Windows Server 更新导致域控制器瓦解并重新启动

首页 > 清静研究 > 清静转达 > 清静简讯

Windows Server 更新导致域控制器瓦解并重新启动

宣布时间 2024-03-22

1. Windows Server 更新导致域控制器瓦解并重新启动

3月21日，由于 Windows Server 2016 和 Windows Server 2022 的 2024 年 3 月累积更新中引入了外地清静机构子系统服务 (LSASS) ，受影响的服务器正在冻结并重新启动。LSASS 是一项 Windows 服务，用于执行清静战略并处置惩罚用户登录、会见令牌建设和密码更改。正这样多治理员忠言的那样，在装置周二宣布的 KB5035855 和 KB5035857 Windows Server 更新后，具有最新更新的域控制器将由于 LSASS 内存使用量增添而瓦解并重新启动。在 Microsoft 正式认可此内存泄露问题之前，建议治理员从其域控制器卸载有问题的 Windows Server 更新。

https://www.bleepingcomputer.com/news/microsoft/new-windows-server-updates-cause-domain-controller-crashes-reboots/

2. 朝鲜 Kimsuky 网络犯法团伙已最先使用新战略开展运动

3月21日，据信息清静供应商 Rapid7 称，朝鲜污名昭著的 Kimsuky 网络犯法团伙已最先使用新战略开展运动。该团伙也被称为 Black Banshee、Thallium、APT 43 和 Velvet Chollima——恒久以来一直试图从政府机构和智库等机构获守信息，Rapid7 不确定该团伙怎样分发其最新攻击，但确信有用负载包括有毒的 Microsoft 编译 HTML 资助 (CHM) 文件以及 ISO、VHD、ZIP 和 RAR 文件。CHM 文件可以包括文本、图像和超链接。Kimsuky 可能对它们更感兴趣，由于它们可以执行 JavaScript。Rapid7 的研究职员破解了其中一个 CHM 文件，他们以为这是 Kimsuky 的作品，并发明了“一个使用 HTML 和 ActiveX 在 Windows 盘算机上执行恣意下令的示例，通常用于恶意目的”。

https://www.theregister.com/2024/03/21/kimsuky_chm_file_campaign/

3. 威胁行为者使用 JETBRAINS TEAMCITY 误差撒播恶意软件

3月20日，趋势科技研究职员发明使用 JetBrains TeamCity 中最近披露的误差CVE-2024-27198 （CVSS 评分：9.8）和CVE-2024-27199（CVSS 评分 7.3）清静误差来安排多个恶意软件的攻击运动。CVE-2024-27198 是 TeamCity Web 组件中的一个身份验证绕过误差，由替换路径问题 ( CWE-288 ) 引起，CVSS 基本评分为 9.8（严重）。CVE-2024-27199是 TeamCity Web 组件中的一个身份验证绕过误差，由路径遍历问题 ( CWE-22 ) 引起，CVSS 基本评分为 7.3（高）。这些误差可能使未经身份验证的攻击者能够通过 HTTP(S) 会见 TeamCity 服务器来绕过身份验证检查并获得对该 TeamCity 服务器的治理控制。

https://securityaffairs.com/160823/breaking-news/jetbrains-teamcity-flaws-actively-exploited.html

4. 新的循环 DoS 攻击可能会影响多达 30万个系统

3月20日，一种名为“循环 DoS”的新拒绝服务攻击针对应用层协议，可以将网络服务配对到无限通讯循环中，从而爆发大宗流量。该攻击由CISPA 亥姆霍兹信息清静中心的研究职员设计，使用用户数据报协议 (UDP)，影响预计 300,000 台主机及其网络。此次攻击可能是由于 UDP 协议实现中的一个误差（现在跟踪为CVE-2024-2169 ）造成的，该误差容易受到 IP 诱骗，并且不提供足够的数据包验证。使用该误差的攻击者会建设一种自我延续的机制，该机制会无限制地爆发过多的流量，并且无法阻止它，从而导致目的系统甚至整个网络泛起拒绝服务 (DoS) 情形。循环 DoS 依赖于 IP 诱骗，并且可以从发送一条新闻以启动通讯的单个主机触发。

https://www.bleepingcomputer.com/news/security/new-loop-dos-attack-may-impact-up-to-300-000-online-systems/

5. 伊朗黑客声称已入侵以色列的核设施

3月21日，一个与伊朗有关的黑客组织声称在“匿名”黑客宣布的一起事务中破损了以色列敏感核设施的盘算机网络，以抗议加沙战争。黑客声称从西蒙·佩雷斯·内盖夫核研究中心窃取并宣布了数千份文件，包括 PDF、电子邮件和 PowerPoint 幻灯片。这个神秘设施内有一个与以色列未果真的核武器妄想有关的核反应堆，历史上一直是哈马斯火箭的目的。该组织在社交媒体新闻中诠释了他们的意图，声称“我们不像嗜血的内塔尼亚胡和他的恐怖军队那样，我们以没有平民受到危险的方法举行这次行动。” 只管有这一声明，该组织在另一条社交媒体新闻中体现，它“无意举行核爆炸，但这次行动很危险，任何事情都可能爆发”，同时还宣布了一段描绘核爆炸和呼吁撤离职员的动画视频。

https://news.hitb.org/content/iranian-hackers-claim-have-breached-israeli-nuclear-facility

6. 研究职员称 AceCryptor 恶意软件在欧洲激增

3月21日，作为针对欧洲各地组织的运动的一部分，已经发明了涉及 AceCryptor 工具的数千个新熏染，黑客混淆恶意软件并将其植入系统而不被防病毒软件检测到。ESET 的研究职员花了数年时间跟踪 AceCryptor，他们周三体现，最近的攻击运动与之前的迭代差别，由于攻击者扩展了内部打包的恶意代码类型。AceCryptor 通常与名为 Remcos或 Rescoms 的恶意软件一起使用，这是一种强盛的远程监视工具，研究职员已发明该工具多次用于针对乌克兰的组织。除了 Remcos 和另一个熟悉的工具 SmokeLoader 之外，ESET 体现，现在还发明 AceCryptor 分发 STOP 勒索软件和 Vidar 窃取程序等恶意软件。ESET 凭证目的国家/地区发明了一些差别。乌克兰的攻击使用了SmokeLoader，而波兰、斯洛伐克、保加利亚和塞尔维亚的攻击则使用了Remcos。

https://therecord.media/acecryptor-malware-surge-europe-remcos

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

优发国际网站官网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后服务

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系优发国际网站官网

清静研究