全球动态
1. AMD曝出“超级权限漏洞”,数亿设备面临威胁
此漏洞允许攻击者将权限从ring 0(操作系统内核)提升到ring-2,在处理器的最高特权模式——系统管理模式(System Management Mode,SMM)下执行恶意代码,在系统固件中植入恶意软件。【阅读原文】
2. Microsoft 在补丁星期二更新中披露了 10 个零日漏洞
微软更新中的另外四个 CVE 在 8 月 13 日披露之前就已公开,这也使它们成为某种零日漏洞,尽管攻击者尚未开始利用它们。其中,Windows Update Stack 中的一个权限提升(EoP)漏洞(被追踪为 CVE-2024-38202)尤其令人担忧,因为微软还没有为其提供补丁。【外刊-阅读原文】
3. NIST 正式确定全球首个后量子加密标准
据预测,量子计算机将在未来五到十年内发展到可以破解现有加密算法的阶段,从而使所有数字信息暴露无遗。新的 NIST 标准旨在帮助组织在 "Q-Day "事件发生之前过渡到量子安全加密。【外刊-阅读原文】
4. 国际调查摧毁了 Radar/Dispossessor 勒索软件组织
自 2023 年 8 月成立以来,Radar/Dispossessor 已迅速发展成为一个具有国际影响力的勒索软件组织,主要针对和攻击生产、开发、教育、医疗保健、金融服务和运输领域的中小型企业和组织。【外刊-阅读原文】
5. 黑客声称窃取海量数据?腾讯 QQ 回应:信息并不属实,黑产利用历史资料拼凑、注水而成
外媒 HackRead 于 13 日报道称,名为“Fenice”的黑客于 8 月 6 日在暗网论坛上泄露 27 亿美国用户(此前称为 29 亿)社保信息之后,再次发帖曝料称手握 14 亿腾讯用户账号信息。该黑客声称窃取了海量数据库,其中包括 14 亿条 Tencent.com 相关的记录,压缩数据容量为 44GB,解压之后将达到 500GB。【阅读原文】
6. 拜登政府承诺为开源安全计划提供 1100 万美元
这项名为 "开源软件普及计划"(OSSPI)的工作旨在掌握开源软件组件在医疗、交通和能源生产等领域的分布情况,最终使联邦政府和私营部门合作伙伴能够加强国家网络安全。【外刊-阅读原文】
安全事件
1. 3AM 勒索软件窃取了 46.4 万名 Kootenai Health 患者的数据
3AM勒索软件团伙声称对此次攻击负责,并在其暗网门户网站上泄露了被盗数据,表示 Kootenai Health 没有支付赎金。【外刊-阅读原文】
2. 金融巨头因勒索攻击损失近2亿元,超1600万用户数据泄露
LoanDepot的最新财务报告显示,该事件给公司造成了2690万美元(约合人民币1.92亿元)的成本。该金额包括“调查和补救网络安全事件的成本,客户通知和身份保护的成本,以及专业费用(包括法律费用、诉讼和解费用以及佣金担保)”。【阅读原文】
3. 炭黑供应商 Orion 在商业电子邮件泄密骗局中损失 6000 万美元
执法机构,例如联邦调查局(FBI),长期提醒企业注意网络犯罪分子专门针对那些能够访问公司资金的员工,他们经常伪装成公司其他高管,以此来说服财务部门批准资金转移。这种诈骗行为通常被称为商业电子邮件诈骗(Business Email Compromise, BEC),它有多种表现形式,但通常包括冒充身份或其他欺骗手段,将公司的资金转移到犯罪分子控制的银行账户中。【外刊-阅读原文】
4. 严重的SAP漏洞可让攻击者绕过身份验证破坏企业系统
根据漏洞描述,如果在企业身份验证上启用了单点登录,则未经授权的用户可以使用REST端点获取登录令牌。攻击者可以此完全破坏系统,从而对机密性、完整性和可用性产生重大影响。【外刊-阅读原文】
5. Microsoft Azure Health 曝出严重漏洞,可能导致横向移动
近日,研究人员发现了一个服务器端请求伪造(SSRF)漏洞(CVE-2024-38109),利用该漏洞可访问服务内的跨租户资源,有可能导致横向移动。【外刊-阅读原文】
6. Ivanti 虚拟流量管理器中的严重漏洞可能允许恶意管理员访问
该公司在一份咨询报告中表示:“在Ivanti vTM中,除了22.2R1或22.7R2版本之外,不正确的身份验证算法允许未经身份验证的远程攻击者绕过管理面板的身份验证。”【外刊-阅读原文】
优质文章
1. 2024年运营技术与网络安全态势研究报告:遭遇多次网络威胁的比例暴增
报告显示,在过去 12 个月间,组织在 OT 安全态势以及对基本工具和能力的投资方面取得了显著的进展。然而,在后 IT/OT 融合环境中,要有效管理日益频发的威胁攻击,组织的网络安全防护能力仍存在巨大提升空间。【阅读原文】
2. 专访非夕机器人刘歆轶 | 从“海员”到“安全负责人”,他是怎么做到的?
回顾过去,他的成长经历是许多非网络安全专业背景人士在网络安全领域奋斗的真实写照,从 IT 领域的初学者到网络安全领域的资深专家,刘歆轶的 30 年职业生涯,见证了网络安全行业的从“三件套走天下到智能化、纵深化防护体系”的变迁。【阅读原文】
3. 实践分享 | 以多种注入类漏洞分析挖掘与防御逻辑
注入的本质是一样的,但是由于应用场景的不同(数据库、系统命令等),注入的形式也不同,包括 SQL 、LDAP 、XPath 、XSS、命令行注入等。【阅读原文】
*本文内容收集自全球范围内的媒体与刊物,制作者对其完整性负责,但不对其真实性和有效性负责。*标明为【外刊】的内容主要来源为英语国家的媒体与刊物,部分内容需要注册免费账号后方可阅读。