•  tuned：D-Bus方法中的本地根权限漏洞及其他问题分析（CVE-2024-52336，CVE-2024-52337）
tuned: local root exploit in D-Bus method instance_create and other issues in tuned >= 2.23 (CVE-2024-52336, CVE-2024-52337)

本文揭示了在Red Hat的性能调整守护进程（tuned）中存在严重安全漏洞，允许本地用户通过D-Bus接口执行任意脚本获得根权限。此发现对于理解与防范系统级软件中的潜在威胁至关重要。

•  RomComAPT利用零日漏洞攻击Firefox和Windows
RomComAPT Exploits Zero-Day Bugs in Firefox and Windows

与俄罗斯关联的高级持续性威胁(Advanced Persistent Threat, APT)群体RomCom，也被称为Storm-0978、Tropical Scorpius以及UNC2596，利用了存在于Mozilla Firefox和Microsoft Windows中的未公开零日漏洞，实现了无需任何用户操作即能执行恶意代码的目标。该APT组织借助这两个漏洞——其中一个为Firefox动画时间线特性中的释放后使用(UAF)错误(CVE-2024-9680)，使攻击者得以在浏览器沙箱内部执行代码；而另一个则是Windows任务计划服务中的特权升级漏洞(CVE-2024-49039)。通过精心设计的攻击链条，RomCom可以在受害者的设备上部署同名后门工具，从而在全球范围内对Firefox和Tor用户造成危害。

•  Linux蓝牙子系统SCO连接管理中的UAF漏洞分析与修复
Analysis and Remediation of UAF Vulnerability in SCO Connection Management of Linux's Bluetooth Subsystem

本专题聚焦于Linux内核蓝牙子系统中SCO(同步连接导向)模块存在的一种特殊竞争条件下的使用后释放(UAF)安全问题。通过对具体技术细节的研究，发现了在异步HCI事件线程调用过程中可能发生的已删除SCO连接对象重新引用的问题，这将导致严重的安全隐患。一系列由Luiz Augusto von Dentz提出的补丁引入了kref机制用于监控和管理SCO连接的生命周期，有效防止了UAF漏洞的发生。

•  ThinkPad X230摄像头静默入侵事件
Silent Intrusion on ThinkPad X230's Webcam Incident

近期揭露的一起严重漏洞显示，ThinkPad X230笔记本电脑的网络摄像头存在隐患，使得攻击者能够在未触动LED指示灯的情况下秘密接入并控制摄像头。此次事件涉及对USB供应商请求下的固件改写、软件层面的LED控制及内存映射GPIO操作等问题的研究，最终导致一种多步骤的恶意利用方式被研发出来，从而实现在不引起任何警示信号的前提下执行任意代码并对LED状态进行全面掌控。

•  苹果Safari浏览器重大远程代码执行漏洞CVE-2024-44308：已遭野外利用
Apple Safari Remote Code Execution Vulnerability Exploited In The Wild

本文揭示了苹果Safari浏览器中一个关键的远程代码执行漏洞（CVE-2024-44308），该漏洞已在野外被积极利用，影响包括iOS、iPadOS、macOS和visionOS在内的多个平台。文章详细分析了漏洞的技术细节，并强调了及时更新软件以防范风险的重要性。

•  摇滚明星2FA：目标微软365的AiTM钓鱼攻击
Rockstar 2FA: Targeting Microsoft 365 via AiTM Phishing Assaults

一种称为"摇滚明星2FA"的新颖钓鱼工具包正以Adversary-in-the-Middle (AiTM) 技术为目标，专门针对微软365用户实施攻击。这款工具包能有效绕过多因素认证系统，捕获用户登录凭证和会话Cookie，即便启用多层安全防御亦难逃一劫。自2024年起，涉及数千个域的大量钓鱼活动已证实与之相关联。

•  击中Active Directory心脏：NTLM至LDAP中继攻击深入研究
NTLM Relaying to LDAP - The Hail Mary of Network Compromise

本文深入探讨了NTLM中继攻击在Active Directory环境中的应用，特别是针对LDAP的攻击方式。作者详细分析了利用WebClient服务进行身份验证胁迫的方法，并通过DNS解析和LLMNR等技术实现远程主机的身份冒充，最终达到账户接管的目的。这是对网络安全领域的重要贡献，展示了高级持续性威胁（APT）如何巧妙地绕过传统防御机制。

•  DedeCMS v5.7 SP2后台SSTI到RCE再到GetShell
Remote Code Execution (RCE) via Template Injection in DedeCMS v5.7 SP2 Backend

本文深入剖析了DedeCMS v5.7 SP2版本中存在的严重安全漏洞——模板注入导致远程代码执行（RCE）和获得WebShell。作者详细展示了从登录后端开始至成功利用的过程，包括对核心文件如common.inc.php及arc.partview.class.php的功能解读，揭示了如何绕过检查并在模板中嵌入恶意代码。

* 查看或搜索历史推送内容请访问：
https://sectoday.tencent.com/
* 新浪微博账号： 腾讯玄武实验室
https://weibo.com/xuanwulab
* 微信公众号： 腾讯玄武实验室