微软远程注册表客户端漏洞CVE-2024-43532果然

首页 > 宁静研究 > 宁静通报 > 宁静简讯

微软远程注册表客户端漏洞CVE-2024-43532果然

宣布时间 2024-10-24

1. 微软远程注册表客户端漏洞CVE-2024-43532果然

10月22日，针对微软远程注册表客户端的漏洞CVE-2024-43532现已果然，该漏洞利用Windows注册表客户端实现中的回退机制，在SMB传输不行用时依赖于旧传输协议，并降低身份验证过程的宁静性，从而控制Windows域。该漏洞影响Windows服务器版本2008至2022以及Windows 10和11。攻击者可通过拦截NTLM身份验证握手并将其转发到Active Directory证书服务(ADCS)等服务，创建新的域管理员帐户。CVE-2024-43532源于远程注册表客户端在处置RPC身份验证时的问题，当SMB传输不行用时，客户端会切换到较旧的协议并使用弱身份验证级别。Akamai研究员Stiv Kupchik于2月1日向微软披露了该漏洞，但最初被驳回，后于6月中旬重新提交并得到确认，微软于三个月后宣布了修复法式。目前，Kupchik已宣布有效的看法验证代码，并在No Hat宁静会议上解释了利用过程。Akamai的陈诉还提供了检测易受攻击的机器和监视特定RPC调用的要领。

https://www.bleepingcomputer.com/news/security/exploit-released-for-new-windows-server-winreg-ntlm-relay-attack/

2. Gophish工具包被滥用于制作针对俄语片区用户的RAT木马

10月22日，Gophish这一开源网络钓鱼工具包正被非法分子利用，以制作并流传DarkCrystal RAT（DCRat）和PowerRAT等远程访问木马，主要目标是俄语片区用户，包罗俄罗斯及其周边国家如乌克兰、白俄罗斯、哈萨克斯坦、乌兹别克斯坦和阿塞拜疆。Gophish原本被设计用于组织测试网络钓鱼防御能力，但攻击者却借此制作伪装成Yandex Disk链接和VK社交网络页面的网络钓鱼邮件。这些邮件诱导用户下载包罗DCRat或PowerRAT恶意木马的Microsoft Word文档或嵌入JavaScript的HTML文件。一旦受害者打开文档并启用宏，就会触发恶意Visual Basic (VB)脚本，进而下载并执行HTA文件和PowerShell加载器。这些脚本包罗PowerRAT的base64编码数据块，解码后在受害者机器上执行。除了系统侦察，该恶意软件还会收集驱动器序列号并连接到俄罗斯远程服务器接收指令。若未获响应，则执行嵌入的PowerShell脚本。DCRat作为一种�？榛褚馊砑�，能窃取数据、捕捉屏幕截图和击键，提供远程控制，并下载执行其他文件。

https://thehackernews.com/2024/10/gophish-framework-used-in-phishing.html

3. Grandoreiro银行木马：全球金融威胁连续升级

10月22日，卡巴斯基实验室最近宣布的一份陈诉显示，Grandoreiro银行木马已成为全球重大金融威胁。该木马起源于巴西，自2016年以来一直活跃，旨在窃取银行凭证并绕过宁静措施。尽管执法部门已努力攻击，但Grandoreiro的攻击范围已显著扩大，现已针对45个国家的1700家银行和276个加密货币钱包，显示出其真正的全球威胁性。在西班牙，Grandoreiro造成的经济损失预计达350万欧元，但陈诉指出其可能带来的利润凌驾1.1亿欧元。Grandoreiro木马不停创新计谋，使用域生成算法创建新的命令和控制服务器，接纳密文窃取加密增加分析难度，并引入沙盒规避技术如跟踪鼠标移动以模仿合法用户交互，欺骗反欺诈系统。其�？榛匦栽市矶喔霾僮髟贝唇ㄕ攵蕴囟ǖ赜蚧蚪鹑诨沟乃槠姹�。自2022年以来，卡巴斯基视察到该木马创建了较小、较轻的版本，专注于较少的目标，特别是在墨西哥。Grandoreiro通常以恶意软件即服务的形式运行，其流传受到控制，只有值得信赖的合作伙伴才气访问源代码。

https://securityonline.info/1700-banks-45-countries-grandoreiro-trojan-expands-its-reach/

4. 黑客利用gRPC协议在Docker API上部署加密货币挖矿法式

10月22日，Trend Micro 研究人员发现了一种新型网络攻击手段，攻击者利用 Docker 远程 API 服务器上的 gRPC 协议（通过 h2c 明文 HTTP/2）来部署 SRBMiner 加密货币挖矿法式，目标是挖掘 Ripple Labs 开发的 XRP 加密货币。攻击流程始于扫描易受攻击的 Docker API 服务器，随后检查其可用性和版本，并发送 gRPC/h2c 升级请求以远程利用 Docker 功效而不被发现。一旦建立控制，攻击者便使用合法基础映像构建 Docker 映像，在 /usr/sbin 目录中部署挖矿法式，并从 GitHub 下载恶意软件。他们还提供了 Ripple 钱包地址以收集挖出的加密货币。此次攻击之所以令人担忧，是因为使用 h2c 上的 gRPC 协议可绕过宁静层，使宁静工具难以检测到加密矿工的部署。这表明网络犯罪分子的计谋在不停演变，他们正在寻找创新要领来利用 Docker 等容器化环境。因此，�；� Docker 远程 API 和监控异�；疃涞糜任匾�。

https://securityonline.info/cryptojacking-alert-hackers-exploit-grpc-and-http-2-to-deploy-miners/

5. CISA将Microsoft SharePoint漏洞列为已知被利用漏洞

10月23日，美国网络宁静和基础设施宁静局（CISA）已将Microsoft SharePoint的一个反序列化漏洞CVE-2024-38094（CVSS v4评分：7.2）纳入其已知被利用漏洞（KEV）目录中。该漏洞允许拥有站点所有者权限的攻击者通过SharePoint Server注入并执行任意代码。据微软通告，此漏洞源于SharePoint Server Search组件的输入验证错误，使得未经身份验证的用户也能通过发送特制HTTP请求来利用漏洞，进而在服务器上执行任意代码，可能接管整个系统。凭据具有约束力的操作指令22-01，要求联邦机构（FCEB）必须在规定截止日期前解决已发现的漏洞，以�；ね缑馐苣柯贾新┒吹墓セ�。CISA特别要求联邦机构在2024年11月12日前修复此SharePoint漏洞。同时，专家也建议私人组织审查CISA的漏洞目录，并及时解决其基础设施中存在的相应漏洞，以确保网络宁静。

https://securityaffairs.com/170157/security/u-s-cisa-adds-microsoft-sharepoint-flaw-known-exploited-vulnerabilities-catalog.html

6. 北非电子竞技平台ESNA用户数据遭黑客泄露

10月24日，在角逐前夕，名为“Shooked”的黑客于2024年10月23日在Breach Forums上泄露了北非电子竞技(ESNA)平台凌驾18万名用户的个人数据，该数据转储巨细为3GB，并声称是“完整数据库”。此次泄露发生在ESNA角逐于摩洛哥开赛的前一天。ESNA是一个旨在促进北非地域竞技游戏生长的平台，组织了包罗FC25、Free Fire、街头霸王6等热门游戏的锦标赛。据分析，泄露的数据包罗凌驾900万行，但去重后唯一用户记录为180,000条，包罗用户身份、国家、用户名、IP地址、时间戳、会话ID、WordPress URL和电子邮件地址等信息，但不包罗密码或财政信息。尽管如此，用户仍被建议更改密码以防万一，并警惕可能由此次泄露引发的网络钓鱼攻击。目前，ESNA组织尚未对此事作出回应，但用户应保持警惕，以防网络犯罪分子利用此次泄露进行恶意活动。

https://hackread.com/hackers-leak-esport-north-africa-user-record-before-tournament/

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

东森平台

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系东森平台

宁静研究