《维他命》每日安全简讯20190221

发布时间 2019-02-21
1、WinRAR代码实行漏洞,超过5亿用户受到影响


Check Point研究团队披露WinRAR中的代码实行漏洞,该漏洞已存在了超过19年的时间,影响了超过5亿用户。该漏洞(CVE-2018-20250、CVE-2018-20251、CVE-2018-20252和CVE-2018-20253)存在于WinRAR的UNACEV2.DLL库中,这个库负责解压缩ACE格式的压缩文件。研究人员发现该库存在编码缺陷,攻击者可利用恶意ACE文件在解压缩的目的路径之外植入恶意App。WinRAR团队表示由于UNACEV2.DLL从2005年起就停止了更新,开发人员已经失去了该库源代码的访问权限,因此他们选择放弃对ACE格式的支撑。WinRAR开发者在1月28日发布了WinRAR 5.70 Beta 1以修复此漏洞。

   

原文链接:

https://research.checkpoint.com/extracting-code-execution-from-winrar/

2、WordPress团队修复一个具有6年历史的RCE漏洞


RIPS企业的安全研究人员在WordPress 5.0.3之前的版本中发现一个可导致RCE的安全漏洞,该漏洞影响了过去6年间发布的所有WordPress版本。具有至少一个“编辑”账户的攻击者可利用该漏洞在底层服务器上实行任意代码。该漏洞是路径遍历漏洞和文件包含漏洞的组合,在研究人员发布的PoC视频中,攻击者可以在几秒钟内获得目标WordPress博客的完全控制权。WordPress版本5.0.1和4.9.9中的安全措施可阻止该漏洞利用。

  

原文链接:

https://thehackernews.com/2019/02/wordpress-remote-code-execution.html

3、赛门铁克发布ISTR 24年度威胁报告,2018年供应链攻击增长78%


赛门铁克发布互联网安全威胁报告(ISTR)Volume 24,该报告指出表单劫持攻击(formjacking)取代了勒索App和恶意挖矿App,成为2018年最主要的威胁。formjacking攻击主要针对在线零售商和电子商务网站,通过恶意代码来窃取客户的支付信息,这种攻击进一步证明了供应链攻击的危害。根据该报告的数据,2018年供应链攻击的数量比2017年高出78%。此外,与2017年相比,2018年勒索App攻击下降了20%,但针对企业的攻击增长了12%,并且移动勒索App飙升33%。在2018年1月至12月期间,加密劫持攻击下降了52%。

  

原文链接:

https://www.symantec.com/blogs/threat-intelligence/istr-24-cyber-security-threat-landscape

4、MicroSoft披露APT28新攻击活动,主要针对欧洲政治实体



MicroSoft披露俄罗斯APT组织Fancy Bear(又称APT28)的新攻击活动,根据MicroSoft的表述,APT28的目标是与2019年欧洲议会选举相关的政治实体。APT28利用鱼叉式钓鱼邮件,在2018年9月至12月期间针对104个账户发起了攻击。这些账户属于比利时、法国、德国、波兰、罗马尼亚和塞尔维亚的政治机构。这些钓鱼邮件旨在收集目标的登录凭据或传播恶意App。MicroSoft表示它将把AccountGuard服务扩展到12个新的欧盟国家。

  

原文链接:

https://www.zdnet.com/article/microsoft-reveals-new-apt28-cyber-attacks-against-european-political-entities/

5、朝鲜APT组织Lazarus,利用KEYMARBLE后门攻击俄罗斯企业


朝鲜APT组织Lazarus的分支机构Bluenoroff针对俄罗斯企业发起新一轮的攻击活动。该攻击活动利用Office文档作为初始感染媒介,并最终释放了KEYMARBLE后门。根据US-CERT的相关恶意App分析报告,该后门木马可用于访问设备的配置数据、下载其它文件、实行命令、修改注册表、截取屏幕信息和数据渗漏等。

  

原文链接:

https://www.bleepingcomputer.com/news/security/north-korean-apt-lazarus-targets-russian-entities-with-keymarble-backdoor/

6、ATM恶意AppWinPot,利用USB接口进行传播


卡巴斯基研究人员Konstantin Zykov发现ATM恶意AppWinPot的新变体v.3已经在暗网上出现,其报价为500美金到1000美金之间。WinPot通过物理访问进行传播,即通过ATM的USB接口传播。攻击者通常针对行人较少的街道、药店、酒店类商店等旁边的单个ATM,一旦ATM感染了该恶意App,攻击者即可通过显示屏幕强制ATM吐出现金。暗网卖家在其演示视频中演示了WinPot v.3的工作过程,并展示了一段ShowMeMoney的代码。

  

原文链接:

https://threatpost.com/atm-jackpotting-malware-winpot/141960/

声明:本资讯由澳门浦京娱乐场维他命安全小组翻译和整理