欢迎光临
我们一直在努力

支持特朗普的黑客攻击Reddit网站

Ysck阅读(4)

 

在过去的几天内,许多subReddit的帖子被污染,黑客发布了支持特朗普大选帖子,并且改变了subReddit的主题背景来展示对特朗普参加大选的支持,如上图所示
(备注:subReddit类似于知乎话题,豆瓣小组)

一位Reddit的管理员说:“我们的管理员账户被入侵并被用于破坏subReddit。我们正在努力锁定入侵者并恢复网站正常运行”

如果你的mod身份(moderator,类似于版主)被删除了,请耐心等待,我们会重新给你恢复mod身份,但目前我们的首要任务是找到漏洞的存在。”

 

Reddit敦促他们的版主启用密码双因素认证保护机制

Reddit的管理员敦促Reddit的版主对他们的账户启用双因素认证(2FA),并更改他们的密码

据Reddit的一位管理员说,这起事件的策划者在过去24小时内一直处于活跃状态。

Reddit管理员建议他们的版主看看是否出现以下情况,判断他们的帐户是否被泄露:

1.如果你收到电子邮件通知称你帐户上的密码/电子邮件地址已更改,但你并没有请求修改
2.如果你注意到你的个人资料里有你不认识的授权应用程序
3.如果你注意到在你的帐户活动页面上有不寻常的IP登录历史
4.如果你看到了你不记得做过的投票、帖子、评论或适度行为,或者你不记得发过的私人信息

其中一个账号被入侵的版主分享了一个截图,上面显示了黑客使用他的账号所做的所有动作。

正如你从下图中看到的,在控制了账户之后,攻击者改变了他的子程序的CSS样式表,删除了所有权限小于他的其他版主,并改变了社区的wiki信息。

最后,这名黑客发表了一个标题为“我们支持特朗普#MIGA2020”的帖子

一个被黑的Twitter账户声称对Reddit上的攻击负责。在攻击过程中,黑客发布了新的subreddits,他们想要Twitter用户也参与到他们的投票活动中

他们还在Twitter上说,Reddit成员的密码很容易被猜出,这表明攻击者通过密码暴力破解入侵了这些版主的账户,接管了在事件中受到影响的subreddits。

下面列出了部分受影响的subreddits(包括r/space, r/NFL, r/food等)。

r/49ers
r/3amjokes
r/ANGEL
r/Animemes
r/AquaticAsF*ck
r/Avengers
r/awwducational
r/badhistory
r/bannedfromclubpenguin
r/beer
r/bertstrips
r/blackmirror
r/BlackPeopleTwitter
r/booksuggestions
r/bostonceltics
r/buffy
r/BurningAsF*ck
r/CasualTodayILearned
r/CFB
r/comedyheaven
r/creepyPMs
r/CrewsCrew
r/Dallas
r/DallasProtests
r/DestinyTheGame
r/DeTrashed
r/Disneyland
r/dndmemes
r/EDM
r/Fireteams
r/food
r/freefolk
r/FreezingF*ckingCold
r/gamemusic
r/gorillaz
r/Gunpla
r/HeavyF*ckingWind
r/hentaimemes
r/HuskersRisk
r/ImagineThisView
r/IRLEasterEggs
r/iss
r/Japan
r/KingkillerChronicle
r/lawschool
r/lockpicking
r/LuxuryLifeHabits
r/Naruto
r/nfl
r/nononono
r/nonononoyes
r/photoshopbattles
r/plano
r/podcasts
r/PokemonGOBattleLeague
r/politicaldiscussion
r/Redditdayof
r/rupaulsdragrace
r/ShitAmericansSay
r/ShitPostCrusaders
r/space
r/StartledCats
r/subaru
r/Supernatural
r/Sweatypalms
r/telescopes
r/ThatsInsane
r/TPB
r/vancouver
r/WeAreTheMusicMakers
r/weddingplanning
r/woof_irl
r/AnimemesPropagandaHQ
r/LawSchool
r/ListenToThis
r/startledcats

Reddit的一位发言人告诉BleepingComputer,持续的攻击是由于版主账户被盗。该公司正在恢复受影响的subreddits,并冻结受影响的版主账户。

这位发言人说:本次黑客攻击的调查正在进行中,目前看来攻击的源头是被攻破的版主账户。我们首先冻结了这些账户,并恢复受影响的subreddits。

8月14日每日安全热点 – ISC 2020网络空间测绘论坛

Ysck阅读(4)

漏洞 Vulnerability
Citrix Endpoint Management 多个高危漏洞通告
CVE-2019-0230:Apache Struts2远程代码执行漏洞通告
安全工具 Security Tools
ArcHeap:自动探测堆可利用的地方
安全资讯 Security Information
【即将上线】ISC 2020网络空间测绘论坛:关注数字时代资产威胁与安全

8月13日每日安全热点 – 基于TTP的安全狩猎

Ysck阅读(11)

漏洞 Vulnerability
CVE-2020-1472: NetLogon特权提升漏洞通告
安全工具 Security Tools
安全报告 Security Report
安全资讯 Security Information
山东省德州市构筑政务大数据安全“防火墙”
安全研究 Security Research

CVE-2019-0230:Apache Strusts2远程代码执行漏洞通告

Ysck阅读(24)

 

0x01 漏洞简述

2020年08月13日, 360CERT监测发现Apache官方发布了Struts2远程命令执行漏洞的风险通告,该漏洞编号为CVE-2019-0230,漏洞等级:高危

攻击者可以通过构造恶意的OGNL表达式,并将其设置到可被外部输入进行修改,且会执行OGNL表达式的Struts2标签的属性值,引发OGNL表达式解析,最终造成远程代码执行的效果。

对此,360CERT建议广大用户及时将Apache Struts2进行升级完成漏洞修复。与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。

 

0x02 风险等级

360CERT对该漏洞的评定结果如下

评定方式 等级
威胁等级 高危
影响面 广泛

 

0x03 漏洞详情

Apache Struts 2是一个用于开发Java EE网络应用程序的开放源代码网页应用程序架构。它利用并延伸了Java Servlet API,鼓励开发者采用MVC架构。

该漏洞有三个限制条件:

  1. Struts2标签的属性值可执行OGNL表达式
  2. Struts2标签的属性值可被外部输入修改
  3. Struts2标签的属性值未经安全验证

仅当以上三个条件都满足时,攻击者可以通过构造恶意的OGNL表达式,造成远程命令执行的效果。

 

0x04 影响版本

  • Apache Struts2:2.0.0-2.5.20

 

0x05 修复建议

升级到Struts 2.5.22或更高版本。

或者开启ONGL表达式注入保护措施

 

0x06 时间线

2020-08-13 Apache Struts2官方发布安全通告

2020-08-13 360CERT发布通告

 

0x07 参考链接

  1. Apache Struts2官方安全通告

Citrix Endpoint Management 多个高危漏洞通告

Ysck阅读(6)

 

0x01 事件简述

2020年08月13日, 360CERT监测发现 Citrix官方 发布了 Citrix Endpoint Management组件 的风险通告,包含多个等级不等漏洞,事件等级:严重,事件评分:9.1分

Citrix Endpoint Management 存在 任意文件读取漏洞远程未授权攻击者 通过 发送特制HTTP请求,可以造成 读取受影响设备上任意文件 的影响。

对此,360CERT建议广大用户及时将 Citrix Endpoint Management 安装最新补丁。与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。

 

0x02 风险等级

360CERT对该事件的评定结果如下

评定方式 等级
威胁等级 严重
影响面 一般
360CERT评分 9.1分

 

0x03 漏洞详情

本次安全更新共计 5 处漏洞,编号分别为:

  • CVE-2020-8208
  • CVE-2020-8209
  • CVE-2020-8210
  • CVE-2020-8211
  • CVE-2020-8212

目前仅有 CVE-2020-8209 的信息公开

CVE-2020-8209: Citrix Endpoint Management 任意文件读取漏洞

Citrix Endpoint Management 中存在一处输入验证不足而造成的目录遍历漏洞。

远程未授权攻击者通过发送特制HTTP请求,可以读取受影响服务器上的任意文件。(例如:数据库配置文件,LDAP的账户凭据,邮件数据等)

 

0x04 影响版本

以下版本受到严重影响

  • XenMobile Server < 10.12 RP2
  • XenMobile Server < 10.11 RP4
  • XenMobile Server < 10.10 RP6
  • XenMobile Server < 10.9 RP5

以下版本受到中等影响

  • XenMobile Server < 10.12 RP3
  • XenMobile Server < 10.11 RP6
  • XenMobile Server < 10.10 RP6
  • XenMobile Server < 10.9 RP5

 

0x05 修复建议

通用修补建议:

根据版本安装修补程序

XenMobile Server 10.12 RP3 XenMobile Server 10.11 RP6 XenMobile Server 10.10 RP6XenMobile Server 10.9 RP5

 

0x06 相关空间测绘数据

360安全大脑-Quake网络空间测绘系统通过对全网资产测绘,发现Citrix Endpoint Management 具体分布如下图所示。

 

0x07 产品侧解决方案

360城市级网络安全监测服务

360安全大脑的QUAKE资产测绘平台通过资产测绘技术手段,对该类漏洞进行监测,请用户联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段,对网络攻击进行实时检测和阻断,请用户联系相关产品区域负责人或(shaoyulong#360.cn)获取对应产品。

 

0x08 时间线

2020-08-11 Citrix 官方发布漏洞通告

2020-08-13 360CERT发布通告

 

0x09 参考链接

  1. Citrix Endpoint Management (CEM) Security Update

2020-08 补丁日:微软多个产品高危漏洞安全风险通告

Ysck阅读(7)

 

0x01 事件背景

2020年08月12日, 360CERT监测发现 微软官方 发布了 8月份 的风险通告,事件等级:严重,事件评分:10 分。

此次安全更新发布了 120 个漏洞的补丁,主要涵盖了以下组件: Windows操作系统、IE/Edge浏览器、ChakraCore、脚本引擎、SQL Server、.Net 框架、Windows编解码器库 。其中包括 17 个严重漏洞,103个高危漏洞。

微软通告中标识 1 个高危漏洞和 1 个严重漏洞已存在利用。

对此,360CERT建议广大用户及时将 Windows各项组件 升级到最新版本。与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。

 

0x02 风险等级

360CERT对该事件的评定结果如下

评定方式 等级
威胁等级 严重
影响面 广泛
360CERT评分 10分

 

0x03 漏洞详情

CVE-2020-1464: Windows 签名验证绕过漏洞

Windows错误地验证文件签名时,存在一处签名验证绕过漏洞。

本地攻击者通过在受影响的计算机上执行特定操作,可以绕过 Windows 签名机制加载任意危险的程序/文件。

该漏洞信息已公开;该漏洞已存在利用

该漏洞会影响所有受支持的Windows版本,请尽快安装修复补丁

CVE-2020-1380: 脚本引擎内存损坏漏洞

Windows 脚本引擎在 Internet Explorer 中处理内存中对象的方式中存在一处远程执行代码漏洞。

远程攻击者通过创建特制页面并诱使用户使用IE打开,成功利用此漏洞的攻击者可在受影响的系统上以相同的用户权限执行任意代码。

该漏洞已存在利用

CVE-2020-1472: NetLogon 特权提升漏洞

使用 Netlogon 远程协议 (MS-NRPC) 建立与域控制器连接的 Netlogon 安全通道时,存在一处特权提升漏洞。

未通过身份验证的远程攻击者可以使用 Netlogon 协议构造特制的数据包,发送至受影响的域控服务器,成功利用此漏洞的攻击者可以获取域管理员访问权限。

CVE-2020-1585: Windows 编码解码库远程代码执行漏洞

Microsoft Windows Codecs 库处理内存中的对象时,存在一处远程执行代码漏洞。

远程攻击者通过构造特制的文件并诱使用户打开,成功利用此漏洞的攻击者可以控制受影响的系统。

CVE-2020-1568: Microsoft Edge PDF 远程执行代码漏洞

Microsoft Edge PDF 阅读器在处理内存中的对象时,存在一处远程执行代码漏洞。

远程攻击者通过构造特制的PDF页面,并诱使用户使用Edge浏览器打开,成功利用此漏洞的攻击者可在受影响的系统上以相同的用户权限执行任意代码。

 

0x04 影响版本

已利用>易利用>可利用>难利用

编号 描述 新版可利用性 历史版本可利用性 公开状态 在野利用 导致结果
CVE-2020-1464 Windows 欺骗漏洞 已利用 已利用 已公开 已存在 欺骗攻击
CVE-2020-1380 脚本引擎内存损坏漏洞 难利用 已利用 未公开 已存在 内存破坏
CVE-2020-1472 NetLogon 特权提升漏洞 可利用 可利用 未公开 不存在 权限提升
CVE-2020-1568 Microsoft Edge PDF 远程执行代码漏洞 难利用 可利用 未公开 不存在 远程代码执行
CVE-2020-1339 Windows Media 远程执行代码漏洞 可利用 可利用 未公开 不存在 远程代码执行
CVE-2020-1525 Windows Media损坏漏洞 可利用 可利用 未公开 不存在 内存破坏
CVE-2020-1379 Windows Media损坏漏洞 可利用 可利用 未公开 不存在 内存破坏
CVE-2020-1492 Windows Media损坏漏洞 可利用 可利用 未公开 不存在 内存破坏
CVE-2020-1477 Windows Media损坏漏洞 可利用 可利用 未公开 不存在 内存破坏
CVE-2020-1585 Microsoft Windows Codecs 库远程执行代码漏洞 可利用 难利用 未公开 不存在 远程代码执行
CVE-2020-1570 脚本引擎内存损坏漏洞 易利用 易利用 未公开 不存在 内存破坏
CVE-2020-1554 Windows Media损坏漏洞 可利用 可利用 未公开 不存在 内存破坏
CVE-2020-1567 MSHTML 引擎远程执行代码漏洞 易利用 易利用 未公开 不存在 远程代码执行
CVE-2020-1555 脚本引擎内存损坏漏洞 难利用 可利用 未公开 不存在 内存破坏
CVE-2020-1560 Microsoft Windows Codecs 库远程执行代码漏洞 难利用 可利用 未公开 不存在 远程代码执行
CVE-2020-1574 Microsoft Windows Codecs 库远程执行代码漏洞 可利用 可利用 未公开 不存在 远程代码执行
CVE-2020-1046 .NET Framework 远程执行代码漏洞 可利用 可利用 未公开 不存在 远程代码执行
CVE-2020-1483 Microsoft Outlook 内存损坏漏洞 可利用 可利用 未公开 不存在 内存破坏
CVE-2020-1516 Windows 工作文件夹服务权限提升漏洞 可利用 可利用 未公开 不存在 权限提升
CVE-2020-1571 Windows 安装程序特权提升漏洞 可利用 可利用 未公开 不存在 权限提升
CVE-2020-1541 Windows 备份引擎特权提升漏洞 可利用 可利用 未公开 不存在 权限提升
CVE-2020-1518 Windows 文件服务器资源管理服务特权提升漏洞 可利用 可利用 未公开 不存在 权限提升
CVE-2020-1563 Microsoft Office 远程执行代码漏洞 可利用 可利用 未公开 不存在 远程代码执行
CVE-2020-1520 Windows 字体驱动程序主机远程执行代码漏洞 可利用 可利用 未公开 不存在 远程代码执行
CVE-2020-1509 本地安全认证子系统服务特权提升漏洞 可利用 可利用 未公开 不存在 权限提升
CVE-2020-1467 Windows 硬链接权限提升漏洞 可利用 可利用 未公开 不存在 权限提升
CVE-2020-1479 DirectX 特权提升漏洞 可利用 可利用 未公开 不存在 权限提升
CVE-2020-1587 WinSock 的 Windows 辅助功能驱动程序特权提升漏洞 易利用 易利用 未公开 不存在 权限提升
CVE-2020-1597 ASP.NET Core 拒绝服务漏洞 可利用 可利用 未公开 不存在 拒绝服务
CVE-2020-1521 Windows 语音Runtime特权提升漏洞 可利用 可利用 未公开 不存在 权限提升
CVE-2020-1544 Windows 备份引擎特权提升漏洞 可利用 可利用 未公开 不存在 权限提升
CVE-2020-1484 Windows 工作文件夹服务权限提升漏洞 可利用 可利用 未公开 不存在 权限提升
CVE-2020-1580 Microsoft Office SharePoint 可利用 可利用 未公开 不存在 跨站脚本攻击
CVE-2020-1579 Windows 功能发现 SSDP 提供程序特权提升漏洞 可利用 可利用 未公开 不存在 权限提升
CVE-2020-1531 Windows 帐户控制特权提升漏洞 可利用 可利用 未公开 不存在 权限提升
CVE-2020-1495 Microsoft Excel 远程执行代码漏洞 可利用 可利用 未公开 不存在 远程代码执行
CVE-2020-1535 Windows 备份引擎特权提升漏洞 可利用 可利用 未公开 不存在 权限提升
CVE-2020-1542 Windows 备份引擎特权提升漏洞 可利用 可利用 未公开 不存在 权限提升
CVE-2020-1566 Windows 内核特权提升漏洞 易利用 易利用 未公开 不存在 权限提升
CVE-2020-1417 Windows 内核特权提升漏洞 可利用 可利用 未公开 不存在 权限提升
CVE-2020-1497 Microsoft Excel 信息泄漏漏洞 可利用 可利用 未公开 不存在 信息泄漏
CVE-2020-1565 Windows 权限提升漏洞 可利用 可利用 未公开 不存在 权限提升
CVE-2020-1561 Microsoft 图形组件远程代码执行漏洞 可利用 可利用 未公开 不存在 远程代码执行
CVE-2020-1547 Windows 备份引擎特权提升漏洞 可利用 可利用 未公开 不存在 权限提升
CVE-2020-1502 Microsoft Word 信息泄漏漏洞 可利用 可利用 未公开 不存在 信息泄漏
CVE-2020-1466 Windows 远程桌面协议(RD 网关)拒绝服务漏洞 可利用 难利用 未公开 不存在 拒绝服务
CVE-2020-1550 Windows CDP 用户组件特权提升漏洞 可利用 可利用 未公开 不存在 权限提升
CVE-2020-1522 Windows 语音Runtime特权提升漏洞 可利用 可利用 未公开 不存在 权限提升
CVE-2020-1551 Windows 备份引擎特权提升漏洞 可利用 可利用 未公开 不存在 权限提升
CVE-2020-1573 Microsoft Office SharePoint 可利用 可利用 未公开 不存在 跨站脚本攻击
CVE-2020-1584 Windows dnsrslvr.dll 特权提升漏洞 易利用 易利用 未公开 不存在 权限提升
CVE-2020-1557 Jet 数据库引擎远程执行代码漏洞 可利用 可利用 未公开 不存在 远程代码执行
CVE-2020-1539 Windows 备份引擎特权提升漏洞 可利用 可利用 未公开 不存在 权限提升
CVE-2020-1546 Windows 备份引擎特权提升漏洞 可利用 可利用 未公开 不存在 权限提升
CVE-2020-1569 Microsoft Edge 内存损坏漏洞 难利用 可利用 未公开 不存在 内存破坏
CVE-2020-1526 Windows 网络连接 Broker 权限提升漏洞 可利用 可利用 未公开 不存在 权限提升
CVE-2020-1517 Windows 文件服务器资源管理服务特权提升漏洞 可利用 可利用 未公开 不存在 权限提升
CVE-2020-1528 Windows Radio Manager API 特权提升漏洞 可利用 可利用 未公开 不存在 权限提升
CVE-2020-1499 Microsoft SharePoint 欺骗漏洞 可利用 可利用 未公开 不存在 欺骗攻击
CVE-2020-1488 Windows AppX 部署扩展特权提升漏洞 可利用 可利用 未公开 不存在 权限提升
CVE-2020-1556 Windows WalletService 特权提升漏洞 可利用 可利用 未公开 不存在 权限提升
CVE-2020-1476 ASP.NET 和 .NET 特权提升漏洞 可利用 可利用 未公开 不存在 权限提升
CVE-2020-1496 Microsoft Excel 远程执行代码漏洞 可利用 可利用 未公开 不存在 远程代码执行
CVE-2020-1552 Windows Work Folder 服务权限提升漏洞 可利用 可利用 未公开 不存在 权限提升
CVE-2020-1505 Microsoft SharePoint 信息泄漏漏洞 可利用 可利用 未公开 不存在 信息泄漏
CVE-2020-1548 Windows WaasMedic 服务信息泄漏漏洞 可利用 可利用 未公开 不存在 信息泄漏
CVE-2020-1581 Microsoft Office 即点即用特权提升漏洞 可利用 可利用 未公开 不存在 权限提升
CVE-2020-1524 Windows Speech Shell 组件特权提升漏洞 可利用 可利用 未公开 不存在 权限提升
CVE-2020-1494 Microsoft Excel 远程执行代码漏洞 可利用 可利用 未公开 不存在 远程代码执行
CVE-2020-1578 Windows 内核信息泄漏漏洞 易利用 易利用 未公开 不存在 信息泄漏
CVE-2020-1549 Windows CDP 用户组件特权提升漏洞 可利用 可利用 未公开 不存在 权限提升
CVE-2020-1473 Jet 数据库引擎远程执行代码漏洞 可利用 可利用 未公开 不存在 远程代码执行
CVE-2020-1577 DirectWrite 信息泄漏漏洞 可利用 可利用 未公开 不存在 信息泄漏
CVE-2020-1501 Microsoft SharePoint 欺骗漏洞 可利用 可利用 未公开 不存在 欺骗攻击
CVE-2020-1337 Windows 打印后台处理程序特权提升漏洞 可利用 可利用 未公开 不存在 权限提升
CVE-2020-1537 Windows 远程访问特权提升漏洞 可利用 可利用 未公开 不存在 权限提升
CVE-2020-1455 Microsoft SQL Server Management Studio 拒绝服务漏洞 难利用 可利用 未公开 不存在 拒绝服务
CVE-2020-1534 Windows 备份服务特权提升漏洞 可利用 可利用 未公开 不存在 权限提升
CVE-2020-1545 Windows 备份引擎特权提升漏洞 可利用 可利用 未公开 不存在 权限提升
CVE-2020-1511 已连接的用户体验和遥测服务权限提升漏洞 可利用 可利用 未公开 不存在 权限提升
CVE-2020-1583 Microsoft Word 信息泄漏漏洞 可利用 可利用 未公开 不存在 信息泄漏
CVE-2020-1582 Microsoft Access 远程执行代码漏洞 可利用 可利用 未公开 不存在 远程代码执行
CVE-2020-1503 Microsoft Word 信息泄漏漏洞 可利用 可利用 未公开 不存在 信息泄漏
CVE-2020-1377 Windows 注册表特权提升漏洞 可利用 可利用 未公开 不存在 权限提升
CVE-2020-1564 Jet 数据库引擎远程执行代码漏洞 可利用 可利用 未公开 不存在 远程代码执行
CVE-2020-1530 Windows 远程访问特权提升漏洞 可利用 可利用 未公开 不存在 权限提升
CVE-2020-1536 Windows 备份引擎特权提升漏洞 可利用 可利用 未公开 不存在 权限提升
CVE-2020-1540 Windows 备份引擎特权提升漏洞 可利用 可利用 未公开 不存在 权限提升
CVE-2020-1480 Windows GDI 特权提升漏洞 易利用 易利用 未公开 不存在 权限提升
CVE-2020-1459 Windows ARM 信息泄漏漏洞 可利用 可利用 未公开 不存在 信息泄漏
CVE-2020-1553 Windows Runtime特权提升漏洞 可利用 可利用 未公开 不存在 权限提升
CVE-2020-1533 Windows WalletService 特权提升漏洞 可利用 可利用 未公开 不存在 权限提升
CVE-2020-1486 Windows 内核特权提升漏洞 可利用 可利用 未公开 不存在 权限提升
CVE-2020-1378 Windows 注册表特权提升漏洞 可利用 可利用 未公开 不存在 权限提升
CVE-2020-1478 Windows Media损坏漏洞 可利用 可利用 未公开 不存在 内存破坏
CVE-2020-1475 Windows 服务器资源管理服务特权提升漏洞 可利用 可利用 未公开 不存在 权限提升
CVE-2020-1515 Windows 启用电话服务器特权提升漏洞 可利用 可利用 未公开 不存在 权限提升
CVE-2020-1493 Microsoft Outlook 信息泄漏漏洞 可利用 可利用 未公开 不存在 信息泄漏
CVE-2020-1490 Windows 存储服务特权提升漏洞 可利用 可利用 未公开 不存在 权限提升
CVE-2020-1527 Windows 自定义协议引擎特权提升漏洞 可利用 可利用 未公开 不存在 权限提升
CVE-2020-1504 Microsoft Excel 远程执行代码漏洞 可利用 难利用 未公开 不存在 远程代码执行
CVE-2020-1500 Microsoft SharePoint 欺骗漏洞 可利用 可利用 未公开 不存在 欺骗攻击
CVE-2020-1558 Jet 数据库引擎远程执行代码漏洞 可利用 可利用 未公开 不存在 远程代码执行
CVE-2020-1498 Microsoft Excel 远程执行代码漏洞 可利用 可利用 未公开 不存在 远程代码执行
CVE-2020-1529 Windows GDI 特权提升漏洞 易利用 易利用 未公开 不存在 权限提升
CVE-2020-1383 Windows RRAS 服务信息泄漏漏洞 可利用 可利用 未公开 不存在 信息泄漏
CVE-2020-1562 Microsoft 图形组件远程代码执行漏洞 可利用 可利用 未公开 不存在 远程代码执行
CVE-2020-0604 Visual Studio Code 远程执行代码漏洞 可利用 可利用 未公开 不存在 远程代码执行
CVE-2020-1470 Windows 工作文件夹服务权限提升漏洞 可利用 可利用 未公开 不存在 权限提升
CVE-2020-1510 Win32k 信息泄漏漏洞 可利用 可利用 未公开 不存在 信息泄漏
CVE-2020-1543 Windows 备份引擎特权提升漏洞 可利用 可利用 未公开 不存在 权限提升

通用修补建议

360CERT建议通过安装 360安全卫士 进行一键更新。

应及时进行Microsoft Windows版本更新并且保持Windows自动更新开启。

Windows server / Windows 检测并开启Windows自动更新流程如下

  • 点击开始菜单,在弹出的菜单中选择“控制面板”进行下一步。
  • 点击控制面板页面中的“系统和安全”,进入设置。
  • 在弹出的新的界面中选择“windows update”中的“启用或禁用自动更新”。
  • 然后进入设置窗口,展开下拉菜单项,选择其中的自动安装更新(推荐)

手动升级方案:

通过如下链接自行寻找符合操作系统版本的漏洞补丁,并进行补丁下载安装。

August 2020 Security Updates

 

0x05 产品侧解决方案

360安全卫士

针对本次安全更新,Windows用户可通过360安全卫士实现对应补丁安装,其他平台的用户可以根据修复建议列表中的产品更新版本对存在漏洞的产品进行更新。

360CERT建议广大用户使用360安全卫士定期对设备进行安全检测,以做好资产自查以及防护工作。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段,对网络攻击进行实时检测和阻断,请用户联系相关产品区域负责人或(shaoyulong#360.cn)获取对应产品。

 

0x06 时间线

2020-08-11 微软发布安全更新

2020-08-12 360CERT发布通告

 

0x07 参考链接

  1. August 2020 Security Updates
  2. Zero Day Initiative — The August 2020 Security Update Review

CVE-2020-1472:NetLogon特权提升漏洞通告

Ysck阅读(6)

 

0x01 漏洞简述

2020年08月12日, 360CERT监测发现 Windows官方 发布了 NetLogon 特权提升漏洞 的风险通告,该漏洞编号为 CVE-2020-1472,漏洞等级:严重,漏洞评分:10分

攻击者通过NetLogon(MS-NRPC),建立与域控间易受攻击的安全通道时,可利用此漏洞获取域管访问权限。成功利用此漏洞的攻击者可以在该网络中的设备上运行经特殊设计的应用程序。

对此,360CERT建议广大用户及时为各Windows Server操作系统安装最新相关补丁。与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。

 

0x02 风险等级

360CERT对该漏洞的评定结果如下

评定方式 等级
威胁等级 严重
影响面 广泛
360CERT评分 10分

 

0x03 漏洞详情

NetLogon组件 是 Windows 上一项重要的功能组件,用于用户和机器在域内网络上的认证,以及复制数据库以进行域控备份,同时还用于维护域成员与域之间、域与域控之间、域DC与跨域DC之间的关系。

当攻击者使用 Netlogon 远程协议 (MS-NRPC) 建立与域控制器连接的易受攻击的 Netlogon 安全通道时,存在特权提升漏洞。成功利用此漏洞的攻击者可以在网络中的设备上运行经特殊设计的应用程序。

 

0x04 影响版本

  • Windows Server 2008 R2 for x64-based Systems Service Pack 1
  • Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
  • Windows Server 2012
  • Windows Server 2012 (Server Core installation)
  • Windows Server 2012 R2
  • Windows Server 2012 R2 (Server Core installation)
  • Windows Server 2016
  • Windows Server 2016 (Server Core installation)
  • Windows Server 2019
  • Windows Server 2019 (Server Core installation)
  • Windows Server, version 1903 (Server Core installation)
  • Windows Server, version 1909 (Server Core installation)
  • Windows Server, version 2004 (Server Core installation)

 

0x05 修复建议

通用修补建议

360CERT建议通过安装 360安全卫士 进行一键更新。

应及时进行Microsoft Windows版本更新并且保持Windows自动更新开启。

Windows server / Windows 检测并开启Windows自动更新流程如下

  • 点击开始菜单,在弹出的菜单中选择“控制面板”进行下一步。
  • 点击控制面板页面中的“系统和安全”,进入设置。
  • 在弹出的新的界面中选择“windows update”中的“启用或禁用自动更新”。
  • 然后进入设置窗口,展开下拉菜单项,选择其中的自动安装更新(推荐)

手动升级方案:

通过如下链接自行寻找符合操作系统版本的漏洞补丁,并进行补丁下载安装。

CVE-2020-1472 | NetLogon 特权提升漏洞

 

0x06 产品侧解决方案

360安全卫士

针对本次安全更新,Windows用户可通过360安全卫士实现对应补丁安装,其他平台的用户可以根据修复建议列表中的产品更新版本对存在漏洞的产品进行更新。

360CERT建议广大用户使用360安全卫士定期对设备进行安全检测,以做好资产自查以及防护工作。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段,对网络攻击进行实时检测和阻断,请用户联系相关产品区域负责人或(shaoyulong#360.cn)获取对应产品。

 

0x07 时间线

2020-08-11 微软发布漏洞通告

2020-08-12 360CERT发布通告

 

0x08 参考链接

  1. CVE-2020-1472 | NetLogon 特权提升漏洞

8月12日每日安全热点 – 8月补丁日:微软多产品高危漏洞

Ysck阅读(6)

漏洞 Vulnerability
2020-08 补丁日: 微软多个产品高危漏洞安全风险通告
CVE-2020-11976:Apache Wicket 信息泄露漏洞
Google Chrome浏览器漏洞使数十亿用户遭受数据被盗风险
安全研究 Security Research
基于脚本的恶意软件:Internet Explorer攻击的新趋势
Hacking Zoom:揭示Zoom中的安全漏洞
CVE-2020-14644 weblogic iiop反序列化漏洞分析
记一次VMware的崩溃调试分析过程
内网横向移动:Kerberos认证与(哈希)票据传递攻击

加拿大女子在线与黑客通宵battle,勇夺CERB救助金

Ysck阅读(16)

第25期

你好呀~欢迎来到“资讯充电站”!小安就是本站站长。今天第25期如约和大家见面了!如果您是第一次光顾,可以先阅读站内公告了解我们哦。

【站内公告】
本站主要发布时下最火热最新鲜的网安资讯,不同于正儿八经的权威消息。本站的资讯内容可能会更富趣味性、讨论性,工作劳累之余给大家来点趣闻,唠唠嗑,也可以一起充电涨姿势~目前每周营业周二、周四两天。

欢迎各位新老顾客前来拜访,在文章底部时常交流、疯狂讨论,都是小安欢迎哒~如果对本小站的内容还有更多建议,也欢迎底部提出建议哦!

 

加拿大女子在线与黑客通宵battle,勇夺CERB救助金

据8月10日多伦多记者报道,居住在加拿大卑诗省(英属哥伦比亚省在加拿大华人社区中被称为卑斯省) 高贵林港(Port Coquitlam) 的单亲母亲Tara McWilliams在疫情期间和大多数人一样依靠加拿大紧急救助金(CERB)维持日常生活开销,但没想到的是,有黑客攻击了她的加拿大税局(CRA)的在线帐户,先后两次从她账户上转移共计4000元的CERB救助金。

Tara 表示,黑客是在7月24日攻破了她的CRA帐户的,3天后,她收到一条警告,通知她的电子邮件地址已从帐户中删除。她那时才意识到自己的账户被黑客攻击了。

登录CRA帐户后,她发现有人申请了两笔CERB救济金,并设置直接打款到一个她不知道的多伦多银行帐户。

Tara 心猛地一沉,立刻知道要赶紧解决问题,她先是给CRA 税局打电话,但当天税局不办公。那天晚上,她全神贯注地盯著自己的CRA帐户,每次看到骗子更改自己的银行信息时,她就立刻再更改回去。

“整晚就像拉锯战。”Tara McWilliams 说,她最终在CRA上冻结了自己的帐户。如今,她只能通过邮寄支票的方式继续领取救济金。

但直到上周五(8月7日)下午,Tara McWilliams 才终于与CRA联系上,并开始展开调查。她说:“我想解决这样的问题,我不希望其他任何人遇到此事。”

联邦政府收集的统计数据表明,其他数百名加拿大人也遭遇了类似的事情。截至6月30日,加拿大反欺诈中心已收到713份与CERB相关的身份欺诈报告,其中加拿大卑诗省52有份。目前高贵林骑警已立案调查此事。

 

研究人员从一个加密的Zip文件中恢复了价值300,000美元的比特币

如果你拥有成千上万的比特币但却没办法访问它,只因你将它们保存在了受密码保护的ZIP文件中,之后又把密码忘记了,这该是多么悲剧的一件事!

面临这一悲剧的人是一位俄罗斯投资者,据报道,他在2016年购买了价值150万美元的比特币,而在2017年加密货币的历史性涨幅之前。因为他不记得密码的加密密钥,所以他一直无法访问这个加密货币。

Michael Stay是1990年代的加密分析师和逆向工程师,在Google工作了大约六年。他和Pyrofex Corp.的CTO 在DEFCON虚拟事件上讲述了这个故事。

自从Stay在大约二十年前发表了一篇有关破解加密ZIP文件的技术文章以来,这位俄罗斯投资者就开始寻求Stay的帮助来恢复锁定的加密货币。

投资者写信给Stay:“如果我们成功找到密码,我将非常感谢。”

Stay认为这是一项令人兴奋的工作,并同意以100,000美元的费用破解文件。

Stay独自一人收集了有关zip程序的信息并确定了软件版本。然后,他请求Pyrofex首席执行官Nash Foster帮助他在Nvidia GPU上实现加密代码。此后两人一直努力的完善攻击方式。

Stay 透露,由于此版本加密程序较旧,因此可以在无需大量支出的情况下将文件解锁。如果是最新版本的加密程序,成本会更高。

这个故事告诉我们,将您的加密钱包密码以书面形式存储在某处,可以防止此类事件再次发生。

 

博主泄露小米新品需赔100万美金?其母:误发,没想到事情那么严重

8月11日,网传消息称,科技数码类博主@Beautiful科技 发布视频提前泄露了小米的新品——小米10至尊纪念版,将面临100万美金的违约款。

记者致电博主,接电话的人自称是该博主的母亲。对方告诉记者,她和她儿子共用一台电脑,不小心将视频发到了关注科技数码领域的QQ群里。

(视频)是我不小心发出去的,我不懂,我看到我儿子电脑上这个东西,我不知道他要发哪里的,我就发在那个群里去了,是我不小心发的。

当记者问及100万美金的违约款是否属实时,对方称,“因为我确实不知道这个问题的严重性,不知道我儿子跟小米公司签了保密协议,现在我儿子跟我讲了,我正在积极地让他们删掉。”

不少网友纷纷表示:“泄密了就泄密了,承担责任就行,拿母亲顶包是什么操作? ”

8月11日每日安全热点 – DDoS attacks in Q2 2020

Ysck阅读(8)

漏洞 Vulnerability
CVE-2020-13699:TeamViewer 用户密码破解漏洞通告
安全工具 Security Tools
Arcane – 用于在iOS软件包中添加后门的脚本
安全报告 Security Report
安全资讯 Security Information
Pixel 4a会成为第一个发布时通过ioXt认证的手机
安全研究 Security Research
Docker 逃逸小结第一版
sakuraのAFL源码全注释(一)
包含“Backdoor”字样的英特尔泄露代码的初步分析
Barbervisor: 基于Intel VT-x开发一个snapshot fuzzer
一次对某厂商MacOS客户端软件本地提权漏洞的挖掘与利用