每周安全动态精选(12.18-12.22)
本周精选
1、微软 Outlook 存在两个漏洞,可能导致远程代码执行
2、40 多家银行受到新型恶意软件攻击
3、美国贷款巨头库珀先生泄露了 1470 万名客户数据
4、非洲国家莱索托央行被黑,国家支付系统瘫痪
5、SMTP 走私 - 全球邮件欺骗新技术
政策法规动态
**1、**CPPA 董事会批准要求互联网浏览器提供退出信号的提案
Tag:隐私保护
加州隐私保护局委员会批准了一项立法提案,该提案要求互联网浏览器提供用户选择不共享和出售其个人信息的权利通知。根据董事会的说法,如果该法律获得批准,将意味着用户只需通过偏好信号选择退出一次,谷歌Chrome,Microsoft Edge和Apple Safari等大型互联网浏览器拒绝提供。
**2、**零售商反对缅因州的数据隐私法案
Tag:数据隐私
据Politico报道,缅因州零售商L.L. Bean作证反对缅因州众议员Maggie O'Neil提出的数据隐私法案。反对派强调了本地和超本地企业对全面隐私立法辩论的影响。L.L. Bean声称,它不同意该法案,“作为一家需要客户数据进行分析和广告的长期零售商”。
https://iapp.org/news/a/l-l-bean-opposes-maine-data-privacy-bill
3、印度将与技术利益相关者举行DPDPA规则制定会议
Tag:数据保护
据《印度快报》报道,印度电子和信息技术部将于12月19日与科技行业利益相关者举行“闭门”会议,作为根据《数字个人数据保护法》制定数据保护规则的磋商过程的一部分。规则制定建议包括使用基于Aadhaar的验证系统,在允许儿童上网并获得父母同意之前验证儿童的年龄,以及创建一个两步系统,让公司在遭受数据泄露后通知客户。
https://iapp.org/news/a/india-to-hold-dpdpa-rule-making-meeting-with-technology-stakeholders
4、加州希望维护《适龄设计规范法案》
Tag:数据保护
加州总检察长罗伯·邦塔(Rob Bonta)要求美国第九巡回上诉法院驳回一项旨在阻止《加州适龄设计规范法》生效的禁令。联邦法院于9月批准了一个在线贸易协会的初步禁令,该协会的成员将被要求采取措施保护年轻用户的数据和法律规定的数字存在。
https://iapp.org/news/a/california-looks-to-uphold-children-privacy-law
技术标准规范
**1、**ICO发布美国交易转让风险评估指南
Tag:数据安全
英国信息专员办公室(U.K. Information Commissioner's Office)发布了针对希望使用《英国通用数据保护条例》第46条将个人信息传输到美国的实体的指南,该条例涉及如何安全地进行交易。其中的细节包括如何进行风险转移评估以及第46条在什么情况下适用。
https://iapp.org/news/a/ico-issues-transfer-risk-assessment-guidance-for-us-transactions
2、FCC投票批准数据泄露通知规则
Tag:数据泄露
美国联邦通信委员会投票批准了针对电信、互联网协议互连语音和电信中继服务的新数据泄露通知规则。这些要求包括扩大通知规则的范围,以涵盖提供商收集的某些类型的个人身份信息,并将“违规”的定义扩大到包括“无意中访问、使用或披露客户信息”。
https://iapp.org/news/a/fcc-votes-to-approve-new-data-breach-notification-rules
3、欧盟委员会创建具有《人工智能法案》义务的问答资源
Tag:人工智能
欧盟委员会发布了一份问答文件,涵盖了人工智能在《人工智能法案》下的使用和开发。该文件概述了新的法律框架将如何适用于在欧盟境内或境外使用影响其公民的人工智能系统的公共和私人实体。其他关键问题告知用户如何细分风险类别以及高风险系统开发人员的义务。
https://iapp.org/news/a/european-commission-creates-q-a-resource-with-ai-act-obligations
4、新协议促进了 FCC 和 4 个州之间的信息共享
Tag:网络安全、信息共享
美国联邦通信委员会宣布与康涅狄格州、伊利诺伊州、纽约州和宾夕法尼亚州总检察长签署谅解备忘录,以协调网络安全和隐私相关调查。协议称,根据《通信法》第201条和第222条,这些实体在调查和起诉这些罪行方面具有共同的法律利益。
https://iapp.org/news/a/new-agreement-fosters-info-sharing-between-us-fcc-and-four-states
重点漏洞情报
1、微软 Outlook 存在两个漏洞,可能导致远程代码执行
Tag:Outlook 漏洞,远程代码执行,Windows 漏洞
安全研究人员发现了两个影响微软 Windows 系统的漏洞,编号为 CVE-2023-35384 和 CVE-2023-36710。黑客可以通过利用这两个漏洞,对 Outlook 客户端实现远程代码执行,从而实现零点击攻击。其中,第一个漏洞存在于 MapUrlToZone 函数对路径的解析中,攻击者可以通过向 Outlook 客户端发送特制邮件,让其从攻击者控制的服务器上下载恶意声音文件。第二个漏洞存在于音频压缩管理器(ACM)中,当下载的声音文件被自动播放时,会导致受害者机器上的代码执行。
https://www.akamai.com/blog/security-research/chaining-vulnerabilities-to-achieve-rce-part-one
**2、**JetBrains TeamCity认证绕过漏洞
Tag:CVE-2023-42793,认证绕过漏洞,TeamCity,远程代码执行
最近,JetBrains TeamCity Server被曝存在一个认证绕过漏洞(CVE-2023-42793),导致远程代码执行(RCE)。该漏洞影响 JetBrains TeamCity Server 的早期版本。允许攻击者绕过身份验证机制,并执行恶意代码。
https://www.prio-n.com/blog/cve-2023-42793-attacking-defending-JetBrains-TeamCity
3、Google OAuth 存在漏洞,员工离职后仍具有访问权限
Tag:Google OAuth 漏洞,企业安全,数据保护
一项针对 Google OAuth 的漏洞使得离职员工在被移出公司的 Google 组织后,仍能无限期地访问诸如 Slack 和 Zoom 等应用程序。这个漏洞容易被非技术人员理解和利用,并且目前谷歌尚未采取措施来减轻这个风险。
https://trufflesecurity.com/blog/google-oauth-is-broken-sort-of/
4、Perforce Helix Core Server 的关键 RCE 漏洞
Tag:Perforce Helix Core Server,漏洞披露,远程代码执行,安全更新,源代码管理
微软威胁情报部门发现并负责披露了 Perforce Helix Core Server(“Perforce Server”)中的四个漏洞,这些漏洞可以被未经身份验证的攻击者远程利用。Perforce Server 是一种广泛应用于游戏行业以及政府、军事、技术、零售等多个领域的源代码管理平台。
恶意代码情报
1、40 多家银行受到新型恶意软件攻击
Tag:注入攻击、银行木马、DanaBot、恶意软件
IBM Security Trusteer 的安全研究人员发现了一起新的恶意软件攻击活动,该活动使用 JavaScript 注入技术。这次全球范围的攻击活动广泛而具有隐匿性,历史上的威胁指标表明可能与 DanaBot 有关。这次活动已经影响了 40 多家银行,在北美、南美、欧洲和日本范围内共有超过 50,000 个受感染用户会话。
https://securityintelligence.com/posts/web-injections-back-on-rise-banks-affected-danabot-malware/
**2、**Intellexa和Cytrox:从修复者到英特尔机构级间谍软件
Tag:间谍软件、Intellexa、Cytrox、Predator、安卓、iOS
Cisco Talos 最新发布了对间谍软件供应商 Intellexa(之前称为 Cytrox)的时间线、操作范式和程序的深入分析。Talos 的分析揭示,重新启动 iOS 或 Android 设备可能无法完全删除 Intellexa 生产的 Predator 间谍软件,持久性是 Intellexa 的附加核心功能。
https://blog.talosintelligence.com/intellexa-and-cytrox-intel-agency-grade-spyware/
**3、**安卓银行木马 Chameleon 现可绕过任何生物识别身份验证
Tag:安卓银行木马、Chameleon、生物识别、Zombinder、安全威胁
ThreatFabric 安全公司发现了一种名为 Chameleon 的银行木马的新变种,该木马通过 Zombinder 进行分发,并具备绕过任何生物识别身份验证的功能。这种新变种的 Chameleon 木马通过多种分发方式在 Android 系统中传播,特别针对澳大利亚和波兰的用户。它通过伪装成合法应用程序的钓鱼页面进行传播,并使用合法的内容分发网络(CDN)进行文件分发。该木马主要攻击移动银行应用程序,以执行设备接管攻击,并通过滥用辅助功能服务权限来操作受害者的设备。
https://www.threatfabric.com/blogs/android-banking-trojan-chameleon-is-back-in-action
4、恶意软件滥用 GitHub 等公共基础设施的现象不断增加
Tag:威胁研究,恶意软件,GitHub, 公共基础设施,C2 基础设施,代码分享平台
最近,reversinglabs的研究人员发现了两种在 GitHub 上运行的新型技术,其中一种滥用了 GitHub Gists,另一种通过 git 提交消息发出指令。恶意软件作者越来越多地利用 GitHub 这样的开源开发平台来托管恶意软件,这是一种新兴的趋势。这篇文章介绍了恶意软件如何滥用 GitHub Gists 和 git 提交消息的方法,并提醒开发人员在开源生态系统中保持警惕,利用现代工具进行复杂的二进制分析以确保软件供应链的安全性。
https://www.reversinglabs.com/blog/malware-leveraging-public-infrastructure-like-github-on-the-rise
数据安全情报
**1、**美国贷款巨头库珀先生泄露了 1470 万名客户数据
Tag:数据泄露
根据调查,攻击者在 2023 年 10 月 30 日至 2023 年 11 月 1 日期间,对该公司某些系统进行了未经授权的访问,并泄露了14690284名客户数据。这些数据包括客户姓名、家庭住址、电话号码、社会安全号码(SSN)、出生日期以及银行账号。攻击发生后,这家总部位于德克萨斯州的抵押贷款巨头被迫向客户提供其他还款方式,并免除了一些客户的滞纳金和与逾期付款相关的处罚。
https://hackernews.cc/archives/48257
2、加拿大加密货币交易所 GOKUMARKET 超百万用户数据曝光
Tag:数据泄露
Cybernews 研究团队发现,ByteX 旗下的集中式加密货币交易所 GokuMarket 留下了一个开放实例,泄露了几乎所有用户的详细信息。开放实例保存着超过一百万用户的大量敏感数据。数据包括:用户IP、国家、电子邮件地址、加密密码、用户加密钱、地址、出生日期、名字和姓氏、手机号码。
https://hackernews.cc/archives/48202
3、美国最大牙科保险公司 Delta Dental 泄露近700万客户数据
Tag:信息泄露
据 BleepingComputer 消息,美国最大的牙科保险公司Delta Dental发布通告称,由于近期受MOVEit Transfer 软件漏洞影响,近700万客户的个人信息已遭到泄露。包括姓名、财务帐号、信用卡/借记卡号、安全代码等。
https://hackernews.cc/archives/48193
4、数千名爱达荷国家实验室的员工信息遭到泄露
Tag:信息泄露
美国主要安全实验室爱达荷国家实验室(INL)已向可能受11月20日网络攻击影响的个人发出了数据泄露通知信。据该实验室称,攻击者入侵了一个存储有“INL员工、前员工、以及他们家属”信息的离岸数据中心。有45,047人在这次网络攻击中受到了影响,包括但不限于姓名、社会安全号码、薪资和银行账户信息。
https://hackernews.cc/archives/48090
热点安全事件
1、非洲国家莱索托央行被黑,国家支付系统瘫痪
Tag:黑客、网络攻击
非洲南部国家莱索托遭受网络攻击,导致内部部分系统被迫关闭,国家支付服务持续中断服务,当地银行无法相互交易。莱索托银行协会和央行表示,技术团队正在努力解决问题,但官员们“已同意采取业务连续性流程和措施作为替代方式,临时支持所有银行之间支付和交易”。但是,声明没有具体说明这些替代方案的内容。
https://iapp.org/news/a/new-agreement-fosters-info-sharing-between-us-fcc-and-four-states
2、黑客攻击导致伊朗全国加油站业务中断
Tag:网络攻击
据伊朗国家电视台和以色列当地媒体报道,周一的网络攻击导致伊朗全国70%的加油站服务中断。这次网络攻击对首都德黑兰造成了重大影响,许多加油站被迫手动操作。
https://hackernews.cc/archives/48248
**3、**英国 Newsquest 媒体集团因 DDOS 攻击而中断
Tag:DDOS、网络攻击
自周一以来,该网站遭受了一些间歇性中断,该媒体表示:“这是由一系列被称为‘分布式拒绝服务’(DDOS)的网络攻击引起的。我们已经能够遏制大部分攻击,但一些读者会遇到干扰。”。据 HTFP 报道,此次攻击影响了内容管理系统,导致网站故障,并导致记者无法上传故事、图像和媒体。
https://hackernews.cc/archives/48209
**4、**加密硬件钱包 Ledger 遭受供应链攻击,导致 60 万美元被盗
Tag:供应链攻击、虚拟货币
加密硬件钱包制造商 Ledger 遭受了供应链攻击,导致价值 600,000 美元的虚拟资产被盗。黑客发布了一个恶意版本的“@ledgerhq/connect-kit” npm 模块,该模块原本由加密硬件钱包制造商 Ledger 开发。这次攻击导致超过 60 万美元的虚拟资产遭窃。
https://hackernews.cc/archives/48277
热点安全技术
**1、**SMTP 走私 - 全球邮件欺骗新技术
Tag:SMTP 协议,邮件欺骗,漏洞利用
在一项与 SEC Consult 漏洞实验室合作的研究项目中,安全研究员 Timo Longin(@timolongin)发现了一种新的利用 SMTP(简单邮件传输协议)的漏洞利用技术。攻击者可以利用全球范围内的易受攻击的 SMTP 服务器发送恶意电子邮件,从任意邮件地址发送针对性的网络钓鱼攻击。这种类型的漏洞被称为 SMTP 走私,该研究发现了多个 0day 漏洞,并在 2023 年期间向各个供应商进行了负责任的披露。
https://sec-consult.com/blog/detail/smtp-smuggling-spoofing-e-mails-worldwide/
2、使用 SSH ProxyCommand 实现 RCE
Tag:SSH ProxyCommand, 远程代码执行,安全漏洞
SSH 的 ProxyCommand 是一种常用的功能,可用于代理 SSH 连接,并允许用户指定自定义命令用于连接到服务器。然而,当 ProxyCommand 中的参数包含不受信任的主机名时,可能存在远程代码执行漏洞。该漏洞的原因是在解析主机名时,未对其进行适当的过滤和验证。
3、破解 jeFF0Falltrades 的 master0Fnone 课程
Tag:逆向工程,x86 汇编,破解,代码分析
本文介绍了作者通过学习 jeFF0Falltrades 的 YouTube 频道上的逆向工程课程,成功破解了 master0Fnone 课程中的程序,并找到了隐藏的flag。文章从静态分析开始,使用 Cutter 进行逆向工程,最终通过二进制修补和自行编写程序两种方式找到了隐藏的flag。
https://finixbit.github.io/posts/autonomous-Hacking-of-PHP-Web-Applications-at-the-Bytecode-Level/
4、汇总目前为止找到的大部分 Immunefi 漏洞悬赏文章
Tag:Immunefi、漏洞悬赏、技术安全、区块链
在 Immunefi 漏洞悬赏活动中,研究人员 sayan011 发布了一个 GitHub 仓库,该仓库汇总了目前为止找到的大部分 Immunefi 漏洞悬赏文章。Immunefi 是一个致力于为区块链和加密货币项目提供安全审计和漏洞悬赏的平台。
https://github.com/sayan011/Immunefi-bug-bounty-writeups-list
天融信阿尔法实验室成立于2011年,一直以来,阿尔法实验室秉承“攻防一体”的理念,汇聚众多专业技术研究人员,从事攻防技术研究,在安全领域前瞻性技术研究方向上不断前行。作为天融信的安全产品和服务支撑团队,阿尔法实验室精湛的专业技术水平、丰富的排异经验,为天融信产品的研发和升级、承担国家重大安全项目和客户服务提供强有力的技术支撑。
