Microsoft Windows DWM 零日漏洞被大规模利用

首页 > 宁静研究 > 宁静通报 > 宁静简讯

Microsoft Windows DWM 零日漏洞被大规模利用

宣布时间 2024-05-16

1. Microsoft Windows DWM 零日漏洞被大规模利用

5月15日，微软宣布五月补丁更新，总共 59 个 CVE ，至少有一个众所周知的漏洞已被大规模利用，而且确实已经被 QakBot 所使用。本月披露的缺陷影响了计算 kahuna 的整个产物组合，包罗 Windows、Office、.NET Framework 和 Visual Studio；微软365；电力商业智能；DHCP 服务器；Microsoft Edge（基于 Chromium）；和 Windows 移动宽带�；� Chromium 的 Edge 浏览器受到 CVE-2024-4761 的影响，这是 Google 今天修补的一个主动利用的 Chrome 零日漏洞，这是一个严重的沙箱逃逸错误，应立即修补。

https://www.darkreading.com/vulnerabilities-threats/microsoft-windows-dwm-zero-day-mass-exploit

2. 西门子 Ruggedcom Crossbow 中多个任意代码执行漏洞

5月14日，西门子 Ruggedcom Crossbow 中发现了多个漏洞，其中最严重的漏洞可能允许任意代码执行。西门子 Ruggedcom Crossbow 访问管理解决方案旨在为工业控制系统提供网络宁静合规性。乐成利用其中最严重的漏洞可能会允许在登录用户的上下文中执行任意代码。凭据与用户关联的权限，攻击者可以安装法式；检察、更改或删除数据；或创建具有完全用户权限的新帐户。与具有管理用户权限的用户相比，其帐户配置为在系统上拥有较少用户权限的用户受到的影响可能更小。受影响的系统包罗Ruggedcom Crossbow 5.5 之前的版本。

https://www.cisecurity.org/advisory/multiple-vulnerabilities-in-siemens-ruggedcom-crossbow-could-allow-for-arbitrary-code-execution_2024-055

3. 佛蒙特州通过数据隐私法允许消费者起诉公司

5月14日，佛蒙特州立法机构周五通过了该国最强大的综合数据隐私法之一，其中允许个人起诉侵犯其隐私权的公司——这是现有类似州执法中前所未有的规定。该法案包罗数据最小化要求，这极大地限制了公司可以收集和使用的个人数据，并禁止公司出售消费者的敏感数据，允许个人在认为企业这样做时提起诉讼。私人诉讼权允许个人要求他们认为侵犯其权利的公司负担责任，而无需依赖国家政府接纳行动。伊利诺伊州生物识别隐私法中包罗的类似条款引发了一波指控企业渎职的集体诉讼。佛蒙特州法案的私人诉讼权需要在两年后重新授权，并适用于处置凌驾 100,000 条消费者记录的任何企业或个人。该立法还制定了严格的公民权利保障措施以防止歧视。加州强大的综合数据隐私法还允许个人起诉他们认为侵犯其权利的企业，但该条款仅适用于数据泄露，不适用于数字隐私。

https://therecord.media/vermont-passes-data-privacy-law?&web_view=true

4. Android 恶意软件冒充 WhatsApp 等APP窃取数据

5月15日，SonicWall Capture Labs 威胁研究团队陈诉称，威胁行为者正在使用恶意 Android 应用法式来冒充 Google、Instagram、Snapchat、WhatsApp 和 X 等流行的在线服务。这些应用法式旨在从易受攻击的 Android 手机中窃取敏感数据，包罗联系人、短信、通话记录和密码。这些应用法式看起来合法，因为它们使用熟悉的徽标和名称来欺骗毫无戒心的用户并隐藏在众目睽睽之下。打开时，应用法式请求访问两个权限：Android Accessibility Service 和设备管理权限。如果受害者授予这些权限，应用法式就可以获得设备的完全控制权。然后，恶意应用法式与黑客控制的 C2 服务器建立连接，接收附加指令。它可以读取消息、通话记录、访问通知数据、发送消息、安装恶意软件以及打开恶意网站以进行网络钓鱼。

https://www.hackread.com/android-malware-whatsapp-instagram-snapchat-data/

5. Ebury僵尸网络恶意软件已熏染40万台Linux服务器

5月14日，一个名为“Ebury”的恶意软件僵尸网络已熏染了近 400,000 台 Linux 服务器，截至 2023 年底，约有 100,000 台服务器仍受到威胁。ESET 研究人员十多年来一直在跟踪这种出于经济动机的恶意软件操作，并在 2014 年和 2017 年再次警告有效负载功效的重大更新。ESET 自 2009 年以来一直关注的 Ebury 熏染情况，显示熏染量随着时间的推移而增长。最近的 Ebury 攻击表明，攻击团伙倾向于破坏托管提供商，并对在受熏染提供商上租用虚拟服务器的客户进行供应链攻击。最初的危害是通过凭证填充攻击进行的，使用窃取的凭证登录服务器。一旦服务器受到威胁，恶意软件就会从wtmp 和 known_hosts 文件中窃取入站/带外 SSH 连接列表，并窃取 SSH 身份验证密钥，然后使用这些密钥实验登录其他系统。

https://www.bleepingcomputer.com/news/security/ebury-botnet-malware-infected-400-000-linux-servers-since-2009/

6. 黑客滥用 GoTo 会议工具部署 Remcos RAT

5月14日，在一次庞大的网络攻击活动中发现黑客利用在线会议平台 GoToMeeting 流传名为 Remcos 的远程访问木马。这一令人震惊的生长突显了网络犯罪分子利用可信软件突破宁静防御并未经授权访问受害者系统的不停演变的计谋。攻击机制涉及利用 GoToMeeting（一种被企业广泛用于虚拟会议的工具）作为 Remcos RAT 的渠道。Remcos 是一种强大的恶意软件，攻击者可以利用它远程控制受熏染的计算机、窃取敏感信息，甚至部署其他恶意负载。攻击者巧妙地在看似合法的 GoToMeeting 通知中伪装了 Remcos 有效负载。毫无戒心的用户相信这些通知是真实的，因此被诱骗在他们的系统上执行恶意软件。一旦安装，Remcos 就会授予攻击者对受熏染计算机的完全控制权，使他们能够在不被发现的情况下进行间谍活动、数据偷窃和进一步的恶意活动。Remcos 的隐秘性和庞大性，加上对 GoToMeeting 的广泛信任，使得这种攻击特别阴险且难以应对。

https://gbhackers.com/hackers-abuse-goto-meeting-tool/

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

东森平台

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系东森平台

宁静研究