欢迎光临
我们一直在努力

2月15日每日安全热点 – 印巴网络战不断Android设备成战场

Ysck阅读(54)

Inspired by 360CERT

安全研究 Security Research

浏览器插件安全

https://multilogin.com/mitigating-risks-of-browser-extensions/

 

工控安全监测

https://cyberics.github.io/News/news.html

安全资讯 Security Information

基于Chrome的浏览器新增对Intel CET的支持

https://www.bleepingcomputer.com/news/security/google-chrome-microsoft-edge-getting-this-intel-security-feature/

 

Egregor勒索软件嫌疑人在乌克兰被捕

https://www.bleepingcomputer.com/news/security/egregor-ransomware-members-arrested-by-ukrainian-french-police/

安全事件 Security Incident

印巴网络战不断Android设备成战场

https://www.bleepingcomputer.com/news/security/pro-india-hackers-use-android-spyware-to-spy-on-pakistani-military/

2月13日每日安全热点 – Yandex出现数据泄露

Ysck阅读(51)

Inspired by 360CERT

安全研究 Security Research

IDOR漏洞技巧

https://www.aon.com/cyber-solutions/aon_cyber_labs/finding-more-idors-tips-and-tricks/

 

利用Auditd挖掘CVE-2021-3156

https://www.archcloudlabs.com/projects/auditd-cve-2021-3156/

安全资讯 Security Information

Telegram发布安全更新增强隐私保护

https://www.bleepingcomputer.com/news/security/telegram-privacy-feature-failed-to-delete-self-destructing-video-files/

 

NPM供应链攻击后续报道

https://www.bleepingcomputer.com/news/security/copycats-imitate-novel-supply-chain-attack-that-hit-tech-giants/

 

安全报告 Security Report

Google报告称美Gmail用户为钓鱼攻击最大受害者

https://www.bleepingcomputer.com/news/security/google-gmail-users-from-us-most-targeted-by-phishing-attacks/

 

安全事件 Security Incident

IRS提醒税务相关钓鱼激增

https://www.bleepingcomputer.com/news/security/scammers-target-us-tax-pros-in-ongoing-irs-phishing-attacks/

 

Yandex出现数据泄露

https://www.bleepingcomputer.com/news/security/yandex-suffers-data-breach-after-sysadmin-sold-access-to-user-emails/

2月14日每日安全热点 – CDPR被窃源代码遭售卖

Ysck阅读(45)

Inspired by 360CERT

安全研究 Security Research

无Mimikatz提取LSASS

https://www.ired.team/offensive-security/credential-access-and-credential-dumping/dumping-lsass-passwords-without-mimikatz-minidumpwritedump-av-signature-bypass

 

安全模式绕过AV/EDR

https://medium.com/@markmotig/bypass-av-edr-with-safe-mode-975aacecc809

 

安全工具 Security Tools

Linux IPC检测工具

https://github.com/guardicore/ipcdump

安全事件 Security Incident

CDPR被窃源代码遭售卖

https://www.bleepingcomputer.com/news/security/cd-projekts-stolen-source-code-allegedly-sold-by-ransomware-gang/

 

加拿大DCTR公司遭Darkside勒索软件攻击

https://www.bleepingcomputer.com/news/security/leading-canadian-rental-car-company-hit-by-darkside-ransomware/

2月12日每日安全热点- Avaddon勒索软件修复了可以免费解密的漏洞

Ysck阅读(62)

Inspired by 360CERT

漏洞 Vulnerability

10万WP站点恐因Buggy插件被接管

https://www.bleepingcomputer.com/news/security/buggy-wordpress-plugin-exposes-100k-sites-to-takeover-attacks/

 

平底锅PanOS漏洞

https://swarm.ptsecurity.com/swarm-of-palo-alto-pan-os-vulnerabilities/

 

恶意软件 Malware

Trickbot为规避杀软改用Nim编程

https://www.bleepingcomputer.com/news/security/trickbots-bazarbackdoor-malware-is-now-coded-in-nim-to-evade-antivirus/

 

安全研究 Security Research

Sharepoint渗透教学

https://www.crummie5.club/the-lone-sharepoint/

 

Windows 10 线程安全研究

https://blog.syscall.party/post/windows-10-stealthy-threads/

安全资讯 Security Information

Telegram再出事故

https://www.inputzero.io/2020/12/telegram-privacy-fails-again.html

 

Chess.com与五千万用户数据的安全风险

https://samcurry.net/hacking-chesscom/

安全事件 Security Incident

Avaddon勒索软件修复了可以免费解密的漏洞

https://www.bleepingcomputer.com/news/security/avaddon-ransomware-fixes-flaw-allowing-free-decryption/

 

企业网络访问权限在黑客市场一降再降

https://www.bleepingcomputer.com/news/security/hackers-ask-only-1-500-for-access-to-breached-company-networks/

2月11日每日安全热点 – 黑客称CDPR多款游戏源代码已泄露

Ysck阅读(53)

Inspired by 360CERT

漏洞 Vulnerability

恶意软件 Malware

安全研究 Security Research

CVE-2021-1722分析

https://streetfight.medium.com/analysis-of-cve-2021-1722-684d61a20041

 

DNS数据泄露指南

https://hinty.io/devforth/dns-exfiltration-of-data-step-by-step-simple-guide/

 

CVE-2019-1068分析

https://0xsaiyajin.github.io/vulnerability-research/2021/02/06/discovering-an-undisclosed-stack-overflow-vulnerability-in-mssql-server-cve-2019-1068.html

 

Intel Graphics Stack安全研究

https://igor-blue.github.io/2021/02/10/graphics-part1.html

 

安全工具 Security Tools

Frida 14.2发布

https://frida.re/news/2021/02/10/frida-14-2-released/

 

安全资讯 Security Information

微软再系统更新拟封死Zerologon漏洞利用

https://www.bleepingcomputer.com/news/security/microsoft-now-forces-secure-rpc-to-block-windows-zerologon-attacks/

 

黑客称CDPR多款游戏源代码已泄露

https://www.bleepingcomputer.com/news/security/hackers-auction-alleged-stolen-cyberpunk-2077-witcher-source-code/

 

SIM交换攻击部分黑客落网

https://www.bleepingcomputer.com/news/security/sim-hijackers-arrested-after-stealing-millions-from-us-celebrities/

安全事件 Security Incident

法国保险公司MNH遭Ransomexx勒索软件攻击

https://www.bleepingcomputer.com/news/security/french-mnh-health-insurance-company-hit-by-ransomexx-ransomware/

 

USCG指示使用Solarwinds的单位进行排查

https://www.bleepingcomputer.com/news/security/us-coast-guard-orders-maritime-facilities-to-report-solarwinds-breaches/

Windows TCP/IP 远程代码执行漏洞通告

Ysck阅读(43)

 

0x01漏洞简述

2021年02月10日,360CERT监测发现微软发布了Windows TCP/IP 远程代码执行漏洞的风险通告,该漏洞编号为CVE-2021-24074,漏洞等级:严重,漏洞评分:9.8

WIndows TCP/IP 协议中存在远程代码执行漏洞,攻击者通过精心构造的IP数据包,可直接在远程目标主机上执行任意代码。

对此,360CERT建议广大用户及时将windows升级到最新版本。与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。

 

0x02风险等级

360CERT对该漏洞的评定结果如下

评定方式 等级
威胁等级 严重
影响面 广泛
360CERT评分 9.8

 

0x03漏洞详情

CVE-2021-24074: Windows TCP/IP 远程代码执行漏洞

WIndows TCP/IP 协议中存在远程代码执行漏洞,攻击者通过精心构造的IP数据包,可直接在远程目标主机上执行任意代码。该漏洞位于IPv4源路由中,默认情况下,系统会禁用此功能并拒绝相关请求。广大用户还可在防火墙及其它外围设备处设置源路由阻止策略。

 

0x04影响版本

– microsoft:windows: win7/win8/win10/server08/server12/server16/server19/server20H2

 

0x05修复建议

通用修补建议

通过如下链接寻找符合操作系统版本的漏洞补丁,并进行补丁下载安装。

Windows TCP/IP Remote Code Execution Vulnerability

临时修补建议

1.通过如下命令,将sourceroutingbehavior设置为“ drop”

netsh int ipv4 set global sourceroutingbehavior=drop

注意,在Windows默认情况下,IPv4源路由被认为是不安全的,系统将处理该来源请求并返回拒绝该请求的ICMP消息。但是,该解决方法将导致系统完全丢弃这些请求,而不进行任何处理。

若想撤销该变化,回到默认设置,请执行以下还原命令:

netsh int ipv4 set global sourceroutingbehavior=dontforward

2. 配置防火墙或负载均衡以禁止源路由请求

 

0x06时间线

2021-02-09 微软发布漏洞通告

2021-02-10 360CERT发布通告

 

0x07参考链接

1、 Windows TCP/IP Remote Code Execution Vulnerability

 

0x08特制报告下载链接

一直以来,360CERT对全球重要网络安全事件进行快速通报、应急响应。为更好地为政企用户提供最新漏洞以及信息安全事件的安全通告服务,现360CERT正式推出安全通告特制版报告,以便用户做资料留存、传阅研究与查询验证。 用户可直接通过以下链接进行特制报告的下载。

Windows TCP/IP 远程代码执行漏洞通告

若有订阅意向与定制需求请发送邮件至 g-cert-report#360.cn ,并附上您的 公司名、姓名、手机号、地区、邮箱地址。

安全事件周报(02.01-02.07)

Ysck阅读(35)

 

0x01事件导览

本周收录安全热点16项,话题集中在恶意程序网络攻击方面,涉及的组织有:NoxPlayerVMWareStormshield等。供应链攻击再起,各大用户注意防范。对此,360CERT建议使用360安全卫士进行病毒检测、使用360安全分析响应平台进行威胁流量检测,使用360城市级网络安全监测服务QUAKE进行资产测绘,做好资产自查以及预防工作,以免遭受黑客攻击。

恶意程序
巴西最大电力公司遭遇勒索袭击
新的Trickbot模块使用Masscan进行本地网络侦察
勒索软件滥用VMWare ESXi漏洞来加密虚拟硬盘
勒索团伙在2020年至少赚了3.5亿美元
超十个Chrome扩展程序劫持了数百万人的Google搜索结果
新的恶意软件劫持Kubernetes集群来挖掘Monero
网络攻击
安卓模拟器–NoxPlayer(夜神)被用于供应链攻击
安全公司Stormshield源代码被盗
新的网络钓鱼攻击使用摩尔斯电码隐藏恶意网址
恶意软件kobalos针对高性能计算(HPC)集群
Internet Explorer 0day分析
Plex媒体服务器可被用于放大DDoS威胁
其它事件
Libgcrypt开发人员发布紧急更新以解决严重的漏洞
Sudo漏洞可能影响macOS
SolarWinds软件中发现3个新的严重安全漏洞
Cisco小型企业VPN路由器存在远程代码执行漏洞

 

0x02恶意程序

巴西最大电力公司遭遇勒索袭击

日期: 2021年02月05日
等级: 高
作者: Ionut Ilascu
标签: Eletrobras, Copel, DarkSide, Ransomware
行业: 电力、热力、燃气及水生产和供应业

巴西两大电力公司CentraisEletricasBrasileiras(Eletrobras)和CompanyhiaParanaensedeEnergia(Copel)遭受勒索软件攻击。勒索团队声称窃取了超过1000GB的数据,包括敏感的基础设施访问信息以及高层管理人员和客户的个人详细信息、网络地图、备份方案和时间表、Copel主站点的域区域和intranet域。他们还声称获取了存储ActiveDirectory(AD)数据的数据库-NTDS.dit文件,其中包含有关域中所有用户的用户对象、组、组成员身份和密码哈希的信息。

详情

Eletrobras, Copel energy companies hit by ransomware attacks

新的Trickbot模块使用Masscan进行本地网络侦察

日期: 2021年02月01日
等级: 高
作者: Catalin Cimpanu
标签: Trickbot, Masscan, Port Scan
行业: 跨行业事件

安全人员发现了一个新的Trickbot恶意软件的组件,主要功能为执行本地网络侦察。该组件名为masrv,它包含了Masscan开源实用程序的一个副本,masrv将组件放到新感染的设备上,发送一系列Masscan命令,让组件扫描本地网络,并将扫描结果上传到Trickbot命令和控制服务器。如果扫描发现内部网络中有敏感或管理端口未关闭的系统(这在大多数公司中非常常见),则Trickbot团伙可以部署专门利用这些漏洞的其他模块,并横向移动以感染新系统。

详情

New Trickbot module uses Masscan for local network reconnaissance

勒索软件滥用VMWare ESXi漏洞来加密虚拟硬盘

日期: 2021年02月02日
等级: 高
作者: Catalin Cimpanu
标签: VMWare, ESXi, SLP
行业: 跨行业事件

勒索软件团伙正在滥用VMWareESXi产品中的漏洞,接管部署在企业环境中的虚拟机并加密其虚拟硬盘驱动器。攻击者使用了VMwareESXi中的两个漏洞CVE-2019-5544和CVE-2020-3992。如果公司依赖VMWareESXi来管理其虚拟机使用的存储空间,请务必安装必要的ESXi修补程序,或者禁用SLP支持以防止攻击(如果不需要该协议)。

涉及漏洞

– CVE-2019-5544

– CVE-2020-3992

详情

Ransomware gangs are abusing VMWare ESXi exploits to encrypt virtual hard disks

勒索团伙在2020年至少赚了3.5亿美元

日期: 2021年02月02日
等级: 高
作者: Catalin Cimpanu
标签: Chainalysis, Ransomware, Ransom Payments
行业: 跨行业事件

区块链分析公司ChainAnalysis在一份报告中称,勒索软件团伙在2020年至少获得了3.5亿美元的赎金。这一数字是通过追踪与勒索软件攻击有关的区块链地址的交易而得出的。尽管ChainAnalysis拥有与加密货币相关的网络犯罪方面最完整的数据集,但该公司表示,其估计值仅为实际应付总额的下限,并非所有受害者都披露了去年的勒索攻击和随后的支付情况,实际总额比该公司所能看到的要多出许多倍。

详情

Ransomware gangs made at least $350 million in 2020

超十个Chrome扩展程序劫持了数百万人的Google搜索结果

日期: 2021年02月03日
等级: 高
作者: The Hacker News
标签: Avast, Chrome, Extension
行业: 跨行业事件
涉及组织: google

Chrome和Edge浏览器恶意扩展劫持了搜索结果的页面,并将其用作钓鱼网站和广告。恶意扩展包括:VideoDownloaderforFacebook,VimeoVideoDownloader,InstagramStoryDownloader,VKUnblock。谷歌和微软已经关闭了所有后门浏览器加载项,以防止更多用户从官方商店下载这些加载项。根据该公司收集的遥测数据,感染率最高的三个国家是巴西、乌克兰和法国,其次是阿根廷、西班牙、俄罗斯和美国。

详情

Over a Dozen Chrome Extensions Caught Hijacking Google Search Results for Millions

新的恶意软件劫持Kubernetes集群来挖掘Monero

日期: 2021年02月03日
等级: 高
作者: Lindsey O'Donnell
标签: Hildegard, Kubernetes, TeamTNT, Monero
行业: 跨行业事件
涉及组织: docker, Kubernetes

研究人员发现Hildegard的恶意软件被TeamTNT威胁组织用来攻击Kubernetes集群。攻击者首先通过对配置错误的kubelet进行远程代码执行攻击,来获得初始访问权限,之后,攻击者下载并运行一个tmate,以便建立一个反向shell。然后,攻击者使用masscanInternet端口扫描仪扫描Kubernetes的内部网络,并找到其他不安全的Kuberets,并部署一个恶意的加密挖掘脚本(xmr.sh)。

攻击方式

– Hijack Execution Flow

详情

New Malware Hijacks Kubernetes Clusters to Mine Monero

相关安全建议

1. 在网络边界部署安全设备,如防火墙、IDS、邮件网关等

2. 及时对系统及各个服务组件进行版本升级和补丁更新

3. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本

4. 各主机安装EDR产品,及时检测威胁

5. 勒索中招后,应及时断网,并第一时间联系安全部门或公司进行应急处理

 

0x03网络攻击

安全公司Stormshield源代码被盗

日期: 2021年02月04日
等级: 高
作者: Catalin Cimpanu
标签: Stormshield, Source Code
行业: 信息传输、软件和信息技术服务业
涉及组织: Stormshield

法国网络安全公司Stormshield是法国政府安全服务和网络安全设备的主要供应商。该公司表示,一名黑客进入其一个客户支持门户网站,窃取了客户的信息。该公司还报告说,攻击者成功窃取了Stormshield网络安全(SNS)防火墙的部分源代码,该产品经认证用于法国政府网络。

详情

Security firm Stormshield discloses data breach, theft of source code

新的网络钓鱼攻击使用摩尔斯电码隐藏恶意网址

日期: 2021年02月07日
等级: 高
作者: Lawrence Abrams
标签: Morse, Phishing, Malicious URL
行业: 跨行业事件

攻击者利用摩尔斯电码在他们的网络钓鱼形式中隐藏恶意网址,以绕过安全邮件网关和邮件过滤器。网络钓鱼攻击从一封伪装成公司发票的电子邮件开始,邮件主题为“Revenue_payment_invoiceFebruary_Wednesday02/03/2021”此电子邮件包含一个HTML附件,其名称看起来像是公司的Excel发票。这些附件以“[company_name]_invoice_[number]._xlsx.hTML”的格式命名。例如,如果目标是360CERT,则附件将命名为“360CERT_invoice_1308._xlsx.hTML”在文本编辑器中查看附件时,可以看到附件中包含将字母和数字映射到摩尔斯电码的JavaScript。该电子表格说明他们的登录超时,并提示他们再次输入密码。一旦用户输入密码,表单就会将密码提交到远程站点,攻击者可以在那里收集登录凭据。

详情

New phishing attack uses Morse code to hide malicious URLs

恶意软件kobalos针对高性能计算(HPC)集群

日期: 2021年02月02日
等级: 高
作者: Marc-Etienne M.Léveillé
标签: ESET, Kobalos, HPC
行业: 跨行业事件

ESET研究人员分析了针对高性能计算(HPC)集群的恶意软件,该恶意软件可移植到许多操作系统(包括Linux,BSD,Solaris,甚至可能是AIX和Windows)中。该恶意程序通过使用特定TCP源端口,连接到SSH服务器,来远程确定系统是否可以攻击。因为它的代码量很小且有许多技巧,将其命名为Kobalos。

攻击方式

– Compromise Client Software Binary

– Traffic Signaling

– Indicator Removal on Host

– Encrypted Channel

– Proxy

详情

This Linux malware is hijacking supercomputers across the globe

Internet Explorer 0day分析

日期: 2021年02月04日
等级: 高
来源: ENKI
标签: Internet Explorer, 0day, lazarus
行业: 跨行业事件
涉及组织: ENKI

在2021年一月份朝鲜针对安全人员的攻击事件中,攻击者同时使用IE0day对ENKI进行打击。由此,ENKI研究人员对本次所使用的ie0day进行了分析,分析详情见链接。

详情

Internet Explorer 0day 분석

Plex媒体服务器可被用于放大DDoS威胁

日期: 2021年02月06日
等级: 高
作者: Akshaya Asokan
标签: Plex, DDOS
行业: 信息传输、软件和信息技术服务业
涉及组织: Plex

PlexMedia应用程序与Windows、Linux和macOS操作系统配合使用,通常允许用户与其他设备共享视频和其他媒体。NetScout的研究人员认为,攻击者正在滥用Plex媒体服务器应用程序的某些版本来加强和放大各种DDoS攻击,大约27000台Plex媒体服务器容易受到DDOS攻击。

详情

Plex Media Server Used to Amplify DDoS Threats

相关安全建议

1. 做好资产收集整理工作,关闭不必要且有风险的外网端口和服务,及时发现外网问题

2. 及时对系统及各个服务组件进行版本升级和补丁更新

3. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本

4. 如果允许,暂时关闭攻击影响的相关业务,积极对相关系统进行安全维护和更新,将损失降到最小

 

0x04其它事件

Libgcrypt开发人员发布紧急更新以解决严重的漏洞

日期: 2021年02月01日
等级: 高
作者: Charlie Osborne
标签: Libgcrypt, vulnerability, GnuPG
行业: 跨行业事件

Libgcrypt的开发人员发布了一个紧急更新,以解决该软件最新版本中的一个堆缓冲区溢出漏洞。Libgcrypt是一个开源的加密库和GNU隐私保护(GnuPG)模块。该软件1.9.0版于1月19日发布。该漏洞CVE编号尚未分配。

详情

Libgcrypt developers release urgent update to tackle severe vulnerability

Sudo漏洞可能影响macOS

日期: 2021年02月03日
等级: 高
作者: Catalin Cimpanu
标签: macOS, Linux, CVE-2021-3156, Baron Samedit
行业: 跨行业事件
涉及组织: apple

一位安全研究人员发现,Sudo应用程序中最近的一个安全漏洞CVE-2021-3156也会影响macOS操作系统,只要稍作修改,这个安全漏洞也可以用来授予攻击者访问macOS根帐户的权限,而不是最初认为的Linux和BSD。

涉及漏洞

– CVE-2021-3156

详情

Recent root-giving Sudo bug also impacts macOS

SolarWinds软件中发现3个新的严重安全漏洞

日期: 2021年02月03日
等级: 高
作者: The Hacker News
标签: SolarWinds, Trustwave, Vulnerability
行业: 信息传输、软件和信息技术服务业
涉及组织: SolarWinds

网络安全研究人员披露了影响SolarWinds产品的三个严重安全漏洞,其中最严重的漏洞可能被用于提升权限实现远程代码执行。其中两个漏洞(CVE-2021-25274和CVE-2021-25275)是在SolarWindsOrion平台上发现的,而第三个单独的漏洞(CVE-2021-25276)是在该公司用于Windows的Serv-UFTP服务器上发现的。

涉及漏洞

– CVE-2021-25274

– CVE-2021-25275

– CVE-2021-25276

详情

3 New Severe Security Vulnerabilities Found In SolarWinds Software

Cisco小型企业VPN路由器存在远程代码执行漏洞

日期: 2021年02月05日
等级: 高
作者: Liam Tung
标签: Cisco, Cisco Small Business Router, Remote Code Execution
行业: 制造业
涉及组织: cisco

Cisco小型企业VPN路由器存在远程代码执行漏洞,影响CiscoSmallBusinessRV160、RV160W、RV260、RV260P和RV260WVPN路由器。路由器的web管理界面中存在多个漏洞,远程攻击者可以使用这些漏洞以根用户身份执行代码。Cisco在固件版本1.5.1.13中修复了影响RV320和RV325双千兆WANVPN路由器的错误。

涉及漏洞

– CVE-2021-1289

– CVE-2021-1316

– CVE-2021-1291

– CVE-2021-1320

– CVE-2021-1315

– CVE-2021-1319

– CVE-2021-1297

– CVE-2021-1296

– CVE-2021-1321

– CVE-2021-1314

– CVE-2021-1290

详情

Cisco warns of critical remote code execution flaws in these small business VPN routers

相关安全建议

1. 及时对系统及各个服务组件进行版本升级和补丁更新

2. 包括浏览器、邮件客户端、vpn、远程桌面等在内的个人应用程序,应及时更新到最新版本

 

0x05产品侧解决方案

360城市级网络安全监测服务

360CERT的安全分析人员利用360安全大脑的QUAKE资产测绘平台(quake.360.cn),通过资产测绘技术的方式,对该漏洞进行监测。可联系相关产品区域负责人或(quake#360.cn)获取对应产品。

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段,对网络攻击进行实时检测和阻断,请用户联系相关产品区域负责人或(shaoyulong#360.cn)获取对应产品。

360安全卫士

针对以上安全事件,360cert建议广大用户使用360安全卫士定期对设备进行安全检测,以做好资产自查以及防护工作。

 

0x06时间线

2021-02-08 360CERT发布安全事件周报

 

0x07特制报告下载链接

一直以来,360CERT对全球重要网络安全事件进行快速通报、应急响应。为更好地为政企用户提供最新漏洞以及信息安全事件的安全通告服务,现360CERT正式推出安全通告特制版报告,以便用户做资料留存、传阅研究与查询验证。 用户可直接通过以下链接进行特制报告的下载。

安全事件周报 (02.01-02.07)

若有订阅意向与定制需求请发送邮件至 g-cert-report#360.cn ,并附上您的 公司名、姓名、手机号、地区、邮箱地址。

2021-02 补丁日: 微软多个高危漏洞通告

Ysck阅读(30)

 

0x01事件简述

2021年02月10日,360CERT监测发现微软发布了2月安全更新的风险通告,事件等级:严重,事件评分:9.8

此次安全更新发布了56个漏洞的补丁,主要涵盖了以下组件: Windows操作系统、Edge浏览器、Office办公套件、Skype、反病毒引擎、.NET。其中包括11个严重漏洞,43个高危漏洞。

对此,360CERT建议广大用户好资产自查以及预防工作,以免遭受黑客攻击。

 

0x02风险等级

360CERT对该事件的评定结果如下

评定方式 等级
威胁等级 严重
影响面 广泛
360CERT评分 9.8

 

0x03重点漏洞

CVE:CVE-2021-1732
组件:Windows Win32k
漏洞类型:权限提升
影响:本地低权限用户获得计算机控制权
简述:该类漏洞容易与代码执行漏洞形成组合利用实现远程直接获取目标计算机的高级别控制权限
CVE:CVE-2021-24078
组件:Windows DNS Server
漏洞类型:远程代码执行
影响:远程攻击者可以在目标系统上执行任意代码并取得和 DNS Server同级别的控制权限
简述:开启Windows DNS Server 服务的主机才受到漏洞影响,攻击者可以不通过授权直接发起攻击,该漏洞具有在
Windows DNS Server间蠕虫传播的特性
CVE:CVE-2021-24074
组件:Windows TCP/IP
漏洞类型:远程代码执行
影响:远程攻击者获得目标主机的控制权限
简述:任意对外部开放端口的Windows主机受到该漏洞影响,攻击者通过特制的流量包可获得目标主机的控制权限
CVE:CVE-2021-26701
组件:.NET Core
漏洞类型:远程代码执行
影响:远程攻击者获得目标主机控制权限
简述:该漏洞的细节信息已经公开,建议用户以及开发者谨慎打开和使用 .NET 相关组件和应用程序
CVE:CVE-2021-1727
组件:Windows Installer
漏洞类型:权限提升;代码执行
影响:远程攻击者获得目标主机控制权限
简述:针对近期的Installer 微软官方进行了修复,漏洞利用和信息已经公开,建议用户针对该漏洞进行修复

 

0x04修复建议

通用修补建议

360CERT建议通过安装360安全卫士进行一键更新。

应及时进行Microsoft Windows版本更新并且保持Windows自动更新开启。

Windows server / Windows 检测并开启Windows自动更新流程如下

– 点击开始菜单,在弹出的菜单中选择“控制面板”进行下一步。

– 点击控制面板页面中的“系统和安全”,进入设置。

– 在弹出的新的界面中选择“windows update”中的“启用或禁用自动更新”。

– 然后进入设置窗口,展开下拉菜单项,选择其中的自动安装更新(推荐)

临时修补建议

通过如下链接自行寻找符合操作系统版本的漏洞补丁,并进行补丁下载安装。

2021 年 02 月安全更新 – 发行说明 – 安全更新程序指南 – Microsoft

 

0x05产品侧解决方案

360安全分析响应平台

360安全大脑的安全分析响应平台通过网络流量检测、多传感器数据融合关联分析手段,对该类漏洞的利用进行实时检测和阻断,请用户联系相关产品区域负责人或(shaoyulong#360.cn)获取对应产品。

360安全卫士

针对本次安全更新,Windows用户可通过360安全卫士实现对应补丁安装,其他平台的用户可以根据修复建议列表中的产品更新版本对存在漏洞的产品进行更新。

360CERT建议广大用户使用360安全卫士定期对设备进行安全检测,以做好资产自查以及防护工作。

 

0x06时间线

2021-02-09 微软发布更新

2021-02-10 360CERT发布通告

 

0x07参考链接

1、 2021 年 2 月安全更新

 

0x08特制报告下载链接

一直以来,360CERT对全球重要网络安全事件进行快速通报、应急响应。为更好地为政企用户提供最新漏洞以及信息安全事件的安全通告服务,现360CERT正式推出安全通告特制版报告,以便用户做资料留存、传阅研究与查询验证。 用户可直接通过以下链接进行特制报告的下载。

2021-02 补丁日: 微软多个高危漏洞通告

若有订阅意向与定制需求请发送邮件至 g-cert-report#360.cn ,并附上您的 公司名、姓名、手机号、地区、邮箱地址。

2月10日每日安全热点 – CDPR疑遭Hellokitty勒索软件攻击

Ysck阅读(27)

Inspired by 360CERT

漏洞 Vulnerability

Apple终于修复macOS中的sudo提权漏洞

https://www.bleepingcomputer.com/news/apple/apple-fixes-sudo-root-privilege-escalation-flaw-in-macos/

 

LibreNMS二次注入

https://www.horizon3.ai/disclosures/librenms-second-order-sqli

 

安全研究 Security Research

K8s日志分析入门

https://sysdig.com/blog/kubernetes-audit-log-falco/

 

DiceCTF 2021 WP

https://thegoonies.github.io/2021/02/08/dicectf-2021-rev-dice-is-you/

 

安全工具 Security Tools

Evil FTP:SSRT -> TCP scan

https://github.com/vp777/evilFTP

 

安全事件 Security Incident

CDPR疑遭Hellokitty勒索软件攻击

https://www.bleepingcomputer.com/news/security/hellokitty-ransomware-behind-cd-projekt-red-cyberattack-data-theft/

 

安全人员发现涉及30余家企业的供应链攻击

https://medium.com/@alex.birsan/dependency-confusion-4a5d60fec610?sk=991ef9a180558d25c5c6bc5081c99089

 

安全客 Security Geek

Ryuk勒索病毒新变种分析

https://www.anquanke.com/post/id/231363

2月9日每日安全热点 – 黑客攻击供水设施并试图攻击市民

Ysck阅读(31)

Inspired by 360CERT

漏洞 Vulnerability

超80万次安装的WP插件已修复高危漏洞

https://www.bleepingcomputer.com/news/security/critical-vulnerability-fixed-in-wordpress-plugin-with-800k-installs/

 

恶意软件 Malware

Emotet逆向分析大总结

https://cert.grnet.gr/en/blog/reverse-engineering-emotet/

 

安全研究 Security Research

Telegram附近的人功能安全性研究

https://owlspace.xyz/cybersec/tg-nearby/

 

JWT密钥滥用

https://blog.silentsignal.eu/2021/02/08/abusing-jwt-public-keys-without-the-public-key/

 

Java反序列化Cheatsheet

https://afinepl.medium.com/testing-and-exploiting-java-deserialization-in-2021-e762f3e43ca2

 

安全工具 Security Tools

Blobhunter:Azure安全评估

https://www.helpnetsecurity.com/2021/02/08/open-source-tool-blobhunter-public-azure-blobs/

 

安全资讯 Security Information

Android应用更新后加入恶意功能后被下架

https://www.bleepingcomputer.com/news/security/android-app-joins-the-dark-side-sends-malware-update-to-millions/

 

安全报告 Security Report

微软称Emotet被击溃后仍不能放松警惕

https://www.bleepingcomputer.com/news/security/microsoft-keep-your-guard-up-even-after-emotet-s-disruption/

 

安全事件 Security Incident

黑客攻击供水设施并试图攻击市民

https://www.bleepingcomputer.com/news/security/hackers-tried-poisoning-town-after-breaching-its-water-facility/

 

安全客 Security Geek

从Java RMI反序列化到内网沦陷

https://www.anquanke.com/post/id/230516