5th域安全微讯早报【20250612】140期

5. 微软7月起全面封杀黑客惯用的.library-ms和.search-ms附件格式

【SecurityLab网站6月11日报道】微软将于2025年7月起在Outlook网页版及新版Windows Outlook中强制拦截.library-ms和.search-ms格式附件，此举旨在阻断黑客长期滥用的两类攻击载体。该策略通过Microsoft 365的OwaMailboxPolicy自动部署，无需手动配置，企业如需例外需主动添加至允许列表（AllowedFileTypes）。.library-ms文件（Windows虚拟库链接）近期被用于CVE-2025-24054漏洞攻击，通过窃取NTLM哈希值针对政府及企业目标；.search-ms文件（Windows搜索链接）自2022年起便与CVE-2022-30190漏洞（MSDT零日漏洞）结合，用于篡改搜索结果并投放恶意软件。微软表示，此次封禁影响范围有限，但使用本地Exchange服务器的机构需通过策略调整或替代传输方式（如压缩包、云存储）规避限制。此次更新是微软自2018年启动的"淘汰高危组件"计划的延续，此前已逐步禁用VBA宏、XLM宏、VBScript及ActiveX控件。完整受限附件列表已发布于微软官网。

6. Headero约会应用数据库暴露 35万用户敏感数据遭泄露

【SecurityLab网站6月11日报道】据Cybernews研究人员披露，面向LGBTQ+群体的约会应用Headero因数据库未设置访问验证，导致352,081名用户的敏感信息遭泄露。该数据库包含：用户精确GPS坐标；3,032,001条私人消息；1,096,904条群聊信息；用户姓名、邮箱、社交登录信息；JWT身份验证令牌；个人照片、设备信息；性行为偏好及艾滋病毒状况等健康数据。此次泄露源于开发团队未对MongoDB数据库设置基本身份验证机制。尽管开发方声称是"测试环境"，但分析证实泄露数据均为真实用户信息。目前数据库访问已被关闭，但尚不确定是否有攻击者已获取数据。该事件特别威胁到来自同性恋不合法地区用户的人身安全。

7. 美航空数据公司被曝向政府机构秘密出售乘客行程信息

【SecurityLab网站6月11日报道】据404 Media获取的政府文件显示，由多家航空公司联合成立的航空公司报告公司(ARC)长期向美国海关及边境保护局(CBP)等政府机构秘密出售乘客国内旅行数据。根据2024年签署的价值11,025美元的合同，CBP可获得每日更新的乘客姓名、行程、旅行日期和付款信息等数据，该合同已于2025年5月续签。值得注意的是，合同条款明确规定除非法院命令，否则不得透露数据来源。这些数据虽然仅涵盖通过旅行社预订的机票，但总量已超过10亿条记录。除CBP外，美国移民及海关执法局(ICE)、特勤局等多个联邦机构也在使用该数据库。民权人士批评此举是政府通过商业渠道规避法律程序进行大规模监控的新手段。

8. 俄罗斯伊尔库茨克州破获特大非法加密货币挖矿案，涉案设备超2000台价值逾600万美元

【SecurityLab网站6月11日报道】俄罗斯执法部门近日在伊尔库茨克州安加尔斯克市展开突击行动，成功捣毁一处规模空前的非法加密货币矿场。据官方通报，该矿场共部署2107台专业矿机，初步估算总价值超过600万美元（约合4.3亿卢布）。值得注意的是，这些设备在被查封后48小时内竟被重新启动运作，迫使执法部门于6月8日实施二次突袭，最终扣押全部设备。工业矿业协会专家分析指出，如此规模的矿场若采用蚂蚁矿机S19 Pro等专业设备，每月电力消耗将高达数百万卢布，同时需要1000平方米以上的场地及专业冷却系统。这不仅造成巨额电力损失，更对当地电网安全构成严重威胁。根据俄罗斯2024年11月颁布的加密货币挖矿法规，此类未经注册的大规模商业挖矿行为已构成刑事犯罪。目前案件已按《俄罗斯联邦刑法》第159条"特别大规模欺诈罪"立案调查，最高可判处10年监禁并处罚金100万卢布。此次行动由侦查委员会、内务部及伊尔库茨克能源公司联合开展，共查获2146台计算机设备，并切断了2606台设备的电力供应。调查发现，该地区存在数十个提供非法托管服务的组织网络。业内人士指出，尽管俄罗斯政府已于2024年12月对包括伊尔库茨克州在内的10个地区实施挖矿禁令，但2025年初比特币价格飙升仍刺激了"灰色挖矿"的抬头。此次案件凸显了在数字资产监管领域，执法部门面临的技术挑战与执行难度。

9. 国际刑警协调多国打击信息窃取恶意软件，32人被捕

【The Record网站6月11日报道】国际刑警组织（Interpol）协调开展了一项代号未公开的跨国打击行动，旨在根除信息窃取类恶意软件的全球传播网络。本次行动自2025年1月至4月在26个国家展开，重点区域为亚洲。行动共逮捕32名嫌疑人，仅越南就拘捕18人，并查获大量作案工具，包括电脑、SIM卡、现金和企业文件。警方调查发现，这些犯罪团伙使用信息窃取软件（Infostealer）获取受害者的登录凭证、银行卡信息、加密货币钱包等敏感数据，并在地下论坛交易。执法人员共查获41台服务器和超100GB被盗数据，已通知21.6万名潜在受害者采取防护措施。行动还揭示香港托管的117台C2服务器参与协调钓鱼与诈骗。新加坡安全公司 Group-IB 参与协助，重点针对 Lumma、Risepro 与 Meta 三种主要恶意软件。其中，5月全球联动行动摧毁了支撑 Lumma 运行的2300个域名基础设施，虽对其全球活动构成重大打击，但其在俄罗斯的运营仍未被完全清除。

10. 英国通信监管机构启动对4chan等网站的非法内容调查

【The Record网站6月11日报道】英国通信监管机构 Ofcom 启动对臭名昭著的匿名图像论坛 4chan 的正式调查。此次行动依据《网络安全法》，旨在打击未能验证用户年龄、托管非法内容（如儿童色情和仇恨言论）的网站。监管机构指出，4chan并未回应关于非法内容的官方信息请求。此次调查还涉及多个色情和文件分享平台，若这些平台在7月前未能完成年龄验证机制，可能面临最高1800万英镑或全球年收入10%的罚款，甚至会遭英国封网处理。Ofcom还曾于3月向所有向英国用户提供内容的平台发出警告信，强调其删除仇恨与违法信息的法律义务。该事件涉及英美之间潜在的外交摩擦。4chan、Gab、Kiwi Farms等极右翼平台以“言论自由”为由抗拒合作，Gab更引用特朗普第14149号行政命令拒绝Ofcom的管辖，主张美国政府不得协助审查。尽管英国首相斯塔默对特朗普政府表示善意，以争取对乌克兰支持，但英国高级官员明确表示不会就《网络安全法》妥协。当前，美副总统JD·万斯对欧洲监管持批评立场，使此案具有更大政治敏感性。

11. 新加坡主导跨国“边境行动+”捣毁2.25亿美元网络诈骗中心

【The Record网站6月11日报道】新加坡联合亚洲六国发起代号为“边境行动+”的大规模执法行动，成功捣毁数十个跨国诈骗中心，逮捕1800余名嫌疑人。此次行动集中于4月至5月，由新加坡、香港、韩国、马来西亚、马尔代夫、泰国和澳门警方联合进行，共调查了约3.39万人，涉及9200起诈骗案件，受害金额高达2.25亿美元。犯罪形式涵盖投资骗局、恋爱交友诱骗、假冒政府、虚假求职等，显示出诈骗集团高度组织化和跨境作案趋势。行动中，冻结银行账户3.2万个，查扣资金2000万美元，仅新加坡就逮捕106人、涉及1300起案件，追回800万美元。新加坡警方强调，诈骗集团利用多国身份和复杂技术手段清洗资金，必须依赖国际合作来追踪和打击犯罪。该国已建立“实时情报与分析”共享机制，计划持续推进类似联合行动。此次“边境行动+”也是全球反诈趋势的一部分。报道指出，美国、印度、日本等国近期也对诈骗网络发起清剿行动，显示多国正强化跨境打击协作，以遏制日益猖獗的数字诈骗犯罪。

12. 国际刑警主导“安全行动”，全球打击信息窃取恶意软件基础设施

【Bleeping Computer网站6月11日报道】国际刑警组织在2025年1月至4月间牵头开展代号为“安全行动”（Operation Secure）的跨国执法行动，重创多个国家信息窃取恶意软件生态。行动涵盖26国，重点打击窃取浏览器Cookie、加密货币钱包、账户凭证等敏感数据的恶意软件团伙，已逮捕32名嫌疑人、查封41台服务器、关闭2万个恶意IP和域名，并通知了21.6万名受害者。此外，执法人员查获100GB数据，并识别出香港一个由117台服务器构成、专用于网络钓鱼和欺诈的C2基础设施。越南警方在行动中表现突出，逮捕18人，包括专门兜售企业账户的主犯。此次执法行动还得到了卡巴斯基、Group-IB、趋势科技等私营机构的协助。Group-IB称，该行动影响了Lumma、RisePro与META Stealer等多个信息窃取平台，相关宣传账号和数据交易行为均被追踪。此次“安全行动”是继2025年5月由美国司法部、FBI、微软主导针对Lumma Stealer的打击之后的又一重大成果，也是对2024年“马格努斯行动”中断META Stealer运作的延续。信息窃取类恶意软件已成为当今网络安全的核心威胁，广泛涉入UnitedHealth、CircleCI、HotTopic等重大数据泄露事件。

13. Adobe 发布重大安全补丁，修复254个漏洞，Magento任意代码执行风险最严重

【SecurityLab网站6月11日报道】Adobe发布重要安全更新，修复了其产品中共254个漏洞，绝大多数（225个）出现在Adobe Experience Manager（AEM）中，涵盖云服务和所有版本，包括6.22版。相关补丁已在AEM Cloud Service 2025.5版本及6.5.23版本中发布。这些漏洞可能导致任意代码执行、权限提升及绕过安全机制，主要为存储型和DOM型跨站脚本攻击（XSS），可在用户浏览器中执行恶意JavaScript代码。漏洞由专家团队包括Jim Green、Akshay Sharma和lpi发现并报告。本次补丁中最严重的是影响Adobe Commerce和Magento Open Source的漏洞：CVE-2025-47110（反射型XSS漏洞，CVSS评分9.1），可导致任意代码执行；CVE-2025-43585（授权错误，绕过保护机制，CVSS评分8.2）。受影响的主要版本包括Adobe Commerce的多个旧版本及Magento开源版本2.4.8及更早版本。Adobe还修复了Adobe InCopy和Substance 3D Sampler中的多个代码执行漏洞，CVSS评分均为7.8，这些漏洞在打开恶意设计文件时可能被利用。截至目前，这些漏洞尚未被公开利用。Adobe强烈建议用户立即更新至最新版本以保障安全。

14. 微软UEFI证书漏洞威胁全球计算机安全启动机制

【SecurityLab网站6月11日报道】安全研究人员近日披露了一个影响深远的UEFI漏洞(CVE-2025-3052)，该漏洞允许攻击者绕过安全启动保护，在操作系统加载前植入恶意代码。这一漏洞源于微软2011年签发的UEFI根证书信任问题，影响几乎所有支持安全启动的现代计算机设备。攻击者可通过修改未经验证的IhisiParamBuffer变量来重置安全启动核心参数，从而加载未签名的恶意UEFI模块。微软已在6月安全更新中发布包含dbx证书吊销列表的修复方案，建议所有用户立即安装。同时曝光的还有另一个影响Insyde H2O固件的类似漏洞(CVE-2025-4275)。这些漏洞自2022年底就已在野传播，严重威胁着计算机系统的底层安全。

15. Microsoft 365 Copilot现零点击AI漏洞“EchoLeak”，揭示新型LLM范围违规风险

【Bleeping Computer网站6月11日报道】安全研究人员在 Microsoft 365 Copilot 中发现首个“零点击”AI漏洞，被命名为“EchoLeak”。该漏洞无需用户交互，即可导致敏感企业数据泄露。漏洞由 Aim Labs 于2025年1月报告，编号 CVE-2025-32711，微软已于5月在服务器端修复，无需用户介入，官方也称未发现实际攻击利用痕迹。Microsoft 365 Copilot 是集成于 Office 应用（如Word、Excel、Teams）中的AI助手，结合OpenAI模型与微软Graph，处理用户企业内部数据。EchoLeak 的攻击流程始于一封看似普通的商业邮件，暗藏“提示注入”指令，该指令逃避了微软用于检测跨提示注入攻击的XPIA分类器。当用户使用Copilot提问时，这封邮件会被误检索为上下文内容，LLM随后被“诱导”提取内部信息，并通过伪装为图像链接的方式将数据悄然泄露给攻击者。该漏洞揭示了“LLM范围违规”这一新型攻击范式，强调 AI 工具与企业工作流深度融合所带来的系统性安全挑战。研究指出，像 Microsoft Teams 与 SharePoint 的信任机制也可能被滥用作为数据泄露媒介。为防范类似攻击，报告建议企业加固提示注入过滤器、限制LLM可访问数据范围、加强输出响应监控，并调整RAG引擎策略以屏蔽潜在恶意内容源。