Autodesk、趋势科技及卡巴斯基曝DLL劫持漏洞;MicroSoftOAuth验证过程存在漏洞,可导致Azure帐户被接管

发布时间 2019-12-04

1.Autodesk、趋势科技及卡巴斯基曝DLL劫持漏洞



SafeBreach Labs研究人员披露Autodesk、趋势科技和卡巴斯基App中的DLL劫持漏洞。趋势科技安全App16.0.1221及以下版本受到CVE-2019-15628影响,该漏洞存在于coreServiceShell.exe组件中。由于未对加载的DLL签名进行验证,因此攻击者可加载和实行任意DLL,导致白名单绕过、获得持久性、逃避检测以及潜在的特权升级等。Kaspersky Secure Connection和Autodesk桌面应用也分别受到类似的漏洞CVE-2019-15689和CVE-2019-7365的影响。


原文链接:

https://www.zdnet.com/article/researchers-disclose-bugs-in-autodesk-trend-micro-kaspersky-software/


2.MicroSoftOAuth验证过程存在漏洞,可导致Azure帐户被接管



CyberArk安全研究员Omer Tsarfati发现MicroSoft的应用程序使用OAuth进行第三方身份验证的方式中存在安全漏洞,可能使攻击者接管用户的Azure云帐户。OAuth是一种身份验证协议,允许应用程序与第三方网站或App共享用户账户数据。在MicroSoft的OAuth授权流程中,第三方将是经过MicroSoft批准的白名单URL。研究人员发现这些被信任的白名单URL中包含一些未在Azure门户中注册的URL,例如.cloudapp.net、.azurewebsites.net和.{vm_region}.cloudapp.azure.com。研究人员发现至少有54个类似的子域未在未在Azure门户中注册,攻击者可以通过注册这些域来访问MicroSoft用户的数据。MicroSoft在11月19日修复了该问题。


原文链接:

https://threatpost.com/microsoft-oauth-flaw-azure-takeover/150737/


3.GOOGLE发布12月Android安全更新, 修复多个漏洞



GOOGLE的12月Android安全更新由2019-12-01和2019-12-05两个安全补丁程序级别组成,其中2019-12-01补丁包中修复了15个漏洞。最严重的漏洞是Framework组件中的DoS漏洞CVE-2019-2232,该漏洞影响了Android版本8.0、8.1、9和10,远程攻击者可通过发送恶意消息导致永久拒绝服务。其它严重的漏洞还包括Media框架中的关键漏洞CVE-2019-2222和CVE-2019-2223,远程攻击者可利用该漏洞在特权进程的上下文中实行代码。本次安全更新中高通闭源组件修复了22个漏洞,受影响的组件包括多模式呼叫处理器、宽带码分多址和调制解调器等。


原文链接:

https://source.android.com/security/bulletin/2019-12-01


4.美国枪支制造商Smith&Wesson遭MageCart攻击



美国枪支制造商Smith&Wesson的在线商店遭到Magecart攻击,客户支付信息可能被窃。根据Sanguine Security的研究人员Willem de Groot的说法,Smith&Wesson的网站在黑色星期五之前已经被入侵,并且只针对美国IP地址的客户。普通客户在访问该网站时只会下载一个11KB的正常JavaScript脚本,但美国IP的客户在访问时则会下载一个20KB的恶意脚本,并显示伪造的支付页面。该企业尚未对此事件进行回应。


原文链接:

https://www.bleepingcomputer.com/news/security/smith-and-wesson-web-site-hacked-to-steal-customer-payment-info/


5.澳大利亚Monash IVF员工邮箱被黑客入侵



澳大利亚最大的试管婴儿服务商Monash IVF警告患者其多名员工的电子邮箱遭到钓鱼攻击,客户的个人信息可能被泄露。该企业的首席实行官Michael Knaap于11月6日确认,黑客访问了多名员工的电子邮件、邮箱地址和通讯录,其中一些邮件中可能包含患者的个人信息,例如姓名和联系方式、配偶信息、出生日期、国籍、职业、财务数据、医疗保险信息、监控信息、驾照或护照ID及病历等。该企业已经通知了澳大利亚信息专员办公室和澳大利亚网络安全中心(ACSC),并对此事件展开调查。


原文链接:

https://www.smh.com.au/national/fears-over-patient-data-breach-after-cyber-attack-on-monash-ivf-20191203-p53gj0.html


6.Tuft&Needle意外泄露23.6万个客户快递标签



床上用品企业Tuft&Needle意外将236400个客户的快递标签遗留在可公开访问的AWS存储桶中,使得任何人都可访问客户的姓名、地址和电话号码等信息。这些标签是在该企业于2014年至2017年之间创建的。总部位于英国的安全厂商Fidus Information Security发现了暴露的数据并进行了验证。Tuft&Needle在接到报告后迅速关闭了该存储桶的访问权限。


原文链接:

https://techcrunch.com/2019/12/02/tuft-and-needle-exposed-shipping-labels/