各位 Buffer 周末好,以下是本周「FreeBuf周报」,我们总结推荐了本周的热点资讯、安全事件、一周好文和省心工具,保证大家不错过本周的每一个重点!
热点资讯
1. 微软披露Office最新零日漏洞,可能导致数据泄露
近日,微软披露了 Office 中一个未修补的零日漏洞,如果被成功利用,可能导致敏感信息在未经授权的情况下泄露给恶意行为者。
2. 英国要发起一场“国家规模”的蜜罐计划
英国国家网络安全中心(NCSC)计划邀请企业和组织提供“欺骗”案例和有效性证据,以支持NCSC进行长期研究。
3. FreeBSD 针对OpenSSH 高危漏洞发布紧急补丁
近日,FreeBSD 项目的维护者针对OpenSSH 高危漏洞发布了紧急补丁。该漏洞被追踪为 CVE-2024-7589,CVSS 得分为 7.4(最高分为 10.0)。通过利用该漏洞,黑客能够在权限提升的情况下远程执行任意代码。
4. 特朗普和马斯克直播遭网络攻击
按照原定计划,美东时间12日晚8时,埃隆·马斯克将对第60届美国总统大选候选人唐纳德·特朗普进行一次连麦直播访谈,并在X平台上通过马斯克和特朗普的个人账号进行现场直播。然而,当直播时间开始用户访问两人的直播间时,系统却提示“此直播间不可用”。直至40多分钟后,直播平台才恢复正常。
5. RansomHub最新勒索软件“浮出水面”,可篡改EDR软件
一个与 RansomHub 勒索软件有关联的网络犯罪团伙使用了一种新工具,该工具能够终止受攻击主机上的端点检测和响应(EDR)软件,并加入了 AuKill(又名 AvNeutralizer)和 Terminator 等其他类似程序。
安全事件
1. 新型Mac窃取程序"AMOS"冒充Loom,瞄准加密货币钱包
一个可能与神秘威胁组织 "Crazy Evil "有关联的复杂网络犯罪行动已经将目光瞄准了 Mac 用户,利用流行的屏幕录像工具 Loom 来传播臭名昭著的 AMOS 窃取程序。
2. AWS多项服务存在漏洞,能让攻击者完全控制账户
网络安全研究人员在 Amazon Web Services (AWS) 产品中发现了多个严重漏洞,如果成功利用这些漏洞,可能会导致严重后果。
3. 新型钓鱼活动传播PureHVNC等恶意软件,瞄准敏感数据
FortiGuard 实验室的网络安全研究人员发现了一种复杂的网络钓鱼活动,该活动利用多阶段执行流程和各种规避技术来传播包括远程访问木马(RAT)PureHVNC在内的多种恶意软件。
4. 严重的SAP漏洞可让攻击者绕过身份验证破坏企业系统
全球最大的ERP供应商SAP在本月修复了一批重要漏洞,其中包含一个关键的身份验证绕过漏洞,该漏洞可能允许攻击者完全破坏系统。
5. Microsoft Azure Health 曝出严重漏洞,可能导致横向移动
近日,研究人员发现了一个服务器端请求伪造(SSRF)漏洞(CVE-2024-38109),利用该漏洞可访问服务内的跨租户资源,有可能导致横向移动。
一周好文共读
1. 黑灰产的“自白”:如何利用一个公共WiFi赚一桶金?
我是一名专门从事黑灰产的人,现在我正戴着银手镯,坐在警察局“喝茶”。在和大帽子叔叔进行了“亲切友好”地沟通后,我十分配合地说出了自己多年的“光辉事迹”,其中就包括:如何利用一个公共WiFi赚一桶金?【阅读全文】
2. 技战法 | 威胁情报驱动应急响应
威胁情报已经被大多数人接受了,随着微步社区的发展,威胁情报成为了攻防演练的"标配"了。但是知其然,不知其所以然;威胁情报在蓝队体系的建设并不是所谓的监控与研判的辅助工具,情报的作用可大可小。情报驱动与事件驱动相比,更加方便企业的信息安全建设。【阅读全文】
3. 从架构与设计视角如何降低身份认证类的安全风险
身份认证,作为应用系统的大门,其重要性不言而喻,从技术视角来看,各类认证类协议提供了一体化解决方案,如oauth、sso等,但是从产品设计\安全设计视角,如果去做一套认证方案,这个目前研究的师傅不是很多。而常见的认证类漏洞,除了协议本身的漏洞、认证的组件漏洞外。最常见的是密码测试型,包括暴力破解、密码喷洒、凭据填充、以及密码猜测,这类我个人总结为密码测试型,而在我看来,协议类与组件类很难完全消除风险,因为可能会有0day,但是密码测试类是完全可以规避的,这里我简单说一些在开发过程中常见防御措施供各位架构师参考。【阅读全文】
省心工具
1. XMGoat:一款针对Azure的环境安全检测工具
XMGoat是一款针对Azure的环境安全检测工具,XM Goat 由 XM Cyber Terraform 模板组成,可帮助您了解常见的 Azure 安全问题。每个模板都是一个用于安全技术学习的靶机环境,包含了一些严重的配置错误。【阅读全文】
2. X-Recon:一款针对Web安全的XSS安全扫描检测工具
X-Recon是一款功能强大的Web安全扫描与检测工具,该工具能够帮助广大研究人员识别网页端输入数据,并执行XSS扫描任务。【阅读全文】
3. PIP-INTEL:一款多功能OSINT开源情报与数据收集工具
PIP-INTEL是一款功能强大的工具,专为 OSINT(开源情报)和网络情报收集活动而设计。它将各种开源工具整合到一个用户友好的界面中,简化了研究人员和网络安全专业人员的数据收集和分析流程。【阅读全文】