微软远程注册表客户端误差CVE-2024-43532果真

首页 > 清静研究 > 清静转达 > 清静简讯

微软远程注册表客户端误差CVE-2024-43532果真

宣布时间 2024-10-24

1. 微软远程注册表客户端误差CVE-2024-43532果真

10月22日，针对微软远程注册表客户端的误差CVE-2024-43532现已果真，该误差使用Windows注册表客户端实现中的回退机制，在SMB传输不可用时依赖于旧传输协议，并降低身份验证历程的清静性，从而控制Windows域。该误差影响Windows服务器版本2008至2022以及Windows 10和11。攻击者可通过阻挡NTLM身份验证握手并将其转发到Active Directory证书服务(ADCS)等服务，建设新的域治理员帐户。CVE-2024-43532源于远程注册表客户端在处置惩罚RPC身份验证时的问题，当SMB传输不可用时，客户端会切换到较旧的协议并使用弱身份验证级别。Akamai研究员Stiv Kupchik于2月1日向微软披露了该误差，但最初被驳回，后于6月中旬重新提交并获得确认，微软于三个月后宣布了修复程序。现在，Kupchik已宣布有用的看法验证代码，并在No Hat清静聚会上诠释了使用历程。Akamai的报告还提供了检测易受攻击的机械和监视特定RPC挪用的要领。

https://www.bleepingcomputer.com/news/security/exploit-released-for-new-windows-server-winreg-ntlm-relay-attack/

2. Gophish工具包被滥用于制作针对俄语片区用户的RAT木马

10月22日，Gophish这一开源网络垂纶工具包正被不法分子使用，以制作并撒播DarkCrystal RAT（DCRat）和PowerRAT等远程会见木马，主要目的是俄语片区用户，包括俄罗斯及其周边国家如乌克兰、白俄罗斯、哈萨克斯坦、乌兹别克斯坦和阿塞拜疆。Gophish原本被设计用于组织测试网络垂纶防御能力，但攻击者却借此制作伪装成Yandex Disk链接和VK社交网络页面的网络垂纶邮件。这些邮件诱导用户下载包括DCRat或PowerRAT恶意木马的Microsoft Word文档或嵌入JavaScript的HTML文件。一旦受害者翻开文档并启用宏，就会触发恶意Visual Basic (VB)剧本，进而下载并执行HTA文件和PowerShell加载器。这些剧本包括PowerRAT的base64编码数据块，解码后在受害者机械上执行。除了系统侦探，该恶意软件还会网络驱动器序列号并毗连到俄罗斯远程服务器吸收指令。若未获响应，则执行嵌入的PowerShell剧本。DCRat作为一种�？榛褚馊砑�，能窃取数据、捕获屏幕截图和击键，提供远程控制，并下载执行其他文件。

https://thehackernews.com/2024/10/gophish-framework-used-in-phishing.html

3. Grandoreiro银行木马：全球金融威胁一连升级

10月22日，卡巴斯基实验室最近宣布的一份报告显示，Grandoreiro银行木马已成为全球重大金融威胁。该木马起源于巴西，自2016年以来一直活跃，旨在窃取银行凭证并绕过清静步伐。只管执法部分已起劲攻击，但Grandoreiro的攻击规模已显著扩大，现已针对45个国家的1700家银行和276个加密钱币钱包，显示出其真正的全球威胁性。在西班牙，Grandoreiro造成的经济损失预计达350万欧元，但报告指出其可能带来的利润凌驾1.1亿欧元。Grandoreiro木马一直立异战略，使用域天生算法建设新的下令和控制服务器，接纳密文窃取加密增添剖析难度，并引入沙盒规避手艺如跟踪鼠标移动以模拟正当用户交互，诱骗反诓骗系统。其�？榛卣髟市矶喔霾僮髟苯ㄉ枵攵蕴囟ǖ厍蚪鹑诨沟乃槠姹�。自2022年以来，卡巴斯基视察到该木马建设了较小、较轻的版本，专注于较少的目的，特殊是在墨西哥。Grandoreiro通常以恶意软件即服务的形式运行，其撒播受到控制，只有值得信托的相助同伴才华会见源代码。

https://securityonline.info/1700-banks-45-countries-grandoreiro-trojan-expands-its-reach/

4. 黑客使用gRPC协议在Docker API上安排加密钱币挖矿程序

10月22日，Trend Micro 研究职员发明了一种新型网络攻击手段，攻击者使用 Docker 远程 API 服务器上的 gRPC 协议（通过 h2c 明文 HTTP/2）来安排 SRBMiner 加密钱币挖矿程序，目的是挖掘 Ripple Labs 开发的 XRP 加密钱币。攻击流程始于扫描易受攻击的 Docker API 服务器，随后检查其可用性和版本，并发送 gRPC/h2c 升级请求以远程使用 Docker 功效而不被发明。一旦建设控制，攻击者便使用正当基础映像构建 Docker 映像，在 /usr/sbin 目录中安排挖矿程序，并从 GitHub 下载恶意软件。他们还提供了 Ripple 钱包地点以网络挖出的加密钱币。此次攻击之以是令人担心，是由于使用 h2c 上的 gRPC 协议可绕过清静层，使清静工具难以检测到加密矿工的安排。这批注网络犯法分子的战略在一直演变，他们正在寻找立异要领来使用 Docker 等容器化情形。因此，�；� Docker 远程 API 和监控异�Ｔ硕涞糜任饕�。

https://securityonline.info/cryptojacking-alert-hackers-exploit-grpc-and-http-2-to-deploy-miners/

5. CISA将Microsoft SharePoint误差列为已知被使用误差

10月23日，美国网络清静和基础设施清静局（CISA）已将Microsoft SharePoint的一个反序列化误差CVE-2024-38094（CVSS v4评分：7.2）纳入其已知被使用误差（KEV）目录中。该误差允许拥有站点所有者权限的攻击者通过SharePoint Server注入并执行恣意代码。据微软通告，此误差源于SharePoint Server Search组件的输入验证过失，使得未经身份验证的用户也能通过发送特制HTTP请求来使用误差，进而在服务器上执行恣意代码，可能接受整个系统。凭证具有约束力的操作指令22-01，要求联邦机构（FCEB）必需在划定阻止日期前解决已发明的误差，以�；ね缑馐苣柯贾形蟛畹墓セ�。CISA特殊要求联邦机构在2024年11月12日前修复此SharePoint误差。同时，专家也建议私人组织审查CISA的误差目录，并实时解决其基础设施中保存的响应误差，以确保网络清静。

https://securityaffairs.com/170157/security/u-s-cisa-adds-microsoft-sharepoint-flaw-known-exploited-vulnerabilities-catalog.html

6. 北非电子竞技平台ESNA用户数据遭黑客泄露

10月24日，在角逐前夕，名为“Shooked”的黑客于2024年10月23日在Breach Forums上泄露了北非电子竞技(ESNA)平台凌驾18万名用户的小我私家数据，该数据转储巨细为3GB，并声称是“完整数据库”。此次泄露爆发在ESNA角逐于摩洛哥开赛的前一天。ESNA是一个旨在增进北非地区竞技游戏生长的平台，组织了包括FC25、Free Fire、陌头霸王6等热门游戏的锦标赛。据剖析，泄露的数据包括凌驾900万行，但去重后唯一用户纪录为180,000条，包括用户身份、国家、用户名、IP地点、时间戳、会话ID、WordPress URL和电子邮件地点等信息，但不包括密码或财务信息。只管云云，用户仍被建议更改密码以防万一，并小心可能由此次泄露引发的网络垂纶攻击。现在，ESNA组织尚未对此事作出回应，但用户应坚持小心，以防网络犯法分子使用此次泄露举行恶意运动。

https://hackread.com/hackers-leak-esport-north-africa-user-record-before-tournament/

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

优发国际网站官网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后服务

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系优发国际网站官网

清静研究