央行就《修改〈中国人民银行关于进一步加强征信信息安全管理的通知〉有关公告》公开征求意见；微软Azure服务突发全球性故障 |牛览

点击蓝字·关注我们 / aqniu

新闻速览

•工信部发布新版工业机器人行业规范条件和管理实施办法

•央行就《修改〈中国人民银行关于进一步加强征信信息安全管理的通知〉有关公告》公开征求意见

•上海市网信办对21款App收集使用个人信息情况开展专项检查

•微软Azure服务突发全球性故障

•新型间谍软件变种通过Google Play感染3.2万设备

•攻击者组合利用OAuth标准和XSS漏洞挟持数百万用户账号

•Outlook或可被用于远程代码执行

•Docker Engine关键漏洞可让攻击者执行任何Docker命令

•谷歌推出Android应用程序安全知识库以减少漏洞数量

•博智安全与深信服达成全面战略合作

特别关注

工信部发布新版工业机器人行业规范条件和管理实施办法

为进一步加强工业机器人行业规范管理，推动产业高质量发展，根据行业发展变化和有关工作部署，工业和信息化部对《工业机器人行业规范条件》和《工业机器人行业规范管理实施办法》进行了修订，形成了《工业机器人行业规范条件（2024版）》和《工业机器人行业规范条件管理实施办法（2024版）》。新版两文件自2024年8月1日起实施，《工业机器人行业规范条件》（工业和信息化部2016年第65号公告）和《工业机器人行业规范管理实施办法》（工信部装〔2017〕161号）同时废止。

《工业机器人行业规范条件（2024版）》要求，我国境内的工业机器人关键零部件（指减速器、伺服驱动系统、控制器等工业机器人关键零部件）、本体制造及集成应用企业应遵守《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律法规，加强网络和数据安全管理，保障网络和数据安全。

原文链接：

https://mp.weixin.qq.com/s/FF\_tF9WvJCKVsc2WnSO0Nw

央行就《修改〈中国人民银行关于进一步加强征信信息安全管理的通知〉有关公告》公开征求意见

为贯彻落实《中华人民共和国行政处罚法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》有关要求，中国人民银行拟对《中国人民银行关于进一步加强征信信息安全管理的通知》（银发〔2018〕102号）部分条款进行修改，起草了《修改<中国人民银行关于进一步加强征信信息安全管理的通知>有关公告（征求意见稿）》，现向社会公开征求意见。公众可通过以下途径和方式提出反馈意见：

1.通过电子邮件方式将意见发送至：zxjzqyj@pbc.gov.cn。

2.通过信函方式将意见邮寄至：北京市西城区金融大街30号中国人民银行征信管理局（邮编：100033），并在信封上注明“102号文修改意见”字样。

3.通过传真方式将意见传真至：010-66016489。

原文链接：

https://mp.weixin.qq.com/s/84mGDVB8Qzw6wB2S63nfww

上海市网信办对21款App收集使用个人信息情况开展专项检查

为规范App个人信息处理活动，保护公民个人信息合法权益，根据《个人信息保护法》《App违法违规收集使用个人信息行为认定方法》《常见类型移动互联网应用程序必要个人信息范围规定》等法律法规，2024年4月至7月，上海市网信办对属地21款App开展了收集使用个人信息专项检查，共发现80余项问题。经过通报和跟进指导，截至目前，各App运营单位均已完成问题整改。

同时，上海市网信办提醒广大App运营者，收集使用个人信息需按照《个人信息保护法》《App违法违规收集使用个人信息行为认定方法》及相关法律法规要求，严格遵循合法、正当、必要和诚信的原则，提供完整清晰透明、易于理解的隐私政策；收集个人信息遵循最小必要原则，不过度、频繁收集个人信息，不得因用户不同意收集非必要个人信息，而拒绝用户使用其基本服务功能；收集敏感个人信息时同步告知目的和必要性；采取必要措施保障所处理的个人信息安全。上海市网信办将对属地App收集使用个人信息情况持续开展监督检查。

原文链接：

https://mp.weixin.qq.com/s/ZARGRX6QFij0nEvQgOqTRw

热点观察

微软Azure服务突发全球性故障

7月30日下午，微软Azure和Microsoft 365 报告了影响其部分服务的全球中断。该问题导致全球范围内的部分Azure服务连接超时和困难。微软的多个工程团队迅速介入，诊断并解决了该问题。微软已经确认了该问题，并在Azure状态页面上提供了更新。“我们有多个工程团队正在诊断和解决该问题。我们将尽快提供更多详细信息。”

最初，该问题在欧洲被报告，但很快就发现此次中断具有全球影响，影响到了世界各地的客户。看来 Microsoft Azure 在大量地区都遇到了大范围的问题。由于国内Microsoft Azure和国际Microsoft Azure是独立分开了，国内不受影响。

原文链接：

https://www.bleepingcomputer.com/news/microsoft/microsoft-365-and-azure-outage-takes-down-multiple-services/

网络攻击

新型间谍软件变种通过Google Play感染3.2万设备

日前，卡巴斯基发布公告，揭示了高级Android网络间谍软件工具Mandrake的最新变种。卡巴斯基研究人员于2024年4月发现了可疑样本，并确认其为Mandrake的新变种。这个最新变种在2022年至2024年期间隐藏在Google Play上的五个应用程序中，已被下载超过3.2万次。

Mandrake新变种采用了增强的混淆和逃避策略，包括将恶意功能移至经过混淆处理的本地库中，使用证书固定与命令与控制（C2）服务器进行安全通信，并实施各种测试以避免在rooted或模拟设备上被检测到。

Mandrake新变种采用多阶段感染链进行操作。初始的恶意活动隐藏在本地库中，使得分析变得更加困难。一旦执行，第一阶段库对第二阶段进行解密和加载，然后与C2服务器建立通信。如果被认为是相关的，C2服务器会命令设备下载并执行核心恶意软件，该软件旨在窃取用户凭据并部署其他恶意应用程序。Mandrake背后的威胁行为者还采用了一种新颖的数据加密和解密方法，将自定义算法和标准AES加密混合起来。

原文链接：

https://www.infosecurity-magazine.com/news/mandrake-spyware-infects-32000/

漏洞预警

攻击者组合利用OAuth标准和XSS漏洞挟持数百万用户账号

近日，研究人员发现，在热门的Web用户活动跟踪和记录服务Hotjar中，攻击者正在通过使用现代身份验证标准OAuth与两个站点之间的跨站点脚本漏洞（XSS）相结合，劫持数百万用户账号，窃取敏感数据。其中，Hotjar作为一种用于分析用户行为的工具，所收集的数据包含大量的个人敏感数据。

API安全公司Salt Security的研究部门Salt Labs的研究人员分析说，OAuth是一种相对较新的标准，越来越多地被用于无缝跨网站认证，允许通过用户数据的跨站共享，实现诸如“使用Google登录”功能这样的功能。但在实施过程中，OAuth可能会被错误配置。而XSS是一种常被利用的旧Web漏洞之一，可能被攻击者用来将恶意代码注入合法的Web页面或应用程序中，以在网站访问者的浏览器中执行脚本，进行数据窃取等操作。如果成功将这两种方式的组合进行攻击，攻击者可能获得与受害者相同的权限和功能，从而导致账号被接管，暴露Hotjar所收集的所有个人数据。

目前，Hotjar和Business Insider上发现的漏洞已经得到修复，但研究人员认为，类似这种组合可能在互联网上广泛存在，使得数百万用户面临潜在的账号劫持风险。

原文链接：

https://www.darkreading.com/endpoint-security/oauth-xss-attack-millions-web-users-account-takeover

Outlook或可被用于远程代码执行

日前，网络安全公司TrustedSec发布了一个名为“Specula”的红队后渗透测试框架，结果显示流行的邮件管理工具Outlook可能被转变为C2信标，并用于远程执行代码。

该框架的工作原理是利用Outlook安全功能绕过漏洞CVE-2017-11774，通过使用WebView创建自定义的Outlook主页。在文件共享攻击场景中，攻击者可以提供一个特制的文档文件，旨在利用这个漏洞，诱导用户打开这个文档文件并与之交互。

TrustedSec分析，Specula完全在Outlook的上下文中运行，它通过设置自定义的Outlook主页，调用交互式Python Web服务器的注册表键来实现。为此，攻击者可以将Outlook的WebView注册表条目下的HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Outlook\WebView\的URL目标设置为他们控制的外部网站。攻击者通过控制Outlook主页并提供恶意的VBscript文件，用来在受损的Windows系统上执行任意命令。

原文链接：

https://www.bleepingcomputer.com/news/security/new-specula-tool-uses-outlook-for-remote-code-execution-in-windows/

Docker Engine关键漏洞可让攻击者执行任何Docker命令

最近，开源容器化平台Docker紧急发布安全公告，敦促用户尽快修复关键漏洞，该漏洞影响特定版本的Docker Engine。这个漏洞允许攻击者利用特制的API请求来绕过授权插件（AuthZ）并提升特权。

这个漏洞被标记为CVE-2024-41110，早在2018年就已被发现，被赋予了最高的CVSS评分——10分。虽然Docker很快发布了修复程序，但根据Docker发布的安全公告，一些后续版本并没有包含这个修补程序。

在Docker中，默认的授权机制是“全有或全无”的方式，这就意味着只要拥有Docker守护进程的访问权限，用户就可以执行任何Docker命令。但是有趣的是，AuthZ插件可以实施细粒度的访问控制，根据身份验证和命令上下文进行限制。然而，存在一个问题，攻击者可以利用将Content-Length设置为0的API请求来绕过认证，使Docker守护进程将该请求转发给AuthZ插件，而AuthZ插件可能会误批准该请求。

尽管Docker表示利用这个漏洞的可能性较低，但它仍然敦促用户尽快应用现有的修补程序，升级到最新版本。如果无法立即进行更新，建议避免使用AuthZ插件，并将对Docker API的访问限制在受信任的方。

原文链接：

https://www.csoonline.com/article/3477530/docker-re-fixes-a-critical-authorization-bypass-vulnerability.html

产业动态

谷歌推出Android应用程序安全知识库以减少漏洞数量

谷歌近日推出了Android应用程序安全知识库（AAKB），以减少Android应用程序中的漏洞数量。AAKB包括一个常见代码问题的数据库，其中包含如何修复这些问题的示例，以及如何在编程中应用特定代码模式的说明和指导。

据悉，此前谷歌已经在扫描Android应用程序的漏洞，并通知开发者，以便他们可以修复问题，否则将删除该应用程序。

谷歌称，为了确保AAKB内容的公正性，并代表最先进的标准，AAKB与OWASP移动应用程序安全验证标准（MASVS）保持一致。同时，它还经过来自包括微软在内的不同组织的技术专家的审核。

原文链接：

https://sdtimes.com/mobile/google-launches-new-knowledge-base-for-remediating-vulnerabilities-in-android-apps/

博智安全与深信服达成全面战略合作

日前，博智安全科技股份有限公司（以下简称“博智安全”）与深信服科技股份有限公司（以下简称“深信服”）宣布签署战略合作协议，双方约定将建立全面的战略合作关系，共同推进双方业务的深度融合，携手打造集”产-学-赛-研-训-证-验”于一体的联合解决方案，并在市场、渠道、品牌营销等层面展开全方位合作，共筑靶场安全“最后一公里”。

根据协议，本次合作将融合双方在工控安全靶场领域的技术优势，满足央国企、能源、教育等行业的网络人才培养需求。基于虚拟化与数字孪生技术，高度仿真网络攻防场景，构建实战靶标与演训环境，为客户提供一站式的工控安全靶场平台解决方案。同时，双方还将通过在市场宣传层面展开全方位合作，实现品牌势能叠加。

原文链接：

https://mp.weixin.qq.com/s/eTATEQns5b1viU2FFNL0kA

合作电话：18311333376

合作微信：aqniu001

投稿邮箱：editor@aqniu.com