明朝万达2023年网络安全月报（1月）

　　近日，明朝万达安元实验室发布了2023年第一期《安全通告》。该份报告收录了2023年1月最新的网络安全前沿新闻和最新漏洞追踪，其中重点内容包括：
　　网络安全前沿新闻
　　NEW
　　01hrGoogle将支付2950万美元以结束跟踪用户位置的诉讼
　　Google被要求向DC支付950万美元，向印第安纳州支付2000万美元，此前各州起诉该公司，指控该公司在未经用户明确同意的情况下跟踪用户的位置。
　　谷歌还被指控采用暗模式，这是一种在欺骗用户从而侵犯其隐私和在他们不知情或未确认的情况下过度共享信息行为的设计选择。
　　02hr黑客利用窃取的银行信息诱骗受害者下载BitRAT恶意软件
　　Qualys安全人员观察到一种新的恶意软件活动，该软件使用从银行窃取的敏感信息作为网络钓鱼电子邮件的诱饵来投放名为BitRAT的远程访问木马。
　　最早该公司发现了一个数据库转储的证据，其中包含418，777条记录，据说这些记录是通过利用SQL注入错误获得的。
　　03hrRaspberryRobinWorm不断进化以攻击欧洲的金融和保险部门
　　欧洲的金融和保险业已成为RaspberryRobin蠕虫的目标，该恶意软件在执行后继续拓展其后续利用能力的同时。还拥有反检测的机制。
　　RaspberryRobin，也称为QNAP蠕虫，被多个威胁行为者用作在目标网络中立足的手段。该框架通过受感染的USB驱动器和其他方法传播，最近被用于针对电信和政府部门的攻击。
　　04hrFacebook因强迫用户接受定向广告而被DPC罚款4。14亿美元
　　爱尔兰数据保护委员会（DPC）已对MetaPlatforms处以3。9亿欧元（约合4。14亿美元）的罚款，原因是其处理用户数据以提供个性化广告，这可能对其以广告推动的商业模式造成重大打击。
　　DPC的裁决意味着Meta不再被允许依赖合同即接受其服务条款作为处理个人数据用于行为广告的法律依据，实际上认为该公司的广告行为是非法的。
　　05hrSpyNote再次来袭：针对金融机构的Android间谍软件
　　至少自2022年10月以来，金融机构正成为一种名为SpyNote的新版Android恶意软件的目标，它结合了间谍软件和银行木马的特征。
　　SpyNote（又名SpyMax）功能丰富，具有多种功能，可以任意安装软件；收集短信、电话、视频和录音；跟踪GPS位置；甚至阻碍卸载应用程序的执行；它还遵循其他银行恶意软件的作案手法，请求访问服务的权限。
　　06hrRackspace确认Play勒索软件团伙对最近的违规行为负责
　　云服务提供商Rackspace周四证实，名为Play的勒索软件团伙对上个月的违规行为负责。
　　这起发生在2022年12月2日的安全事件利用了一个以前未知的安全漏洞来获得对RackspaceHostedExchange电子邮件环境的初始访问权限。
　　07hrDridex恶意软件现在使用新的感染方法攻击macOS系统
　　根据最新研究，臭名昭著的Dridex银行恶意软件的一个变种已将目光投向了Apple的macOS操作系统，该操作系统使用了一种以前未记录的感染方法。
　　该恶意软件也被认为是GameoverZeus的继任者，它本身是另一个名为Zeus的银行木马的后续版本。以前针对Windows的Dridex活动利用网络钓鱼电子邮件发送的启用宏的MicrosoftExcel文档来部署有效负载。
　　08hr微软揭示了4个针对macOS的勒索软件家族使用的策略
　　微软已经阐明了四种不同的勒索软件系列KeRanger、FileCoder、MacRansom和EvilQuest已知它们会影响ApplemacOS系统。
　　这些勒索软件系列的初始向量涉及Windows制造商所称的用户辅助方法，其中受害者下载并安装木马化的应用程序，或者，它也可以作为第二阶段的有效负载到达，由受感染主机上已有的恶意软件投放，或作为供应链攻击的一部分。
　　09hr数百万辆汽车面临风险，16个主要汽车品牌发现API漏洞
　　影响来自16个不同制造商的数百万辆汽车的多个漏洞可能被滥用来解锁、启动和跟踪汽车，并影响车主的隐私。
　　这些安全漏洞存在于为讴歌、宝马、法拉利、福特、创世纪、本田、现代、英菲尼迪、捷豹、起亚、路虎、梅赛德斯奔驰、日产、保时捷、劳斯莱斯、丰田以及软件提供动力的汽车API中来自Reviver、SiriusXM和Spireon。
　　10hrDarkPinkAPT组织以亚太地区的政府和军方为目标
　　根据亚太地区进行的最新研究，亚太地区的政府和军事组织正成为高级持续威胁（APT）攻击者Drakpink的目标。
　　Darkpink大部分攻击都针对柬埔寨、印度尼西亚、马来西亚、菲律宾、越南以及波斯尼亚和黑塞哥维那的军事机构、政府部门和机构以及宗教和非营利组织，据报道，一次未成功的入侵是针对一个未具名的欧洲国家设在越南的发展项目机构。
　　11hr澳大利亚医疗保健行业成为最新Gootkit恶意软件攻击的目标
　　Gootkit也称为Gootloader，众所周知，它采用搜索引擎优化（SEO）中毒策略（又名垃圾索引）进行初始访问。它通常通过破坏和滥用合法基础设施并使用常见关键字为这些网站播种来发挥作用。
　　与其他同类恶意软件一样，Gootkit能够从浏览器窃取数据、执行浏览器中的对手（AitB）攻击、键盘记录、截屏和其他恶意操作。
　　12hr推特否认黑客指控，保证泄露的用户数据不是来自其系统
　　推特周三表示，其调查发现没有证据表明在线销售的用户数据是通过利用其系统中的任何安全漏洞获得的。
　　这家社交媒体巨头进一步表示，该漏洞与之前报道的事件无关，也与任何新事件无关，并补充说没有密码被泄露。据说12月和1月发布的两个数据集是相同的，后者删除了重复的条目。
　　13hr网络犯罪分子在恶意软件分发中使用多语言文件以躲避监视
　　StrRAT和Ratty等远程访问特洛伊木马以混合语言和恶意Java存档（JAR）文件的形式进行分发，再次凸显了威胁行为者如何不断寻找新的隐蔽方式。
　　防御者应该同时监视‘java’和‘javaw’进程。如果这样的进程将‘jar’作为参数，则作为参数传递的文件名应被视为JAR文件，而不管文件扩展名或Linux的输出文件命令。
　　14hrTikTok因违反Cookie法被法国监管机构罚款540万美元
　　流行的短视频托管服务TikTok因违反cookie同意规则而被法国数据保护监管机构罚款500万欧元（约合540万美元），使其成为继亚马逊、谷歌、Meta和微软之后面临类似处罚的最新平台。
　　让选择退出机制变得更加复杂实际上是在阻止用户拒绝cookie，并鼓励他们更喜欢‘全部接受’按钮的便利性，CNIL辩称，称这违反了《法国数据保护法》。
　　15hr微软Azure服务缺陷可能导致云资源遭到未授权访问
　　四种不同的MicrosoftAzure服务被发现容易受到服务器端请求伪造（SSRF）攻击，这些攻击可能被利用来获得对云资源的未授权访问。
　　为了减轻此类威胁，建议组织验证所有输入，确保服务器配置为仅允许必要的入站和出站流量，避免错误配置，并遵守最小特权原则（PoLP）。
　　16EarthBogle运动在中东和北非释放NjRAT特洛伊木马
　　一项名为EarthBogle的持续活动正在利用地缘政治主题的诱饵向中东和北非的受害者提供NjRAT远程访问木马。
　　包含木马的网络钓鱼电子邮件通常是根据受害者的兴趣定制的，其中加载了恶意附件以激活感染例程。这采用MicrosoftCabinet（CAB）存档文件的形式，其中包含用于部署下一阶段有效负载的VisualBasic脚本投放器。
　　17hr三星GalaxyStore应用程序被发现容易受到潜在的应用程序安装和欺诈
　　三星的Android版GalaxyStore应用程序中披露了两个安全漏洞，本地攻击者可能会利用这些漏洞来偷偷安装任意应用程序或将潜在受害者引导至网络上的欺诈性登录页面。
　　这些问题被跟踪为CVE202321433和CVE202321434，由NCCGroup发现，并于2022年11月和2022年12月通知了韩国财阀。三星将这些漏洞归类为中度风险，并在版本4。5。49。8中发布了修复程序。
　　18hrWhatsApp因违反数据保护法被罚款550万欧元
　　爱尔兰数据保护委员会（DPC）周四对Meta的WhatsApp处以550万欧元的新罚款，理由是其在处理用户个人信息时违反了数据保护法。
　　由隐私非营利组织NOYB提起的投诉称，WhatsApp违反了规定，强迫其用户同意处理他们的个人数据以改善服务和安全，使其服务的可访问性以用户接受更新了服务条款。
　　19hrLastPass母公司GoTo遭受数据泄露，客户的备份受到损害
　　LastPass所有者GoTo（前身为LogMeIn）周二透露，身份不明的威胁行为者能够在2022年11月的一起事件中窃取一些客户数据的加密备份以及其中一些备份的加密密钥。
　　受影响的信息因产品而异，可能包括帐户用户名、加盐和散列密码、部分多因素身份验证（MFA）设置，以及一些产品设置和许可信息。
　　网络安全最新漏洞追踪
　　BUG
　　01hr微软1月多个安全漏洞
　　漏洞概述
　　2023年1月10日，微软发布了1月安全更新，本次更新修复了包括1个0day漏洞在内的98个安全漏洞，其中有11个漏洞评级为严重。
　　漏洞详情
　　本次发布的安全更新涉及。NETCore、3DBuilder、MicrosoftExchangeServer、MicrosoftOffice、MicrosoftOfficeSharePoint、WindowsCryptographicServices、WindowsKernel、WindowsLayer2TunnelingProtocol、WindowsNTLM、WindowsRPCAPI、WindowsSecureSocketTunnelingProtocol（SSTP）、WindowsVirtualRegistryProvider等多个产品和组件。
　　本次修复的漏洞中，39个为提取漏洞，33个为远程代码执行漏洞，10个为信息泄露漏洞，10个为拒绝服务漏洞，4个为安全功能绕过漏洞，以及2个欺骗漏洞。
　　微软本次共修复了1个被利用的0day漏洞，其中CVE202321674已被积极利用，CVE202321549已经公开披露。
　　CVE202321674：WindowsAdvancedLocalProcedureCall（ALPC）特权提升漏洞
　　WindowsAdvancedLocalProcedureCall（ALPC）特权提升漏洞，此漏洞的CVSSv3评分为8。8，可能导致浏览器沙箱逃逸并提升权限，成功利用该漏洞可以获得SYSTEM权限，目前该漏洞已经检测到漏洞利用。
　　CVE202321549：WindowsSMBWitnessService特权提升漏洞
　　WindowsSMBWitnessService特权提升漏洞，此漏洞的CVSSv3评分为8。8，可以通过制作恶意脚本执行对RPC主机的RPC调用，导致在服务器端提升权限，成功利用该漏洞可以执行仅限于特权帐户的RPC功能，目前该漏洞已经公开披露。
　　CVE202321743：MicrosoftSharePointServer安全功能绕过漏洞
　　MicrosoftSharePointServer安全功能绕过漏洞，此漏洞的CVSSv3评分为5。3，未经身份验证的用户可以与目标SharePoint服务器建立匿名连接来利用该漏洞。
　　CVE202321551CVE202321730：MicrosoftCryptographicServices特权提升漏洞
　　MicrosoftCryptographicServices特权提升漏洞，此漏洞的CVSSv3评分为7。8，成功利用可以获得SYSTEM权限。
　　CVE202321561：MicrosoftCryptographicServices特权提升漏洞
　　MicrosoftCryptographicServices特权提升漏洞，此漏洞的CVSSv3评分为8。8，经过本地身份验证的用户可以将恶意数据发送到本地CSRSS服务，以将其特权从AppContainer提升到SYSTEM。
　　CVE202321556CVE202321555CVE202321543CVE202321546CVE202321679：WindowsLayer2TunnelingProtocol（L2TP）远程代码执行漏洞
　　WindowsLayer2TunnelingProtocol（L2TP）远程代码执行漏洞，此漏洞的CVSSv3评分均为8。1，成功利用这些漏洞需要赢得竞争条件或提前准备目标环境，未经身份验证的主机可以向RAS服务器发送恶意连接请求，导致在RAS服务器计算机上远程执行代码。
　　CVE202321548：Windows安全套接字隧道协议（SSTP）远程代码执行漏洞
　　Windows安全套接字隧道协议（SSTP）远程代码执行漏洞，此漏洞的CVSSv3评分为8。1，成功利用该漏洞需要赢得竞争条件，可以通过向SSTP服务器发送恶意PPTP数据包来利用该漏洞，成功利用可在服务器端远程执行代码。
　　CVE202321535：Windows安全套接字隧道协议（SSTP）远程代码执行漏洞
　　Windows安全套接字隧道协议（SSTP）远程代码执行漏洞，此漏洞CVSSv3评分为8。1，成功利用该漏洞需要赢得竞争条件，未经身份验证的主机可以向RAS服务器发送恶意连接请求，导致在RAS服务器计算机上远程执行代码。
　　安全建议
　　目前微软已发布相关安全更新，建议受影响的用户尽快修复。
　　自动更新：
　　MicrosoftUpdate默认启用，当系统检测到可用更新时，将会自动下载更新并在下一次启动时安装。
　　手动更新：
　　1、点击开始菜单或按Windows快捷键，点击进入设置。
　　2、选择更新和安全，进入Windows更新。（Windows8、Windows8。1、WindowsServer2012以及WindowsServer2012R2可通过控制面板进入Windows更新，具体步骤为控制面板系统和安全Windows更新）
　　3、选择检查更新，等待系统将自动检查并下载可用更新。
　　4、更新完成后重启计算机，可通过进入Windows更新查看更新历史记录查看是否成功安装了更新。对于没有成功安装的更新，可以点击该更新名称进入微软官方更新描述链接，点击最新的SSU名称并在新链接中点击Microsoft更新目录，然后在新链接中选择适用于目标系统的补丁进行下载并安装。
　　02hrJsonWebToken远程代码执行漏洞（CVE202223529）
　　漏洞概述
　　漏洞详情
　　JsonWebToken是一个受欢迎的开源库，用于创建、签名和验证JsonWeb令牌。
　　2022年12月21日，nodejsonwebtoken项目发布安全公告，修复了JsonWebToken中的一个远程代码执行漏洞（CVE202223529），该漏洞的CVSSv3评分最高为9。8。
　　JsonWebToken8。5。1及之前版本中，由于jwt。verify（）函数中存在不安全的输入验证漏洞，如果能够修改jwt。verify（）函数的密钥检索参数（参考readme链接中的secretOrPublicKey参数），则可以利用该漏洞在主机上写入任意文件并远程执行任意代码。
　　影响范围
　　JsonWebToken版本8。5。1
　　安全建议
　　目前该漏洞已经修复，受影响用户可及时升级到JsonWebToken9。0。0版本。
　　下载链接：
　　https：github。comauth0nodejsonwebtokentags
　　注：仅当允许不受信任的实体修改用户控制的主机上的jwt。verify（）的密钥检索参数时，用户才会受到影响
　　03hrCentosWebPanel7远程命令执行漏洞（CVE202244877）
　　漏洞概述
　　漏洞详情
　　CentOSWebPanel（CWP）是一个开源的Linux控制面板软件，用于部署虚拟主机环境。
　　1月6日，研究人员披露了CWP7（CWPforCentOS7）中的一个远程命令执行漏洞（CVE202244877），该漏洞的PoCEXP已公开。
　　CentosWebPanel7版本0。9。8。1147之前在loginindex。php组件中存在漏洞，可能导致在未经身份验证的情况下通过精心设计的HTTP请求执行任意系统命令或代码。
　　影响范围
　　CentosWebPanel7版本0。9。8。1147
　　安全建议
　　目前该漏洞已经修复，受影响用户可升级到CentosWebPanel7版本0。9。8。1148。
　　下载链接：
　　https：controlwebpanel。comchangelog
　　04ApacheKylin命令注入漏洞（CVE202243396）
　　漏洞概述
　　漏洞详情
　　ApacheKylin是一个开源的分布式分析引擎，旨在为ApacheHadoop提供SQL接口和多维分析（OLAP），支持超大数据集。
　　2022年12月30日，Apache发布安全公告，披露了ApacheKylin中的一个命令注入漏洞（CVE202243396）。
　　该漏洞源于ApacheKylin命令注入漏洞（CVE202224697）修复措施的安全绕过（黑名单绕过），恶意用户可以通过控制conf的kylin。engine。sparkcmd参数来执行命令。
　　影响范围
　　ApacheKylin版本4。0。3
　　安全建议
　　目前该漏洞已经修复，ApacheKylin2。x、3。x、4。x用户可及时升级到4。0。3版本或应用补丁。
　　下载链接：
　　https：kylin。apache。orgdownload
　　补丁链接：
　　https：github。comapachekylinpull2011
　　【持续关注网络安全，更多相关资讯敬请关注明朝万达】