6月Windows更新可能导致部分应用无法使用VSS备份
发布时间 2022-06-17
据6月15日报道,微软表示,在安装2022年6月的Windows更新后,某些应用程序可能无法使用卷影复制服务(VSS)来备份数据。该问题是修复Microsoft文件服务器卷影复制代理服务(RVSS)中的提权漏洞(CVE-2022-30154)导致的。存在问题的系统中,Windows备份应用程序在卷影复制创建过程中可能会收到E_ACCESSDENIED错误,且会在文件服务器中记录为"FileShareShadowCopyAgent Event 1013"。
https://www.bleepingcomputer.com/news/microsoft/microsoft-june-windows-server-updates-may-cause-backup-issues/
2、F5 Labs披露新Android木马MaliBot的细节信息
6月15日,F5 Labs最新报告披露了Android木马MaliBot的细节信息。MaliBot专注于窃取金融信息,例如电子银行服务凭证、加密钱包密码和个人详细信息,还可以窃取和绕过多因素(2FA/MFA)代码,主要针对意大利和西班牙的金融机构。该恶意软件会伪装成加密货币挖掘应用程序“Mining X”和“The CryptoApp”,有时也伪装成“MySocialSecurity”和“Chrome”。此外,研究人员表示其C2服务器位于俄罗斯,似乎与分发Sality的活动使用的是同一个服务器,自2020年6月以来,许多活动都源自此IP。
https://www.f5.com/labs/articles/threat-intelligence/f5-labs-investigates-malibot
3、Citrix ADM可重置管理员密码的漏洞CVE-2022-27511
据媒体6月15日报道,Citrix应用交付管理(ADM)存在可重置管理员密码的漏洞。该漏洞追踪为CVE-2022-27511,是由不正确的访问控制导致的,影响所有受支持的Citrix ADM服务器和Citrix ADM代理版本。Citrix解释道,利用该漏洞可能在下次设备重启时重置管理员密码,具有ssh访问权限的攻击者在设备重启后可以使用默认管理员凭据进行连接。目前,漏洞已被修复,该公司建议管理员立即安装补丁。
https://www.bleepingcomputer.com/news/security/citrix-warns-critical-bug-can-let-attackers-reset-admin-passwords/
4、研究人员发现BeanVPN近20GB的连接日志可公开访问
媒体6月15日称,Cybernews的调查发现提供商BeanVPN 18.5 GB的连接日志可被公开访问。该缓存日志包括超过2500万条记录,涉及用户设备和Play服务ID、连接时间戳和IP地址等。研究人员表示,Play服务ID可用于查找用户登录设备时使用的电子邮件地址。此外,该提供商表示不收集用户IP地址、传出IP地址、连接时间戳和会话持续时间等信息。但这一说法与泄露的信息并不一致,后者几乎包含了BeanVPN声称不会收集的所有数据。目前,泄露的数据已被保护起来。
https://www.infosecurity-magazine.com/news/beanvpn-leaks-user-records/
5、美国Transact Campus配置错误泄露3万多学生的信息
媒体6月15日报道,SafetyDetectives发现了一个配置错误的Elasticsearch服务器,其中包含Transact Campus的应用程序的数据。该应用用于高等教育机构的学生的支付流程,此次事件泄露了约100万条记录,涉及3至4万名学生。值得注意的是,用户名和密码等登录数据均以纯文本格式存储,且泄露的信用卡信息包括银行识别号、信用卡号的前六位和后四位和到期日期等。目前,数据库已被保护起来,但该公司声称服务器不在他们的控制之下且数据是假的。但研究人员表示经过开源工具的检查,这些数据属于真实的用户。
https://www.hackread.com/elasticsearch-database-expose-login-pii-data-students/
6、Blue Mockingbird团伙滥用Telerik UI中的漏洞挖矿
6月15日,Sophos发布了Blue Mockingbird近期攻击活动的分析报告。该团伙利用了Telerik UI Web应用程序框架中的漏洞来入侵服务器,安装Cobalt Strike beacons,然后劫持系统资源来挖掘Monero。攻击者利用的是已存在3年的.NET反序列化漏洞(CVE-2019-18935,CVSS评分9.8),可在Telerik UI库中远程执行ASP.NET AJAX的代码。此外,在攻击过程中,该团伙使用了一种现成的PoC,可处理加密逻辑并自动执行DLL编译。
https://www.bleepingcomputer.com/news/security/hackers-exploit-three-year-old-telerik-flaws-to-deploy-cobalt-strike/
京公网安备11010802024551号