首页 > 安全研究 > 安全通报 > 安全简讯

Telegram 修复用于启动 Python 脚本的 Windows 应用程序零日漏洞

发布时间 2024-04-15
1. Telegram 修复用于启动 Python 脚本的 Windows 应用程序零日漏洞


4月12日,Telegram 修复了其 Windows 桌面应用程序中的一个零日漏洞,该漏洞可用于绕过安全警告并自动启动 Python 脚本。过去几天,  有关 Windows 版 Telegram 中涉嫌远程代码执行漏洞的谣言在 X 和黑客论坛上流传。虽然其中一些帖子声称这是一个零点击缺陷,但演示所谓的安全警告绕过和 RCE 漏洞的视频清楚地显示有人点击共享媒体来启动 Windows 计算器。Telegram Desktop 客户端会跟踪  与风险文件(例如可执行文件)相关的 文件扩展名列表。当有人在 Telegram 中发送其中一种文件类型,并且用户单击该文件时,Telegram 首先会显示以下安全警告,而不是在 Windows 中的关联程序中自动启动。如果攻击者能够诱骗目标打开文件,这将有效地允许攻击者绕过安全警告并在目标的 Windows 设备上远程执行代码。


https://www.bleepingcomputer.com/news/security/telegram-fixes-windows-app-zero-day-used-to-launch-python-scripts/


2. 法国多个市政府的共享服务器遭到大规模网络攻击


4月12日,圣纳泽尔市称,攻击仍在继续。“这两个社区的服务无法正常运行,”该市在一份警报中告诉居民,指的是圣纳泽尔市和圣纳泽尔城区。其他受影响的城市包括蒙图瓦布列塔尼、东日、拉沙佩勒德玛莱和波尔尼什,以及索纳德夫和圣纳泽尔地区可持续发展机构。通知称,“现阶段,网络攻击的起源和持续时间尚不清楚”。通知称,随着服务恢复,圣纳泽尔市和圣纳泽尔市将在社交媒体和政府网站上发布更新信息。虽然没有透露事件的性质,但此次中断是在 3 月 11 日至 12 日发生的大规模分布式拒绝服务 (DDoS) 攻击之后发生的,该攻击使多个法国政府网站充斥着虚假流量,但并未中断政府服务。DDoS 事件发生几天后,负责登记和援助失业人员的政府部门 France Travail 披露了一起巨大的数据泄露事件,该事件泄露了超过 4300 万公民 20 年前的私人信息。该部门表示,姓名、出生日期、社会安全号码、法国劳工标识符、电子邮件地址、邮政地址和电话号码都被泄露。


https://www.theregister.com/2024/04/12/french_municipalities_cyberattack/


3. CISA 敦促在 Sisense 泄露后立即重置凭证


4月12日,美国网络安全和基础设施安全局 (CISA) 披露了影响业务分析提供商 Sisense 的漏洞,并敦促其客户保留其凭据。2024 年 4 月 11 日,CISA 发布了有关 Sisense 客户数据可能遭到泄露的公告。该机构“目前正在与私营行业合作伙伴合作,以应对独立安全研究人员最近发现的影响 Sisense(一家提供数据分析服务的公司)的漏洞。”截至撰写本文时,Sisense 尚未公开确认或解决这一违规问题。然而,网络安全记者 Brian Krebs 在他的网站上表示,该公司向其客户发送了一封电子邮件,确认其已意识到“Sisense 公司的某些信息可能已在我们被告知的受限访问服务器上提供。”该电子邮件的作者、Sisense 的 CISO Sangram Dash 补充道:“我们正在认真对待此事,并立即展开调查。”达什继续说道:“我们聘请了行业领先的专家来协助我们进行调查。该事件并未导致我们的业务运营中断。Sisense 客户来自各个垂直行业,包括银行和金融、电信、教育和医疗保健。


https://www.infosecurity-magazine.com/news/cisa-urges-reset-sisense-breach/


4. 骗子操纵 GITHUB 的搜索结果来传播恶意软件


4月13日,Checkmarx 研究人员报告称,威胁行为者正在操纵 GitHub 搜索结果,向开发人员系统传送持久性恶意软件。该活动背后的攻击者使用流行的名称和主题创建恶意存储库,观察到他们使用自动更新和假星等技术来提高搜索排名。通过利用 GitHub Actions,攻击者通过修改文件(通常称为“日志”),使用当前日期和时间或只是一些随机的小更改,以非常高的频率自动更新存储库。这种持续的活动人为地提高了存储库的可见性,特别是在用户通过“最近更新”过滤结果的情况下,增加了毫无戒心的用户找到和访问它们的可能性。”阅读Checkmarx 发布的报告。“虽然自动更新有所帮助,但攻击者结合了另一种技术来增强其存储库的有效性,使其达到最佳结果。攻击者使用多个虚假账户添加虚假明星,制造受欢迎和可信的假象。为了逃避检测,威胁行为者将恶意代码隐藏在 Visual Studio 项目文件(.csproj 或 .vcxproj)中,该代码会在项目构建时自动执行。

https://securityaffairs.com/161792/cyber-crime/githubs-search-results-distribute-malware.html


5. 加拿大零售连锁巨头 GIANT TIGER 泄露280万条数据


4月14日,一名网名为 ShopifyGUY 的威胁行为者声称对攻击加拿大零售连锁店 Giant Tiger 负责,并在黑客论坛上泄露了 280 万条记录。Giant Tiger 是一家加拿大折扣连锁店,在加拿大各地经营 260 多家商店。发布该帖子的威胁行为者声称已上传 2024 年 3 月被盗的公司的完整数据库。该帖子背后的威胁行为者声称已上传 2024 年 3 月被盗的 Giant Tiger 客户记录的“完整”数据库。泄露的数据包括电子邮件地址、姓名、电话号码、实际地址和网站活动。财务数据并未受到所谓事件的影响。加拿大零售连锁店的客户可以通过查询数据泄露监控服务 HaveIBeenPwned 来检查泄露的档案中是否存在其数据。


https://securityaffairs.com/161811/cyber-crime/giant-tiger-data-breach.html


6. Roku遭到撞库攻击超过57万个账号信息泄露


4月12日,Roku 宣布,576,000 个帐户在新的撞库攻击中遭到黑客攻击,威胁行为者使用从第三方平台窃取的凭据。今年早些时候,Roku 检测到异常帐户活动,并发现未经授权的攻击者使用通过“凭据填充”从不同来源获取的登录凭据访问了大约 15,000 个用户帐户。该公司完成对首个安全漏洞的调查后,于三月初通知了受影响的客户。该公司继续监控账户活动,并发现了第二起影响大约 576,000 个账户的事件。没有迹象表明 Roku 是这些攻击中使用的帐户凭据的来源,也没有迹象表明 Roku 的系统在这两起事件中受到了损害。相反,这些攻击中使用的登录凭据很可能是从其他来源获取的,例如另一个在线帐户,受影响的用户可能使用了相同的凭据。”阅读该公司发布的新闻稿。“在不到 400 起案例中,恶意行为者登录并使用这些帐户中存储的付款方式未经授权购买流媒体服务订阅和 Roku 硬件产品,但他们无法访问任何敏感信息,包括完整的信用卡号或其他信息。完整的付款信息。


https://securityaffairs.com/161765/data-breach/roku-second-data-breach.html

上一篇 下一篇