信息安全周报-2021年第24周

发布时间 2021-06-15

> 本周安全态势综述


2021年06月07日至06月13日共收录安全漏洞73个,值得关注的是微软 Windows Defender CVE-2021-31985代码实行漏洞;Rockwell Automation ISaGRAF CVE-2020-25176 IXL协议代码实行漏洞;SAP NetWeaver ABAP Server CVE-2021-27632内存破坏漏洞;Schneider Electric IGSS CGF越界写漏洞;微软 Windows TCP/IP安全绕过漏洞。


本周值得关注的网络安全事件是美国Cox Media遭到勒索攻击,电视和电台直播中断;INKY披露以防范勒索App为主题的新一轮钓鱼活动;黑客在暗网公开包含84亿密码的集合RockYou2021;FBI追回Colonial Pipeline支付的230万美金赎金;微软安全更新,修复7个0day在内的50个漏洞。


根据以上综述,本周安全威胁为中。


> 重要安全漏洞列表


1.微软 Windows Defender CVE-2021-31985代码实行漏洞


微软 Windows Defender存在安全漏洞,允许远程攻击者利用漏洞提交特殊的请求,可以应用程序上下文实行任意代码。

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2021-31985


2.Rockwell Automation ISaGRAF CVE-2020-25176 IXL协议代码实行漏洞


Rockwell Automation ISaGRAF IXL协议处理文件名存在安全漏洞,允许远程攻击者利用漏洞提交特殊的请求,可以应用程序上下文实行任意代码。

https://us-cert.cisa.gov/ics/advisories/icsa-20-280-01


3.SAP NetWeaver ABAP Server CVE-2021-27632内存破坏漏洞


SAP NetWeaver ABAP Server存在内存破坏漏洞,允许远程攻击者利用漏洞提交特殊的请求,可使应用程序崩溃或以应用程序上下文实行任意代码。

https://wiki.scn.sap.com/wiki/pages/viewpage.action?pageId=578125999


4.Schneider Electric IGSS CGF越界写漏洞


Schneider Electric IGSS CGF文件处理存在越界写漏洞,允许远程攻击者利用漏洞提交特殊的文件请求,诱使用户解析,可使应用程序崩溃或以应用程序上下文实行任意代码。

https://us-cert.cisa.gov/ics/advisories/icsa-21-159-04


5.微软 Windows TCP/IP安全绕过漏洞


微软 Windows Windows TCP/IP存在安全漏洞,允许远程攻击者利用漏洞提交特殊的请求,可绕过安全限制未授权访问。

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-31970


> 重要安全事件综述


1、美国Cox Media遭到勒索攻击,电视和电台直播中断


1.jpg


美国最大的媒体集团之一Cox Media Group(CMG)遭到勒索攻击,部分电视和电台直播中断。该企业拥有33家电视台、54个广播电台、多个跨平台流媒体视频平台和数字平台。Inside Radio称攻击发生在6月3日上午,其对CMG的多个电台进行了随机检查,发现电台网站仍可访问,但在线流媒体已离线,并提示“音频暂时不可用”。这是勒索App团伙第二次攻击美国主要的媒体企业,2019年9月,CBS旗下的广播网络Entercom遭到攻击,导致部分广播电台中断。


原文链接:

http://www.insideradio.com/free/cox-media-group-stations-still-offline-a-day-after-apparent-malware-attack/article_7c619380-c506-11eb-9b7b-4f6576d00aa0.html


2、INKY披露以防范勒索App为主题的新一轮钓鱼活动


2.jpg


邮件安全平台INKY披露以防范勒索App为主题的新一轮钓鱼活动。近期对Colonial Pipeline的勒索App攻击激发了新的钓鱼活动,该活动的邮件均为有针对性的紧急通知,建议收件人点击链接以安装系统更新,来检测并防范最新的勒索App。攻击者使用的域名为ms-sysupdate[.]com和selectionpatch [.]com,这很容易被误认为是合法域名,其还使用了Cobalt Strike。


原文链接:

https://www.bleepingcomputer.com/news/security/phishing-uses-colonial-pipeline-ransomware-lures-to-infect-victims/


3、黑客在暗网公开包含84亿密码的集合RockYou2021


3.jpg


某黑客在暗网发布了100GB的TXT文件,其中包含84亿个密码,这些密码可能是从之前的泄露事件中合并而来的。黑客称其中包含的所有密码长度均为6-20个字符,删除了非ASCII字符和空格。其还表示该集合包含820亿个密码,但经过研究人员测试,其中只有8459060239个是唯一的,这似乎是有史以来最大的密码集合。该集合被称为RockYou2021,大概是参考了2009年发生的RockYou数据泄露事件,黑客窃取了超过3200万用户的密码。


原文链接:

https://cybernews.com/security/rockyou2021-alltime-largest-password-compilation-leaked/


4、FBI追回Colonial Pipeline支付的230万美金赎金


4.jpg


美国FBI和DOJ联合追回了Colonial Pipeline支付的大半赎金。5月7日,该企业遭到了DarkSide勒索App攻击燃料管道关闭,为此其支付了总计440万美金的赎金,此次追回了其中的230万美金。DOJ表示,他们通过审查比特币公共分类账,跟踪了多次比特币转账,并确定大约63.7比特币已转移到特定地址,而FBI拥有该地址的私钥或大致等效的地址。美国司法部还称,事实上联邦调查局从一开始就设了圈套。


原文链接:

https://threatpost.com/fbi-claws-back-millions-darksides-ransom/166705/


5、微软安全更新,修复7个0day在内的50个漏洞


5.jpg


微软发布了6月份的周二安全更新,修复了包括7个0day在内的50个漏洞。此次修复的0day包括Windows内核信息泄露漏洞(CVE-2021-31955)、Windows NTFS提权漏洞(CVE-2021-31956)、微软 DWM提权漏洞(CVE-2021-33739)、Windows MSHTML平台RCE漏洞(CVE-2021-33742)、微软增强型加密提供程序提权漏洞(CVE-2021-31199和CVE-2021-31201)和Windows远程桌面服务拒绝服务漏洞(CVE-2021-31968)。其中,前6个0day已在过去被利用过。


原文链接:

https://www.bleepingcomputer.com/news/microsoft/microsoft-june-2021-patch-tuesday-fixes-6-exploited-zero-days-50-flaws/