MicroSoft发布紧急更新,修复Office和Paint 3D中多个漏洞;美国SBA官网存在漏洞泄露8000家企业的敏感信息

发布时间 2020-04-24

1.MicroSoft发布紧急更新,修复Office和Paint 3D中多个漏洞



微软发布了紧急安全更新,以修复使用了Autodesk FBX库的微软产品,包括多个版本的微软 Office和Windows 10应用程序Paint 3D。本次修复的漏洞为FBX库中的远程实行代码漏洞,攻击者利用此漏洞可以获得与本地用户相同的权限,Autodesk在4月15日推出了针对此漏洞的补丁程序。微软表示,黑客必须诱使用户打开其特制的3D文件才可以成功利用此漏洞,因此,在安全更新之前用户需要远离那些可疑文件以保证安全。


原文链接:

https://news.softpedia.com/news/microsoft-releases-emergency-update-for-windows-10-app-microsoft-office-529800.shtml


2.美国SBA官网存在漏洞泄露8000家企业的敏感信息



美国小型企业管理局(SBA)官网存在漏洞,泄露了8000家企业的敏感信息,将导致其负责的经济伤害灾难贷款(EIDL)的分发延迟。此次数据泄露是因为政府部署网站时存在问题,导致用户在申请贷款的页面尝试后退时,便可以看到其他企业的信息。泄露的数据包括姓名、社会安全号码、税号、地址、出生日期、电子邮件、电话号码、婚姻和公民关系、家庭人数、收入、披露查询以及金融和保险信息。资讯媒体CNBC表示,政府为了赔偿受到影响的企业,将为其提供为期一年的身份盗窃保护服务。


原文链接:

https://threatpost.com/small-businesses-covid-19-loans-data-exposure/155013/


3.英国电商Robert Dyas遭攻击,约2万客户支付信息被窃



3月7日至30日,英国电商企业Robert Dyas的网站遭到信用卡窃取恶意脚本的攻击,泄露了该企业约2万名客户的支付信息,包括客户姓名、地址、信用卡卡号、有效期和安全代码(CVV)等。可以确信的是此次攻击为信用卡窃取恶意App攻击,但因为信息不足目前无法确定该恶意App是否为Magecart。这类攻击通常是针对供应链的,通过破坏支付页面中的第三方网站将恶意Javascript注入到付款页面中。Robert Dyas企业表示,自3月30日发现攻击后,他们第一时间采取了措施,并保证自3月31日起网站便可以安全运行。


原文链接:

https://www.theregister.co.uk/2020/04/22/robert_dyas_card_skimmer/


4.Tag Barnakle入侵企业广告服务器Revive传播恶意广告



据广告安全企业Confiant报道,Tag Barnakle黑客组织入瞄准了企业的开源自托管广告服务器Revive以传播恶意广告,近几个月已经有几十台服务器被攻击,包括那些发布商和广告企业自营的广告服务器。Tag Barnakle团伙是通过向网站注入恶意JavaScript代码实现攻击的,这些代码可以检测目标机器是否打开了Firebug或浏览器的开发人员控制台,如果未打开,则将用户重定向到分发虚假Adobe Flash更新的恶意网站。Confiant调查发现Tag Barnakle攻击了超过360个网站。


原文链接:

https://www.bleepingcomputer.com/news/security/revive-ad-servers-being-hacked-to-distribute-malicious-ads/


5.研究人员发现3款智能家居系统存在多个安全漏洞



ESET IoT Research研究人员在3款不同的智能家居系统Fibaro Home Center Lite、Homematic Central Control Unit (CCU2) 和 eLAN-RF-003中发现了多个安全漏洞,这些漏洞可能导致敏感数据泄露、远程代码实行和中间人攻击等。Fibaro产品由于缺少证书验证使得其TLS链接容易受到中间人攻击,从而使攻击者获得root用户访问权限。eQ?3的产品CCU2存在RCE漏洞,使攻击者可以通过大量shell命令来利用RCE漏洞,以root用户身份实行未经身份验证的远程代码。ELKO EP的产品eLAN-RF-003 因为存在一些漏洞,导致其存在敏感信息泄漏、易受记录和重放攻击的问题。ESET IoT Research表示,几家设备制造商均在接受报告后的90天内修复了这些漏洞。


原文链接:

https://www.welivesecurity.com/2020/04/22/serious-flaws-smart-home-hubs-is-your-device-among-them/


6.黑客利用谷歌的.app gTLD钓鱼攻击,窃取用户Skype凭证



Cofense网络安全企业发现黑客通过由谷歌管理的.APP通用顶级域(gTLD)对远程工作人员发起了网络钓鱼攻击,以窃取其Skype凭证。黑客精心设计了网络钓鱼页面及其链接,通过使用谷歌的.APP通用顶级域(gTLD)中的链接进行初始重定向,使其指向伪造的网络钓鱼页面。黑客使用了.APP gTLD成功的绕过网络钓鱼邮件的检测,并且在伪造页面上显示了受害者企业的徽标和安全提示,使得此次攻击看起来更加真实。


原文链接:

https://www.bleepingcomputer.com/news/security/creative-skype-phishing-campaign-uses-googles-app-gtld/