Tencent Security Xuanwu Lab Daily News

• Coercion using DCOM:
https://blog.compass-security.com/2024/09/three-headed-potato-dog/

   ・ 本文深入探讨了使用DCOM进行跨会话身份验证胁迫的技术细节，揭示了一种新型的远程攻击向量。作者不仅回顾了技术的发展历程，还详细介绍了如何利用Python和Impacket库实现这一过程，并提供了实际示例。这是对网络安全领域的重要贡献，展示了针对AD证书服务服务器的新威胁模型。 – WireFish

• SecToday Next:
https://sectoday.tencent.com/event/BZxQBJIBMw8bedWYVJmy

   ・ 自2024年8月末起，Progress Software公司的网络监控解决方案WhatsUp Gold遭到一系列基于远程代码执行（RCE）的攻击活动。攻击者利用了两个关键级别的SQL注入漏洞（CVE-2024-6670和CVE-2024-6671），能够在未经认证的情况下提取加密凭证，并进一步操控受影响的应用程序。攻击手法涉及绕过常规的初次接触迹象，直接瞄准漏洞所在点，借助PowerShell有效载荷下载额外的恶意软件组件，同时试图植入诸如Atera Agent或Radmin之类的远程访问工具（Remote Access Tool，RATs）。尽管供应商已经发布了相应的修补程序，但由于延迟实施更新的情况普遍存在，众多机构仍处于高度风险之下。 – WireFish

• SecToday Next:
https://sectoday.tencent.com/event/4T3jBpIBcIs5GCTMYMcj

   ・ 近日，研究人员在中国举办的“矩阵杯”网络安全竞赛中于VMware vCenter Server及其Cloud Foundation产品内揭露了两项重大安全隐患——堆溢出漏洞（CVE-2024-38812）与权限升级缺陷（CVE-2024-38813）。前者源于DCERPC协议实施时出现的问题，使得攻击者能借助精心设计的数据包达成远程代码执行目的；后者则容许攻击者将自身权限提高至root级别。这两项高危漏洞均得到了极高的CVSS评分为9.8和显著等级值7.5。 – WireFish

• Microsoft Windows TOCTOU Local Privilege Escalation ≈ Packet Storm:
https://packetstormsecurity.com/files/181593

   ・ 本文深入剖析了CVE-2024-30088，一个影响广泛版本的Windows内核权限提升漏洞。文章详细展示了如何利用此漏洞，并提供了Metasploit模块的具体实现细节，是研究和防御此类安全威胁的重要资源。 – WireFish

• Imperius - Make An Linux Kernel Rootkit Visible Again:
https://www.kitploit.com/2024/09/imperius-make-linux-kernel-rootkit.html

   ・ 本文揭示了一种使Linux内核模块（LKM）型Rootkit重新可见的方法，通过恢复其在lsmod中的显示状态，从而为移除这类恶意软件提供了新途径。尤其对于从6.5x版本开始的内核，利用/sys/kernel/tracing/available_filter_functions_addrs获取函数地址的方式是一大亮点。 – WireFish

• SecToday Next:
https://sectoday.tencent.com/event/9z1QBJIBcIs5GCTMOaQe

   ・ 本次事件是一次针对黎巴嫩真主党的大型网络-物理复合攻击，导致大量传呼机爆炸，造成了严重的人员伤亡。攻击者似乎运用了先进的供应链干预技巧，在传呼机内部安装小型炸药或者植入恶意代码以便于远程引爆。这次事件凸显了网络攻击与现实世界伤害之间日益模糊的界限，同时也暴露出了供应链管理中的严重缺陷。 – WireFish

• SecToday Next:
https://sectoday.tencent.com/event/v5w9A5IBMw8bedWYnIwG

   ・ 在GitHub企业服务器中发现了多个命令注入漏洞，这些漏洞使拥有管理员角色的攻击者能够通过不同的途径，如actions-console容器、nomad模板配置或syslog-ng配置文件等，将权限升级为设备上的root级别SSH访问。这些问题影响了所有先前发布的GitHub企业服务器版本，直到v3.12为止；随后的更新已解决了这一系列的安全隐患。 – WireFish

• SecToday Next:
https://sectoday.tencent.com/event/wJw9A5IBMw8bedWYnozZ

   ・ 近期发现一款名为StealC的恶意软件采用独特手段，通过将浏览器锁定于全屏信息亭模式中，强迫用户暴露Google账户密码。此战术结合了Amadey工具加载恶意代码、AutoIt脚本操控浏览器界面以及诱导受害者主动提交凭证等环节。 – WireFish

• Nearly $6M lost by DeltaPrime due to private key exploit:
https://www.scmagazine.com/brief/nearly-6m-lost-by-deltaprime-due-to-private-key-exploit

   ・ 本文揭示了DeltaPrime在Arbitrum链上遭受的严重安全漏洞，攻击者利用暴露的私钥控制了管理钱包并升级恶意合约，导致近600万美元损失。文章突出了区块链领域中关键安全管理的重要性。 – WireFish

• HTML5 Security Cheatsheet:
https://github.com/cure53/H5SC

   ・ 本文档详细介绍了HTML5安全作弊表，包括一系列与XSS攻击相关的向量、用于测试的实用文件以及一些以前隐藏的功能。这是对网络安全研究人员和防御者的一个宝贵资源。 – WireFish

• SecToday Next:
https://sectoday.tencent.com/event/fD2HBJIBcIs5GCTMKqYZ

   ・ 面对即将到来的量子计算时代的挑战，NIST推出了包括CRYSTALS-Dilithium、CRYSTALS-KYBER在内的多种后量子加密算法，旨在抵御未来的量子计算机可能带来的威胁。微软积极响应，对其核心加密库SymCrypt进行了升级，集成NIST推荐的ML-KEM和XMSS等算法，加强了产品的安全性。 – WireFish

• SecToday Next:
https://sectoday.tencent.com/event/t9o-BpIBsusscDXmczSZ

   ・ 苹果公司在最新的macOS红杉15操作系统中实施了一系列重要的安全性和隐私保护措施。本次更新不仅修复了多项已知的软件缺陷和潜在的风险，而且增强了权限管理和代码签名机制，从而显著提升了用户数据的安全性。此外，苹果特别关注了企业级需求，在账号管理、文件系统完整性和其他关键领域引入了强化的安全策略。 – WireFish

• AFLplusplus/src/afl-fuzz-one.c at stable · AFLplusplus/AFLplusplus:
https://github.com/AFLplusplus/AFLplusplus/blob/stable/src/afl-fuzz-one.c#L3159

   ・ 本文深入探讨了AFL-Fuzzer的改进版本，即American Fuzzy Lop++（AFL++），特别聚焦于其fuzze_one例程的不同实现方式。文章亮点在于详细解析了算法选择机制和多种变异操作，如覆盖与插入字典条目、自动额外数据覆盖及插入以及拼接技术等高级模糊测试策略。 – WireFish

• SecToday Next:
https://sectoday.tencent.com/event/9T09A5IBcIs5GCTMoJzc

   ・ 由于CrowdStrike在七月发生的影响全球超过850万台Windows设备的重大系统故障，微软采取了一系列行动来强化其安全生态系统。这包括举办Windows终端安全生态系统峰会，讨论改进安全合作伙伴关系的方法，尤其是关于减少对内核驱动程序的依赖，避免未来再次发生类似的全球范围内的蓝屏死机现象。此外，微软计划开发更多的非内核模式安全功能，重新设计端点检测和响应机制，以便更好地隔离潜在风险。 – WireFish

* 查看或搜索历史推送内容请访问：
https://sec.today

* 新浪微博账号：腾讯玄武实验室
https://weibo.com/xuanwulab