Tencent Security Xuanwu Lab Daily News

• p33d/CVE-2024-45519:
https://github.com/p33d/CVE-2024-45519

   ・ 本文深入剖析了针对SMTP服务器的漏洞利用脚本，揭示了一种通过反向Shell连接远程控制目标机器的新方法。这是对网络安全领域的重要贡献，有助于我们更好地理解和防御潜在的安全威胁。 – SecTodayBot

• Blogpost: CVE-2024-6769 Poisoning the activation cache to elevate from medium to high integrity:
https://github.com/fortra/CVE-2024-6769

   ・ 本文深入探讨了两个连锁漏洞的利用方法，首先是一个由ROOT驱动器重映射引起的DLL劫持错误，随后是CSRSS服务器管理的激活缓存中毒问题。文章亮点在于详细介绍了如何从有限的高完整性权限升级到完全管理员权限的过程，并提供了适用于多种Windows版本（包括最新系统）的成功概念验证代码。 – SecTodayBot

• CVE-2024-21310：Windows云过滤驱动程序池溢出分析:
https://sectoday.tencent.com/api/article/BEHuO5IBcIs5GCTM-D6t/link

   ・ 本文深入分析了CVE-2024-21310漏洞，这是一个影响Windows云过滤驱动程序的整数溢出问题。文章亮点在于详细展示了如何通过逆向工程和BinDiff对比找到并触发该漏洞的过程，为读者提供了宝贵的实战经验和安全研究方法。 – SecTodayBot

• SecToday Next:
https://sectoday.tencent.com/event/ez8EMpIBcIs5GCTMiMG8

   ・ 一系列严重的远程代码执行(RCE)漏洞在CUPS(Common Unix Printing System)打印系统中被揭露，其中包含多个关键CVE编号如CVE-2024-47176。这些漏洞允许未经授权的攻击者通过向CUPS服务发送特别构造的请求或者建立恶意打印机连接等方式，在目标系统上执行任意代码。此次事件波及广泛，不仅限于特定的操作系统，而是涵盖了多种基于UNIX的平台，包括GNU/Linux、ChromeOS和BSD系统。 – SecTodayBot

• Gemini for Workspace susceptible to indirect prompt injection, researchers say:
https://www.scworld.com/news/gemini-for-workspace-susceptible-to-indirect-prompt-injection-researchers-say

   ・ 本文揭示了谷歌Workspace中集成的Gemini大型语言模型存在间接提示注入漏洞，攻击者可通过在电子邮件或共享文档中插入恶意指令来操纵AI助手的行为。这一发现突显了企业级应用中的AI安全问题。 – SecTodayBot

• SecToday Next:
https://sectoday.tencent.com/event/6uSqNZIBsusscDXmx6NN

   ・ 近期，在Apache HertzBeat项目中发现了SnakeYaml反序列化漏洞（CVE-2024-42323），该漏洞可能导致经过身份验证的攻击者通过注入恶意YAML或XML配置文件来实施远程代码执行。这一严重威胁要求所有受影响系统的管理员立即采取行动，应用最新的安全修补程序并确保软件升级至至少为Apache HertzBeat 1.6.0版本。 – SecTodayBot

• SecToday Next:
https://sectoday.tencent.com/event/jOQ8NZIBsusscDXmmIi6

   ・ 一系列严重的安全漏洞影响着大多数生产于2013年后的起亚汽车模型，使得攻击者能够只凭借车辆的车牌号码就在不到30秒的时间内实现对车辆的关键功能的远程控制，比如发动引擎、开关车门等。这种攻击不需要活动的Kia Connect订阅服务，而且攻击者还可以悄悄地获取车主的私人信息，诸如姓名、联系电话、电邮地址和居住地点，并把自己加入作为隐蔽的次要用户。 – SecTodayBot

• VMK extractor for BitLocker with TPM and PIN:
https://post-cyberlabs.github.io/Offensive-security-publications/posts/2024_09_tpmandpin/

   ・ 本文深入探讨了利用离散式可信平台模块（dTPM）的默认配置，以恢复用于解密BitLocker卷的主磁盘加密密钥（Volume Master Key，简称VMK）。作者详细介绍了如何通过逻辑分析器捕获TPM数据，并使用自定义脚本和工具库解析这些数据。这是首次公开的方法，展示了即使在启用TPM和PIN保护的情况下，仍有可能提取到敏感信息。 – SecTodayBot

• SecToday Next:
https://sectoday.tencent.com/event/MeUsOpIBsusscDXmdv5T

   ・ 近期揭露了一个针对Apache Tomcat的应用层拒绝服务(DoS)漏洞(CVE-2024-38286)，该漏洞允许未授权攻击者通过恶意操作TLS握手过程来耗尽服务器内存，从而造成目标系统崩溃或者响应延迟显著增加的情况发生。这一高危缺陷广泛存在于多种版本的Tomcat之中，如不加以防范与补救，则可能对业务连续性和数据安全性构成重大威胁。 – SecTodayBot

• EDR-Antivirus-Bypass-to-Gain-Shell-Access:
https://github.com/murat-exp/EDR-Antivirus-Bypass-to-Gain-Shell-Access

   ・ 本文档详细介绍了如何利用内存注入技术绕过端点检测与响应（EDR）及防病毒解决方案，通过直接在进程内存中执行shellcode创建反向shell，成功规避了多种安全机制的检测。这是对当前网络安全防护策略的一次重要挑战和补充，对于提升防御体系、了解攻击者手法具有重大价值。 – SecTodayBot

* 查看或搜索历史推送内容请访问：
https://sec.today

* 新浪微博账号： 腾讯玄武实验室
https://weibo.com/xuanwulab