转载本文请联系齐银说新安公众号。微软上个月更新了44个漏洞的安全补丁,本月发布了66个漏洞的安全补丁,其中紧急级别为3个,重要级别为62个,严重级别为1个。三个网件产品安全漏洞亟待修复,分别为“第七地狱”(CVSS评分:9.8)、“恶魔之声”(CVSS评分:9.8)和“龙之恐惧”(CVSS评分:7.8))",这三个安全漏洞由谷歌安全工程师GynvaelColdwind报告,网件于9月13日发布相关补丁,要求受影响用户及时进行安全升级和修复。最近发现的MicrosoftMSHTML引擎远程代码执行漏洞(CVE-2021-40444)贯穿MicrosoftOffice文档。如果执行攻击者伪造的MicrosoftOffice文档文件,攻击者将安装并运行恶意ActiveX控件进行攻击。自8月中旬以来,CVE-2021-40444已被多个黑客??组织利用。认识到这一点,微软于9月7日发布了安全公告和风险缓解,并于9月14日开始发布漏洞补丁。换句话说,该漏洞被一些攻击者作为零日漏洞利用了大约一个月。2021年8月的最新全球威胁指数显示Formbook成为最流行的恶意软件,取代了三个月大的Trickbot,后者已下滑至第二位。TrickBot是一种木马间谍软件程序,主要用于针对美国、加拿大、英国、德国、澳大利亚、奥地利、爱尔兰、伦敦、瑞士和苏格兰的银行网站。TrickBot于2016年9月首次亮相,似乎是Dyre的继任者。TrickBot是用C++编程语言开发的。Formbook于2016年首次出现,是一种信息窃取器,可从各种Web浏览器获取凭据、收集屏幕截图、监控和记录击键,并可根据其命令和控制(C&C)命令下载和执行文件。Formbook的代码是用C语言编写的,带有汇编插入,并且包含许多技巧,使研究人员更难分析。由于它通常通过网络钓鱼电子邮件和附件进行分发,因此防止Formbook感染的最佳方法是密切注意任何看起来很奇怪或来自未知发件人的电子邮件。WebServerExposedGitRepositoryInformationDisclosure是最常被利用的漏洞,影响了全球45%的组织,其次是“HTTPHeadersRemoteCodeExecution”,影响了全球43%的组织。“DasanGPONRouterAuthenticationBypass”在被利用漏洞列表中排名第三,全球影响力达40%。2021年8月“十恶不赦”*箭头表示与上个月相比的排名变化。Formbook是本月最流行的恶意软件,影响了全球4.5%的抽样组织,其次是Trickbot和AgentTesla,分别影响了4%和3%的全球抽样组织。1.↑Formbook–Formbook是一种信息窃取工具,可以从各种Web浏览器获取凭据,收集屏幕截图、监视器和日志,并可以根据其C&C命令下载和执行文件。2.↓Trickbot–Trickbot是一种模块化的僵尸网络和银行木马,不断更新新的特性、功能和分发媒介。Trickbot是一种灵活且可自定义的恶意软件,可以作为多用途活动进行分发。3.↑AgentTesla–AgentTesla是一种高级RAT,充当键盘记录器和信息窃取器,能够监视和收集受害者的击键、系统击键、截取屏幕截图,并向受害者的计算机泄露凭据以安装各种软件(包括GoogleChrome、MozillaFirefox和MicrosoftOutlook电子邮件客户端)。4.↓XMRig–XMRig是一款用于门罗币挖矿过程的开源CPU挖矿软件,2017年5月首次出现在野外。挖比特币的成本已经不经济了,但门罗币仍然有很多promise,这可能是这类恶意软件不断扩张的原因。利益驱动一切!5.Glupteba——Glupteba是一个后门程序,可以发展成僵尸网络。到2019年,包括通过公共比特币列表的C&C地址更新机制、集成的浏览器窃取程序和路由器漏洞。6.↑Remcos–Remcos是一种RAT,于2016年首次出现。Remcos通过附加在垃圾邮件中的恶意MicrosoftOffice文档进行自我分发,旨在绕过MicrosoftWindowsUAC安全并以高级权限执行恶意软件。7.↓Ramnit–Ramnit是一种银行木马,可以窃取银行凭证、FTP密码、会话cookie和个人数据。8.↓Tofsee–Tofsee是一种至少从2013年开始运行的后门木马。Tofsee是一种多用途工具,可以进行DDoS攻击、发送垃圾邮件、挖掘加密货币等。9.↑Phorpiex–Phorpiex是一个僵尸网络,以通过垃圾邮件活动分发其他恶意软件系列和推动大规模性勒索活动而闻名。10.↑Floxif–Floxif是为Windows操作系统设计的信息窃取器和后门程序。作为2017年大规模攻击活动的一部分,攻击者将Floxif(和Nyetya)插入到清洁实用程序CCleaner的免费版本中,感染了超过200万用户,其中包括谷歌公司、微软、思科和英特尔等大型科技公司。8月Top10漏洞本月,WebServerExposedGitRepositoryInformationDisclosure是最常被利用的漏洞,占全球45%的组织,其次是HTTPHeadersRemoteCodeExecution,影响全球43%的样本组织。DasanGPONRouterAuthenticationBypass在被利用漏洞列表中排名第三,全球采样影响为40%。1.Web服务器暴露的Git存储库信息泄露–Git存储库中报告了一个信息泄露漏洞。成功利用此漏洞可能会无意中泄露帐户信息。2.?HTTP标头远程代码执行(CVE-2020-10826、CVE-2020-10827、CVE-2020-10828、CVE-2020-13756)-HTTP标头允许客户端和服务器通过HTTP请求传递附加信息。远程攻击者可以使用易受攻击的HTTP标头在受害计算机上运行任意代码。3.↑DasanGPON路由器身份验证绕过(CVE-2018-10561)–DasanGPON路由器存在身份验证绕过漏洞。成功利用此漏洞可能允许远程攻击者获取敏感信息并未经授权访问受影响的系统。4.↓MVPowerDVR远程代码执行——MVPowerDVR设备中存在远程代码执行漏洞。远程攻击者可以利用此弱点通过精心设计的请求在受影响的路由器中执行任意代码。5.↑ApacheStruts2内容类型远程代码执行(CVE-2017-5638、CVE-2017-5638、CVE-2019-0230)——使用Jakarta多部分解析器的ApacheStruts2中存在远程代码执行漏洞。攻击者可以通过在文件上传请求中发送无效的内容类型来利用此漏洞。成功利用可能会导致在受影响的系统上执行任意代码。6.↑HTTP命令注入-已报告基于HTTP负载的命令注入漏洞。远程攻击者可以通过向受害者发送特制请求来利用此问题。成功的利用将允许攻击者在目标机器上执行任意代码。7.↓OpenSSLTLSDTLS心跳信息泄露(CVE-2014-0160、CVE-2014-0346)——OpenSSL存在信息泄露漏洞。该漏洞也称为Heartbleed,是由TLS/DTLS心跳数据包处理错误引起的。攻击者可以利用此漏洞泄露连接的客户端或服务器的内存内容。8.↑NoneCMSThinkPHP远程代码执行(CVE-2018-20062)——NoneCMSThinkPHP框架存在远程代码执行漏洞。成功利用此漏洞可能允许远程攻击者在受影响的系统上执行任意代码。9.↓PHPUnit命令注入(CVE-2017-9841)–PHPUnit中存在一个命令注入漏洞。成功利用此漏洞将允许远程攻击者在受影响的系统上执行任意命令。10.↑NetgearDGN未经身份验证的命令执行-NetgearDGN设备中存在未经身份验证的命令执行漏洞。此漏洞是由于NetgearDGN处理身份验证检查的方式造成的。成功的攻击可能会导致未经身份验证的命令执行。8月Top3移动恶意软件在本月Top3移动恶意软件中,xHelper是本月最流行的移动恶意软件,其次是AlienBot和FluBot。1.xHelper——自2019年3月以来在野发现的恶意应用程序,用于下载其他恶意应用程序并显示广告。该应用程序能够对用户隐藏自身,甚至在卸载后重新安装。2.AlienBot——AlienBot恶意软件家族是一种针对Android设备的恶意软件即服务(MaaS),允许远程攻击者首先将恶意代码注入合法的金融应用程序。攻击者可以获得对受害者帐户的访问权限,并最终完全控制他们的设备。3.FluBot——FluBot是一种安卓僵尸网络恶意软件,通过钓鱼短信进行传播,通常冒充物流配送品牌。一旦用户点击消息中的链接,FluBot就会被安装并访问手机上的所有敏感信息。参考来源:CheckPoint官网、微软官网、NETGEAR官网、之前的公众号文章等。
