纵观全球态势,感知安全天下。悬镜安全精心筛选过去一周全球安全大事。
近日,有安全研究人员披露了 Windows 任务管理器中的 0-day 漏洞,可被利用提升系统权限,进行进一步攻击。漏洞出现的原因是 Windows 任务管理器在进行高级本地进程调用(ALPC)处理时出现错误。漏洞曝出后,美国 CERT/CC 及时确认,但该研究人员并没有报告给微软。目前尚不清楚这个 0-day 漏洞是否会影响微软 Windows 系统,据推测微软会在 9 月 11 日的修复日发布补丁。
原文链接:https://www.bleepingcomputer.com/news/security/exploit-published-for-unpatched-flaw-in-windows-task-scheduler/
8月28 日上午,暗网中文论坛中出现一个帖子,声称售卖华住旗下所有酒店数据,汉庭酒店、美爵、禧玥、漫心、诺富特、美居、CitiGo、桔子、全季、星程、宜必思、怡莱、海友等多家酒店都包含在内。售卖的数据分为三个部分:华住官网注册资料、酒店入住登记身份信息、酒店开房记录。FreeBuf第一时间联系了测试人员,结果发现,最近离店时间是 8月13日,与发帖人所称8月14日脱库时间相符,很多数据为新数据。测试结果显示数据真实,所有信息通过哈希加密存储,且测试数据都清晰无码。这意味着,发帖人所售卖的数据真实性很高。FreeBuf称将密切关注事态进展。
原文链接:https://www.chainnews.com/articles/445054822427.htm
安全研究员Max Justicz发现PHP最大的软件包存储库Packagist存在关键漏洞。Justicz称通过Packagist主页,提交新PHP包的“Submit Package”输入字段,允许攻击者以”$(MALICIOUS_COMMANDS)“的格式运行恶意命令。此漏洞的根本原因是Packagist服务期望输入是在Git,Perforce,Subversion或Mercurial服务器上托管的源代码存储库的URL,Justicz发现,在检查URL是否指向Perforce或Subversion仓库时,Packagist对输入字符处理错误,从而两次执行恶意命令(分别发生在检查Perforce和Subversion的情况下)。此漏洞目前已得到解决。
原文链接:https://www.bleepingcomputer.com/news/security/critical-flaw-fixed-in-packagist-phps-largest-package-repository/
安全人员Bob Diachenko发现了一个MongoDB安装的配置错误,没有密码和登录的保护,允许公众访问。该MongoDB数据库大小为142 GB,归属于全球文档识别和内容捕获软件开发商ABBYY,托管在美国的亚马逊网络服务(AWS)基础设施上。此次事件不仅暴露ABBYY的客户信息,还包括大量扫描文档(超过20万份合同,NDAs,备忘录,信件和其它内部文档,正确的OCR和存储)。目前该公司已经禁用了此数据库。
原文链接:https://www.linkedin.com/pulse/abbyy-exposed-its-document-storage-database-more-than-bob-diachenko/
ICS-CERT近日发布双重警告称,施耐德电气的工业控制系统产品电源管理系统PowerLogic PM5560和可编程逻辑控制器Modicon M221存在高严重性漏洞,这些漏洞可被远程利用。PowerLogic PM5560固件版本2.5.4之前的所有版本中,都包含一个跨站脚本漏洞CVE-2018-7795,利用该漏洞可能允许攻击者操纵用户的输入,从而远程执行JavaScript代码。Modicon M221固件V1.6.2.0之前的所有版本中,存在一系列严重漏洞。
第一个漏洞为CVE-2018-7790,允许未经授权的用户重放认证序列。第二个漏洞为CVE-2018-7791,允许未经授权的用户覆盖原始密码。第三个漏洞为CVE-2018-7792,允许未经授权的用户使用彩虹表解码密码,彩虹表是一个预先计算的表,可以让不良参与者反转加密散列函数。施耐德电气目前针对一系列漏洞发布了修复程序,并建议用户设置防火墙阻止对端口502的所有远程或外部访问,并禁用Modicon M221应用程序中的所有未使用的协议(尤其是编程协议)。
原文链接:https://threatpost.com/high-severity-flaws-patched-in-schneider-electric-products/137034/
近日,四名韩国研究人员详细介绍了利用TPM芯片存在的漏洞的两次攻击,这些攻击可能让攻击者篡改启动过程。第一个TPM攻击,利用SRTM漏洞已收到CVE-2018-6622,针对使用TPM芯片的计算机,该芯片使用静态测量信任根(SRTM)系统进行启动例程。该漏洞实际上是TPM 2.0规范本身的设计缺陷,而该规范嵌入了绝大多数PC厂商销售的计算机的TPM组件中。第二个TPM攻击,利用Trusted Boot漏洞CVE-2017-16837,进而影响TPM芯片,这些芯片使用动态信任根测量(DRTM)系统来启动例程。该攻击只会影响运行在英特尔可信执行技术(TXT)上的计算机的启动程序。
原文链接:https://www.bleepingcomputer.com/news/security/researchers-detail-two-new-attacks-on-tpm-chips/
悬镜,北京安普诺信息技术有限公司旗下基于DevSecOps【云+端】一站式安全加固解决方案的云主机安全品牌,由北京大学白帽黑客团队“Xmirror”主导创立,核心业务主要包括悬镜云卫士、云鉴漏洞扫描云平台等自主创新产品与政企安全服务,专注为媒体云、政务云、教育云等平台用户提供创新灵活的自适应主机安全综合解决方案。