20230509第39期｜安全漏洞一周播报

本期漏洞情况态势

▼本周漏洞态势

国家信息安全漏洞共享平台（以下简称CNVD）本周共收集、整理信息安全漏洞324个，其中高危漏洞149个、中危漏洞155个、低危漏洞20个。漏洞平均分值为6.58。本周收录的漏洞中，涉及0day漏洞214个（占66%），其中互联网上出现“Hospital Management Center跨站请求伪造漏洞、SWFMill base64_encode组件缓冲区溢出漏洞”等零日代码攻击漏洞。本周CNVD接到的涉及党政机关和企事业单位的漏洞总数12062个，与上周（8401个）环比增加44%。

图1 CNVD收录漏洞近10周平均分值分布图

漏洞信息

▼重点安全漏洞

1.Adobe产品安全漏洞

Adobe Dimension是美国奥多比（Adobe）公司的是一套2D和3D合成设计工具。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞在当前用户的上下文中执行代码。

CNVD收录的相关漏洞包括：Adobe Dimension越界写入漏洞（CNVD-2023-31284、CNVD-2023-31286）、Adobe Dimension越界读取漏洞（CNVD-2023-31287、CNVD-2023-31288、CNVD-2023-31290、CNVD-2023-31293、CNVD-2023-31292、CNVD-2023-31294）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2023-31284

https://www.cnvd.org.cn/flaw/show/CNVD-2023-31286

https://www.cnvd.org.cn/flaw/show/CNVD-2023-31287

https://www.cnvd.org.cn/flaw/show/CNVD-2023-31288

https://www.cnvd.org.cn/flaw/show/CNVD-2023-31290

https://www.cnvd.org.cn/flaw/show/CNVD-2023-31293

https://www.cnvd.org.cn/flaw/show/CNVD-2023-31292

https://www.cnvd.org.cn/flaw/show/CNVD-2023-31294

2.Google产品安全漏洞

Google Chrome是美国谷歌（Google）公司的一款Web浏览器。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞访问敏感信息，导致程序崩溃，任意代码执行等。

CNVD收录的相关漏洞包括：Google Chrome ANGLE组件内存错误引用漏洞、Google Chrome Extensions API安全特征问题漏洞、Google Chrome PDF安全特征问题漏洞、Google Chrome Messaging组件内存错误引用漏洞、Google Chrome Performance Manager组件内存错误引用漏洞、Google Chrome UI Foundations组件内存错误引用漏洞、Google Chrome User Education组件内存错误引用漏洞、Google Chrome共享组件内存错误引用漏洞。除“Google Chrome PDF安全特征问题漏洞”外，其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2023-33071

https://www.cnvd.org.cn/flaw/show/CNVD-2023-33072

https://www.cnvd.org.cn/flaw/show/CNVD-2023-33073

https://www.cnvd.org.cn/flaw/show/CNVD-2023-33074

https://www.cnvd.org.cn/flaw/show/CNVD-2023-33075

https://www.cnvd.org.cn/flaw/show/CNVD-2023-33076

https://www.cnvd.org.cn/flaw/show/CNVD-2023-33077

https://www.cnvd.org.cn/flaw/show/CNVD-2023-33078

3.Cisco产品安全漏洞

Microsoft PostScript Printer Driver是美国微软（Microsoft）公司的用于PostScript打印机的Microsoft标准打印机驱动程序。Microsoft PCL6 Class Printer Driver是美国微软（Microsoft）公司的一个打印机驱动软件。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞导致信息泄露，远程执行代码。

CNVD收录的相关漏洞包括：Microsoft PostScript and PCL6 Class Printer Driver信息泄露漏洞（CNVD-2023-30862、CNVD-2023-30865）、Microsoft PostScript and PCL6 Class Printer Driver远程代码执行漏洞（CNVD-2023-30866、CNVD-2023-30864、CNVD-2023-30868、CNVD-2023-30867、CNVD-2023-30863、CNVD-2023-30861）。除“Microsoft PostScript and PCL6 Class Printer Driver信息泄露漏洞（CNVD-2023-30862、CNVD-2023-30865）”外其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

https://www.cnvd.org.cn/flaw/show/CNVD-2023-30863

https://www.cnvd.org.cn/flaw/show/CNVD-2023-30862

https://www.cnvd.org.cn/flaw/show/CNVD-2023-30861

https://www.cnvd.org.cn/flaw/show/CNVD-2023-30866

https://www.cnvd.org.cn/flaw/show/CNVD-2023-30865

https://www.cnvd.org.cn/flaw/show/CNVD-2023-30864

https://www.cnvd.org.cn/flaw/show/CNVD-2023-30868

https://www.cnvd.org.cn/flaw/show/CNVD-2023-30867

高级威胁情报解读

1.APT-Q-27使用双 DLL 侧载来逃避检测

研究人员发现基于经典侧载方案的恶意 DLL活动。此外，相关调查表明，威胁行为者非常喜欢这种对原始场景的改编，并采用了它的多种变体，反复交换过程中的特定组件以逃避在这一步的检测攻击链。

早期的攻击形式已经在业界有所报道，该攻击基于经典的侧载攻击，包括一个干净的应用程序、一个恶意加载程序和一个加密的有效负载，随着时间的推移对这些组件进行了各种修改。最新的活动增加了一个转折点，其中第一阶段的干净应用程序“侧面”加载第二个干净的应用程序并自动执行它，第二个干净的应用程序侧载恶意加载程序 DLL。之后，恶意加载程序 DLL 执行最终的有效负载。

披露时间：2023年5月3日

情报来源：

https://news.sophos.com/en-us/2023/05/03/doubled-dll-sideloading-dragon-breath/

2.APT37部署 ROKRAT 感染链

朝鲜长期以来一直攻击其南部邻国，尤其是通过今天仍在继续的网络战。在本文中，研究人员描述了一组观察到部署 ROKRAT 的活动，ROKRAT 是一种以前归因于朝鲜威胁行为者的工具，该威胁行为者称为 APT37、Inky Squid、RedEyes、Reaper 或 ScarCruft。

前几年，ROKRAT 感染链通常涉及带有漏洞的恶意 Hangul Word Processor（HWP，韩国流行的文档格式）文档，或带有宏的 Microsoft Word 文档。虽然一些 ROKRAT 样本仍在使用这些技术，但现已经观察到一种转变，即使用伪装成合法文档的 LNK 文件交付 ROKRAT。这种转变并非 ROKRAT 独有，而是代表了一个更大的趋势，该趋势在 2022 年变得非常流行

在此次报告中，讨论分析 APT37 在最近的攻击中使用的各种感染链和诱饵，以及由此产生的 ROKRAT 和 Amadey 有效负载。最后，对ROKRAT进行技术分析。

披露时间：2023年5月1日

情报来源：

https://research.checkpoint.com/2023/chain-reaction-rokrats-missing-link/

3.BlackBit 勒索软件：来自 LokiLocker 的威胁

研究人员注意到勒索软件的一种此类变体 BlackBit。2022 年 9 月，首次发现 BlackBit 勒索软件。没有任何泄漏站点活动意味着勒索软件当前没有从受害者系统中提取数据。因此怀疑它可能仍处于运营的早期阶段。

AhnLab 最近发表了一篇文章，指出这种特定的勒索软件正在韩国传播。BlackBit Ransomware 是一种基于 RaaS 模型的 LokiLocker 勒索软件变体。BlackBit 的源代码表明勒索软件是 LokiLocker 的副本，并进行了一些外观上的更改，例如图标、名称、配色方案等。

BlackBit 勒索软件是一种复杂的变种，具有多种建立持久性、防御规避和损害恢复的能力。此外，它结合了三种不同的方法来向受害者提供支付信息。这些方法包括删除赎金票据、在受害者尝试打开加密文件时显示弹出窗口以及通过 mshta.exe 显示 HTA 页面。

披露时间：2023年5月3日

情报来源：

https://blog.cyble.com/2023/05/03/blackbit-ransomware-a-threat-from-the-shadows-of-lokilocker/

4.揭露新的信息窃取恶意软件 NodeStealer

研究人员在 Meta 上发现了一种名为“NodeStealer”的新型信息窃取恶意软件，它允许威胁行为者窃取浏览器 cookie 以劫持平台上的帐户，以及 Gmail 和 Outlook 帐户。捕获包含有效用户会话令牌的 cookie 是一种在网络犯罪分子中越来越流行的策略，因为它允许他们劫持帐户而无需窃取凭据或与目标交互，同时还可以绕过双因素身份验证保护。

正如研究人员在文章中所解释的那样，它在其分发活动的早期发现了 NodeStealer，即在首次部署后仅两周。此后，该公司中断了运营，并帮助受影响的用户恢复了账户。

披露时间：2023年5月3日

情报来源:

https://engineering.fb.com/2023/05/03/security/malware-nodestealer-ducktail/

本文来源：CNVD漏洞平台、奇安信威胁情报中心