香港正版挂牌威胁情报周报-2020年第9周(2020.2.24-2020.3.01)
2020-03-01
一、 威胁通告
Microsoft Exchange Server远程代码执行漏洞
【发布时间】2020-02-26 20:00:00 GMT
【概述】
北京时间2月12日,微软在发布2月安全更新补丁中将影响Microsoft Exchange Server的漏洞CVE-2020-0688定义为内存损坏漏洞。2月26日有安全研究员公开了该漏洞细节,获取到邮箱账户权限的攻击者向服务器发送精心构造的请求,可在服务器端实现远程代码执行,微软官方也将之前命名的内存损坏漏洞重命名为远程代码执行漏洞。
【链接】
http://blog.nsfocus.net/cve-2020-0688/
二、 热点资讯
1. Google Chrome发布更新修复0day漏洞
【概述】
当地时间2月24日,Google针对桌面版Chrome浏览器发布更新以解决多个漏洞,其中包括已被发现在野利用的高危漏洞CVE-2020-6418。CVE-2020-6418是存在于V8中的类型混淆漏洞,V8是Google Chrome的开源JavaScript和WebAssembly引擎。该漏洞由Google威胁分析小组的Clement Lecigne发现并上报。
【参考链接】
http://blog.nsfocus.net/cve-2020-6418/
2. OpenSMTPD远程命令执行漏洞
【概述】
当地时间2020年2月24日,来自安全公司Qualys的研究人员在公开邮件组中公布了OpenSMTPD中存在的一个远程命令执行漏洞CVE-2020-8794。OpenSMTPD(也称为OpenBSD SMTP服务器)是OpenBSD项目的一部分,一个免费的服务器端SMTP协议实现,通过RFC5321定义。CVE-2020-8794是一个越界读取漏洞,可被远程利用,成功的利用可导致攻击者以root身份执行注入到envelope文件中的任意命令。
【参考链接】
http://blog.nsfocus.net/cve-2020-8794/
3. Vmware vRealize Operations for Horizon Adapter远程代码执行漏洞
【概述】
Vmware近日发布的通告中公布了一个存在于vRealize Operations for Horizon Adapter中的远程代码执行漏洞(CVE-2020-3943)。漏洞原因是vRealize Operations for Horizon Adapter使用了没有安全配置的JMX RMI服务。导致未经身份验证的远程攻击者可以通过网络访问在vRealize Operations中执行任意代码。
【参考链接】
http://blog.nsfocus.net/cve-2020-3943/
4. 新网络攻击运动利用“冠状病毒”传播恶意软件
【概述】
前期有攻击者利用以“冠状病毒”为主题的钓鱼邮件分发Emotet木马的攻击活动,近日又发现一个名为CoronaVirusSafetyMeasures.pdf的可疑文件,该文件包含的恶意代码可监视用户按键、收集用户的敏感信息等,并将其所有战利品发送到指定远程命令与控制服务器上。
【参考链接】
https://blog.yoroi.company/research/new-cyber-attack-campaign-leverages-the-covid-19-infodemic/
5. Cerberus木马新版本可窃取Google Authenticator应用代码并绕过2FA
【概述】
新版本的Cerberus安卓银行木马可窃取Google Authenticator应用生成的一次性代码,并绕过2FA保护的账号,该木马主要针对银行用户,于2019年8月首次被发现,可实现覆盖攻击、拦截SMS消息、访问联系人列表等功能。Google Authenticator是一种移动应用程序,用于许多在线帐户的双因素身份验证(2FA)层。
【参考链接】
https://www.threatfabric.com/blogs/2020_year_of_the_rat.html
6. Krook漏洞影响数十亿台WiFi设备
【概述】
研究人员在Wi-Fi芯片中发现了一个以前未知的漏洞,并将其命名为Kr00k,该漏洞CVE-2019-15126可使易受攻击设备使用全零加密密钥来加密用户通信的一部分,这让攻击者可轻松解密传输中的一些无线网络数据包。Krook漏洞会影响使用Broadcom和Cypress的Wi-Fi芯片的设备,这两类芯片是目前支持Wi-Fi的设备(例如智能手机、平板电脑、笔记本电脑和IoT小工具)中使用的最常见的芯片。
【参考链接】
https://www.welivesecurity.com/2020/02/26/krook-serious-vulnerability-affected-encryption-billion-wifi-devices/
https://www.welivesecurity.com/wp-content/uploads/2020/02/ESET_Kr00k.pdf
7. ObliqueRAT木马针对东南亚组织
【概述】
近期一起恶意软件活动利用恶意的Microsoft Office文档传播ObliqueRAT远程访问木马,该恶意文档使用恶意宏来传递第二阶段RAT有效负载,此次攻击活动针对东南亚组织。
【参考链接】
https://blog.talosintelligence.com/2020/02/obliquerat-hits-victims-via-maldocs.html