20231011第59期｜安全漏洞一周播报

Microsoft Exchange Server是美国微软（Microsoft）公司的一套电子邮件服务程序。它提供邮件存取、储存、转发，语音邮件，邮件过滤筛选等功能。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞进行欺骗攻击，在系统上执行任意代码等。

CNVD收录的相关漏洞包括：Microsoft SharePoint Server远程代码执行漏洞（CNVD-2023-72202）、Microsoft Exchange Server远程代码执行漏洞（CNVD-2023-72224、CNVD-2023-72225、CNVD-2023-72227、CNVD-2023-72228）、Microsoft Exchange Server欺骗漏洞（CNVD-2023-72226、CNVD-2023-72230、CNVD-2023-72231）。上述漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

Linux kernel是美国Linux基金会的开源操作系统Linux所使用的内核。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞导致越界读取，使系统崩溃或提升他们在系统上的权限等。

CNVD收录的相关漏洞包括：Linux Kernel拒绝服务漏洞（CNVD-2023-71723）、Linux kernel内存错误引用漏洞（CNVD-2023-71722）、Linux kernel条件竞争漏洞（CNVD-2023-71721）、Linux kernel smb2misc.c文件越界读取漏洞、Linux kernel connection.c文件越界读取漏洞、Linux kernel Ext4文件系统内存错误引用漏洞、Linux kernel内存错误引用漏洞（CNVD-2023-72243）、Linux Kernel eBPF本地权限提升漏洞。其中，“Linux kernel smb2misc.c文件越界读取漏洞、Linux kernel connection.c文件越界读取漏洞、Linux kernel内存错误引用漏洞（CNVD-2023-72243）”漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

Adobe Acrobat Reader是美国奥多比（Adobe）公司的一款PDF查看器。该软件用于打印，签名和注释PDF。Adobe Illustrator是美国奥多比（Adobe）公司的一套基于向量的图像制作软件。本周，上述产品被披露存在多个漏洞，攻击者可利用漏洞获取NTLMv2凭据，导致应用程序拒绝服务，在当前用户的上下文中执行任意代码等。

CNVD收录的相关漏洞包括：Adobe Acrobat Reader缓冲区溢出漏洞（CNVD-2023-71744）、Adobe Acrobat Reader输入验证错误漏洞（CNVD-2023-71750、CNVD-2023-71749）、Adobe Acrobat Reader释放后重用漏洞（CNVD-2023-71752、CNVD-2023-71754、CNVD-2023-71756、CNVD-2023-71759）、Adobe Illustrator越界写入漏洞（CNVD-2023-74542）。其中，除“Adobe Acrobat Reader输入验证错误漏洞（CNVD-2023-71750）、Adobe Acrobat Reader输入验证错误漏洞（CNVD-2023-71749）”外其余漏洞的综合评级为“高危”。目前，厂商已经发布了上述漏洞的修补程序。CNVD提醒用户及时下载补丁更新，避免引发漏洞相关的网络安全事件。

参考链接：

1、可窃取所有浏览器 Cookie！新窃密软件 NodeStealer 成万金油

披露时间：2023年10月06日

情报来源：

https://mp.weixin.qq.com/s/j48hn6mH11J6BzwUuBu1AQ

自 2023 年 4 月上旬以来，攻击者不断通过各种用户名部署数百个恶意软件包，累计下载量近 75,000 次。攻击者的演变是显而易见的，从纯文本到加密，随后到多层混淆和二次反汇编有效负载。该恶意包布下天罗地网，旨在窃取大量敏感数据，包括来自目标系统、应用程序、浏览器和用户的数据。此外，他们通过修改加密货币地址将交易重定向到攻击者来瞄准加密货币用户。威胁行为者最新的软件包巧妙地摧毁了系统防御，使其暴露无遗且脆弱。恶意代码明确设计为在 Windows 系统上运行。攻击者成功的证据是显而易见的，他们的一个加密钱包地址显示，在恶意软件包活跃期间，传入交易（资金直接存入攻击者的账户）达到六位数。

披露时间：2023年10月03日

情报来源：

https://checkmarx.com/blog/the-evolutionary-tale-of-a-persistent-python-threat/

3、Lazarus 用木马化编码挑战引诱员工进行攻击

披露时间：2023年9月29日

情报来源：

https://www.welivesecurity.com/en/eset-research/lazarus-luring-employees-trojanized-coding-challenges-case-spanish-aerospace-company/

4、APT34 部署新恶意软件进行网络钓鱼攻击

研究人员分析了一种新的恶意软件，并将其归因于APT 组织APT34 ，该组织参与了网络钓鱼攻击。八月份的威胁搜寻活动中发现了相关恶意文档，该文档是该组织在有针对性的网络钓鱼攻击中使用的。该恶意文档负责投放研究人员称为 Menorah 的新恶意软件（取自恶意文档投放的可执行文件，被检测为 Trojan.W97M.SIDETWIST.AB），并创建一个计划任务以实现持久性。该恶意软件专为网络间谍活动而设计，能够识别机器、从机器读取和上传文件以及下载其他文件或恶意软件。

在调查过程中，有关该恶意软件针对的受害者的信息很少。APT34 再此次攻击中使用的文件名为“MyCv.doc”，一份与塞舌尔许可证管理局有关的许可证登记表。不过，研究人员注意到该文件包含以沙特里亚尔为单位的定价信息，这可能表明目标受害者是沙特阿拉伯王国境内的一个组织。本博文分析了该组织的最新恶意软件及其功能，展示了攻击过程，并详细介绍了攻击者的基础设施。

披露时间：2023年9月29日

情报来源：

https://www.trendmicro.com/en_us/research/23/i/apt34-deploys-phishing-attack-with-new-malware.html

5、UAC-0154针对乌克兰军事实体的网络钓鱼行动

研究人员最近发现，一场攻击活动似乎源自威胁组织 UAC-0154，其目标是使用指挥员 (PIC) 无人机手动文档诱饵来传播恶意软件。该活动正在积极针对乌克兰军方。由于无人机或无人驾驶飞行器 (UAV) 已成为乌克兰军方使用的不可或缺的工具，因此以无人机服务手册为主题的包含恶意软件的诱饵文件已开始出现。

诱饵文件看起来好像Microsoft 帮助文件或 .chm 文件。本样本中的文件名为“Інфо про навчання по БПЛА для військових.v2.2.chm”，翻译过来就是“军队无人机训练信息”。一旦用户通过嵌入 HTML 页面之一的恶意 JavaScript 代码块打开文档，代码就会开始执行。然后，从 .chm 文件中的 JavaScript 代码执行混淆的 PowerShell 代码，该文件用于联系远程 C2 服务器以下载混淆的二进制有效负载。有效负载是一个模糊的二进制文件，经过异或和解码以生成 MerlinAgent 恶意软件的信标有效负载。一旦有效负载建立与其 C2 服务器的通信，攻击者就可以完全控制受害主机。

披露时间：2023年9月27日

情报来源：

https://www.securonix.com/blog/threat-labs-security-advisory-new-starkvortex-attack-campaign-threat-actors-use-drone-manual-lures-to-deliver-merlinagent-payloads/