Aggregator

近日，微软披露了 Office 中一个未修补的零日漏洞，如果被成功利用，可能导致敏感信息在未经授权的情况下泄露给恶意行为者。 该漏洞被追踪为 CVE-2024-38200（CVSS 得分：7.5），被描述为一个欺骗漏洞，影响以下版本的 Office： 32 位版本和 64 位版本的 Microsoft Office 2016 32 位版本和 64 位版本的 Microsoft Office LTSC 2021 适用于 32 位和 64 位系统的 Microsoft 365 企业应用程序 适用于 32 位和 64 位系统的 Microsoft Office 2019 微软在一份公告中提到：在基于网络的攻击场景中，攻击者可以托管一个网站，或利用一个接受或托管用户提供内容的受攻击网站，该网站包含一个特制文件专门利用该漏洞。 但是，攻击者无法强迫用户访问该网站。相反，攻击者必须诱导用户点击一个链接，通常是通过电子邮件或即时通信信息中的诱导方式，然后说服用户打开特制文件。 CVE-2024-38200的正式补丁预计将于8月13日正式发布。不过微软公司表示，他们已经确定了一种替代修复的方法，并已从2024年7月30日起通过 “功能飞行”（Feature Flighting）启用了该修复方法。 该公司还指出，虽然客户已经在所有支持版本的微软Office和微软365上得到了保护，但为了最大程度的规避安全风险，用户应在最终版本的补丁发布后立即更新。 微软对该漏洞进行了 “不太可能被利用 “的评估，并进一步概述了三种缓解策略——配置 “网络安全 “和 “安全漏洞”： 配置 “网络安全： 配置 “限制 NTLM：向远程服务器发出 NTLM 流量 “策略设置，允许、阻止或审计从运行 Windows 7、Windows Server 2008 或更高版本的计算机向任何运行 Windows 操作系统的远程服务器发出的 NTLM 流量。 将用户添加到受保护用户安全组，防止将 NTLM 用作身份验证机制 使用外围防火墙、本地防火墙并通过 VPN 设置阻止 TCP 445/SMB 从网络向外发送，以防止向远程文件共享发送 NTLM 身份验证信息 在披露该漏洞的同时，微软还表示其正在努力解决CVE-2024-38202 和 CVE-2024-21302两个零日漏洞，这些漏洞可能被利用来 “解除 “最新 Windows 系统的补丁，并重新引入旧漏洞。 上周，Elastic 安全实验室披露Windows智能应用控制（Smart App Control）和智能屏幕（SmartScreen）存在一个设计漏洞，该缺陷允许攻击者在不触发安全警告的情况下启动程序，至少自2018年以来一直在被利用。 智能应用控制是一项基于信任的安全功能，它使用微软的应用智能服务进行安全预测，并利用Windows的代码完整性功能来识别和阻止不受信任的（未签名的）或潜在危险的二进制文件和应用程序。 Elastic安全实验室认为，这一漏洞多年来一直被滥用，因为他们在VirusTotal中发现了多个利用此漏洞的样本，其中最早的提交时间超过六年。   转自Freebuf，原文链接：https://www.freebuf.com/news/408346.html 封面来源于网络，如有侵权请联系删除

一个可能与神秘威胁组织 “Crazy Evil “有关联的复杂网络犯罪行动已经将目光瞄准了 Mac 用户，利用流行的屏幕录像工具 Loom 来传播臭名昭著的 AMOS 窃取程序。Moonlock Lab 的研究人员发现了这一令人震惊的活动，揭露了攻击者是如何滥用谷歌广告来引诱毫无戒心的受害者访问精心制作的假 Loom 网站的。 最近，Moonlock Lab 发现，一个可能与俄罗斯有关联的名为 Crazy Evil 的组织正在传播 AMOS 窃取程序的变种。该组织正在谷歌广告上开展欺骗活动，将用户重定向到一个托管在 smokecoffeeshop[.]com的假冒 Loom 网站。该网站几乎完美地模仿了合法的 Loom 网站，从该网站下载的任何内容都会导致安装 AMOS 窃取程序。 自 2021 年首次出现以来，该恶意软件已发生了重大演变，并在不断更新和改进。这款复杂的恶意软件可以提取敏感信息、窃取浏览器数据，甚至清空加密货币钱包。 这种新型 AMOS 变种的一个显著特点是能够克隆合法应用程序。Moonlock Lab 发现，该恶意软件可以用恶意克隆程序替换 Ledger Live（一款流行的加密货币钱包应用程序）等应用程序。这一新功能代表了恶意软件功能的重大进步，使其能够绕过苹果应用商店的安全措施，直接侵入用户设备。 威胁行为者还创建了其他流行应用程序的假冒版本，包括 Figma、TunnelBlick (VPN) 和 Callzy。值得注意的是，其中一个名为BlackDesertPersonalContractforYouTubepartners[.]dmg 的虚假应用程序以游戏社区为目标，参考了大型多人在线角色扮演游戏 Black Desert Online。游戏玩家通常涉及数字资产和加密货币，是此类网络攻击的常见目标。 Moonlock Lab 将这次攻击活动背后的团伙称为 “疯狂邪恶”（Crazy Evil）。他们通过 Telegram 机器人进行沟通和招募，并强调新型 AMOS 窃取器在招募广告中的能力。该团伙的行动与一个高恶意软件关联 IP 地址（85[. 28[.]0[.]47）有关，研究人员进一步将他们与俄罗斯网络犯罪活动联系起来。 为了保护自己免受这种新型威胁，请遵循以下准则： 谨慎下载： 只从官方网站或 Apple App Store 下载软件。避免点击谷歌广告中的软件下载链接。 验证 URL： 仔细检查 URL，确保访问的是合法网站。 保护游戏账户： 警惕主动提供奖励或新游戏试用的信息。报告、阻止和删除可疑信息。 使用安全软件： 使用信誉良好的杀毒软件和反恶意软件工具来检测和删除威胁。   转自Freebuf，原文链接：https://www.freebuf.com/news/408362.html 封面来源于网络，如有侵权请联系删除

CCS 2024 成都网络安全系列活动观众报名通道已全面开启！

据The Hacker News消息，网络安全研究人员在 Amazon Web Services （AWS） 产品中发现了多个严重漏洞，如果成功利用这些漏洞，可能会导致严重后果。 根据云安全公司Aqua在与The Hacker News分享的一份详细报告，这些漏洞的影响范围包括远程代码执行（RCE）、全方位服务用户接管（可能提供强大的管理访问权限）、操纵人工智能模块、暴露敏感数据、数据泄露和拒绝服务攻击。 其中，研究人员发现最核心的问题是一种被称为“桶垄断（Bucket Monopoly）的影子资源攻击载体，能在使用 CloudFormation、Glue、EMR、SageMaker、ServiceCatalog 和 CodeStar 等服务时自动创建 AWS S3 存储桶。 由于以该方式创建的 S3 存储桶名称具有唯一性，又遵循预定义的命名规则，攻击者可利用此行为在未使用的 AWS 区域中设置存储桶，并等待合法的 AWS 客户使用上述易受攻击的服务之一来秘密访问 S3 存储桶的内容。 根据攻击者控制的S3存储桶权限，该攻击方法可用于升级以触发 DoS 条件，或执行代码、操纵或窃取数据，甚至在受害者不知情的情况下完全控制其账户。 不过，攻击者必须等到受害者首次在新区域部署新的 CloudFormation 堆栈才能成功发起攻击。而修改 S3 存储桶中的 CloudFormation 模板文件以创建恶意管理员用户还取决于受害者账户是否具有管理 IAM 角色的权限。 Aqua 表示，这种攻击方式不仅影响 AWS 服务，还影响企业组织在AWS 环境中部署的许多开源项目。Aqua还发现其他五项 AWS 服务依赖于类似的 S3 存储桶命名方法，从而容易遭受影子资源攻击： AWS Glue: aws-glue-assets-{Account-ID}-{Region} AWS Elastic MapReduce (EMR): aws-emr-studio -{Account-ID}-{Region} AWS SageMaker: sagemaker-{Region}-{Account-ID} AWS CodeStar: aws-codestar-{Region}-{Account-ID} AWS Service Catalog: cf-templates-{Hash}-{Region} 这些漏洞于2024年2月首次得到披露，亚马逊在3月—6月期间对这些漏洞进行了修复，相关研究成果已在近期举行的2024美国黑帽大会上进行了公布。   转自Freebuf，原文链接：https://www.freebuf.com/news/408363.html 封面来源于网络，如有侵权请联系删除

Суд Финляндии вынес суровый приговор пентестерам.

一般来说，一个软件应用程序可以被分解成若干部分，为软件程序解耦，以减少整个应用程序的复杂性，这些部分就是软件组 […]

随着软件开发的复杂性和规模不断增加，确保软件的安全性已成为一项至关重要的任务。近年来，企业在软件系统开发中开源 […]

数字时代的软件开发普遍遵循敏捷实践，发布和部署周期都很短，开发团队非常依赖开源来加速创新迭代速度。因此，对团队 […]

思科（Cisco）披露，其两款已终止服务的小型商务SPA 300和SPA 500系列IP电话中，基于Web的管理界面存在多个关键的远程代码执行零日漏洞。 目前思科没有为这些设备提供修复补丁，使用这些产品的用户需要转移使用更新的、仍在支持的型号上。 五个漏洞详情 思科披露了五个漏洞，其中三个被评为严重（CVSS v3.1评分：9.8），两个被归类为高严重性（CVSS v3.1评分：7.5）。严重漏洞被跟踪为CVE-2024-20450、CVE-2024-20452和CVE-2024-20454。这些缓冲区溢出漏洞允许未经身份验证的远程攻击者通过向目标设备发送特别构建的 HTTP请求，以root权限在底层操作系统上执行任意命令。 “如果成功利用此漏洞，攻击者可能会溢出内部缓冲区，并在根权限级别执行任意命令，”思科在公告中警告说。 两个高严重性漏洞是CVE-2024-20451和CVE-2024-20453。它们是由于对HTTP数据包的检查不充分引起的，这允许恶意数据包在受影响的设备上造成拒绝服务。 思科指出，这五个漏洞都会影响在SPA 300和SPA 500系列IP电话上运行的所有软件版本。无论电话配置如何，漏洞彼此独立，可以被单独利用。 已终止服务 根据思科公司的支持门户提供的信息，SPA 300产品最后一次销售给客户是在2019年2月，并且在三年后，即2022年2月，思科停止了对这个产品的技术支持。对于SPA 500型号的产品，供应商在2020年6月1日这一天，既停止了对该型号硬件的销售，也结束了对它的技术支持。值得注意的是，思科将继续为持有服务合同或特殊保修条款的客户保障SPA 500产品，直到2025年5月31日。 对于SPA 300产品，自2024年2月29日起，思科不再提供保障。 两者都不会获得安全更新，因此建议用户过渡到更新的受支持型号，例如Cisco IP Phone 8841或Cisco 6800系列的型号。 思科还提供技术迁移计划（TMP），允许客户以旧换新符合条件的产品并获得新设备的信用额度。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/jDKOHdqHFDGSWLXmY-22_g 封面来源于网络，如有侵权请联系删除

近日，在美国历史上一个关键的选举时刻即将到来之际，据独家情报透露，前总统唐纳德·特朗普获得了一次令人瞩目且空

以色列的摩萨德，正式名称为情报与特种作战研究所，是该国的国家情报机构，常简称为摩萨德。

Футбольный клуб оказался жертвой BEC мошенничества.

根据最近的一项报告，对将近3000位首席财务官（CFO）和首席信息官（CIO）进行了调查，其中包括来自澳大利亚的250位受访者，该报告显示，越来越多的首席财务官开始参与到了信息技术产品的采购决策过程中。

现代和起亚去年二月向数百万辆汽车提供免费软件更新，以应对 TikTok 上病毒式传播的“起亚挑战（Kia Challenge）”视频。现代和起亚汽车被盗非常容易，2015-2019 年款的现代和起亚汽车缺乏电子防盗控制系统以阻止盗车贼闯入和绕过点火装置，其它厂商同期车型该功能几乎是标配。现代及其子公司起亚释出的软件更新，将警报声长度从 30 秒延长到 1 分钟，且需要车钥匙插入点火开关才能启动汽车。在一年半之后，现代和起亚被盗率大幅下降。2020 年出到 2023 年上半年，现代和起亚车型盗窃案增加了 1000% 以上。如今根据新数据，相比未升级的同型号同年份车型，升级软件的车型整车盗窃保险索赔降低了 64%。现代公司的发言人表示，有 61% 符合条件的车型升级了软件，逾 200 万辆汽车获得了软件更新。

A critical security vulnerability has been discovered in OpenSSH implementations on FreeBSD systems, potentially allowing attackers to execute remote code without authentication. The vulnerability, identified as CVE-2024-7589, affects all supported versions of FreeBSD. The issue stems from a signal handler in the SSH daemon (sshd) that may call logging functions that are not async-signal-safe. This […]

The post Critical OpenSSH Vulnerability in FreeBSD Let’s Attackers Gain Root Access Remotely appeared first on Cyber Security News.

今天给大家推送一个强大的开源情报搜索工具​：Intelligence X

A CVSS score 3.8 AV:L/AC:L/PR:L/UI:N/S:C/C:L/I:N/A:N severity vulnerability discovered by 'Viacheslav Moskvin' was reported to the affected vendor on: 2024-08-12, 60 days ago. The vendor is given until 2024-12-10 to publish a fix or workaround. Once the vendor has created and tested a patch we will coordinate the release of a public advisory.

A vulnerability was found in Team Johnlong Raiden MAILD Remote Management System up to 5.01 and classified as critical. This issue affects some unknown processing. The manipulation leads to relative path traversal. The identification of this vulnerability is CVE-2024-7693. The attack may be initiated remotely. There is no exploit available.

A vulnerability has been found in TeamT5 ThreatSonar Anti-Ransomware up to 3.4.5 and classified as critical. This vulnerability affects unknown code. The manipulation leads to unrestricted upload. This vulnerability was named CVE-2024-7694. The attack can be initiated remotely. There is no exploit available.