2023年网络安全月报（3月）明朝万达安元实验室出品

admin

988
文章

2
评论

2023年4月10日16:32:30 评论

近日，明朝万达安元实验室发布了2023年第三期《安全通告》。该份报告收录了2023年3月最新的网络安全前沿新闻和最新漏洞追踪，其中重点内容包括：

网络安全前沿新闻

PyPi的Python包中识别出信息窃取程序和木马丨 01

PyPi中的名为colourfool的软件包是由 Kroll 网络威胁情报团队识别出来的，该公司称该恶意软件为Colour-Blind。该恶意软件除了执行防御，规避检查以确定它是否在沙箱中执行外，还通过 Visual Basic 脚本建立持久性并使用 transfer.sh 进行数据泄露。

SysUpdate 恶意软件再出现 Linux 版本丨 02

被称为Lucky Mouse的黑客开发了一个名为 SysUpdate 的恶意软件工具包的 Linux 版本，扩展了其针对控制操作系统的设备的能力。网络安全公司 Trend Micro表示，它在 2022 年 6 月观察到了等效的 Windows 变体，即在命令与控制 (C2) 基础设施建立近一个月后。

黑客利用容器化环境窃取专有数据和软件丨03

一项名为SCARLETEEL 的复杂攻击活动针对容器化环境，以窃取专有数据和软件。最初的感染媒介依赖于在亚马逊网络服务 (AWS) 上托管的自我管理的 Kubernetes 集群中，利用易受攻击的面向公众的服务，在获得成功的立足点后，XMRig 加密矿工被启动，并使用 bash 脚本获取凭证，这些凭证可用于进一步深入 AWS 云基础设施并泄露敏感数据。

美国网络安全局对皇家勒索软件的致命能力发出警告丨04

美国网络安全和基础设施安全局 (CISA) 发布了一份关于Royal 勒索软件的新公告，该勒索软件于去年出现在网络威胁领域。CISA表示：“在获得对受害者网络的访问权限后，皇家行为者会禁用防病毒软件并泄露大量数据，然后最终部署勒索软件并对系统进行加密。

专家发现美国政府选择的抗量子加密算法存在缺陷丨05

一组研究人员透露了所谓的CRYSTALS-Kyber特定实现中的漏洞，CRYSTALS-Kyber 是美国政府去年选择的抗量子加密算法之一。KTH 皇家理工学院的 Elena Dubrova、Kalle Ngo 和 Joel Gärtner在一篇论文中表示，该漏洞利用涉及“对 ARM Cortex-M4 CPU 中 CRYSTALS-Kyber 的五阶掩码实现的侧通道攻击。”

恶意软件HiatusRAT 以商业级路由器为目标进行监视丨06

至少从 2022 年 7 月开始，一种前所未见的复杂恶意软件以企业级路由器为目标，秘密监视拉丁美洲、欧洲和北美的受害者。这个难以捉摸的活动被 Lumen Black Lotus Labs 称为Hiatus，一旦目标系统被感染，HiatusRAT 允许攻击者与系统进行远程交互，并利用预构建的功能使攻击者能够监控与电子邮件和文件传输通信相关的端口上的路由器流量。

透明部落黑客通过木马化消息应用程序分发 CapraRAT丨07

网络安全公司 Trellix 上个月底透露，韩国和美国的电子商务行业正处于正在进行的GuLoader恶意软件活动的接收端。恶意垃圾邮件活动以从带有恶意软件的 Microsoft Word 文档过渡到用于加载恶意软件的 NSIS 可执行文件而著称。目标国家包括德国、沙特阿拉伯和日本。

使用 Facebook 广告的新威胁-瞄准关键基础设施公司丨08

自 2022 年 11 月以来，网络安全研究人员发现了一种名为SYS01stealer的新型信息窃取程序，其目标是关键的政府基础设施员工、制造公司和其他部门。

该活动背后的攻击者通过使用谷歌广告和虚假的 Facebook 个人资料来瞄准 Facebook 商业账户，这些账户宣传游戏、成人内容和破解软件等内容，以引诱受害者下载恶意文件。

黑客利用远程桌面软件缺陷部署 PlugX 恶意软件丨09

远程桌面程序（如 Sunlogin 和 AweSun）中的安全漏洞正被攻击者用来部署 PlugX 恶意软件。AhnLab 安全紧急响应中心 (ASEC) 在一项新的分析中表示，这标志着继续滥用这些漏洞在受感染的系统上提供各种有效载荷。

Xenomorph Android 银行木马以更强大的新变种回归丨10

ThreatFabric 的最新发现揭示了一种名为 Xenomorph 的 Android 银行木马的新变种已经在野外浮出水面。这次行动的幕后威胁者Hadoken Security Group将其命名为“Xenomorph 3rd generation”，更新版本具有新功能，可以无缝地进行金融欺诈。

国际执法部门取缔臭名昭著的 NetWire 跨平台 RAT

一项协调一致的国际执法行动已经摧毁了与名为NetWire 的跨平台远程访问木马 (RAT) 相关联的在线基础设施。在查封销售网站 www.worldwiredlabs.com 的同时，一名被怀疑是该网站管理员的克罗地亚国民已被捕。虽然嫌疑人的名字没有公布，但调查记者布赖恩·克雷布斯 (Brian Krebs)确认此人（马里奥·赞科 Mario Zanko）是该域名的所有者。

新版 Prometei 僵尸网络感染全球 10,000 多个系统丨12

自 2022 年 11 月以来，名为Prometei的僵尸网络恶意软件的更新版本已感染全球 10,000 多个系统，这些感染在地理上是没有目标的，而且是随机的，据报道，大多数受害者在巴西、印度尼西亚和土耳其。Prometei 于 2016 年首次被发现，是一种模块化僵尸网络，具有大量组件和多种扩散方法，其中一些还包括利用ProxyLogon Microsoft Exchange Server 漏洞。

YoroTrooper 从政府和能源组织窃取凭证和信息丨13

作为至少从 2022 年 6 月以来一直活跃的网络间谍活动的一部分，一个名为YoroTrooper的先前未被记录的攻击者一直以欧洲的政府、能源和国际组织为目标。思科 Talos 研究人员 Asheer Malhotra 和 Vitor Ventura在周二的分析中表示：“从成功入侵中窃取的信息包括来自多个应用程序的凭证、浏览器历史记录和 cookie、系统信息和屏幕截图”。

Tick APT 针对东亚数据丢失防护公司的高价值客户丨14

一个名为 Tick 的网络间谍活动参与者被高度信任地归因于东亚一家为政府和军事实体服务的数据丢失防护 (DLP) 公司的妥协。ESET 研究员 Facundo 表示：“攻击者破坏了 DLP 公司的内部更新服务器，以在软件开发商的网络内传播恶意软件，并对公司使用的合法工具的安装程序进行木马化处理，最终导致在公司客户的计算机上执行恶意软件。”

微软针对 80 个新安全漏洞推出补丁——其中两个受到主动攻击丨15

微软 2023 年 3 月的补丁星期二更新正在推出，修复了一组80 个安全漏洞，其中两个已在野外被积极利用。80 个错误中有 8 个被评为严重，71 个被评为重要，1 个严重程度被评为中等。除了最近几周这家科技巨头在其基于 Chromium 的 Edge 浏览器中修复的29 个缺陷之外，还进行了这些更新。受到主动攻击的两个漏洞包括 Microsoft Outlook 权限提升漏洞（CVE-2023-23397，CVSS 评分：9.8）和 Windows SmartScreen 安全功能绕过漏洞（CVE-2023-24880，CVSS 评分：5.1）。

多个黑客组织利用存在 3 年之久的漏洞入侵美国联邦机构丨16

近日，多个攻击者，包括一个民族国家组织，利用 Progress Telerik 中存在三年的严重安全漏洞闯入美国一个未命名的联邦实体。“利用此漏洞允许恶意行为者在联邦文职行政部门 (FCEB) 机构的 Microsoft Internet 信息服务 (IIS) Web 服务器上成功执行远程代码，”这些机构表示。

谷歌发现三星 Exynos 芯片中的 18 个严重安全漏洞丨17

谷歌提醒人们注意三星 Exynos 芯片中的一系列严重安全漏洞，其中一些漏洞可以被远程利用，在不需要任何用户交互的情况下完全破坏手机。这 18 个零日漏洞影响范围广泛的 Android 智能手机，包括三星、Vivo、谷歌、使用 Exynos W920 芯片组的可穿戴设备以及配备 Exynos Auto T5123 芯片组的车辆。

新的“坏魔法”网络威胁扰乱了战争中乌克兰的关键部门丨18

在俄罗斯和乌克兰之间持续不断的战争中，位于顿涅茨克、卢甘斯克和克里米亚的政府、农业和运输组织遭到攻击，这是一项积极行动的一部分，该行动放弃了一个以前看不见的、名为 CommonMagic 的模块化框架。“卡巴斯基在一份新报告中说：“虽然最初的妥协途径尚不清楚，但下一阶段的细节暗示会使用鱼叉式网络钓鱼或类似方法。”

新的 MacStealer macOS恶意软件窃取iCloud钥匙串数据和密码丨19

一种新的信息窃取恶意软件将目光投向了 Apple 的 macOS 操作系统，以从受感染的设备中窃取敏感信息。它被称为MacStealer，是使用 Telegram 作为命令和控制 (C2) 平台来泄露数据的威胁的最新示例。它主要影响运行 macOS 版本 Catalina 以及之后运行在 M1 和 M2 CPU 上的设备。

网络安全最新漏洞追踪

微软3月多个安全漏洞

漏洞概述

2023年3月14日，微软发布了3月安全更新，本次更新修复了包括2个0 day漏洞在内的83个安全漏洞（不包括Microsoft Edge漏洞），其中有9个漏洞评级为“严重”。

漏洞详情

本次修复的漏洞中，漏洞类型包括特权提升漏洞、远程代码执行漏洞、信息泄露漏洞、拒绝服务漏洞、安全功能绕过漏洞和欺骗漏洞等。微软本次共修复了2个被积极利用的0 day漏洞（指漏洞已被公开披露或被积极利用但没有可用的官方修复程序），如下：

CVE-2023-23397：Microsoft Outlook 特权提升漏洞该漏洞是Microsoft Outlook for Windows中的特权提升漏洞，其CVSSv3评分为9.8。可以通过发送特制的电子邮件来利用该漏洞，该电子邮件在Outlook 客户端检索和处理时自动触发，可能导致受害者连接到威胁者控制的外部 UNC 位置，从而导致受害者的 Net-NTLMv2 哈希泄露，威胁者可以将其转发给另一个服务，并以受害者的身份进行认证。该漏洞目前暂未公开披露，但已发现被黑客组织STRONTIUM 利用。

CVE-2023-24880：Windows SmartScreen 安全功能绕过漏洞可以通过制作恶意文件来逃避 Web 标记 (MOTW) 防御，从而导致安全功能（例如 Microsoft Office 中的受保护视图）受到损坏，这些功能依赖于 MOTW 标记。该漏洞目前已经公开披露，且已发现被Magniber 勒索软件利用，谷歌TAG表示该漏洞为微软2022年12月修复的CVE-2022-44698（Windows SmartScreen 安全功能绕过漏洞）的绕过。本次安全更新中评级为严重的9个漏洞包括：CVE-2023-23415：互联网控制消息协议 (ICMP) 远程代码执行漏洞该漏洞的CVSSv3评分为9.8，可以向目标主机发送一个低级协议错误，在另一个ICMP数据包的报头中包含一个碎片IP数据包。要触发易受攻击的代码路径，目标主机上的应用程序必须绑定到原始套接字。

CVE-2023-23397：Microsoft Outlook 特权提升漏洞CVE-2023-23404：Windows 点对点隧道协议远程代码执行漏洞该漏洞的CVSSv3评分为8.1，未经身份验证的威胁者可以向 RAS 服务器发送特制连接请求，这可能导致 RAS 服务器计算机上的远程代码执行。但利用该漏洞需要赢得竞争条件。

CVE-2023-23411：Windows Hyper-V 拒绝服务漏洞该漏洞的CVSSv3评分为6.5，成功利用该漏洞可能导致Hyper-V guest影响 Hyper-V 主机的功能。

CVE-2023-23416：Windows 加密服务远程代码执行漏洞该漏洞的CVSSv3评分为8.4，威胁者可以通过诱导经过身份验证的用户在受影响的系统上导入恶意证书来利用该漏洞，可能导致任意代码执行。CVE-2023-23392：HTTP协议栈远程代码执行漏洞该漏洞的CVSSv3评分为9.8，未经身份验证的威胁者可以通过将特制的数据包发送到目标服务器，利用 HTTP 协议栈 (http.sys) 来处理数据包。CVE-2023-21708：Remote Procedure Call Runtime远程代码执行漏洞该漏洞的CVSSv3评分为9.8，未经身份验证的威胁者需要向 RPC 主机发送特制的 RPC 调用来利用该漏洞，可能导致在服务器端以与 RPC 服务相同的权限执行远程代码。可以通过在企业外围防火墙上阻断TCP 135端口来减少针对该漏洞的攻击。CERT/CC：CVE-2023-1017 TPM2.0 模块库特权提升漏洞该漏洞为第三方驱动程序中的漏洞，其CVSSv3评分为8.8，可能导致根分区中的越界写入。CERT/CC：CVE-2023-1018 TPM2.0 模块库特权提升漏洞该漏洞为第三方驱动程序中的漏洞，其CVSSv3评分为8.8。

安全建议

目前微软已发布相关安全更新，建议受影响的用户尽快修复。

（一） Windows Update自动更新Microsoft Update默认启用，当系统检测到可用更新时，将会自动下载更新并在下一次启动时安装。也可选择通过以下步骤手动进行更新：1、点击“开始菜单”或按Windows快捷键，点击进入“设置”2、选择“更新和安全”，进入“Windows更新”（Windows 8、Windows 8.1、Windows Server 2012以及Windows Server 2012 R2可通过控制面板进入“Windows更新”，具体步骤为“控制面板”->“系统和安全”->“Windows更新”）3、选择“检查更新”，等待系统自动检查并下载可用更新。4、更新完成后重启计算机，可通过进入“Windows更新”->“查看更新历史记录”查看是否成功安装了更新。对于没有成功安装的更新，可以点击该更新名称进入微软官方更新描述链接，点击最新的SSU名称并在新链接中点击“Microsoft 更新目录”，然后在新链接中选择适用于目标系统的补丁进行下载并安装。

（二）手动安装更新Microsoft官方下载相应补丁进行更新。2023年3月安全更新下载链接：https://msrc.microsoft.com/update-guide/releaseNote/2023-Mar

Apache Dubbo反序列化漏洞（CVE-2023-23638）

漏洞概述

漏洞详情

Apache Linkis（Incubating）是一个开源的上层应用与底层引擎之间的计算中间件，提供了强大的连接、复用、编排、扩展和处理能力。Apache Dubbo 是一款易用、高性能的 WEB 和 RPC 框架，旨在为构建企业级微服务提供框架、通信以及服务治理能力。3月9日监测到Apache官方发布安全公告，修复了Apache Dubbo中的一个反序列化漏洞（CVE-2023-23638）。由于Apache Dubbo安全检查存在缺陷，导致可以绕过反序列化安全检查并执行反序列化攻击，成功利用该漏洞可在目标系统上执行任意代码。

影响范围

Apache Dubbo 2.7.x 版本：<= 2.7.21Apache Dubbo 3.0.x 版本：<= 3.0.13Apache Dubbo 3.1.x 版本：<= 3.1.5

安全建议

目前该漏洞已经修复，受影响用户可升级到以下版本：Apache Dubbo 版本：>= 2.7.22Apache Dubbo 版本：>= 3.0.14Apache Dubbo 版本：>= 3.1.6下载链接：https://github.com/apache/dubbo/tags

Microsoft Word远程代码执行漏洞（CVE-2023-21716）

漏洞概述

漏洞详情

近日监测到Microsoft Word远程代码执行漏洞（CVE-2023-21716）的PoC在互联网上公开，该漏洞已在微软2023年2月补丁中修复，其CVSSv3评分为9.8。Microsoft Word 中的 RTF 解析器在处理包含过多字体 (*\f###*) 的字体表 (*\fonttbl *)时存在堆损坏漏洞，未经身份验证的威胁者可以发送包含 RTF Payload的恶意电子邮件（或其它方式），以打开恶意 RTF 文档的受害者的权限执行任意代码。注意，预览窗格是该漏洞的攻击媒介之一，即用户不必打开恶意 RTF 文档，只需在预览窗格中加载文件便可触发执行。

影响范围

Microsoft Office 2019 for 32-bit editionsMicrosoft Office 2019 for 64-bit editionsMicrosoft Word 2013 Service Pack 1 (64-bit editions)Microsoft Word 2013 RT Service Pack 1Microsoft Word 2013 Service Pack 1 (32-bit editions)Microsoft SharePoint Foundation 2013 Service Pack 1Microsoft Office Web Apps Server 2013 Service Pack 1Microsoft Word 2016 (32-bit edition)Microsoft Word 2016 (64-bit edition)Microsoft SharePoint Server 2019Microsoft SharePoint Enterprise Server 2013 Service Pack 1Microsoft SharePoint Enterprise Server 2016Microsoft 365 Apps for Enterprise for 64-bit SystemsMicrosoft Office 2019 for MacMicrosoft Office Online ServerSharePoint Server Subscription Edition Language PackMicrosoft 365 Apps for Enterprise for 32-bit SystemsMicrosoft Office LTSC 2021 for 64-bit editionsMicrosoft SharePoint Server Subscription EditionMicrosoft Office LTSC 2021 for 32-bit editionsMicrosoft Office LTSC for Mac 2021

安全建议

目前该漏洞已在微软2023年2月补丁中修复，受影响用户可尽快安装更新。下载链接：https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-21716

Google Pixel信息泄露漏洞（CVE-2023-21036）

漏洞概述

2023年网络安全月报（3月）明朝万达安元实验室出品
漏洞详情

近日，监测到Google Android开源项目发布安全公告，修复了Google Pixel中被称为“Acropalypse”的漏洞（CVE-2023-21036）。由于Google Pixel 手机的内置屏幕截图编辑工具 Markup中存在漏洞，导致可能恢复过去5年的裁剪或屏幕截图的原始、未经编辑的图像数据，该漏洞可能会泄露图像创建者在与他人共享媒体或在线发布媒体之前使用 Pixel 的标记工具编辑的敏感信息。这适用于在不压缩用户上传媒体的平台上发布，因此敏感数据（如果存在）将保持完整。影响范围Pixel 型号：>=运行 Android 9 Pie注：Google 已经发布了2023 年 3 月的 Pixel 4a、5a、7 和 7 Pro 安全更新。此外，该漏洞还会影响使用第三方Android 发行版的非 Pixel 智能手机（这些发行版使用Markup工具进行屏幕截图/图像编辑）安全建议Google Android开源项目已经在2023年3月安全更新中修复了该漏洞，受影响用户可升级到最新版本。下载链接：https://source.android.com/?hl=zh-cn