新闻速览

•工信部将联合推出AI换脸诈骗风险提醒功能，可在手机端本地运行

•Google Pixel手机不再安全？数百万手机用户面临隐私泄露风险

•74%的CISO认为人为错误是最大的网络安全威胁

•68%英国企业开始制定深度伪造威胁应对计划

•一个严重的WPS Office远程代码执行漏洞或已被在野利用

•Microsoft Entra ID严重安全缺陷可让攻击者轻松绕过身份验证

•Oracle NetSuite配置错误或导致数千网站客户数据泄露

•SolarWinds发布紧急RCE漏洞安全更新提醒

•中国移动拟采购超2000台入侵防御设备，最高金额可达9668万元

•天融信发布下一代WAAP综合解决方案

特别关注

工信部将联合推出AI换脸诈骗风险提醒功能，可在手机端本地运行

据央视网报道，为了应对AI深度伪造技术带来的安全挑战，工业和信息化部反诈工作专班近期宣布了一项重要举措——将联合手机终端企业推出AI换脸诈骗风险提醒功能，旨在从源头上保护用户免受此类高科技诈骗的侵害。该功能目前正处于测试阶段，其核心亮点在于可在用户的手机端本地运行，无需上传任何个人信息至云端，从而确保在打击诈骗犯罪同时，尊重并维护用户数据的安全。

工业和信息化部反诈工作专班专家李坤在介绍该功能时强调：“随着AI换脸技术的普及，诈骗分子利用该技术伪造身份、实施诈骗的案例频发，严重威胁到了人民群众的财产安全。因此，我们急需一种高效、便捷的防范手段来应对这一新型诈骗方式。AI换脸诈骗风险提醒功能的推出，正是基于这样的背景和需求。”

在实际应用中，该功能将通过用户授权后自动启动。当用户在进行视频通话时，如果系统检测到对方可能存在AI换脸迹象，将立即在屏幕上弹出风险提醒信息，如“对方疑似假冒身份”。用户只需轻点检测按钮，系统便会迅速进行图像扫描与分析，并给出AI换脸合成概率的评估结果，如“AI换脸合成概率93%”，从而帮助用户快速识别诈骗风险。

原文链接：

https://mp.weixin.qq.com/s/-b1Yr7XRU5jVvysjHdtYhg

热点观察

Google Pixel手机不再安全？数百万手机用户面临隐私泄露风险

日前，以安全性为核心特性Pixel手机因未能及时解决一个关键安全缺陷问题而受到质疑。这个Android缺陷是移动设备安全公司iVerify的研究人员在2023年5月发现的。该缺陷与名为”Showcase.apk”的预装应用软件包有关，自2017年9月以来一直存在于谷歌Pixel智能手机系列中。Showcase由Smith Micro为Verizon开发，专门为零售环境中展示和演示智能手机而设计。

由于这是一个系统级别的缺陷，因此用户不可见，但是具有更高的权限和更深层次的系统访问权，包括远程代码执行和远程软件安装，并通过未加密的HTTP网络连接下载配置文件；攻击者可能利用这个缺陷劫持未加密的HTTP连接，控制Showcase应用程序，进而控制整个设备。

谷歌发言人表示，目前尚未发现有活跃利用的证据，并承诺在未来几周内通过软件更新从所有支持的Pixel设备中移除Showcase。谷歌还强调，新发布的Pixel 9系列设备中不存在该应用程序。

原文链接：

https://www.wired.com/story/google-android-pixel-showcase-vulnerability/

74%的CISO认为人为错误是最大的网络安全威胁

人为错误已经成为首席信息安全官（CISO）们最关注的网络安全风险。Proofpoint近日发布的2024年CISO声音报告数据显示，74%的CISO认为人为错误是最大的网络安全威胁，这一比例较去年的60%显著上升。此外，调查还揭示了CISO与董事会在人为错误风险认知上存在差距，近63%的董事会成员认为人为错误是网络安全的首要威胁。

调查结果显示，数据丢失事件的主要原因与员工行为密切相关。42%的受访者认为，内部员工的疏忽和不小心是导致数据泄露的首要原因，其他原因还包括具有恶意或犯罪内部人员（36%）、被盗的员工凭证（33%），已经丢失或被盗的设备（28%）。

为了有效减少人为错误带来的网络安全风险，组织需要采取利用AI工具，提供持续的员工培训和营造网络安全文化等主动的安全措施。

原文链接：

68%英国企业开始制定深度伪造威胁应对计划

近期，深度伪造攻击给企业带来的严重威胁引发了广泛关注。近日发布的GetApp 2024年高管网络安全调查显示，68%的英国受访企业已制定深度伪造应对计划，以应对人工智能驱动的社会工程攻击激增。

调查还发现，超过三分之二的员工在工作场所需要使用生物识别技术，尽管92%的受访者认为所使用的安全措施有效，但对这些系统的信任正在下降。近30%的英国受访者对AI可能被用于生物识别身份欺诈表示担忧，42%担心使用生物识别认证可能导致身份盗窃。

另据Medius的研究显示，近三分之二的金融专业人士曾遭遇深伪欺诈，44%确实上当受骗。ISMSonline研究发现，近三分之一的英国企业曾遇到深伪安全问题，主要是通过商业电子邮件欺诈。

GetApp报告建议，应关注视频中可能存在的深伪迹象，如”抖动”的身体动作、面部特征模糊、不自然的眼动、异常的色彩或不一致的音频。此外，要求对方将头转90°露出侧脸，也可能有助于识别深伪视频。

原文链接：

https://www.itpro.com/security/deepfake-attacks-are-prompting-drastic-security-changes-at-enterprises

漏洞预警

一个严重的WPS Office远程代码执行漏洞或已被在野利用

近日，WPS Office被曝存在两个严重漏洞，可能被攻击者用来执行远程代码攻击。这些漏洞被标识为CVE-2024-7262和CVE-2024-7263，CVSS评分高达9.3。

这些漏洞是在WPS Office的promecefpluginhost.exe组件中发现的，具体涉及版本为12.2.0.13110到12.2.0.13489（CVE-2024-7262）和12.2.0.13110到12.2.0.17153（CVE-2024-7263）。两个漏洞都源于路径验证不当，允许攻击者加载并执行任意Windows库。其中，CVE-2024-7262的漏洞在于promecefpluginhost.exe进程如何验证文件路径，攻击者可以通过诱骗用户打开一个欺骗性的电子表格文档来加载恶意Windows库，在受害者的机器上执行任意代码，导致数据盗窃、勒索软件攻击或进一步的系统妥协。CVE-2024-7263影响到12.2.0.17153（不包括）之前的版本，由于在原始修复中一个额外参数被忽略未加清理，允许攻击者加载任意Windows库，绕过金山软件实施的初步安全措施。

ESET的安全研究人员发现，当前CVE-2024-7262已在野外被攻击者利用，恶意行为者分发欺骗性的电子表格文档以触发该漏洞。金山软件目前已经发布了版本12.2.0.16909的补丁以修复CVE-2024-7262，建议所有WPS Office用户尽快将软件更新到最新版本（12.2.0.17153或更高）。

原文链接：

securityonline.info/wps-office-vulnerabilities-expose-200-million-users-cve-2024-7262-exploited-in-the-wild/

Microsoft Entra ID严重安全缺陷可让攻击者轻松绕过身份验证

近日，研究人员发现了一种利用安全缺陷操纵Microsoft Entra ID身份环境中凭证验证过程的方法，攻击者可以利用该方法在混合身份基础设施中绕过身份验证。该攻击该主要影响将多个本地Active Directory域同步到单个Azure租户的组织，可能导致严重的安全风险，包括未经授权的访问和潜在的数据泄露。

该攻击需要先获取托管直通身份验证（PTA）代理的服务器的管理员访问权限。PTA代理允许用户使用本地Microsoft Entra ID（前称Azure Active Directory）凭证登录云服务，并利用该访问权限在不同的本地域以Entra ID用户身份登录，而无需单独的身份验证。这一安全缺陷使得PTA代理变成了双重代理，攻击者可以在不知道实际密码的情况下，以任何同步的AD用户身份登录。

该缺陷的核心问题在于PTA代理在处理不同本地域的身份验证请求时，有时会出现错误。当用户尝试登录Entra ID时，密码验证请求被放入服务队列，并由任何可用的PTA代理检索。有时，PTA代理会错误地从不同的本地域检索用户名和密码，并尝试与其Windows Server AD进行验证，导致身份验证失败。

原文链接：

https://www.darkreading.com/application-security/unfixed-microsoft-entra-id-authentication-bypass-threatens-hybrid-clouds

Oracle NetSuite配置错误或导致数千网站客户数据泄露

日前，安全供应商AppOmni的研究揭示，Oracle的NetSuite SuiteCommerce产品存在配置错误，可能导致数千个商业网站的客户数据泄露。

NetSuite SuiteCommerce 是一个将电子商务、POS（销售点）和后端系统相统一的商务平台。这一问题并非源于SuiteCommerce本身的安全漏洞，而是由于这些网站的配置方式存在缺陷。因为许多使用NetSuite的组织并没有打算部署商业商店功能，却完全不知道自己购买的实例默认预先部署了可以公开访问的库存网站。而且，许多网站在API调用方面存在缺陷，允许未经授权的用户提取客户记录。这些使得威胁行为者能够通过创建HTML请求获取用户记录，其中包括地址信息和联系详情等。

不仅如此，许多客户可能很难察觉到他们的网站已被威胁行为者利用，因为在许多情况下，日志信息的获取非常困难。研究人员建议组织如果怀疑自己可能成为类似攻击的受害者，应尽快联系NetSuite并获得支持，同时请求提供原始日志数据。

原文链接：

https://www.scmagazine.com/news/thousands-of-oracle-netsuite-sites-said-to-be-exposing-customer-data

SolarWinds发布紧急RCE漏洞安全更新提醒

近日，SolarWinds公司发出紧急通知，提醒其客户修补在Web Help Desk平台中发现的关键漏洞，编号为CVE-2024-28986,CVSS v3分值高达9.8。研究人员指出，如果不及时修补，攻击者可能利用该漏洞在受影响的主机上执行任意命令。

据介绍，该漏洞是一个Java反序列化的远程代码执行（RCE）缺陷，最初由Inmarsat Government的研究人员发现。尽管该漏洞被标记为未认证漏洞，SolarWinds在公告中表示，经过彻底测试后未能在没有认证的情况下重现该漏洞。这意味着，攻击者可能需要获取某种的访问权限采访发起攻击，但仍然存在潜在的安全风险。

SolarWinds建议，所有版本的Web Help Desk都应升级至12.8.3版本，并安装相应的热修补，以确保系统的安全性。

原文链接：

https://www.darkreading.com/vulnerabilities-threats/solarwinds-critical-rce-bug-requires-urgent-patch

产业动态

中国移动拟采购超2000台入侵防御设备，最高金额可达9668万元

8月17日，中国移动发布《中国移动2024年至2026年入侵防御设备（IPS）集中采购项目_招标公告》，涉及采购金额最高可达9668万元。

根据招标公告，本次采购入侵防御设备（IPS）共计2018 台，其中典配1（100G）695台，典配2（40G）1131台，典配3（20G）192 台。

本项目采用混合招标，划分2个标包，具体标包划分如下：

标包一：100G 典配，最高投标限价为 6,754.01万元（不含税总价），选取2家供应商中标；

标包二：40G和20G典配，最高投标限价为2,914.26万元（不含税总价），选取2至3家供应商中标。

每个中标人对应的份额如下：若3家供应商中标，中标份额依次为：第一名50%、第二名27%、第三名23%；若2家供应商中标，中标份额依次为：第一名70%、第二名 30%。本项目允许投标人同时中标的最多标包数为2个。

原文链接：

https://b2b.10086.cn/#/noticeDetail?publishId=1824735427896606721&publishUuid=9c51a4a3a94045539529e1e31d992be0&publishType=PROCUREMENT&publishOneType=PROCUREMENT

天融信发布下一代WAAP综合解决方案

日前，天融信发布新一代WAAP综合解决方案，旨在汇聚四大应用安全能力，快速发现Web漏洞，精准掌控安全风险，一体化护航客户应用安全。

据介绍，该方案具有四方面的安全用应用能力：

• 一是在传统WAF功能上集成预防、处置、恢复整改三大机制，强化WAF防护能力；
  
• 二是提供API合规检测、API威胁防护、API访问控制、API防护限流以及API动态学习五大能力，筑牢API安全防线；
• 三是集暴力破解、扫描器防护、爬虫防护、人机校验等BOT识别管控能力于一身，利用扫描器无法处理JS响应的机制，智能识别恶意BOT流量；
• 四是依托天融信流量智能学习模式，根据客户现场环境生成定制化的流量清洗策略，在应用层提供DDoS流量清洗能力，辅以HTTP慢速攻击检查与特有的URL访问占比监控技术，高效缓解各类针对应用站点的DDoS攻击。

天融信相关负责人表示，WAAP综合解决方案是应用安全发展的潮流趋势，应用安全、API安全、BOT管理需求与抗DDoS防御能力的深度融合将会切实提高客户的应用安全防护能力，构建更为完整的应用安全防御体系。

原文链接：

https://mp.weixin.qq.com/s/wJNQ0dfuxyrc_m1J2TlUzQ