打开微信“扫一扫”,开启安全数字世界之旅
截图或长按保存至相册,使用微信扫一扫
首页 > 安全通告

安全通告

威胁周报 | 微软MSDT存在远程代码执行漏洞,亚信安全产品已支持检测!
发布时间 :2022年06月02日
分享:


4-1.jpg

4-2.jpg

微软支持诊断工具MSDT存在远程代码执行漏洞,亚信安全产品已支持检测!

5月28日,亚信安全CERT监测到Microsoft MSDT远程代码执行0day漏洞在野利用,第一时间对该漏洞进行上报及分析、复现。目前微软公司已发布了Microsoft MSDT远程代码执行漏洞的紧急缓解措施公告。未经身份验证的攻击者利用该漏洞,诱使用户直接访问或者预览恶意的Office文档,通过恶意Office文档中的远程模板功能,从服务器获取包含恶意代码的HTML文件并执行,从而实现以当前用户权限下的任意代码执行攻击。该漏洞已知触发需要用户对恶意Office文档进行直接访问,或者在资源管理器中通过预览选项卡对RTF格式的恶意文档进行预览。


目前,亚信安全信舱云主机安全(DS)信桅深度威胁发现设备(TDA)已经支持对上述提及漏洞的检测。


微软支持诊断工具(MSDT)是一种实用程序,用于排除故障并收集诊断数据,供专业人员分析和解决问题。Microsoft Office是由微软公司开发的一款常用办公软件。


4-3.jpg


4-4.jpg


热门病毒通告


亚信安全热门病毒综述 -

Ransom.Win64.ASTROLOCKER.THCBDBA


该勒索病毒由其它恶意软件释放,或者用户访问恶意网站不经意下载到达本机,其添加如下自启动项目:


HKEY_CURRENT_USER\Software\Classes\.{Generated ID}\shell\Open

(Default) = explorer.exe RecoveryManual.html


该勒索病毒结束被感染机器中的如下服务:

  • database

  • msexchange


其避免加密文件名中包含以下字符串的文件:

  • RecoveryManual.html

  • ReadManual.{Generated ID}


该勒索病毒避免加密如下扩展名文件:

exe

dll

sys

msi

mui

inf

fon

cat

bat

cmd

ps1

vbs

ttf

lnk


其在被加密文件名后添加如下后缀:

  • .ReadManual.{Generated ID}


对该病毒的防护可以从下述链接中获取最新版本的病毒码:17.583.60

https://console.zbox.filez.com/l/2n6wBS


4-5.jpg

影响百万用户!微软发现Android 预装应用受高危漏洞影响

近日,微软365 Defender研究团队披露了在mce Systems提供的Android Apps移动服务框架中的严重安全漏洞,多个运营商的默认预装应用受影响,其下载量已达数百万次。


研究人员发现的漏洞被追踪为CVE-2021-42598、CVE-2021-42599、 CVE-2021-42600和CVE-2021-42601,CVSS评分在7.0分-8.9分之间,能够让用户遭受命令注入和权限提升攻击,受影响的运营商包括AT&T、TELUS、Rogers Communications、Bell Canada和Freedom Mobile。


Clop勒索软件团伙卷土重来,工业领域要当心!

近日,据相关研究人员称,Clop勒索软件在2021年11月至2022年2月期间被有效关闭几个月后,现又卷土重来。Clop正以爆炸性和意外的方式重返勒索软件威胁领域的前沿,4月份威胁攻击者的目标出现了显著波动。虽然 Lockbit 2.0(103名受害者)和Conti(45名受害者)仍然是最多的威胁攻击者,但CL0P的受害者大幅增加,从1人增加到21人。Clop具有针对性的领域是工业部门,45%的Clop勒索软件攻击针对工业组织,27%针对科技公司。


印度航空公司SpiceJet的航班受到勒索软件攻击的影响

2022年5月25日,印度航空公司SpiceJet通知其客户,一次勒索软件攻击试图影响了其一些系统,并导致航班起飞延误。根据该航空公司社交媒体渠道上发布的公告,其IT团队设法挫败了攻击,因此一切都恢复了正常的运营状态。然而,Twitter和Facebook上的多份客户报告仍然反映了持续存在的问题,突出了航班延误,称无法通过电话提供客户服务,并且预订系统仍然不可用。2020年1月,SpiceJet证实了一起数据泄露事件,该事件允许未经授权的个人访问该航空公司服务器上的数据库备份文件。2021年,SpiceJet因COVID-19限制而停飞其机队而陷入严重的财务困境,报告年收入损失28%,直接威胁到其业务的可持续性。


曝某知名车企受黑客攻击用户信息遭泄露

近日,从某知名车企获悉,在2022年4月11日至29日期间,在线客户的账户出现了可疑登录,导致在未经授权的情况下使用了客户的奖励积分兑换礼品。在通告中显示,该车企一旦检测到黑客攻击,就会立即禁用该功能。


此外,黑客仍从客户的在线移动应用程序中访问了详细信息,其中包括姓名、邮箱地址、邮寄地址、绑定账户的姓名、电话、兴趣点收藏等。


对此,该车企表示,其重要的信息并未遭到泄漏,因为它们未被储存在客户的通用汽车账户中。这些信息包括出生日期、社保卡号、驾照号、信用卡及银行账户等。


美国奥地利联邦州被BlackCat/ALPHV勒索团伙勒索500万美元

美国奥地利联邦州Carinthia遭到BlackCat勒索软件团伙(也称为ALPHV)的袭击,该团伙要求500万美元来解锁加密的计算机系统。BlackCat勒索软件团伙于2021年11月出现,是2021年进行殖民管道攻击的BlackMatter黑客组织的更名。袭击发生在2022年5月24日,并导致政府服务的运营严重中断,据称数千个工作站已被威胁者锁定。Carinthia的网站和电子邮件服务目前处于离线状态,政府无法签发新护照或罚款。此外,网络攻击还破坏了通过该地区行政办公室进行的COVID-19测试处理和接触者追踪。黑客提出以500万美元的价格提供一个有效的解密工具。不过,美国奥地利联邦州发言人Gerd Kurath表示攻击者的要求不会得到满足。目前没有证据表明BlackCat实际上设法从该州的系统中窃取任何数据,并且计划是从可用备份中恢复机器。Kurath还表示,在受影响的3,000个系统中,预计第一个系统将在2022年5月27日再次可用。

分享到微信
X