SOS Online Backup泄露1.35亿条记录;GoDaddy员工遭钓鱼攻击,客户域设置权限被篡改

发布时间 2020-04-02

1.僵尸网络Vollgar利用MSSQL服务器挖矿,已活跃近两年



Guardicore研究人员发现自2018年5月以来,僵尸网络Vollgar一直在针对微软 SQL(MSSQL)数据库发起暴力攻击,试图接管服务器并安装Monero和Vollar矿工。Vollgar在过去几周内每天成功感染了近2000-3000台数据库服务器,潜在的受害者分别来自中国、印度、美国、韩国和土耳其的医疗保健、航空、IT&电信以及高等教育行业。攻击者的有效荷载是SQLAGENTIDC.exe或SQLAGENTVDC.exe,它首先杀死一长串进程,以确保占有最大数量的系统资源和消除其它攻击者的活动,它还充当不同RAT以及基于XMRig的加密矿工的投递器。研究人员还发布了一个脚本,以帮助系统管理员检测其MSSQL服务器是否已感染此威胁。


原文链接:

https://thehackernews.com/2020/04/backdoor-.html


2.GoDaddy员工遭钓鱼攻击,客户域设置权限被篡改



根据KrebsOnSecurity的报道,全球最大的域名注册商GoDaddy.com的一名客户服务员工遭到钓鱼攻击,该事件使攻击者能够查看和修改关键客户的记录,包括6名客户(例如交易经纪网站escrow.com)的域设置访问权限。escrow.com首席实行官Matt Barrie表示,在事件发生期间黑客将escrow.com的DNS记录更改为指向第三方Web服务器。escrow.com将在未来几天内共享与此事件有关的更多信息,但Barrie强调此事件没有破坏escrow.com系统,也不会损坏客户数据、资金或域名。GoDaddy承认企业于3月30日收到有关客户域名遭遇安全事件的警报,并表示另外5名客户受到“潜在”影响,但没有透露更多具体信息。


原文链接:

https://krebsonsecurity.com/2020/03/phish-of-godaddy-employee-jeopardized-escrow-com-among-others/


3.研究人员发布SMBGhost漏洞(CVE-2020-0796)的PoC



研究人员发布针对Windows SMBGhost漏洞(CVE-2020-0796)的PoC,可利用该漏洞进行本地特权升级。根据安全厂商ZecOps的描述,该漏洞是整数溢出错误,它发生在srv2.sys SMB服务器驱动程序的Srv2DecompressData函数中,研究人员发布的PoC可利用该漏洞将特权升级到SYSTEM。需要注意的是,该漏洞利用仅限于中等完整性级别,因为它依赖于较低完整性级别不可用的API调用。MicroSoft发布了针对Windows 10版本1903和1909和Windows Server 2019版本1903和1909的KB4551762更新来修复该漏洞,建议用户尽快应用该更新。


原文链接:

https://securityaffairs.co/wordpress/100882/hacking/cve-2020-0796-poc-rce.html


4.Rank Math SEO插件漏洞影响超过20万个WordPress网站




安全厂商Defiant报告称,Rank Math SEO插件中的一个关键漏洞可能允许攻击者将管理员锁定在自己的网站之外。该漏洞的CVSS评分为10分,影响了插件更新帖子元数据的功能。具体来说,该插件注册了一个REST-API端点(rankmath/v1/updateMeta),但由于缺乏用于功能检查的Permission_callback,使其暴露给攻击者。端点使用update_metadata函数删除或更新帖子、评论和术语的元数据,但也可以为用户更新元数据,从而导致此漏洞。WordPress中的用户权限存储在usermeta表中,未经身份验证的攻击者可利用此漏洞授予任何已注册用户管理权限,甚至完全撤消现有管理员的特权。该插件的安装量超过20万,开发团队已经在新版本10.0.41中修复了漏洞,强烈建议用户更新。


原文链接:

https://www.securityweek.com/critical-flaw-seo-plugin-exposes-many-wordpress-sites-attacks


5.Zoom客户端易受UNC路径注入攻击,可窃取Windows凭据



Zoom Windows客户端的聊天功能易受UNC路径注入攻击,攻击者可能利用此漏洞窃取用户的Windows凭据。在使用Zoom客户端时,与会人员可以通过聊天界面发送文本消息来相互交流,但所有发送的URL都将转换为超链接,以便其他成员可以单击它们在其默认浏览器中打开网页。问题是安全研究员@_g0dmode发现Zoom客户端还将Windows网络UNC路径也转换为可单击链接,如果用户单击该链接,则Windows将尝试使用SMB文件共享协议连接到远程站点,并在默认情况下发送用户的登录名和他们的NTLM密码哈希,攻击者可以破解该哈希获取用户的密码。除了窃取Windows凭据外,UNC注入也可用于在本地计算机上启动程序。Zoom表示已经收到此漏洞的通知,但由于此漏洞尚未修复,建议用户使用替代的视频会议App或在Web浏览器中使用Zoom代替使用客户端。


原文链接:

https://thehackernews.com/2020/04/zoom-windows-password.html


6.在线备份企业SOS Online Backup泄露1.35亿条记录



vpnMentor发现加利福尼亚州在线备份企业SOS Online Backup的一个可公开访问的数据库泄露超过1.35亿条记录。该数据库中包含近70GB与用户帐户相关的元数据,这包括结构、参考、描述性和管理性元数据,涵盖了SOS云服务的许多方面。此外,暴露的数据库中还包含个人识别信息,例如姓名、电子邮件、电话号码、业务详细信息(针对企业客户)和用户名。攻击者可能利用这些数据针对SOS及其客户发起各种欺诈攻击。


原文链接:

https://www.infosecurity-magazine.com/news/secure-backup-company-leaks-135/