英国政府提案：禁止公共部门和关键基础设施组织向勒索软件支付赎金

2025年1月14日，英国内政部发布了一份咨询白皮书，英国即将实施一项重要政策，正式禁止赎金支付，以应对日益严重的勒索软件攻击。这项禁令将主要针对公共和关键基础设施部门，包括教育、交通、医院（包括国家医疗服务体系）以及银行等金融机构。白皮书详细说明了这一政策变更，预计不久将正式以行政命令的形式实施。

英国此次决定效仿美国，后者已采取措施，劝阻企业和公共部门支付赎金以换取解密密钥。实施这一政策的原因在于削弱网络犯罪分子的经济激励，从而减少这些对全球各行业造成重大干扰的攻击事件。除了禁止支付赎金外，提案还要求遭遇勒索软件攻击的企业和组织在三个工作日内向执法机构报告事件。未能遵守这一报告要求可能会面临法律处罚和其他后果。这一措施旨在确保迅速应对攻击，并使执法机构能够收集关键情报，以追踪和打击勒索软件活动。

国家犯罪局（NCA）与国家网络安全中心（NCSC）已开始提升公众对新政策及其影响的认识。尽管面临挑战，英国提议的赎金支付禁令标志着在打击网络犯罪方面迈出了大胆的一步。如果成功，这一政策可能为其他面临勒索软件攻击威胁的国家提供借鉴。

近日，攻击者入侵了Kong的DockerHub账户，并将合法的Kong Ingress Controller v.3.4.0镜像替换为恶意版本。

这一漏洞源于2024年12月23日上传到DockerHub的未经授权的镜像。受影响的镜像（哈希值：sha256:a00659df0771d076fc9d0baf1f2f45e81ec9f13179f499d4cd940f57afc75d43）包含恶意代码，导致加密劫持。该恶意代码将控制器指向一个名为pool.supportxmr.com的加密货币挖矿网站，意味着该镜像中的代码会在运行受影响镜像的任何系统上秘密进行加密货币挖矿，将这些系统变成了意外的挖矿设备。这可能给组织带来严重后果，包括资源消耗增加、能源成本上升以及多种安全风险。受损镜像还可能引入漏洞或后门，使攻击者获得进一步访问权限。

Kong团队于2025年1月2日意识到这一问题，并从DockerHub上移除了版本3.4.0及所有相关标签，并更换了所有用于DockerHub访问的密钥。随后，修复版本3.4.1于2025年1月2日发布，移除了未经授权的加密劫持代码。Kong团队建议在2024年12月22日至2025年1月3日期间部署了Kong Ingress Controller版本3.4.0用户立即采取行动，从所有内部注册表和集群中删除该镜像。

美国湾景资产管理公司（Bayview Asset Management）因数据泄露事件及涉嫌未能充分配合事后监管调查，被罚款2000万美元（约合人民币1.46亿元）。湾景总部位于佛罗里达州科勒尔盖布尔斯，旗下拥有多家抵押贷款服务公司。根据美国州银行监管机构会议（CSBS）于1月8日发布的声明，该公司在信息技术实践中存在漏洞，并在2021年发生了一起影响580万客户的数据泄露事件。CSBS指出，当监管机构索取相关信息时，湾景未能有效配合。CSBS表示，此次调查由加利福尼亚州、马里兰州、北卡罗来纳州和华盛顿州的监管机构牵头，最终促使53个司法辖区的监管机构采取联合行动，迫使湾景达成和解协议。

事件起源于2021年10月，湾景员工下载恶意软件导致数据泄露，窃取敏感数据。湾景及其关联公司迅速响应，提供支持服务，但未能及时满足所有州抵押贷款监管机构的通知要求。和解协议中，湾景承诺改进网络安全计划，接受独立评估并提交报告。湾景未回应置评请求，既未承认也未否认相关指控。

2025年1月9日，香港个人资料私隐专员公署(PCPD)完成对市建局资料外泄事件的调查后，发布最新版《云计算指引》(Guidance on Cloud Computing，下称“《指引》”)。以帮助组织根据《个人资料(私隐)条例》，保护个人资料隐私。《指引》包括使用私有云、定制服务、确保外包商合规以及实施加密和多因素身份验证等安全措施的建议。它强调了组织和云服务提供商共同遵守《条例》的责任。

市建局于2024年5月3日接获警方通报，指电子表格部分资料可能遭外泄，随即停止使用云端平台ArcGIS Online，并删除其中的个人资料。市建局其后得悉，已登记出席简介会人士的个人资料可由任何人在无须以密码登入任何账户的情况下取用，于2024年5月13日向PCPD提交资料外泄通报。

该事件影响199名已答应出席简介会的业主及租户的个人资料，受影响的个人资料包括电话号码、联系人姓名及业权详情或通讯地址。

经调查，自2022年7月，软件新版本提供数据共享默认值的加强保护，需额外设置才允许无登录查看。市建局使用旧版本软件，未应用新保护默认值。因员工对新旧版本了解不足，测试时未详细检查相关资料共享设定和相关功能安全测试，导致事件发生。

PCPD私隐专员钟丽玲认为市建局的以下条件考虑不周是导致事件发生的主要原因：未能及时更新软件，以确保所用软件为最新版本。市建局一直没有采取任何行动检查其使用的电子表格平台软件是否为最新版本，亦未能更新软件；对收集个人资料的软件缺乏了解，亦没有制定及进行有效及全面的软件使用安全测试，导致表格安全检查遗漏一些关键功能，最终导致市建局未能及时发现资料被公开，最终导致事件发生。

基于上述情况，PCPD认为市建局未采取一切切实可行的措施确保所涉及的个人资料不会在未经授权或意外的情况下被查阅、处理、删除、遗失或使用，从而违反了《条例》有关个人资料保安的保障原则第4(1)条。私隐专员已向市建局发出警告信，要求其采取措施加强保障其所持有的个人资料，防止日后再发生同类违法行为。

网络安全研究人员在EXPMON发现了一个严重的零日漏洞，该漏洞存在于PDF文件中，可能被攻击者恶意利用，以泄露敏感的NTLM认证数据。此漏洞涉及到Adobe Reader和Foxit Reader这两款软件在处理特定PDF操作时的安全隐患。

这一漏洞源于Adobe Reader和Foxit Reader处理特定/Launch操作的方式。如果被恶意行为者利用，这些行为可能导致NTLM信息的盗取，而NTLM是Windows网络中的关键认证机制。在Adobe Reader中打开该PDF样本时，应用程序会尝试查找名为“Applications”的网络资源。如果成功，它会在用户看到警告消息之前，主动连接并将NTLM凭证发送到服务器。虽然这种行为不允许攻击者使用公共域名，但在私有网络环境中，攻击者可以通过制作恶意PDF并使用攻击者控制的本地服务器，收集受害者的敏感NTLM信息。

安全专家建议Adobe Reader用户在Adobe尚未发布针对该行为的补丁之前，通过在Acrobat设置中禁用“自动信任来自Win OS安全区域的网站”功能来降低风险；Foxit Reader用户立即更新至Foxit Reader v2024.4或更高版本。

微软于2025年1月的周二补丁日发布了安全更新，修复了159个漏洞，其中包括：权限提升漏洞40个，安全功能绕过漏洞14个，远程代码执行漏洞58个，信息泄露漏洞24个，拒绝服务漏洞20个，伪造漏洞5个。

微软本次修复了3个正在被积极利用的零日漏洞：CVE-2025-21333、CVE-2025-21334、CVE-2025-21335。微软修复了这三个在Windows Hyper-V中被利用的权限提升漏洞，这些漏洞允许攻击者在Windows设备上获取SYSTEM权限。

微软本次修复了5个公开披露的零日漏洞：CVE-2025-21275：Windows应用程序包安装程序权限提升漏洞。攻击者若成功利用此漏洞可获得SYSTEM权限；CVE-2025-21308：Windows主题伪造漏洞。该漏洞可以通过在Windows资源管理器中显示特制的主题文件来利用。攻击者需要说服用户加载恶意文件，通常通过电子邮件或即时消息的诱惑来实现。CVE-2025-21186、CVE-2025-21366、CVE-2025-21395：Microsoft Access远程代码执行漏洞。这三个漏洞是在打开特制的Microsoft Access文档时被利用的远程代码执行漏洞。微软通过阻止访问通过电子邮件发送的特定Microsoft Access文档来缓解此问题。

近日，由密西根大学、Merit Network公司、亚利桑那州立大学和Breakpointing Bad机构的研究人员合作完成的新研究揭示，商业VPN服务中最受欢迎的协议OpenVPN存在可被指纹识别的漏洞。

研究人员扮演了一个控制网络的攻击者角色，设计了一个两阶段的框架，能够通过被动指纹识别和主动探测来准确识别OpenVPN连接。研究人员在一个中型ISP的一个主要节点部署了他们的框架，对20Gbps的入站和出站流量进行分析。在对2000个控制流量进行测试时，他们能够识别出1718个OpenVPN流量，涵盖了40种不同的OpenVPN配置中的39种。他们还成功识别了三分之二的"隐蔽"OpenVPN流量。尽管一些顶级VPN提供商宣称其"隐蔽"服务"无法被检测"，但研究人员发现大多数实现都类似于使用简单的XOR掩码对OpenVPN进行掩盖，很容易被指纹识别。在为期8天的评估中，他们的框架标记了3638个流量为OpenVPN连接，其中3245个流量有证据支持检测结果。

研究人员指出，与Tor或Refraction Networking等规避工具采用了复杂的策略不同，OpenVPN和更广泛的VPN生态系统中明显缺乏健壮的隐蔽技术。研究人员警告，即使连接到"隐蔽"服务，对于那些面临较高威胁的用户来说，他们的VPN使用也可能被观察到。

1月14日，开放式网络应用程序安全项目(OWASP)发布了首个"非人类身份(NHI)十大安全风险"排行榜，旨在提高人们对于软件实体，如应用程序、API、机器人和自动化系统，获取授权访问安全资源时所面临的风险的认识，并提供可操作的指导和缓解漏洞的策略。

这10大风险包括：不当的身份注销、秘密泄露、第三方 NHI漏洞、不安全的身份认证、过度授权的 NHI、不安全的云部署配置、长期有效的秘密、环境隔离不足、NHI 重复使用和人为使用 NHI。OWASP的十大风险清单概述了最普遍的NHI风险及相关的缓解措施，帮助组织优先改善其安全态势。

报告强调，虽然许多NHI安全实践本身并不复杂，但在现代组织中，NHI的规模使其成为一大挑战。大量的NHI、多个身份提供商(IdP)、混合云环境和容器化工作流，使手动管理几乎不可能，需要借助高级工具。

信息来源：人民网 国家计算机网络应急技术处理协调中心 国家信息安全漏洞库 今日头条 360威胁情报中心 中科汇能GT攻防实验室 安全牛 E安全 安全客 NOSEC安全讯息平台 火绒安全 亚信安全 奇安信威胁情报中心 MACFEESy mantec白帽汇安全研究院 安全帮  卡巴斯基 安全内参 安全学习那些事 安全圈 黑客新闻 蚁景网安实验室 IT之家IT资讯 黑客新闻国外 天际友盟

本文版权归原作者所有，如有侵权请联系我们及时删除