信息安全周报-2019年第49周
发布时间 2019-12-16>本周安全态势综述
2019年12月09日至15日共收录安全漏洞57个,值得关注的是Google Chrome WebAudio代码执行漏洞; CA Release Automation DataManagement反序列化代码执行漏洞;Advantech DiagAnywhere Server文件传输服务栈溢出漏洞;Micrsoft Windows Hyper-V远程代码执行漏洞;Adobe Acrobat和Reader CVE-2019-16445内存错误引用代码执行漏洞。
本周值得关注的网络安全事件是莫斯科城市监控系统访问权限在暗网出售;科罗拉多州IT服务商CTS遭到勒索软件攻击;勒索软件Snatch可通过安全模式重启来绕过杀毒软件;微软警告犯罪团伙GALLIUM攻击全球的电信公司;恶意软件Krampus-3PC主要瞄准iphone用户。
根据以上综述,本周安全威胁为中。
>重要安全漏洞列表
1. Google Chrome WebAudio代码执行漏洞
Google Chrome WebAudio存在安全漏洞,允许远程攻击者利用漏洞提交特殊的WEB请求,可使应用程序崩溃或执行任意代码,目前已经在野利用。
https://chromereleases.googleblog.com/2019/10/stable-channel-update-for-desktop_31.html
2. CA Release Automation DataManagement反序列化代码执行漏洞
CA Release Automation DataManagement service存在反序列化漏洞,允许远程攻击者利用漏洞提交特殊的请求,可以应用程序上下文执行任意代码。
https://seclists.org/bugtraq/2019/Dec/16
3. Advantech DiagAnywhere Server文件传输服务栈溢出漏洞
Advantech DiagAnywhere Server文件传输服务存在栈溢出漏洞,允许远程攻击者利用漏洞提交特殊的请求,可使应用程序崩溃或执行任意代码。
https://www.auscert.org.au/bulletins/ESB-2019.4660/
4. Micrsoft Windows Hyper-V远程代码执行漏洞
Micrsoft Windows Hyper-V存在未明安全漏洞,允许远程攻击者利用漏洞提交特殊的请求,可使应用程序崩溃或执行任意代码。
https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/CVE-2019-1471
5. Adobe Acrobat和Reader CVE-2019-16445内存错误引用代码执行漏洞
Adobe Acrobat和Reader处理内存存在释放后使用漏洞,允许远程攻击者利用漏洞提交特殊的文件请求,诱使用户解析,可使应用程序崩溃或执行任意代码。
https://helpx.adobe.com/security/products/acrobat/apsb19-55.html
>重要安全事件综述
1、莫斯科城市监控系统访问权限在暗网出售
MBKh Media调查记者Andrey Kaganskikh发现莫斯科城市监控系统和面部识别数据的访问权限正在地下论坛和聊天室中出售。Andrey表示卖方是执法人员/政府官员,可以登录莫斯科城市监视系统的数据处理和存储集成中心(YTKD)。购买了摄像头权限的用户将会收到指向城市CCTV系统的一个链接,该链接可访问所有公共摄像头,其可用时间为5天。此外,具有无限访问权限的登录凭据价格为30000卢布(470美元)。调查人员测试了其照片,卖方返回了238张图片,这些图片来自140台摄像头,还列出了捕捉到的具体地址和时间,但返回的照片都不是调查人员的,这可能与摄像头的数量和算法有关,系统对其面部特征的评估相似度为67%。
原文链接:
https://www.bleepingcomputer.com/news/security/moscow-cops-sell-access-to-city-cctv-facial-recognition-data/
2、科罗拉多州IT服务商CTS遭到勒索软件攻击
科罗拉多州IT服务商CTS遭勒索软件攻击,波及100多家牙科诊所。CTS专为牙科诊所提供IT服务,包括网络安全、数据备份和IP语音电话等。该公司于11月25日遭到攻击,导致100多家牙科诊所的计算机感染了勒索软件Sodinokibi。CTS拒绝了攻击者索要70万美元赎金的要求,由于系统不断中断,目前许多牙科诊所仍然无法正常营业。
原文链接:
https://krebsonsecurity.com/2019/12/ransomware-at-colorado-it-provider-affects-100-dental-offices/
3、勒索软件Snatch可通过安全模式重启来绕过杀毒软件
勒索软件Snatch正在使用一种前所未见的技巧来绕过杀毒软件,具体来说,它可以将受害者的计算机以安全模式重新启动,然后运行加密过程。大多数杀毒软件都无法在Windows安全模式下启动,因此Snatch难以被检测到。根据Sophos Labs的报告,该勒索软件通过Windows注册表项添加了一个在安全模式下启动的服务,该服务将运行Snatch。研究人员警告称这种模式可能会被其它勒索软件所模仿。Snatch自2018年夏季以来一直活跃,其主要进行针对性的攻击。与大多数勒索软件不同,Snatch还会窃取受感染系统上的文件。
原文链接:
https://www.zdnet.com/article/snatch-ransomware-reboots-pcs-in-windows-safe-mode-to-bypass-antivirus-apps/
4、微软警告犯罪团伙GALLIUM攻击全球的电信公司
微软威胁情报中心(MSTIC)警告犯罪团伙GALLIUM正在针对世界各地的电信服务商进行持续不断的攻击。该犯罪团伙进行了多个攻击活动,MSTIC观察到针对东南亚、欧洲和非洲的电信运营商的攻击。GALLIUM主要通过未打补丁的WildFly/JBoss服务器进行入侵,一旦渗透到组织的网络中,GALLIUM便开始利用自定义的恶意软件在企业网络中横向移动和收集域凭据。GALLIUM还使用SoftEther VPN软件来增强对目标网络的访问和保持持久性。根据MSTIC的报告,GALLIUM的TTP和该组织使用的部分域与2018年的Operation SoftCell相同。
原文链接:
https://www.bleepingcomputer.com/news/security/microsoft-warns-of-gallium-threat-group-attacking-global-telcos/
5、恶意软件Krampus-3PC主要瞄准iphone用户
一个针对iPhone用户的恶意广告重定向活动已经影响了100多个出版商网站,其中包括在线报纸网站和国际每周新闻杂志网站等。根据DSO团队的说法,该恶意软件Krampus-3PC伪装成杂货店的酬宾广告,从用户那里收集会话和cookie信息,并且在用户点击广告时重定向至一个收集个人信息的虚假网站。攻击者首先在广告平台Adtechstack上投放广告,然后利用平台的API插入恶意代码,这些恶意广告随后被分发给大量网站。Krampus-3PC会将收集到的用户信息发送至C2域名boostsea2[.]com。目前尚不清楚攻击者的身份。
原文链接:
https://threatpost.com/krampus-3pc-malware-iphone-users/151043/
京公网安备11010802024551号