadOS 16中的边界检查解决了该漏洞。 苹果公司发布的公告中写道：“苹果公司知道一份报告称，这个漏洞可能被积极利用。” 该漏洞影响了iPhone 8及更高版本、iPad Pro（所有型号）、iPad Air第3代及更高版本、iPad第5代及更高版本、iPad mini第5代及更高版本。 建议苹果用户立即更新其设备，以减少遭受攻击的风险。 自1月份以来，苹果已经解决了其他8个零日漏洞，下面是已修复问题的列表： 2022 年 1 月：CVE-2022-22587和CVE-2022-22594 2022 年 2 月：CVE-2022-22620 2022 年 3 月：CVE-2022-22674和CVE-2022-22675 2022 年 5 月：CVE-2022-22675 2022 年 8 月：CVE-2022-32894 2022 年 9 月：CVE-2022-32917   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

9月9日，WordPress安全公司Wordfence透露，一个名为BackupBuddy的WordPress插件存在一个零日漏洞，正被积极利用。 “未经认证用户可以利用该漏洞下载WordPress网站的任意文件，包括主题文件、页面、帖子、小部件、用户信息和媒体信息。”Wordfence表示，该插件有14万活跃安装。 该漏洞（CVE-2022-31474，CVSS评分：7.5）的影响范围为8.5.8.0至8.7.4.1版本。9月2日发布的8.7.5版本中已经解决了这个问题。 漏洞的根源在于“本地目录复制”功能，根据Wordfence表示，该漏洞是不安全的实现结果，它使未经认证的威胁行为者能够下载服务器上的任意文件。 鉴于该漏洞以被积极再也利用，有关漏洞的其他细节暂不公布。 BackupBuddy插件的开发者iThemes表示：“这个漏洞可以让攻击者查看服务器上任何可以被WordPress装置读取的文件内容。这可能包括WordPress的wp-config.php文件以及敏感文件，如/etc/passwd。” Wordfence指出，针对CVE-2022-31474的攻击始于2022年8月26日，在这段时间内，它已经阻止了近500万次攻击。多数攻击指向/etc/passwd、/wp-config.php、.my.cnf、.accesshash文件。 建议已安装BackupBuddy插件的用户升级到最新版本。如果已经被入侵，建议用户重置数据库密码，更改WordPress Salts，并旋转存储在wp-config.php的API密钥。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/344225.html 封面来源于网络，如有侵权请联系删除