| 安全资讯导视 |
|---|
• 国家安全部:境外一非政府组织非法搜集窃取我国自然保护区核心敏感数据 |
• 因供应商被黑,欧洲银行巨头桑坦德银行所有员工和多国客户数据泄露 |
• 美国CISA等多国机构发布公民社会网络安全指南 |
1.Google Chrome V8类型混淆漏洞(CVE-2024-4947)安全风险通告
5月16日,奇安信CERT监测到Google发布公告称Google Chrome V8类型混淆漏洞(CVE-2024-4947)存在在野利用,远程攻击者可通过诱导用户打开恶意链接来利用此漏洞,从而获取敏感信息或代码执行。目前,此漏洞已检测到在野利用。鉴于此漏洞影响范围较大,建议客户尽快做好自查及防护。
2.Google Chrome V8越界写入漏洞(CVE-2024-4761)安全风险通告
5月14日,奇安信CERT监测到Google发布公告称Google Chrome V8越界写入漏洞(CVE-2024-4761)存在在野利用,攻击者可通过诱导用户打开恶意链接来利用此漏洞,从而在应用程序上下文中执行任意代码、获取敏感信息或导致应用程序崩溃。目前,此漏洞已检测到在野利用。鉴于此漏洞影响范围较大,建议客户尽快做好自查及防护。
1.Google Chrome Visuals 释放后重用漏洞(CVE-2024-4671)
Google 发布了针对 Chrome 浏览器的紧急安全更新,以解决被标记为在攻击中被利用的高危零日漏洞。在此次修复的三天前,Google 解决了 Chrome 中的一个零日漏洞 CVE-2024-4671,该漏洞是由 Visuals 组件中的释放后使用漏洞引起的。被跟踪为 CVE-2024-4761。这是一个越界写入漏洞,会影响 Chrome 的 V8 JavaScript 引擎,该引擎负责在应用程序中执行 JS 代码。
当允许程序在指定的数组或缓冲区之外写入数据时,会出现越界写入问题,这可能导致未经授权的数据访问、任意代码执行或程序崩溃。“谷歌意识到 CVE-2024-4761 漏洞存在在野利用,”公告中写道。
Chrome 会在有可用安全更新时自动更新,但用户可以通过转到“设置”>“关于 Chrome”,通过更新完成,然后单击“重新启动”按钮来应用它,以确认运行的是最新版本。
参考链接:
https://www.bleepingcomputer.com/news/security/google-chrome-emergency-update-fixes-6th-zero-day-exploited-in-2024/?&web_view=true
2.Windows MSHTML 平台安全特性绕过漏洞(CVE-2024-30040) &Windows DWM 核心库权限提升漏洞(CVE-2024-30051)
作为 2024 年 5 月补丁星期二更新的一部分,Microsoft 已经解决了其软件中存在的 61 个新的安全漏洞,其中包括两个在野利用的零日漏洞。CVE-2024-30040 - 该漏洞允许远程攻击者入侵受影响的系统。该漏洞是由于 Windows MSHTML 平台中的输入验证不当而导致的。远程攻击者可以诱骗受害者打开或加载特制文件,绕过 Microsoft 365 和 Microsoft Office 中的 OLE 缓解措施并在系统上执行任意代码。
CVE-2024-30051 - 该漏洞允许本地用户提升系统权限。该漏洞是由于 Windows DWM 核心库中的边界错误而导致的。本地用户可以触发基于堆的缓冲区溢出并以 SYSTEM 权限执行任意代码。
2024 年 3 月,卡巴斯基透露,黑客正试图积极利用各种 Windows 组件中现已修复的权限提升漏洞,因为“这是快速获取 NT AUTHORITYSYSTEM 的非常简单的方法”。
Akamai 进一步概述了一种影响 Active Directory (AD) 环境的新权限提升技术,该技术利用了 DHCP 管理员组。
“如果DHCP服务器角色安装在域控制器(DC)上,这可以使它们获得域管理员权限,”该公司指出。“除了提供权限升级原语外,同样的技术还可用于创建隐蔽的域持久性机制。
微软官方已发布安全更新补丁,受影响用户可以到官方下载对应的补丁更新,或者手动更新系统。
参考链接:
https://thehackernews.com/2024/05/microsoft-patches-61-flaws-including.html
3.Google Chrome V8越界写入漏洞(CVE-2024-4761)
Google Chrome V8中存在越界写入漏洞,攻击者可通过诱导用户打开恶意链接来利用此漏洞,从而在应用程序上下文中执行任意代码、获取敏感信息或导致应用程序崩溃。此漏洞可能会影响使用 Chromium 的多个 Web 浏览器,包括但不限于 Google Chrome、Microsoft Edge 和 Opera。卡巴斯基的 Vasily Berdnikov (@vaber_b) 和 Boris Larin (@oct0xor) 于 2024 年 5 月 13 日报告了该漏洞。
正如往常一样,这家IT巨头没有透露有关利用此漏洞的攻击的详细信息。
Chrome 会在有可用安全更新时自动更新,用户可以通过转到“设置”>“关于 Chrome”,让更新完成,然后单击“重新启动”按钮来应用它,以确认运行的是最新版本。
参考链接:
https://securityaffairs.com/163285/cyber-crime/cisa-google-chrome-zero-day-known-exploited-vulnerabilities-catalog.html
4.Google Chrome V8类型混淆漏洞(CVE-2024-4947)
高危零日漏洞 (CVE-2024-4947) 是由卡巴斯基的 Vasily Berdnikov 和 Boris Larin 报告的,由 Chrome V8 JavaScript 引擎中的类型混淆漏洞引起,他们还将该漏洞标记为在有针对性的攻击的在野利用。
黑客能够通过此类漏洞在缓冲区边界之外读取或写入内存来触发浏览器崩溃,他们也可以利用漏洞在目标设备上执行任意代码。
本周修复的另外两个被积极利用的 Chrome 零日漏洞是 CVE-2024-4671(视觉效果组件中的释放后使用漏洞)和 CVE-2024-4761(V8 JavaScript 引擎中的越界写入错误)。
Microsoft还表示:“意识到最近针对CVE-2024-4947的漏洞利用”,其工程师正在“积极致力于为基于Chromium的Edge网络浏览器发布安全修复程序”。
该公司通过发布适用于 Mac/Windows 的 125.0.6422.60/.61 和 适用于 Linux 的 125.0.6422.60修复了零日漏洞。新版本将在未来几周内向稳定桌面频道中的所有用户推出。
当安全补丁可用时,Chrome 会自动更新。用户也可以通过转到 Chrome 菜单>帮助>关于 Google Chrome,更新完成,然后单击“重新启动”按钮进行安装,以确认他们运行最新版本。
参考链接:
https://www.bleepingcomputer.com/news/google/google-fixes-CVE-2024-4947-third-actively-exploited-chrome-zero-day-in-a-week/
5.D-Link DIR-605 路由器信息泄露漏洞(CVE-2021-40655)&D-Link DIR-600 路由器跨站请求伪造漏洞(CVE-2014-100005)
5 月 16 日,网络安全和基础设施安全局 (CISA) 在其已知利用漏洞 (KEV) 目录中添加了两款报废的 D-Link 路由器,并指出安全团队应立即修复并尽可能停用设备,因为这些漏洞存在在野利用。
CISA表示,第一个漏洞CVE-2014-100005是在D-Link DIR-600路由器上,该漏洞包含跨站请求伪造(CSRF)漏洞,该漏洞允许攻击者通过劫持现有管理员会话来更改路由器配置。
第二个 D-Link 漏洞 CVE-2021-40655 影响了 D-Link DIR-605 路由器,该路由器包含信息泄露漏洞,攻击者可以通过伪造对 /getcfg.php 页面的发布请求来获取用户名和密码。
Critical Start的网络威胁情报研究分析师Sarah Jones表示,利用CVE-2014-100005,攻击者可以授予未经授权的访问权限,以修改网络配置,从而可能重定向流量,阻止合法访问,甚至对其他设备发起攻击。
Jones 补充说,CVE-2021-40655 允许攻击者从 D-Link DIR-605 路由器以纯文本形式窃取用户名和密码。攻击者可以使用这些被盗的凭据来访问路由器的设置或其他重复使用相同登录信息的帐户。
“修补的紧迫性源于这些漏洞的确认利用及其明显的易用性,”琼斯说。“安全团队应优先立即解决这些问题。就 CVE-2014-100005 而言,由于它会影响不受支持的设备,因此建议完全更换过时的路由器。
参考链接:
https://www.scmagazine.com/news/2-d-link-router-bugs-added-to-cisas-exploited-vulnerabilities-catalog
1.因供应商被黑,欧洲银行巨头桑坦德银行所有员工和多国客户数据泄露
5月15日Bleeping Computer消息,欧洲超大型银行桑坦德银行(Banco Santander SA)宣布,遭遇一起数据泄露事件,客户受到影响。事件起因是一名未经授权的人员访问了该银行某个第三方服务提供商托管的数据库。该公司发布声明称:“我们最近发现了一起未经授权访问桑坦德银行数据库的事件,该数据库由一家第三方提供商托管…经过调查,我们确认某些涉及桑坦德银行智利、西班牙和乌拉圭客户,以及公司内部的现任和部分前任员工的信息已被访问。”桑坦德银行没有透露具体受影响的数据类型,但指出交易信息以及网络银行账户凭据未受影响,相关系统和运营也未受影响。桑坦德银行将直接通知受数据泄露影响的客户和员工,以及执法部门。
原文链接:
https://www.bleepingcomputer.com/news/security/banco-santander-warns-of-a-data-breach-exposing-customer-info/
2.国家安全部:境外一非政府组织非法搜集窃取我国自然保护区核心敏感数据
5月13日国家安全部公众号消息,国家安全部发布文章称,一所外国高校在境外非政府组织支持下,与我西南地区某国家级自然保护区科研管理单位开展所谓自然生态领域科研“项目合作”,并采取利益拉拢、色情引诱等方式将我方人员拉拢“下水”,指使、胁迫其配合非法窃取我自然保护区各类敏感数据。国家安全机关工作发现,该非政府组织背景复杂,此次实为某西方大国以开展项目合作为掩护,在未经我任何部门批准的情况下,非法搜集、窃取我自然保护区核心敏感数据资源,并通过违规在我自然保护区核心区域安装气象站、布设红外相机设备、开展GPS测绘、窃取我涉密电脑资料等方式,获取我重要自然保护区大量地理、气象、生物等敏感数据及图片资料并向境外传输,对我生态安全造成严重危害。
原文链接:
https://mp.weixin.qq.com/s/i22d-1aLdbaVxB6QEAbshA
3.澳大利亚贷款巨头Firstmac遭勒索攻击,超500G数据泄露
5月12日Bleeping Computer消息,澳大利亚最主要的非银行贷款机构之一Firstmac遭遇Embargo勒索软件攻击,超500GB内部数据被窃取。网络安全博主Troy Hunt在推特上公开了Firstmac发送给客户的通知。通知显示,Firstmac发生了严重数据泄露事件,在外部网络安全专家的协助下,公司确定泄露的信息包括客户姓名、住址、电子邮箱、电话号码、出生日期、外部银行账户信息和驾照信息等。Firstmac向客户保证,他们的账户和资金是安全的,该公司的系统现在已经得到了适当的支持。
原文链接:https://www.bleepingcomputer.com/news/security/largest-non-bank-lender-in-australia-warns-of-a-data-breach/
1.国家标准《网络安全技术 软件物料清单数据格式》公开征求意见
5月17日,全国网络安全标准化技术委员会归口的国家标准《网络安全技术 软件物料清单数据格式》已形成标准征求意见稿,现公开征求意见。该文件规定了软件物料清单数据格式,包括软件物料清单组成、软件物料清单文件格式要求和软件物料清单元素,以及软件物料清单中各元素的属性和属性值格式等信息,适用于指导软件供应链相关方之间进行软件物料清单信息的生成、共享和使用。软件物料清单是描述软件产品的组成成分、内外部依赖关系、来源信息以及潜在的安全风险信息的清单。
原文链接:
https://www.tc260.org.cn/file/2024-05-07/7a68f8b8-baea-4361-ad9e-cf81b95ff9a5.docx
2.六部门印发《数字乡村建设指南2.0》
5月16日,中央网信办、农业农村部、国家发展改革委、工业和信息化部、市场监管总局、国家数据局等部门组织修订了《数字乡村建设指南2.0》,现公开印发。该文件主要面向省、市、县三级相关政府部门,适用于指导县域数字乡村建设、运营和管理。该文件要求,坚持统筹发展和安全,严格落实网络安全工作责任制,督促网络运营者依法落实网络安全等级保护工作。建立数据安全管理和应急防控机制,防止信息泄露、损毁、丢失,确保收集、产生的数据和个人信息安全。实施数据资源分类分级管理,构筑数据安全防护体系。督促数字乡村建设运营企业建立用户信息保护制度。
原文链接:
https://www.cac.gov.cn/rootimages/uploadimg/1717449059031166/1717449059031166.pdf
3.美国CISA等多国机构发布公民社会网络安全指南
5月14日,美国网络安全与基础设施安全局(CISA)等美国机构与英国、加拿大、爱沙尼亚、日本、芬兰网络安全机构共同编写了《利用有限资源减轻网络威胁:公民社会指南》,旨在提高美国及其盟友应对网络威胁的能力。该文件为民间社会组织和个人提供了降低网络入侵风险的建议行动和缓解措施。此外,该指南还鼓励软件制造商积极实施并公开承诺“安全设计”实践,这是帮助保护脆弱和高风险社区所必需的。
原文链接:
https://www.cisa.gov/sites/default/files/2024-05/joint-guide-mitigating-cyber-threats-with-limited-resources-guidance-for-civil-society-508c_3.pdf
本期周报内容由安全内参&虎符智库&奇安信CERT联合出品!
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...