海王捕鱼威胁情报周报(2020.11.09-2020.11.15)
2020-11-17
一、 威胁通告
Windows 网络文件系统漏洞通告(CVE-2020-17051、CVE-2020-17056)
【发布时间】2020-11-11 22:00:00 GMT
【概述】
当地时间11月10日,微软最新的月度补丁更新中修复了两枚存在于Windows 网络文件系统(Network File System,NFS)中的漏洞,分别是 CVE-2020-17051和 CVE-2020-17056。CVE-2020-17051 是存在于nfssvr.sys驱动中的远程代码执行漏洞,据称复现时可导致蓝屏死机(BSOD)[3]。CVE-2020-17056是一个存在于nfssvr.sys驱动中的远程越界读取漏洞,可导致ASLR(地址空间布局随机化)被绕过。当这两个漏洞被组合利用时,攻击者在Windows服务器上绕过漏洞缓解措施并实现远程利用的可能性将大大增加。
【链接】
https://nti.nsfocus.com/threatWarning
二、 热点资讯
1. 前微软工程师被判9年监禁
【概述】
据司法部称,在今年早些时候因涉嫌18项刑事指控而被判有罪后,一名前微软软件工程师被判处有期徒刑9年。
【参考链接】
https://www.inforisktoday.com/former-microsoft-engineer-sentenced-to-9-years-in-prison-a-15340
2. 黑客可以通过观察你的肩膀移动来获取密码
【概述】
安全研究人员永远想出新的方法,并且常常用令人惊讶的方式来入侵您的数据和系统。我最近报道说,这样的研究人员如何通过将连接到望远镜的电光传感器对准灯泡来监视大约80英尺(25米)远的对话。如果您认为这是非同寻常的,请做好准备:研究人员认为他们可以通过在Zoom通话期间观察您的上臂动作来获取您的密码。
【参考链接】
3. 谷歌开发了一个应用程序,如果用户拖欠付款,可以锁定设备
【概述】
银行和信贷放贷机构一直以来都有相当一部分不良的公共覆盖,这要归功于如果人们拖欠贷款会发生什么。Google不会通过其最新的应用程序来寻求帮助,该应用程序旨在锁定那些无法使用智能手机融资付款的用户的设备。
【参考链接】
https://www.hackread.com/google-app-lock-devices-users-default-payment/
4. 勒索软件集团转向Facebook广告
【概述】
这已经很糟糕了,许多勒索软件帮派现在拥有博客,他们在其中发布从拒绝勒索款项的公司那里窃取的数据。现在,一个犯罪集团已开始使用被黑客入侵的Facebook帐户公开运行广告,迫使其勒索软件受害者付款。
【参考链接】
https://krebsonsecurity.com/2020/11/ransomware-group-turns-to-facebook-ads/
5. 中国黑客集团利用新鲜DLL进行侧载攻击
【概述】
安全公司Sophos的一份报告指出,最近发现的一个中国黑客组织正在使用多种动态链接库攻击技术来针对东南亚的非政府组织,尤其是缅甸。
【参考链接】
https://www.inforisktoday.com/chinese-hacking-group-using-fresh-dll-side-loading-attack-a-15320
6. 美国司法部扣押了10亿美元与丝绸之路市场相关的比特币
【概述】
美国司法部(DoJ)宣布没收了10亿美元的比特币和其他加密货币。美国司法部声称,这些资金与如今运转不良的暗网市场丝绸之路有关。
【参考链接】
https://www.hackread.com/1-billion-silk-road-marketplace-bitcoin-seized/
7. 拜登的网络安全使命:重振势头
【概述】
网络安全有望成为较高白宫优先级时任总统当选人拜登上任。预计他将与打击网络攻击续约所需的关键国际关系。
【参考链接】
https://www.inforisktoday.com/blogs/bidens-cybersecurity-mission-regain-momentum-p-2966
8. Game Over?Capcom被勒索1100万美元
【概述】
老牌视频游戏发行商Capcom成立于1979年,是世界上生存最悠久的视频游戏制造商之一。Capcom在美国,欧洲和东亚都有业务,最著名的游戏包括《生化危机》、《街头霸王》、《鬼泣》、《怪物猎人》、《王牌律师》和《洛克人》。在11月4日的一份新闻稿中Capcom透露遭遇勒索软件攻击,被迫停止了部分运营,该事件影响了其电子邮件和文件服务器以及其他系统。Capcom声称没有发现证据表明客户信息受到了损害。
【参考链接】
https://www.aqniu.com/threat-alert/71121.html
9. 特朗普的竞选诉讼证据收集网站发生数据泄露
【概述】
特朗普竞选团队刚刚启动的DontTouchTheGreenButton.com网站发生了选民数据泄露事件。遭泄露的数据包括选民姓名,地址和唯一标识符。有报道称该网站存在SQL注入漏洞,所以黑客可以收集选民的SSN和出生日期。
【参考链接】
https://www.freebuf.com/news/254290.html
10. Microsoft Store游戏提权漏洞分析(CVE-2020-16877)
【概述】
本文描述了Windows特权提升漏洞(CVE-2020-16877),我在6月向微软报告了这一问题,该问题在10月进行了修复。通过这一漏洞,攻击者可以直接利用Windows处理Microsoft Store游戏过程中的缺陷实现攻击,最终在Windows 10系统上从普通用户提升到Local System权限。
【参考链接】
https://www.anquanke.com/post/id/221818
11. 针对Linux的勒索软件木马现身,属于RansomEXX变种
【概述】
近日卡巴斯基(Kaspersky)发现某已知勒索软件帮派部署了一种针对Linux的文件加密木马。卡巴斯基安全研究员指出:“这是一个全新的文件加密木马,属于ELF可执行文件,能够对Linux电脑上的数据进行加密。该木马类似于现有的RansomEXX木马,后者在上周刚刚被用于攻击巴西法院以及美国和其他地区的目标。
【参考链接】
https://www.aqniu.com/threat-alert/71148.html
12. CVE-2020-14882:Weblogic Console 权限绕过深入解析
【概述】
2020年10月29日,360CERT监测发现 Weblogic ConSole HTTP 协议代码执行漏洞 相关 POC已经公开,相关漏洞编号为 CVE-2020-14882,CVE-2020-14883 ,漏洞等级:严重,漏洞评分:9.8。远程攻击者可以构造特殊的HTTP请求,在未经身份验证的情况下接管 WebLogic Server Console ,并执行任意代码。对此,360CERT建议广大用户及时将 Weblogic 升级到最新版本。与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。
【参考链接】
