每周安全动态精选(1.8-1.12)
本周精选
1、新泽西州在立法机构最后一天通过全面的隐私法案
2、微软2024年01月安全更新
3、土耳其黑客以 MSSQL 服务器为目标, 传播全域 MIMIC 勒索软件
4、美国证券交易委员会 X 账户被黑,引发比特币市场震荡
5、破解乐鑫部件的 Flash 加密功能
政策法规动态
**1、**新泽西州在立法机构最后一天通过全面的隐私法案
Tag:隐私法案
新泽西州立法机关在 2023 年立法会议的最后一天最终通过了一项全面的隐私法案,即参议院第 332 号法案。该法案于 2023 年 12 月对其综合框架进行了修订,并于 1 月 8 日获得参议院和议会的同一天批准。值得注意的是,SB 332 包含总检察长的规则制定权以及普遍选择退出机制和独特的儿童隐私条款的规定。该法案正在等待新泽西州州长菲尔·墨菲 (Phil Murphy) 的最终行动,他有 45 天的时间批准,并将在颁布一年后生效。
https://iapp.org/news/a/new-jersey-passes-comprehensive-privacy-bill-on-legislatures-final-day
**2、**美国联邦贸易委员会更新健康违规通知规则
Tag:数据保护
全球网络战略的 Justin Sherman 和 Devan Desai 为 Lawfare 撰文,阐述了美国联邦贸易委员会更新健康违规通知规则的计划。拟议的更新可以确定医疗保健应用程序和远程医疗服务如何收集并与第三方共享健康数据。
https://iapp.org/news/a/ftc-proposes-update-to-the-health-breach-notification-rule/
3、CNIL就传输影响评估展开征求意见草案
Tag:数据传输、信息保护
法国数据保护机构国家信息和自由委员会发布了一份指南草案,用于对欧洲经济区以外的数据传输进行传输影响评估。在进行 TIA 时,CNIL 建议数据控制者了解正在传输的数据、记录所使用的传输工具、了解接收国的法律、确定并实施任何补充措施,并重新评估必要的适当数据保护级别。草案咨询期于 2 月 12 日结束。
https://iapp.org/news/a/cnil-open-draft-consultation-for-data-transfers-outside-eea/
技术标准规范
1、FTC 发布关于保护 DNA 数据和执法优先事项的指南
Tag:数据安全
美国联邦贸易委员会发布了个人 DNA 数据安全存储指南。由于 DNA 数据的敏感性,联邦贸易委员会建议提供 DNA 检测套件的公司拥有强大的数据安全系统。此外,FTC 还概述了可能对 DNA 检测公司进行调查的领域,包括过度宣传检测的准确性以及为获得出售客户数据的同意而进行的欺骗性尝试。
https://iapp.org/news/a/ftc-publishes-guidance-for-securing-dna-data-enforcement-priorities
**2、**Garante 发布健身追踪器隐私指南
Tag:隐私安全
意大利数据保护机构 Garante 发布了保护与健身追踪器相关的个人数据的指南。该指南建议用户禁用不必要的跟踪选项,定期删除数据并启用多因素身份验证。
重点漏洞情报
1、微软2024年01月安全更新
Tag:微软、2024年01月
2024年01月10日,天融信阿尔法实验室监测到微软官方发布了01月安全更新。此次更新共修复48个漏洞(不包含1个外部分配漏洞和本月早些时候发布的4个Edge漏洞),其中2个严重漏洞(Critical)、46个重要漏洞(Important)。权限提升漏洞10个、远程代码执行漏洞11个、信息泄露漏洞11个、拒绝服务漏洞6个、欺骗漏洞3个、安全功能绕过漏洞7个。
https://mp.weixin.qq.com/s/qNubmq1vs1zC\_0rbhPMb9g
**2、**Airspan AirSpot 5410 多个漏洞报告
Tag:CVE-2022-36266、CVE-2022-36267、CVE-2022-36264、CVE-2022-36265
Airspan 的 AirSpot 5410 是一款先进的 LTE、CAT12 室外多服务天线,可提供千兆位 PoE 连接来连接用户终端设备,例如路由器或 WiFi AP 产品。
https://neroteam.com/blog/airspan-airspot-5410-vulnerability-report
3、SharePoint 预授权代码注入 RCE 链 CVE-2023-29357 和 CVE-2023-24955
Tag:SharePoint、CVE-2023-29357、 CVE-2023-24955
CVE-2023-29357是 Microsoft SharePoint Server 中的一个严重漏洞,被归类为特权提升 (EoP) 问题。它允许未经身份验证的远程攻击者通过发送欺骗性 JSON Web 令牌 (JWT) 身份验证令牌来利用系统。这为攻击者提供了与目标系统上经过身份验证的用户相同的权限。
4、GitPython代码执行漏洞
Tag:GitPython、CVE-2024-22190
该漏洞根源于CVE-2023-40590修复存在缺陷。在Windows系统上,当GitPython使用shell执行git命令并运行bash.exe解释hooks时,存在不完善的修复,导致其使用不受信任的搜索路径,可能执行在该路径下找到的程序。若在Windows上使用这些功能之一,可能导致恶意git.exe或bash.exe从不受信任的存储库中执行,从而引发任意代码执行的风险。
https://github.com/gitpython-developers/GitPython/security/advisories/GHSA-2mqj-m65w-jghx
https://github.com/gitpython-developers/GitPython/security/advisories/GHSA-wfm5-v35h-vwf4
恶意代码情报
1、土耳其黑客以 MSSQL 服务器为目标, 传播全域 MIMIC 勒索软件
Tag:土耳其黑客、MSSQL 、MIMIC 勒索软件
Securonix 威胁研究发现,土耳其黑客利用 MSSQL 数据库服务器来传递 MIMIC 勒索软件的新的 RE#TURGENCE 攻击活动。这些攻击者似乎以美国、欧盟和拉丁美洲国家为目标,并且有经济动机。
**2、**信息窃取者分析 — 第 1 章:网络钓鱼网站
Tag:信息窃取者、网络钓鱼、恶意应用程序、iOS
本文是对一个信息窃取者的分析,分为三个章节。本章节主要分析了网络钓鱼网站,通过钓鱼网站向用户传播恶意应用程序,窃取用户的敏感数据。作者通过分析网络钓鱼网站的特征和 JavaScript 代码,揭示了下载恶意 iOS 应用程序的逻辑和过程。通过获取 plist 文件和下载企业配置文件,攻击者能够绕过苹果应用商店,将恶意应用程序安装在 iOS 设备上。
**3、**探索 FBot:基于 Python 的针对云和支付服务的恶意软件
Tag:FBot、Python、黑客工具、云服务、SaaS、亚马逊网络服务
本文介绍了一种名为 FBot 的基于 Python 的黑客工具,其主要目标是攻击云服务器、云服务和软件即服务 (SaaS)。FBot 的功能包括垃圾邮件攻击的凭证收集、AWS 帐户劫持工具以及针对 PayPal 和各种 SaaS 帐户进行攻击的功能。
4、基于 Mirai 的 NoaBot 出现,进行加密货币挖矿活动
Tag:NoaBot,Mirai,僵尸网络,加密货币挖矿
Akamai 安全研究人员发现了一项新的加密货币挖矿活动,该活动自 2023 年初以来一直活跃。该恶意软件使用由威胁行为者修改的自定义 Mirai 僵尸网络通过 SSH 协议进行传播。新僵尸网络 NoaBot 的功能包括可蠕虫的自我传播程序和 SSH 密钥后门,用于下载和执行其他二进制文件或将自身传播给新受害者。
https://www.akamai.com/blog/security-research/mirai-based-noabot-crypto-mining
数据安全情报
**1、**巴西公民 2.23 亿条敏感信息遭泄露
Tag:信息泄露
Cybernews发现一起Elasticsearch数据泄露事件,其中包含超过2.23亿条巴西人的敏感信息。这个数据集存放在云服务器上,包含了完整姓名、出生日期、性别以及个人税务登记号码(CPF)。泄露的数据超过 2.23 亿条记录,这意味着巴西全民可能都受到了此次数据泄露的影响。
https://hackernews.cc/archives/48961
2、美国某知名安全公司遭黑客攻击,大量军方敏感信息外泄
Tag:黑客、信息泄露
近日,美国知名安全公司 Ultra Intelligence & Communications 遭遇Black Cat黑客攻击,导致瑞士空军文件被泄露到了暗网上。据 SwissInfo 网站报道,Black Cat 从 ULTRA 公司窃取了约 30 G 敏感文件。泄露的文件中包括瑞合同、电子邮件和付款收据、交易的时间。
https://hackernews.cc/archives/48930
3、台湾虎航 85.8 万数据泄露
Tag:数据泄露
2024年1月9日,台湾虎航 85.8 万数据泄露,泄露的数据包含客户数据和航班预定数据,样本可下载。露数据的详细类型包括:客户数据: id,账户,密码,国籍,姓名,性别,生日,电子邮件,护照号码,护照过期日期,重置密码代码,创建时间等。
https://hackernews.cc/archives/48911
4、沙特工业和矿产资源部 (MIM) 暴露敏感数据长达 15 个月
Tag:数据泄露
据团队称,这是第一次 env。该文件被物联网搜索引擎索引的时间是 2022 年 3 月,这意味着该数据至少暴露了 15 个月。该文件已被关闭,公众无法再访问。泄露事件暴露了多种类型的数据库凭据、邮件凭据和数据加密密钥。例如,研究人员发现了暴露的 SMTP(简单邮件传输协议)凭据。
https://hackernews.cc/archives/48900
热点安全事件
1、乌克兰声称对莫斯科互联网提供商进行报复性黑客攻击
Tag:俄乌战争、网络攻击
据报道,有消息人士向乌克兰媒体透露,与乌克兰安全局 (SBU) 有联系的 Blackjack 网络组织本周发起了一次网络攻击,他们声称能够“摧毁”莫斯科互联网服务提供商 M9 Telecom 的服务器。
https://hackernews.cc/archives/48974
2、勒索软件组织 BlackCat 攻击英国国防公司 Ultra 的美国子公司得手
Tag:勒索软件、网络攻击
英国国防公司 Ultra 的美国子公司 Ultra Intelligence & Communications (Ultra I&C) 遭遇了 ALPHV (BlackCat) 勒索软件团队的攻击,导致联邦调查局、北约和瑞士空军的敏感资料被黑客获取。BlackCat 公开数据包含各种信息,包括审计、财务和员工人事数据。黑客声称,被盗数据包含与联邦调查局、北约、瑞士、以色列和多家国防公司有关的信息。
https://hackernews.cc/archives/49014
**3、**俄罗斯黑客潜伏在乌克兰电信巨头 Kyivstar 内网长达数月
Tag:俄乌战争、网络攻击
在2023年12月12日上午Kyivstar 遭受大范围黑客攻击,导致技术故障,造成Kyivstar网络上的通信和互联网接入服务暂时不可用。与俄罗斯武装部队格鲁乌单位有联系的名为Solntsepek 的黑客组织此前声称对此次袭击负责。该组织声称,Kyivstar拥有的10,000台计算机、4,000多台服务器上的所有云存储和备份系统已在攻击中被擦除。
https://hackernews.cc/archives/48828
**4、**美国证券交易委员会 X 账户被黑,引发比特币市场震荡
Tag:网络攻击、比特币
Bleeping Computer 网站消息,威胁攻击者成功“占领”了美国证券交易委员会的 X 账户,并发布一条关于批准比特币 ETF 在证券交易所上市的虚假公告。这一消息迅速传播开来,许多加密货币平台和主流新闻网站都报道了这一事件,比特币价格也出现了短暂飙升。
https://hackernews.cc/archives/48965
热点安全技术
**1、**破解乐鑫部件的 Flash 加密功能
Tag:侧通道攻击、固件加密、侧信道、功耗模型、相关功耗分析
介绍了作者对于 Espressif 芯片的固件加密功能进行侧通道攻击的研究。作者通过使用电流消耗的侧信道信息,成功破解了 ESP32、ESP32-C3 和 ESP32-C6 的固件加密功能,并且还展示了对 ESP32-C3 和 ESP32-C6 的安全启动旁路攻击。文章提供了侧信道攻击的基础知识和常用的功耗模型,以及相关的数学工具,如相关功耗分析方法。
https://courk.cc/breaking-flash-encryption-of-espressif-parts#example-aes-first-round-encryption
2、使用 Honeytoken 检测对 Microsoft 365 租户的 (AiTM) 网络钓鱼攻击
Tag:Honeytoken、Microsoft 365、网络钓鱼攻击、AiTM、Evilginx
本文介绍了网络钓鱼攻击在 Microsoft 365 租户中的快速增长以及如何使用 Honeytoken 来检测这些攻击。文章提到了 AiTM(中间的对手)网络钓鱼攻击的概念和常用工具 Evilginx,以及如何利用自定义 CSS 文件在 Microsoft 登录页面上实现 Honeytoken 检测。作者还提到了 didsomeoneclone.me 工具和 Attic 应用程序,这两者都可以帮助保护 Microsoft 租户并检测网络钓鱼攻击。总的来说,使用 Honeytoken 检测可以帮助提高对 Microsoft 365 租户的安全性。
https://zolder.io/using-honeytokens-to-detect-aitm-phishing-attacks-on-your-microsoft-365-tenant/
3、苹果 Magsafe 连接器的拆解和探索
Tag:Magsafe 连接器、1-Wire 协议、ID 号码、状态灯
本文对苹果 Magsafe 连接器进行了拆解和探索。文章解释了连接器内部的结构和电路,并详细介绍了 1-Wire 协议和芯片的作用。此外,文章还介绍了如何读取连接器的 ID 号码和控制状态灯的方法。整体而言,本文提供了关于 Magsafe 连接器内部工作原理的深入了解。
http://www.righto.com/2013/06/teardown-and-exploration-of-magsafe.html?m=1
4、破解一台连接 WiFi 的小型投影仪, 获得的乐趣, 以及吸取的教训
Tag:投影仪,破解,硬件拆解,Web 界面,CGI 脚本,nmap 扫描,adb 连接
作者对一台低质量的投影仪进行破解的项目。作者通过进行 nmap 扫描,发现投影仪的 Web 界面暴露在端口 80 上,并尝试通过调试页面和 wfuzz 工具发现其他的 CGI 脚本。虽然没有找到特别有趣的漏洞,但作者还是通过拆解投影仪硬件,尝试了使用 adb 连接,最终总结了自己的经验教训。
https://axelp.io/ImperfectProjector
天融信阿尔法实验室成立于2011年,一直以来,阿尔法实验室秉承“攻防一体”的理念,汇聚众多专业技术研究人员,从事攻防技术研究,在安全领域前瞻性技术研究方向上不断前行。作为天融信的安全产品和服务支撑团队,阿尔法实验室精湛的专业技术水平、丰富的排异经验,为天融信产品的研发和升级、承担国家重大安全项目和客户服务提供强有力的技术支撑。
