每周安全动态精选(1.15-1.19)
本周精选
1、新泽西州全面隐私法案签署成为法律
2、AEPD 发布 cookie 指南
3、Androxgh0st 恶意软件相关的已知入侵指标
4、沙特阿拉伯外交部 140 万数据遭泄露
5、利用单元测试框架作为漏洞扫描器的新方法
政策法规动态
**1、**新泽西州全面隐私法案签署成为法律
Tag:隐私法案
新泽西州州长 Phil Murphy 于 1 月 16 日签署了新泽西州的综合隐私法案——参议院第 332 号法案,使其成为法律。该法律将于 2025 年 1 月签署之日起一年后生效。
https://iapp.org/news/a/new-jerseys-comprehensive-privacy-bill-signed-into-law
**2、**联邦贸易委员会讨论儿童在线隐私法的修改
Tag:儿童隐私
美国联邦贸易委员会将在 1 月 18 日的会议上讨论对《儿童在线隐私保护法》规则的修改。该提案将要求单独选择有针对性的广告、限制未经同意“轻推”儿童以及其他措施。对这些变化发表评论的截止日期是3 月 11 日。
https://iapp.org/news/a/ftc-to-discuss-changes-to-childrens-online-privacy-law
3、欧盟数据法案现已生效
Tag:数据安全
欧盟数据法案现已生效。该立法试图通过创建竞争性数据市场并就某些类型数据的使用提供法律明确性来确保数据经济的公平性。《数据法案》使联网设备的用户能够更好地控制设备产生的数据,并在一定程度上使公共部门实体能够更好地访问私营部门数据以应对公共危机。该法律将于 2025 年 9 月 12 日生效。
https://iapp.org/news/a/eu-data-act-now-in-force
4、美国参议员预计将推出一系列针对人工智能的立法
Tag:人工智能
据 FedScoop 报道,美国华盛顿州民主党参议员玛丽亚·坎特韦尔 (Maria Cantwell) 预计将在未来几个月内提出一系列两党法案,规范一系列人工智能相关问题。这些举措将针对人工智能问题,例如深度伪造、就业和培训、算法偏见、数字隐私、国家安全以及人工智能创新和竞争力。
https://iapp.org/news/a/us-senator-expected-to-introduce-series-of-ai-targeted-legislation
技术标准规范
1、AEPD 发布 cookie 指南
Tag:数据安全
西班牙数据保护机构 Agencia Española de Protección de Datos 发布了有关如何处理分析和 cookie 的最新指南。该指南允许某些 cookie 绕过用户同意,但建议了豁免通知,以及 cookie 寿命和数据存储长度的限制。数据也无法与其他处理器匹配。
https://iapp.org/news/a/spanish-dpa-releases-cookie-guidelines
**2、**马来西亚总理制定数据保护指南
Tag:数据保护
据《Malaymail》报道,马来西亚个人数据保护部将很快制定七项有关如何管理个人数据的指南。这些规则将根据《2010 年个人数据保护法》制定,涉及数据保护官员、数据泄露通知、可移植性、跨境数据传输等,还将创建个人数据保护门户。
https://iapp.org/news/a/malaysian-prime-minister-lays-out-data-protection-parameters
**3、**GAO 建议更新 FDA 的医疗器械网络安全协议
Tag:网络安全
据 FedScoop 报道,美国政府问责办公室建议食品和药物管理局与网络安全和基础设施安全局协调更新医疗设备网络安全协议。GAO 指出,FDA 目前的协议已有五年历史,应进行修订以支持技术变革。
https://iapp.org/news/a/gao-recommends-an-update-to-fdas-medical-device-cybersecurity-agreement
重点漏洞情报
1、Ivanti CVE-2023-46805 & CVE-2024-21887
Tag:SSLVPN, Ivanti
Ivanti(也被称为 Pulse Secure)Connect Secure(ICS)和 Ivanti Policy Secure 设备中存在两个严重的 0day 漏洞(CVE-2023-46805 和 CVE-2024-21887),导致整个设备被攻击者控制和接管。这两个漏洞被被国家级 APT 组织利用来攻击 Ivanti 设备。
**2、**Varonis 发现新的 Outlook 漏洞和泄露 NTLM 哈希的方法
Tag:Outlook 漏洞、NTLM 哈希
Varonis 威胁实验室发现了一个新的 Outlook 漏洞(CVE-2023-35636),以及通过利用 Outlook、Windows 性能分析器(WPA)和 Windows 文件资源管理器访问 NTLM v2 哈希密码的三种新方法。攻击者可以利用这些密码尝试离线暴力破解或身份验证中继攻击来入侵账户并获取访问权限。
https://www.varonis.com/blog/outlook-vulnerability-new-ways-to-leak-ntlm-hashes
3、Opera 浏览器发现跨平台 0-Day RCE 漏洞
Tag:Opera 浏览器,RCE 漏洞
Guardio Labs 研究团队在流行的 Opera 浏览器系列中发现了一项重大的零日漏洞。这个漏洞允许攻击者使用特制的浏览器扩展,在 Windows 或 MacOS 系统上执行恶意文件。这一发现不仅突显了 Opera 内部的漏洞,也反映了现代浏览器安全面临的更广泛的挑战。
4、NextGen Mirth Connect Pre-Auth RCE 漏洞分析报告
Tag:NextGen Mirth Connect,RCE 漏洞
Horizon3.ai 发布了一份技术细节报告,分析了 NextGen Mirth Connect 的一个预身份验证远程代码执行(RCE)漏洞,该漏洞被标识为 CVE-2023-43208。Mirth Connect 是一款被广泛应用于医疗保健领域的开源数据集成平台。该漏洞的根源是由于对 Java XStream 库在反序列化 XML 数据时存在不安全的使用方式。
https://www.horizon3.ai/writeup-for-cve-2023-43208-nextgen-mirth-connect-pre-auth-rce/
恶意代码情报
1、Androxgh0st 恶意软件相关的已知入侵指标
Tag:Androxgh0st, 恶意软件,威胁情报
美国联邦调查局(FBI)和网络安全与基础设施安全局(CISA)联合发布了这份关于 Androxgh0st 恶意软件的入侵指标和战术、技术、程序(TTPs)的网络安全公告。Androxgh0st 恶意软件主要通过建立僵尸网络来识别和攻击目标网络,以 Python 脚本为基础,主要用于攻击包含机密信息(如各种高级应用程序的凭据)的.env 文件。该恶意软件还支持滥用简单邮件传输协议(SMTP)的多种功能,例如扫描和利用暴露的凭据和应用程序编程接口(APIs),以及部署 Web Shell。
https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-016a
**2、**Chae$ 编年史:4.1 版本致敬 Morphisec 研究人员
Tag:恶意软件,信息窃取,Morphisec,Chae$ 4.1
Morphisec 的威胁实验室最近专注于分析更新的 Chae$ 4.1 恶意软件,这是 Chaes 恶意软件系列的更新版本。该版本引入了关键的更新,并在其源代码中独特地向 Morphisec 团队传达了一条直接消息。这篇文章简要介绍了 Chae$ 4.1 的更新内容,并提到了 Morphisec 团队与黑客的初步互动。此外,文章还揭示了该恶意软件的传播链中一些以前未知的细节。
https://blog.morphisec.com/chaes-chronicles
**3、**植入盗版应用程序的新型恶意软件
Tag:恶意软件,盗版应用程序,macOS, 威胁情报
Jamf 威胁实验室发现了一系列植入盗版 macOS 应用程序的恶意软件,这些应用程序与 ZuRu 恶意软件相似,通过与攻击者基础设施建立通信,从而控制受害者的计算机。
https://www.jamf.com/blog/jtl-malware-pirated-applications/
4、CVE-2023-36025 漏洞被 Phemedrone Stealer 利用进行防御逃避
Tag:CVE-2023-36025,Phemedrone Stealer,恶意软件,Windows Defender SmartScreen Bypass
最近,Trend Micro 发现了一起利用 CVE-2023-36025 漏洞进行攻击的活动。该漏洞是 Windows Defender SmartScreen 绕过的漏洞,Phemedrone Stealer 恶意软件利用该漏洞进行防御逃避,并且有可能通过加密货币钱包和通信应用来窃取用户数据。该恶意软件还会进行截屏和收集有关硬件、位置和操作系统的信息。CVE-2023-36025 漏洞已在 2023 年 11 月 14 日被微软修复,但由于已有实际攻击证据,美国网络安全和基础设施安全局(CISA)还将该漏洞列为已知被利用的漏洞(KEV)清单之中。该漏洞的利用情况日益增多,其中一种恶意软件 ——Phemedrone Stealer—— 也利用了该漏洞进行攻击。
数据安全情报
**1、**沙特阿拉伯外交部 140 万数据遭泄露
Tag:数据泄露
沙特阿拉伯外交部 140万数据泄露,泄露文件大小600MB。它包含 ID、GUID、阿拉伯姓名、全名、相关部门、职务、办公室电话号码、手机号码、电子邮件、家庭电话号码、职位等信息。发布者提供的样本量共 90 条,从样本来看数据包含 2008 年至2013年的数据。
https://hackernews.cc/archives/49055
2、HMG Healthcare 遭遇勒索软件攻击
Tag:勒索软件、信息泄露
医疗保健服务提供商 HMG Healthcare 遭到勒索软件攻击,导致其 40 家附属护理机构的用户和员工的健康信息被泄露。这些被盗文件包含了姓名、出生日期、联系方式、健康状况、治疗信息、社会安全号码和工作记录等个人信息。
https://hackernews.cc/archives/49006
3、律师事务所 Orrick 数据泄露事件影响超 60 万人
Tag:数据泄露
据了解,此次数据泄露事件发生在 2023 年 2 月 28 日至 3 月 13 日,攻击者在入侵该公司网络后,获得了一个数据存储区,其中包括该律所的相关客户文件。在该事件发生后,Orrick 采取了对应措施来阻止未经授权的访问,并启动了对安全事件的调查。
https://hackernews.cc/archives/48872
4、医疗保健科技公司遭遇网络攻击,预计影响 450 万客户
Tag:网络攻击、数据泄露
美国医疗保健技术公司 HealthEC LLC 遭遇一次严重网络安全事件,约 450 万客户的敏感信息被泄露,这一数字占据了其注册会员的一半以上。经网络安全专家调查发现,黑客可能从被入侵系统中窃取了客户姓名、地址、出生日期、社会保险号、纳税人识别号、医疗记录编号、医疗信息等敏感信息。
https://hackernews.cc/archives/48791
热点安全事件
1、美杜莎勒索软件攻击慈善饮用水机构 Water for People
Tag:勒索软件、网络攻击
勒索软件组织美杜莎(Medusa)在其暗网受害名单网站上列出了 Water for People——一家专为贫困地区提供清洁饮用水的非盈利组织。美杜莎向该组织索要30万美元赎金,否则将公布被盗信息。
https://hackernews.cc/archives/49110
2、Anonymous Sudan(匿名苏丹)声称伦敦互联网交易所因也门袭击而遭受攻击
Tag:网络攻击
Anonymous Sudan(匿名苏丹)是一个亲俄罗斯的黑客活动组织,其出现与乌克兰战争开始以来其他亲俄罗斯网络行为者的崛起相一致。Anonymous Sudan(匿名苏丹)在 Telegram 上声称对伦敦互联网交换中心 (LINX) 的网络攻击负责。
https://hackernews.cc/archives/49179
**3、**OpenAI 宣布为美国军方开发网络安全技术
Tag:网络安全
被称为 ChatGPT 开发商的 OpenAI 近日在达沃斯世界经济论坛上宣布为美国军方开发网络安全技术,并加大对美国选举安全的工作力度。
https://hackernews.cc/archives/49289
**4、**超 17.8 万个 SONICWALL 防火墙遭黑客攻击
Tag:黑客攻击
Bishop Fox 的研究人员发现超过 178,000 个 SonicWall 下一代防火墙 (NGFW) 被公开利用。研究人员利用 BinaryEdge源数据扫描了管理界面暴露于互联网的 SonicWall 防火墙,发现其中76%容易受到1-2个安全问题的潜在影响。
https://hackernews.cc/archives/49139
热点安全技术
**1、**利用单元测试框架作为漏洞扫描器的新方法
Tag:漏洞扫描器、单元测试、xUnit、安全研究、代码测试
单元测试是一种测试小的代码单元或个别的代码片段的方法。可以测试一个小的函数,并检查结果是否符合预期,这正是漏洞扫描所需要的。通过使用单元测试而不是漏洞扫描器,既可以使用自己喜欢的编程语言编写代码,也可以进行系统级操作,可以使用无头浏览器和 HTTP 客户端库进行网络渗透测试,可以使用系统级函数进行二进制利用,还可以进行代码的静态分析和动态分析。
https://eval.blog/utilizing-unit-tests-as-a-vulnerability-scanner/
2、破解 JavaScript 中的签名请求哈希值和工具化技术
Tag:JavaScript, 签名请求,哈希值,逆向工程,安全测试
在这篇文章中,作者详细介绍了他在研究一个漏洞赏金计划时遇到的挑战。网站对每个请求都进行了签名,防止用户修改 URL 和 GET 参数值。为了绕过这种限制,作者通过逆向工程和调试技术,分析了 JavaScript 代码,并成功地还原了代码逻辑。最终,作者创建了一个 NodeJS 服务器,并开发了一个 Burp Suite 插件,用于自动化修改请求并生成正确的签名请求哈希值。
https://buer.haus/2024/01/16/reversing-and-tooling-a-signed-request-hash-in-obfuscated-javascript/
3、揭示 HVCI 漏洞:追踪 UEFI 中的问题并修复
Tag:HVCI 漏洞、UEFI、Intel VT-x、Intel VT-d、DMA 重映射、DMAR ACPI 表、RMRR 结构、Windows 内核
一项名为 Hypervisor-Protected Code Integrity(HVCI)的配置漏洞于 2024 年 1 月 9 日在 Windows 上发布的更新中被披露和修复。这个漏洞(CVE-2024-21305)允许任意的内核模式代码执行,从而绕过了根分区中的 HVCI。这篇文章详细讲述了 HVCI 绕过漏洞的故事和技术细节,其中包括作者的发现过程以及与 Windows 内核工程师 Andrea Allievi 的合作。文章首先介绍了作者发现漏洞的过程,并展示了如何利用漏洞进行验证。随后,作者逐步对漏洞进行了分析,并将其报告给了微软安全响应中心(MSRC)。
https://tandasat.github.io/blog/2024/01/15/CVE-2024-21305.html
4、Syscalls 通过向量异常处理绕过 EDR 的检测
Tag:Syscalls, 向量异常处理,EDR, 恶意软件,API hooking
本文介绍了 EDR 钩子和逃避技术。EDR 使用内联 API 钩子来重定向用户模式应用程序的执行流,以进行动态分析。为了避免被 EDR 分析,恶意软件开发者可以使用各种技术,比如解除或修补用户模式钩子的 DLL,或者使用直接或间接的 syscalls。直接 syscalls 将系统调用的完整代码直接实现在恶意软件中,而间接 syscalls 则在 ntdll.dll 的内存区域中执行 syscall 和 return 语句,从而使线程调用栈更加合法。
https://redops.at/en/blog/syscalls-via-vectored-exception-handling
天融信阿尔法实验室成立于2011年,一直以来,阿尔法实验室秉承“攻防一体”的理念,汇聚众多专业技术研究人员,从事攻防技术研究,在安全领域前瞻性技术研究方向上不断前行。作为天融信的安全产品和服务支撑团队,阿尔法实验室精湛的专业技术水平、丰富的排异经验,为天融信产品的研发和升级、承担国家重大安全项目和客户服务提供强有力的技术支撑。
