Windows Server 更新导致域控制器崩溃并重新启动
发布时间 2024-03-221. Windows Server 更新导致域控制器崩溃并重新启动
3月21日,由于 Windows Server 2016 和 Windows Server 2022 的 2024 年 3 月累积更新中引入了本地安全机构子系统服务 (LSASS) ,受影响的服务器正在冻结并重新启动。LSASS 是一项 Windows 服务,用于执行安全策略并处理用户登录、访问令牌创建和密码更改。正如许多管理员警告的那样,在安装周二发布的 KB5035855 和 KB5035857 Windows Server 更新后,具有最新更新的域控制器将由于 LSASS 内存使用量增加而崩溃并重新启动。在 Microsoft 正式承认此内存泄露问题之前,建议管理员从其域控制器卸载有问题的 Windows Server 更新。
https://www.bleepingcomputer.com/news/microsoft/new-windows-server-updates-cause-domain-controller-crashes-reboots/
2. 朝鲜 Kimsuky 网络犯罪团伙已开始使用新策略开展活动
3月21日,据信息安全供应商 Rapid7 称,朝鲜臭名昭著的 Kimsuky 网络犯罪团伙已开始使用新策略开展活动。该团伙也被称为 Black Banshee、Thallium、APT 43 和 Velvet Chollima——长期以来一直试图从政府机构和智库等机构获取信息,Rapid7 不确定该团伙如何分发其最新攻击,但确信有效负载包括有毒的 Microsoft 编译 HTML 帮助 (CHM) 文件以及 ISO、VHD、ZIP 和 RAR 文件。CHM 文件可以包含文本、图像和超链接。Kimsuky 可能对它们更感兴趣,因为它们可以执行 JavaScript。Rapid7 的研究人员破解了其中一个 CHM 文件,他们认为这是 Kimsuky 的作品,并发现了“一个使用 HTML 和 ActiveX 在 Windows 计算机上执行任意命令的示例,通常用于恶意目的”。
https://www.theregister.com/2024/03/21/kimsuky_chm_file_campaign/
3. 威胁行为者利用 JETBRAINS TEAMCITY 漏洞传播恶意软件
3月20日,趋势科技研究人员发现利用 JetBrains TeamCity 中最近披露的漏洞CVE-2024-27198 (CVSS 评分:9.8)和CVE-2024-27199(CVSS 评分 7.3)安全漏洞来部署多个恶意软件的攻击活动。CVE-2024-27198 是 TeamCity Web 组件中的一个身份验证绕过漏洞,由替代路径问题 ( CWE-288 ) 引起,CVSS 基本评分为 9.8(严重)。CVE-2024-27199是 TeamCity Web 组件中的一个身份验证绕过漏洞,由路径遍历问题 ( CWE-22 ) 引起,CVSS 基本评分为 7.3(高)。这些漏洞可能使未经身份验证的攻击者能够通过 HTTP(S) 访问 TeamCity 服务器来绕过身份验证检查并获得对该 TeamCity 服务器的管理控制。
https://securityaffairs.com/160823/breaking-news/jetbrains-teamcity-flaws-actively-exploited.html
4. 新的循环 DoS 攻击可能会影响多达 30万个系统
3月20日,一种名为“循环 DoS”的新拒绝服务攻击针对应用层协议,可以将网络服务配对到无限通信循环中,从而产生大量流量。该攻击由CISPA 亥姆霍兹信息安全中心的研究人员设计,使用用户数据报协议 (UDP),影响估计 300,000 台主机及其网络。此次攻击可能是由于 UDP 协议实现中的一个漏洞(目前跟踪为CVE-2024-2169 )造成的,该漏洞容易受到 IP 欺骗,并且不提供足够的数据包验证。利用该漏洞的攻击者会创建一种自我延续的机制,该机制会无限制地产生过多的流量,并且无法阻止它,从而导致目标系统甚至整个网络出现拒绝服务 (DoS) 情况。循环 DoS 依赖于 IP 欺骗,并且可以从发送一条消息以启动通信的单个主机触发。
https://www.bleepingcomputer.com/news/security/new-loop-dos-attack-may-impact-up-to-300-000-online-systems/
5. 伊朗黑客声称已入侵以色列的核设施
3月21日, 一个与伊朗有关的黑客组织声称在“匿名”黑客宣布的一起事件中破坏了以色列敏感核设施的计算机网络,以抗议加沙战争。黑客声称从西蒙·佩雷斯·内盖夫核研究中心窃取并发布了数千份文件,包括 PDF、电子邮件和 PowerPoint 幻灯片。这个秘密设施内有一个与以色列未公开的核武器计划有关的核反应堆,历史上一直是哈马斯火箭的目标。该组织在社交媒体消息中解释了他们的意图,声称“我们不像嗜血的内塔尼亚胡和他的恐怖军队那样,我们以没有平民受到伤害的方式进行这次行动。” 尽管有这一声明,该组织在另一条社交媒体消息中表示,它“无意进行核爆炸,但这次行动很危险,任何事情都可能发生”,同时还发布了一段描绘核爆炸和呼吁撤离人员的动画视频。
https://news.hitb.org/content/iranian-hackers-claim-have-breached-israeli-nuclear-facility
6. 研究人员称 AceCryptor 恶意软件在欧洲激增
3月21日,作为针对欧洲各地组织的活动的一部分,已经发现了涉及 AceCryptor 工具的数千个新感染,黑客混淆恶意软件并将其植入系统而不被防病毒软件检测到。ESET 的研究人员花了数年时间跟踪 AceCryptor,他们周三表示,最近的攻击活动与之前的迭代不同,因为攻击者扩展了内部打包的恶意代码类型。AceCryptor 通常与名为 Remcos或 Rescoms 的恶意软件一起使用,这是一种强大的远程监视工具,研究人员已发现该工具多次用于针对乌克兰的组织。除了 Remcos 和另一个熟悉的工具 SmokeLoader 之外,ESET 表示,现在还发现 AceCryptor 分发 STOP 勒索软件和 Vidar 窃取程序等恶意软件。ESET 根据目标国家/地区发现了一些差异。乌克兰的攻击使用了SmokeLoader,而波兰、斯洛伐克、保加利亚和塞尔维亚的攻击则使用了Remcos。
https://therecord.media/acecryptor-malware-surge-europe-remcos
京公网安备11010802024551号