Microsoft Edge 浏览器可能允许攻击者静默安装恶意扩展 网络相关

Microsoft Edge Web 浏览器中现已修补的安全漏洞可能会被滥用,在用户系统上安装任意扩展并执行恶意操作。

Guardio Labs 安全研究员 Oleg Zaytsev在与 The Hacker 分享的一份新报告中表示:“这个缺陷可能允许攻击者利用最初用于营销目的的私有 API,在用户不知情的情况下秘密安装具有广泛权限的其他浏览器扩展。”消息。

该问题被追踪为CVE-2024-21388(CVSS 评分:6.5),并在 2023 年 11 月负责任地披露后,由 Microsoft 在 2024 年 1 月 25 日发布的 Edge 稳定版本 121.0.2277.83 中解决。Windows 制造商将 Zaytsev 和 Jun Kokatsu 归功于报告问题。

微软在针对该缺陷的公告中表示,“成功利用此漏洞的攻击者可以获得安装扩展程序所需的权限”,并补充说它“可能导致浏览器沙箱逃逸”。

这家科技巨头将其描述为一个权限升级缺陷,还强调,成功利用该漏洞需要攻击者“在利用该漏洞之前采取额外的行动来准备目标环境”。

根据 Guardio 的调查结果,CVE-2024-21388 允许能够在 bing.com 或 microsoft.com 页面上运行 JavaScript 的不良行为者从 Edge Add-ons 商店安装任何扩展,无需用户同意或交互。

这是因为浏览器具有对某些私有 API 的特权访问权限,使得安装来自供应商自己的扩展市场的附加组件成为可能。

基于 Chromium 的 Edge 浏览器中的一个这样的 API 是 edgeMarketingPagePrivate,它可以从属于 Microsoft 的一组列入白名单的网站访问,包括 bing.com、microsoft.com、microsoftedgewelcome.microsoft.com 和 microsoftedgetips.microsoft.com 等。

该 API 还包含一个名为 installTheme() 的方法,顾名思义,该方法旨在通过传递唯一主题标识符(“themeId”)及其文件作为 input来从 Edge Add-ons 存储安装主题。

Guardio 发现的错误本质上是验证不足的情况,从而使攻击者能够从店面提供任何扩展标识符(而不是 themeId)并秘密安装它。

“作为额外的好处,由于此扩展安装并未完全按照最初设计的方式完成,因此不需要用户的任何交互或同意,”扎伊采夫解释道。

在利用 CVE-2024-21388 的假设攻击场景中,威胁参与者可以向附加组件存储发布看似无害的扩展,并使用它向 bing.com 或任何网站注入一段恶意 JavaScript 代码允许访问 API – 并通过使用扩展标识符调用 API 来安装他们选择的任意扩展。

换句话说,在 Edge 浏览器上执行特制扩展程序并访问 bing.com 将在未经受害者许可的情况下自动安装目标扩展程序。

Guardio 说,虽然没有证据表明该漏洞在野外被利用,但它强调了平衡用户便利性和安全性的必要性,以及浏览器自定义如何无意中破坏安全机制并引入几种新的攻击媒介。

扎伊采夫说:“攻击者相对容易诱骗用户安装看似无害的扩展程序,而没有意识到这是更复杂攻击的第一步。” “该漏洞可被利用来促进安装额外的扩展,从而可能获得金钱收益。”

标签: Edge

之参博客 发布于  2024-3-28 19:51 

AWS 修复 Airflow 服务中的关键“FlowFixation”漏洞防止会话劫持 网络相关

网络安全研究人员分享了 Amazon Web Services (AWS) Managed Workflows for Apache Airflow ( MWAA )中现已修补的安全漏洞的详细信息,恶意行为者可能会利用该漏洞来劫持受害者的​​会话并在底层实例上实现远程代码执行。
aws官方说明:https://docs.aws.amazon.com/mwaa/latest/userguide/what-is-mwaa.html
该漏洞现已由 AWS 解决,Tenable 的代号为FlowFixation。

高级安全研究员 Liv Matan在技术分析中表示:“在接管受害者的帐户后,攻击者可能执行读取连接字符串、添加配置和触发有向无环图 (DAGS) 等任务。”

“在某些情况下,此类行为可能会导致 MWAA 基础实例出现 RCE,并横向移动到其他服务。”

根据网络安全公司的说法,该漏洞的根本原因是 AWS MWAA Web 管理面板上的会话固定和 AWS 域配置错误相结合,导致跨站点脚本 ( XSS ) 攻击。

会话固定是一种网络攻击技术,当用户通过服务身份验证而不使任何现有会话标识符无效时,就会发生这种技术。这允许攻击者强制(也称为固定)用户已知的会话标识符,以便一旦用户进行身份验证,攻击者就可以访问经过身份验证的会话。

通过利用这一缺陷,威胁行为者可能会迫使受害者使用和验证攻击者的已知会话,并最终接管受害者的 Web 管理面板。

Matan 表示:“FlowFixation 凸显了云提供商域架构和管理现状的一个更广泛的问题,因为它与公共后缀列表 ( PSL ) 和共享父域有关:同站点攻击”,并补充说错误配置也会影响微软Azure 和谷歌云。

Tenable 还指出,共享架构(多个客户拥有相同的父域)可能成为攻击者利用同站点攻击、跨源问题和cookie 等漏洞的金矿,从而有效地导致未经授权的访问、数据和数据泄露。泄漏和代码执行。

AWS 和 Azure 将配置错误的域添加到 PSL 中,从而导致 Web 浏览器将添加的域识别为公共后缀,从而解决了该缺陷。另一方面,谷歌云将这个问题描述为“不够严重”,不值得修复。

“在同站点攻击的情况下,上述域架构的安全影响是显着的,云环境中此类攻击的风险更高,”Matan 解释道。

“其中,cookie-tossing 攻击和同站点属性 cookie 保护绕过尤其令人担忧,因为两者都可以绕过 CSRF 保护。cookie-tossing 攻击还可以滥用会话固定问题。”

标签: aws

之参博客 发布于  2024-3-28 18:35 

AndroxGh0st 恶意软件瞄准 Laravel 应用程序窃取云凭证 网络相关

网络安全研究人员揭示了一种名为AndroxGh0st的工具,该工具用于针对 Laravel 应用程序并窃取敏感数据。

Juniper 威胁实验室研究员 Kashinath T Pattan表示:“它的工作原理是扫描 .env 文件并从中提取重要信息,从而显示与 AWS 和 Twilio 相关的登录详细信息。”

“它被归类为 SMTP 破解者,它使用各种策略来利用 SMTP,例如凭证利用、Web shell 部署和漏洞扫描。”

至少自 2022 年起,AndroxGh0st 就已在野外被检测到,威胁者利用它来访问 Laravel 环境文件并窃取各种基于云的应用程序(例如 Amazon Web Services (AWS)、SendGrid 和 Twilio)的凭证。

已知涉及 Python 恶意软件的攻击链会利用 Apache HTTP Server、Laravel Framework 和 PHPUnit 中的已知安全漏洞来获取初始访问权限以及权限升级和持久性。

今年 1 月初,美国网络安全和情报机构警告攻击者部署 AndroxGh0st 恶意软件来创建僵尸网络,以“在目标网络中识别和利用受害者”。

Pattan 解释说:“Androxgh0st 首先通过 Apache 的一个漏洞进入,该漏洞被识别为 CVE-2021-41773,使其能够访问易受攻击的系统。”

“此后,它利用其他漏洞,特别是 CVE-2017-9841 和 CVE-2018-15133,来执行代码并建立持久控制,从本质上接管目标系统。”

Androxgh0st 旨在从各种来源窃取敏感数据,包括 .env 文件、数据库和云凭据。这允许威胁行为者向受感染的系统提供额外的有效负载。

Juniper Threat Labs 表示,它观察到与利用 CVE-2017-9841 相关的活动有所增加,因此用户必须迅速将其实例更新到最新版本。

它补充说,大多数针对其蜜罐基础设施的攻击尝试来自美国、英国、中国、荷兰、德国、保加利亚、科威特、俄罗斯、爱沙尼亚和印度。

这一进展发生之际,AhnLab 安全情报中心 (ASEC)透露,位于韩国的易受攻击的 WebLogic 服务器正成为攻击者的目标,并将其用作下载服务器来分发名为z0Miner的加密货币挖矿程序和快速反向代理 (FRP) 等其他工具。

它还发现了一个恶意活动,该活动渗透到 AWS 实例,在几分钟内创建了 6,000 多个 EC2 实例,并部署了与称为Meson Network的去中心化内容交付网络 (CDN) 相关的二进制文件。

这家总部位于新加坡的公司旨在创建“世界上最大的带宽市场”,其工作方式是允许用户将闲置带宽和存储资源与 Meson 交换代币(即奖励)。

Sysdig在本月发布的一份技术报告中表示:“这意味着矿工将获得 Meson 代币作为向 Meson Network 平台提供服务器的奖励,奖励将根据带入网络的带宽和存储量来计算。”

“这不再是挖掘加密货币的全部了。像 Meson 网络这样的服务希望利用硬盘空间和网络带宽而不是 CPU。虽然 Meson 可能是合法的服务,但这表明攻击者总是在寻找新的方法来制造加密货币。”钱。”

随着云环境日益成为威胁行为者有利可图的目标,保持软件最新并监控可疑活动至关重要。

威胁情报公司 Permiso 还发布了一款名为CloudGrappler的工具,该工具构建在cloudgrep的基础上,可以扫描 AWS 和 Azure,以标记与知名威胁参与者相关的恶意事件。


之参博客 发布于  2024-3-22 15:11 

恶意插件利用 Popup Builder WordPress 插件感染 3,900 多个网站 网络相关

一个新的恶意软件活动正在利用 WordPress 的 Popup Builder 插件中的高严重性安全漏洞来注入恶意 JavaScript 代码。

据 Sucuri 称,该活动在过去三周内已感染了 3,900 多个网站。

安全研究员 Puja Srivastava在 3 月 7 日的一份报告中表示:“这些攻击是由不到一个月的域名精心策划的,注册日期可以追溯到 2024 年 2 月 12 日。”

感染序列涉及利用 CVE-2023-6000,这是 Popup Builder 中的一个安全漏洞,可被利用来创建恶意管理员用户并安装任意插件。

今年 1 月初,Balada Injector 攻击活动利用了这一缺陷,导致至少 7,000 个站点受到攻击。

最新的一组攻击会导致注入恶意代码,该恶意代码有两种不同的变体,旨在将网站访问者重定向到其他网站,例如网络钓鱼和诈骗页面。

建议 WordPress 网站所有者保持其插件最新,并扫描其网站是否有任何可疑代码或用户,并执行适当的清理。

斯里瓦斯塔瓦说:“这种新的恶意软件活动清楚地提醒人们,如果不及时更新网站软件,将面临风险。”

这一进展发生之际,WordPress 安全公司 Wordfence披露了另一个名为 Ultimate Member 的插件中的一个高度严重的错误,该插件可以被用来注入恶意 Web 脚本。

跨站脚本 (XSS) 缺陷被追踪为 CVE-2024-2123(CVSS 评分:7.2),影响该插件的所有版本,包括 2.8.3 及之前的版本。已在 2024 年 3 月 6 日发布的 2.8.4 版本中进行了修补。

该缺陷源于输入清理和输出转义不足,从而允许未经身份验证的攻击者在页面中注入任意 Web 脚本,这些脚本将在用户每次访问时执行。

“再加上该漏洞可以被在易受攻击的网站上没有权限的攻击者利用,这意味着未经身份验证的攻击者在成功利用该漏洞后,很有可能获得运行易受攻击版本的插件的网站的管理用户访问权限, ”Wordfence 说道。

值得注意的是,插件维护者在 2 月 19 日发布的 2.8.3 版本中解决了类似的缺陷(CVE-2024-1071,CVSS 评分:9.8)。

它还发现了 Avada WordPress 主题中的任意文件上传漏洞(CVE-2024-1468,CVSS 评分:8.8),并可能远程执行恶意代码。7.11.5版本已解决。

Wordfence表示:“这使得具有贡献者级别及以上访问权限的经过身份验证的攻击者可以在受影响站点的服务器上上传任意文件,从而使远程代码执行成为可能。”

标签: WordPress

之参博客 发布于  2024-3-21 15:49 

谷歌浏览器Chrome推出增强型实时 URL 保护 网络相关


周四谷歌浏览器发布了安全增强版,提供实时隐私保护的 URL 保护,保护用户访问潜在的恶意网站。

Jonathan Li 和 Jasika Bawa表示:“桌面版和 iOS 版浏览器 的标准保护模式将根据谷歌服务器端已知不良网站列表实时检查网站。 ”

“如果我们怀疑某个网站对您或您的设备构成风险,您会看到包含更多信息的警告。通过实时检查网站,我们预计可以阻止更多 25% 的网络钓鱼尝试。”

到目前为止,Chrome 浏览器使用本地存储的已知不安全网站列表,该列表每 30 到 60 分钟更新一次,然后利用基于哈希的方法将访问的每个网站与数据库进行比较。

谷歌于 2023 年 9 月首次透露计划在不与该公司共享用户浏览历史记录的情况下转向实时服务器端检查。

这家搜索巨头表示,做出这一改变的原因是有害网站列表正在快速增长,而且 60% 的网络钓鱼域名存在时间不足10 分钟,因此难以阻止。

它补充说:“并非所有设备都拥有维护这个不断增长的列表所需的资源,也并非总是能够以受益于全面保护所需的频率接收和应用列表更新。”

因此,利用新的架构,每次用户尝试访问网站时,都会根据浏览器的全局和本地缓存(包含已知的安全 URL)以及先前安全浏览检查的结果来检查 URL,以确定网站的状态。

如果缓存中不存在所访问的 URL,则会通过将 URL 混淆为32 字节的完整哈希值来执行实时检查,然后将其截断为 4 字节长的哈希前缀、加密并发送到隐私服务器。

谷歌解释说:“隐私服务器会删除潜在的用户标识符,并通过 TLS 连接将加密的哈希前缀转发到安全浏览服务器,该连接将请求与许多其他 Chrome 用户混合在一起。”

安全浏览服务器随后解密哈希前缀并将其与服务器端数据库进行匹配,以返回与浏览器发送的哈希前缀之一匹配的所有不安全 URL 的完整哈希值。

最后,在客户端,将完整哈希值与所访问 URL 的完整哈希值进行比较,如果发现匹配,则会显示警告消息。

谷歌还证实,隐私服务器只不过是由 Fastly 运营的Oblivious HTTP ( OHTTP ) 中继,位于 Chrome 和安全浏览服务器之间,以防止后者访问用户的 IP 地址,从而阻止其将 URL 检查与用户的互联网浏览历史记录。

该公司强调:“最终,安全浏览会看到您 URL 的哈希前缀,但看不到您的 IP 地址,而隐私服务器会看到您的 IP 地址,但不会看到哈希前缀。” “没有任何一方可以访问您的身份和哈希前缀。因此,您的浏览活动仍然是私密的。”


之参博客 发布于  2024-3-20 09:16 

QEMU 模拟器被用作破坏公司网络的隧道工具 网络相关

上传中...100%

据观察,威胁行为者在针对一家未透露姓名的“大公司”的网络攻击中利用QEMU开源硬件模拟器作为隧道软件来连接到其基础设施。

虽然 Chisel、FRP、ligolo、ngrok 和 Plink 等许多合法的隧道工具已被对手利用以达到其优势,但这一开发标志着第一个用于此目的的 QEMU。

卡巴斯基研究人员 Grigory Sablin、Alexander Rodchenko 和 Kirill Magaskin表示:“我们发现 QEMU 支持虚拟机之间的连接:-netdev 选项创建可以连接到虚拟机的网络设备(后端)。”

“众多网络设备中的每一个都是由其类型定义的,并支持额外的选项。”

换句话说,其想法是创建一个虚拟网络接口和一个套接字类型的网络接口,从而允许虚拟机与任何远程服务器进行通信。

这家俄罗斯网络安全公司表示,它能够使用 QEMU 从企业网络中无法访问互联网的内部主机到具有互联网访问权限的枢轴主机建立网络隧道,该主机连接到攻击者在云上运行的服务器模拟器。

调查结果表明,威胁行为者正在不断多样化其攻击策略,将其恶意流量与实际活动相结合并实现其运营目标。

研究人员表示:“恶意行为者使用合法工具执行各种攻击步骤对于事件响应专业人员来说并不新鲜。”

“这进一步支持了多级保护的概念,其中涵盖可靠的端点保护以及用于检测和防御复杂和有针对性的攻击(包括人为攻击)的专门解决方案。”


之参博客 发布于  2024-3-9 10:12 

思科针对安全客户端中的高严重性 VPN 劫持漏洞发布补丁 网络相关


思科已发布补丁来解决影响其安全客户端软件的高严重性安全漏洞,威胁行为者可能会利用该漏洞与目标用户打开 VPN 会话。

该网络设备公司将该漏洞描述为 CVE-2024-20337(CVSS 评分:8.2),允许未经身份验证的远程攻击者对用户进行回车换行 ( CRLF ) 注入攻击。

由于对用户提供的输入验证不足,威胁行为者可能会利用该缺陷诱骗用户在建立 VPN 会话时单击特制链接。

该公司在一份公告中表示:“成功的利用可能允许攻击者在浏览器中执行任意脚本代码或访问基于浏览器的敏感信息,包括有效的 SAML 令牌。”

“然后,攻击者可以使用该令牌以受影响用户的权限建立远程访问 VPN 会话。VPN 头端后面的各个主机和服务仍然需要额外的凭据才能成功访问。”

该漏洞影响 Windows、Linux 和 macOS 的 Secure Client,并已在以下版本中得到解决 -

4.10.04065 之前(不易受攻击)
4.10.04065 及更高版本(在 4.10.08025 中修复)
5.0(迁移到固定版本)
5.1(在 5.1.2.42 中修复)

亚马逊安全研究员Paulos Yibelo Mesfin被认为发现并报告了该缺陷,他告诉黑客新闻,当目标访问其控制下的网站时,该缺陷允许攻击者访问本地内部网络。

思科还发布了 CVE-2024-20338(CVSS 评分:7.3)的修复程序,这是 Linux 安全客户端中的另一个高严重性缺陷,可能允许经过身份验证的本地攻击者提升受影响设备上的权限。它已在版本 5.1.2.42 中得到解决。

它说:“攻击者可以通过将恶意库文件复制到文件系统中的特定目录并说服管理员重新启动特定进程来利用此漏洞。 ” “成功的利用可能允许攻击者以 root 权限在受影响的设备上执行任意代码。”

标签: 思科 漏洞 VPN

之参博客 发布于  2024-3-9 10:10 

紧急:苹果针对被积极利用的day0漏洞发布重要更新 网络相关


苹果公司发布了安全更新来解决多个安全漏洞,其中包括两个据称已被广泛利用的漏洞。

漏洞如下:
CVE-2024-23225 - 内核中存在内存损坏问题,具有任意内核读写能力的攻击者可利用该问题绕过内核内存保护
CVE-2024-23296 - RTKit 实时操作系统 (RTOS) 中存在内存损坏问题,具有任意内核读写能力的攻击者可利用该问题绕过内核内存保护

目前尚不清楚这些漏洞是如何被发现的。苹果表示,这两个漏洞均已通过 iOS 17.4、iPadOS 17.4、iOS 16.7.6 和 iPadOS 16.7.6 中改进的验证得到解决。

这些更新适用于以下设备
iOS 16.7.6 和 iPadOS 16.7.6 - iPhone 8、iPhone 8 Plus、iPhone X、iPad 第 5 代、iPad Pro 9.7 英寸和 iPad Pro 12.9 英寸第 1 代
iOS 17.4 和 iPadOS 17.4 - iPhone XS 及更新机型、iPad Pro 12.9 英寸第 2 代及更新机型、iPad Pro 10.5 英寸、iPad Pro 11 英寸第 1 代及更新机型、iPad Air 第 3 代及更新机型、iPad 第 6 代及更新机型、和 iPad mini 第 5 代及更高版本
根据最新进展,自今年年初以来,苹果公司已解决了其软件中总共三个被积极利用的零日漏洞。2024 年 1 月下旬,它修复了 WebKit 中的一个类型混淆缺陷 ( CVE-2024-23222 ),影响 iOS、iPadOS、macOS、tvOS 和 Safari Web 浏览器,可能导致任意代码执行。
这些漏洞涉及影响 Android Pixel 设备的信息泄露缺陷 (CVE-2023-21237) 和 Sunhillo SureLine 中的操作系统命令注入缺陷,可能导致以 root 权限执行代码 (CVE-2021-36380)。

谷歌在 2023 年 6 月发布的一份公告中承认,它发现有迹象表明“CVE-2023-21237 可能受到有限的、有针对性的利用”。至于 CVE-2021-36380,Fortinet去年年底透露,一个名为 IZ1H9 的 Mirai 僵尸网络正在利用该缺陷将易受影响的设备纳入 DDoS 僵尸网络。


之参博客 发布于  2024-3-9 10:02 

sockboom打不开了,sockboom最新地址 v2ray节点购买地址评测

sockboom是一家v2ray节点订阅供应商,提供v2ray节点,但是最近v2ray节点失效,官网也打不开。
小编最新消息:sockboom跑路了
推荐最新v2ray节点购买地址:https://tz.v2ray.club/


之参博客 发布于  2024-1-29 14:31 

Tomato Cloud节点购买地址 v2ray节点购买地址

老牌翻墙机场
SS/SSR/V2ray/Trojan 机场
TomatoCloud 是一家成立时间超过5年的老牌机场,支持 Shadowsocks、ShadowsocksR、Vmess、Trojan 多种翻墙协议,国内有多个接入点,涵盖了电信、联通、移动多线接入,中转和IPLC专线。Tomato Cloud 机场对流媒体和 ChatGPT 都提供不错的支持,也是比较早支持 sing-box 客户端的机场之一。

套餐价格:

Basic:$48/年,128G流量/月。
Plus:$78/年,256G流量/月。
Pro:$120/年,512G流量/月。
Business:$240/年,1024G流量/月。
购买地址:https://tz.v2ray.club/


之参博客 发布于  2024-1-20 20:18