IE RCE 0day及Defender DoS漏洞;2019年网络攻击人为因素报告;D-Link DNS-320 RCE漏洞

发布时间 2019-09-24
1.MicroSoft紧急修复IE中的RCE 0day及Defender中的DoS漏洞


MicroSoft发布紧急安全更新,修复IE中的RCE 0day及Windows Defender中的DoS漏洞。其中IE 0day为GOOGLE研究人员ClémentLecigne发现的脚本引擎内存损坏漏洞(CVE-2019-1367),攻击者可利用该漏洞在当前用户的上下文中实行任意代码。该漏洞可以通过将目标用户重定向至恶意网站来利用,受影响的版本包括IE9、10和11。另一个漏洞是Windows Defender中的拒绝服务漏洞(CVE-2019-1255),该漏洞与Defender处理文件的方式有关,攻击者可利用该漏洞阻止合法账户实行合法的系统文件。受影响的Defender版本为1.1.16300.1,并已在1.1.16400.2中修复。

   

原文链接:

https://www.zdnet.com/article/microsoft-releases-out-of-band-security-update-to-fix-ie-zero-day-defender-bug/

2.研究人员披露D-Link DNS-320设备中的RCE漏洞


CyStack Security研究人员发现D-Link DNS-320 ShareCenter设备存在一个命令注入漏洞,攻击者可利用该漏洞远程控制设备并访问设备上存储的文件。该漏洞(CVE-2019-16057)的CVSS评分为10分,它影响了固件版本为2.05b10及更低的DNS-320设备。根据研究人员的报告,该漏洞与DNS-320管理界面的登录模块有关,受影响的模块/cgi/login_mgr.cgi包含一个可能被利用的参数port,未经身份验证的远程攻击者可利用该漏洞在root权限下实行任意命令,从而导致设备被接管。

  

原文链接:

https://blog.cystack.net/d-link-dns-320-rce/

3.Proofpoint发布《2019年网络攻击中的人为因素》分析报告


根据Proofpoint的《2019年网络攻击中的人为因素》分析报告,在过去几年中攻击者将钓鱼攻击提升到了一个全新的水平,他们积极利用消费者的情绪,在人们不知情的情况下窃取敏感信息。市场营销行业是2018年至2019年的主要攻击目标之一。这些企业拥有与客户有关的大量敏感信息,包括姓名、所在地以及工作习惯等,这使得它们成为犯罪分子有价值的目标。除了高管之外,社交工程攻击的目标还包括企业中的技术支撑团队、HR以及财务会计等。该报告还强调称,犯罪分子也通过在社交媒体上建立自己的品牌、形象等诱骗更多的受害者。

  

原文链接:

https://www.proofpoint.com/us/resources/threat-reports/human-factor

4.新Mac恶意AppGMERA.A伪装成交易App窃取用户信息



趋势科技研究人员发现一个伪装成Mac平台合法交易AppStockfolio的恶意App家族GMERA,该家族包含两个变体,分别为Trojan.MacOS.GMERA.A和Trojan.MacOS.GMERA.B,第一个变体是一个ZIP存档文件,其中包含一个捆绑包Stockfoli.app和一个隐藏的加密文件.app。该Stockfoli.app经过恶意App开发者的数字证书签名,Apple表示此证书已于2019年7月被吊销。第二个变体会在端口25733-25736上创建连接至C&C服务器的反向shell,从而使攻击者可在目标机器上实行shell命令。

原文链接:
https://blog.trendmicro.com/trendlabs-security-intelligence/mac-malware-that-spoofs-trading-app-steals-user-information-uploads-it-to-website/

5.美TCAD遭勒索App攻击,电话和电子邮件等服务中断


美国特拉维斯县中央评估区(TCAD)于9月19日确认称遭到勒索App攻击,导致多项服务中断。TCAD负责对该县的房地产进行评估,该机构确认攻击事件发生在9月11日晚上9:30,该攻击影响了网站的房产搜索功能以及电子邮件、电话和计算机辅助评估系统,但客户服务和评估申辩等日常操作不受影响。服务器上的许多文件被勒索病毒加密,导致该机构的部分服务中断。该机构拒绝支付赎金,并正在与专家合作以从备份数据中恢复运营。

原文链接:
https://www.traviscad.org/wp-content/uploads/2019/09/Cyber-Attack-FAQs.pdf

6.PhishLabs发现伪装成风投和私募的新钓鱼攻击


PhishLabs研究人员发现犯罪分子正在冒充私募企业Crossplane Capital和Edgemont Partners的员工来诱骗受害者。为了营造真实性和紧迫感,犯罪分子使用了真实员工、PE或VC的名字,并且包含一个已签名的保密协议(NDA)。该NDA位于一个图片链接后,其URL使用了最近注册的模仿了真实私募企业的伪造域名,并最终将受害者重定向至hxxps://serversecuredhttp[.]com。该网站要求受害者登录其Office 365帐户以下载文档,这也正是犯罪分子的钓鱼目标。

  

原文链接:

https://info.phishlabs.com/blog/spear-phishing-campaign-impersonates-vcs-and-pe-firms