四月份安全补丁日, Adobe、Apple 和 Microsoft(以及其他公司)已经发布了最新的安全补丁。
2023 年 4 月的 Adobe 补丁
4 月份,Adobe 发布了六个公告,解决了 Acrobat 和 Reader、Adobe Digital Editions、InCopy、Substance 3D Designer、Substance 3D Stager 和 Adobe Dimension 中的 56 个 CVE。Reader的更新可能是最重要的。纠正了 16 个不同的 CVE,如果威胁行为者可以让用户使用受影响的 Reader 版本打开特制的 PDF,其中 14 个可能会导致任意代码执行。此更新还包括来自 Haboob SA 的 Abdul-Aziz Hariri 的四个 CVE,这是他在最近的 Pwn2Own Vancouver 上成功演示的一部分。
Adobe Digital Edition的补丁纠正了一个严重级别的代码执行错误。InCopy的修复还解决了一个单独的关键级代码执行问题。其他更新明显更大。Substance 3D Designer的更新解决了九个错误,所有这些错误都被评为严重。Substance 3D Stager的修复修复了 14 个漏洞,其中 10 个被评为严重,可能导致任意代码执行。Adobe 的最终补丁涵盖了Adobe Dimension并纠正了 15 个独特的错误。这些错误中共有 14 个可能导致任意代码执行,另一个是内存泄漏。
Adobe 本月修复的错误在发布时均未被列为众所周知或受到积极攻击。Adobe 将这些更新归类为 3 级部署优先级。
2023 年 4 月的 Apple 补丁
Apple 上周和昨天修补了几个 CVE,涵盖了两个受到主动攻击的漏洞。CVE-2023-28205 是 WebKit 中的一个 UAF,可以在 Safari、macOS 和 iOS 中找到。它可以导致在登录用户级别执行代码。需要与特权升级相结合才能接管系统。Apple 修补的第二个漏洞就是这样做的。CVE-2023-28206 是 macOS 和 iOS 中 IOSurfaceAccelerator 组件中的权限升级。Apple 没有明确说明这些是结合使用的,但它们是由同一研究人员同时报告的,因此它们的结合使用是有道理的。
微软 2023 年 4 月补丁
本月,微软发布了 97 个新补丁,解决了 Microsoft Windows 和 Windows 组件中的 CVE;办公室和办公室组件;Windows Defender的; 共享服务器;Windows 超级 V;PostScript 打印机;和微软动态。这是对先前发布并在今天记录的三个 Edge(基于 Chromium)CVE 的补充。这使今天的 CVE 总数达到了 100 个。
本月发布的修补的漏洞,有 7 个被评为严重,90 个被评为重要。虽然这一卷似乎确实与过去几年持平,但远程代码执行 (RCE) 错误的数量几乎占了发行版的一半。在一个月内看到如此多的 RCE 修复是不寻常的。另外请注意,微软本月没有解决在 Pwn2Own Vancouver 期间通过 Teams 披露的任何错误。
自从 Microsoft 宣布他们将阻止 Office 文件中的宏以来,Emotet 攻击者一直在探索分发恶意文件的替代方法。在最近的活动中,攻击者采用了一种新策略,即发送包含恶意 OneNote 文件的垃圾邮件。一旦打开,就会出现一条虚假消息,诱使受害者点击文档,下载 Emotet 感染。安装后,该恶意软件可以收集用户电子邮件数据,例如登录凭据和联系信息。然后,攻击者使用收集到的信息来扩大活动范围并促进未来的攻击。
尽管大型科技公司尽最大努力在最早的时候切断网络犯罪分子,但几乎不可能阻止每一次绕过安全措施的攻击。我们知道 Emotet 是一种复杂的特洛伊木马,看到它成功突破 Microsoft 的最新防御也就不足为奇了。人们可以做的最重要的事情是确保他们有适当的电子邮件安全措施,避免下载任何意外文件并对电子邮件的来源及其内容持合理的怀疑态度。
上个月还透露,“Apache Log4j 远程执行代码”是最常被利用的漏洞,影响了全球 44% 的组织,其次是“HTTP 标头远程执行代码”,影响了全球 43% 的组织,“MVPower DVR 远程执行代码”影响了全球 43% 的组织。全球影响 40%。
顶级恶意软件家族
*箭头表示与上个月相比排名的变化。
Qbot是上个月最流行的恶意软件,对全球组织的影响分别超过 10%,其次是Emotet和Formbook,全球影响为 4%。
- ↔ Qbot – Qbot 又名 Qakbot 是一种银行木马,于 2008 年首次出现。它旨在窃取用户的银行凭证或按键,通常通过垃圾邮件进行传播。Qbot 采用多种反虚拟机、反调试和反沙盒技术来阻碍分析和逃避检测。
- ↑ Emotet – Emotet 是一种先进的、自我传播的模块化木马。Emotet 曾被用作银行木马,但最近被用作其他恶意软件或恶意活动的分发者。它使用多种方法来保持持久性和规避技术以避免被发现。此外,它还可以通过包含恶意附件或链接的网络钓鱼垃圾邮件进行传播。
- ↓ FormBook – FormBook 是一种针对 Windows 操作系统的信息窃取程序,于 2016 年首次被发现。由于其强大的规避技术和相对较低的价格,它在地下黑客论坛中作为恶意软件即服务 (MaaS) 进行销售。Formbook 从各种网络浏览器收集凭证、收集屏幕截图、监控和记录击键,并可以根据其 C&C 的命令下载和执行文件。
- ↑ AgentTesla – AgentTesla 是一种高级 RAT,充当键盘记录器和信息窃取器,能够监视和收集受害者的键盘输入、系统键盘、截取屏幕截图,并将凭证泄露到安装在受害者机器上的各种软件(包括 Google Chrome、Mozilla Firefox 和 Microsoft Outlook 电子邮件客户端)。
- ↓ XMRig – XMRig 是用于挖掘 Monero 加密货币的开源 CPU 挖掘软件。威胁行为者经常通过将其集成到他们的恶意软件中来滥用这种开源软件,从而在受害者的设备上进行非法挖掘。
- ↔ GuLoader – Guloader 是一款自 2019 年 12 月以来广泛使用的下载器。GuLoader 首次出现时用于下载 Parallax RAT,但已应用于其他远程访问木马和信息窃取程序,例如 Netwire、FormBook 和 Agent Tesla .
- ↑ Remcos – Remcos 是一种 RAT,于 2016 年首次出现。Remcos 通过恶意 Microsoft Office 文档进行自我分发,这些文档附加在垃圾邮件中,旨在绕过 Microsoft Windows 的 UAC 安全并以高级权限执行恶意软件。
- ↑ NJRat – NJRat 是一种远程访问木马,主要针对中东的政府机构和组织。该木马于 2012 年首次出现,具有多种功能:捕获击键、访问受害者的摄像头、窃取存储在浏览器中的凭据、上传和下载文件、执行进程和文件操作以及查看受害者的桌面。NJRat 通过网络钓鱼攻击和路过式下载感染受害者,并在命令和控制服务器软件的支持下通过受感染的 USB 密钥或网络驱动器进行传播。
- ↔ Tofsee – Tofsee 是一个针对 Windows 平台的 Trickler。该恶意软件试图在目标系统上下载并执行其他恶意文件。它可能会下载并向用户显示图像文件以隐藏其真实目的。
- ↓ NanoCore ——NanoCore 是一种针对 Windows 操作系统用户的远程访问木马,于 2013 年首次在野外被发现。RAT 的所有版本都包含基本的插件和功能,例如屏幕捕获、加密货币挖掘、远程控制桌面和网络摄像头会话盗窃。
全球受攻击最多的行业
上个月,教育/研究仍然是全球受攻击最严重的行业,其次是政府/军队,然后是医疗保健。
- 教育/研究
- 政府/军队
- 卫生保健
最常被利用的漏洞
上个月,“Apache Log4j 远程执行代码”是被利用最多的漏洞,影响了全球 44% 的组织,其次是“HTTP 标头远程执行代码”,影响了全球 43% 的组织,“MVPower DVR 远程执行代码”影响了全球的 40%。
- ↑ Apache Log4j 远程代码执行 (CVE-2021-44228) – Apache Log4j 中存在远程代码执行漏洞。成功利用此漏洞可能允许远程攻击者在受影响的系统上执行任意代码。
- ↑ HTTP 标头远程代码执行(CVE-2020-10826、CVE-2020-10827、CVE-2020-10828、CVE-2020-13756) ——HTTP 标头让客户端和服务器通过 HTTP 请求传递附加信息。远程攻击者可能会使用易受攻击的 HTTP 标头在受害计算机上运行任意代码。
- ↑MVPower DVR 远程代码执行——MVPower DVR 设备中存在远程代码执行漏洞。远程攻击者可以利用此弱点通过精心设计的请求在受影响的路由器中执行任意代码。
- ↑ OpenSSL TLS DTLS 心跳信息泄露 (CVE-2014-0160,CVE-2014-0346) – OpenSSL 中存在信息泄露漏洞。该漏洞又名 Heartbleed,是由于处理 TLS/DTLS 心跳数据包时出现错误造成的。攻击者可以利用此漏洞泄露连接的客户端或服务器的内存内容。
- ↓ Web 服务器恶意 URL 目录遍历 –在不同的 Web 服务器上存在目录遍历漏洞。该漏洞是由于 Web 服务器中的输入验证错误导致的,该错误未正确清理目录遍历模式的 URI。成功的利用允许未经身份验证的远程攻击者泄露或访问易受攻击的服务器上的任意文件。
- ↑ Dasan GPON 路由器身份验证绕过 (CVE-2018-10561) – Dasan GPON 路由器中存在身份验证绕过漏洞。成功利用此漏洞将允许远程攻击者获取敏感信息并获得对受影响系统的未授权访问。
- ↔ PHP 复活节彩蛋信息泄露 – PHP 页面中报告了一个信息泄露漏洞。该漏洞是由于不正确的 Web 服务器配置造成的。远程攻击者可以通过向受影响的 PHP 页面发送特制 URL 来利用此漏洞。
- ↓ HTTP 上的命令注入(CVE-2021-43936、CVE-2022-24086) ——已报告 HTTP 上的命令注入漏洞。远程攻击者可以通过向受害者发送特制请求来利用此问题。成功的利用将允许攻击者在目标机器上执行任意代码。
- ↑ D-Link 多个产品远程代码执行 (CVE-2015-2051) – 多个 D-Link 产品中存在远程代码执行漏洞。成功利用此漏洞可能允许远程攻击者在受影响的系统上执行任意代码。
- ↓ WordPress portable-phpMyAdmin 插件身份验证绕过 (CVE-2012-5469) – WordPress portable-phpMyAdmin 插件中存在身份验证绕过漏洞。成功利用此漏洞将允许远程攻击者获取敏感信息并获得对受影响系统的未授权访问。
顶级移动恶意软件
上个月,Ahmyth成为最流行的移动恶意软件的首位,其次是Anubis和Hiddad。
- AhMyth – AhMyth 是一种远程访问木马 (RAT),于 2017 年被发现。它通过可在应用商店和各种网站上找到的 Android 应用进行分发。当用户安装这些受感染的应用程序之一时,恶意软件可以从设备收集敏感信息并执行键盘记录、截屏、发送短信和激活相机等操作。
- Anubis – Anubis 是一种专为 Android 手机设计的银行木马恶意软件。自从最初被发现以来,它已经获得了额外的功能,包括远程访问木马 (RAT) 功能、键盘记录器、录音功能和各种勒索软件功能。已在 Google 商店中提供的数百种不同应用程序中检测到它。
- Hiddad – Hiddad 是一种 Android 恶意软件,它会重新打包合法应用程序,然后将它们发布到第三方商店。它的主要功能是显示广告,但它也可以访问操作系统内置的关键安全细节。
Check Point 的全球威胁影响指数及其 ThreatCloud 地图由 Check Point 的ThreatCloud情报提供支持。ThreatCloud 通过网络、端点和移动设备提供来自全球数亿个传感器的实时威胁情报。Check Point Research 是 Check Point Software Technologies 的情报和研究部门,其情报丰富了基于人工智能的引擎和独家研究数据。