新闻速览

•2024年世界互联网大会“互联网之光”博览会在浙江乌镇开幕

•《工业和信息化领域数据安全合规指引》联合发布

•美国国会图书馆邮件系统遭攻击，近9个月通信内容或泄露

•ClickFix攻击手法全球蔓延，虚假错误提示暗藏玄机

•黑客利用Facebook平台投放假冒Bitwarden广告传播恶意程序

•ChatGPT沙箱环境存多个严重安全隐患，仅20%漏洞被修复

•WordPress核心安全插件曝认证漏洞，或威胁超400万网站安全性

•Microsoft 365管理门户或遭滥用，可帮助勒索诈骗邮件逃避安全检测

•升级网络安全培训体系，CISA新一代学习管理平台启用

•强化Gmail隐私保护，Google推出Shielded Email新功能

特别关注

2024年世界互联网大会“互联网之光”博览会在浙江乌镇开幕

11月19日，由世界互联网大会和浙江省人民政府共同主办的2024年世界互联网大会“互联网之光”博览会在浙江乌镇开幕。国家互联网信息办公室副主任王崧、世界互联网大会秘书长任贤良等出席开幕式。浙江省人民政府副省长柯吉欣出席开幕式并致辞。

作为世界互联网大会乌镇峰会的重要活动，“互联网之光”博览会自2014年以来，紧紧围绕“携手构建网络空间命运共同体”的理念主张，走过了风雨追光、创新发展的十年，旨在成为互联网领域引领前沿技术趋势、展示行业最新成果、促进全球产业合作的重要平台。

2024年是“互联网之光”博览会第二个十年的新起点。围绕本届乌镇峰会“拥抱以人为本、智能向善的数字未来——携手构建网络空间命运共同体”主题，博览会以人工智能为展示重点，持续深化全球数字合作，秉持共生共赢的精神，进一步拓展“国际朋友圈”，引领网络空间命运共同体进入新的发展阶段。

本届博览会设置了五大活动板块，包括展览展示、新产品新技术发布、产业人才引智、产业合作对接、“新光”系列推介，通过“线下实景+线上云展”的方式，全面展示全球互联网的最新发展成果和人工智能领域的新技术、产品，吸引了来自53个国家和地区的665家中外企业与机构参展。

原文链接：

https://mp.weixin.qq.com/s/KzbP47BWloCAYdTKG_78QA

《工业和信息化领域数据安全合规指引》联合发布

为贯彻落实《数据安全法》《网络数据安全管理条例》《工业和信息化领域数据安全管理办法（试行）》等法律政策要求，引导工业和信息化领域数据处理者规范开展数据处理活动，中国钢铁工业协会、中国有色金属工业协会、中国石油和化学工业联合会、中国建筑材料联合会、中国机械工业联合会、中国汽车工业协会、中国纺织工业联合会、中国轻工业联合会、中国电子信息行业联合会、中国计算机行业协会、中国通信企业协会、中国互联网协会、中国通信标准化协会、中国中小企业国际合作协会、中国通信学会、工业和信息化部商用密码应用产业促进联盟、工业信息安全产业发展联盟等单位组织编制了《工业和信息化领域数据安全合规指引》（简称《合规指引》）。各相关单位、企业在履行数据安全保护义务时可以参考使用，共同维护数据安全、促进行业健康发展。

完整版《合规指引》可访问原文链接获取。

原文链接：

https://mp.weixin.qq.com/s/rOhvWgp_UekqTpMll7rYvQ

网络攻击

美国国会图书馆邮件系统遭攻击，近9个月通信内容或泄露

美国国会图书馆日前披露其信息技术系统遭到疑似外国黑客组织入侵，攻击者获取了国会办公室与图书馆工作人员之间的电子邮件通信内容。据NBC News报道，美国国会图书馆已就这起”网络安全事件”通知了国会相关办公室。受影响的电子邮件通信内容涉及2024年1月至9月期间国会办公室与图书馆工作人员（包括国会研究服务处）之间的往来信息。

作为美国实际上的国家图书馆，国会图书馆不仅为美国国会两院提供图书馆和研究服务，还通过美国版权局负责管理版权法的实施。在发现安全漏洞后，图书馆方面已第一时间通知执法部门，目前相关调查仍在进行中。

国会图书馆在通报中表示：”图书馆已经修复了被攻击者利用的安全漏洞，并采取了相应措施防止类似事件再次发生。”同时确认美国众议院和参议院的电子邮件网络系统以及美国版权局的系统均未受到此次事件影响。而对于攻击者的身份以及攻击发生的具体时间点，调查人员仍在进一步核实中。

原文链接：

https://securityaffairs.com/171138/data-breach/library-of-congress-email-communications-hacked.html

ClickFix攻击手法全球蔓延，虚假错误提示暗藏玄机

近期，网络安全公司Proofpoint发布分析报告指出，黑客组织正在加大对”ClickFix”社会工程学攻击的利用。这种战术在恶意软件部署方面显示出极高的效率。自2024年3月以来，多个威胁组织已发起了数次利用该战术的攻击活动。

ClickFix是一种独特的社会工程学技术，攻击者通过对话框显示虚假错误信息，诱导用户在自己的计算机上复制、粘贴并运行恶意代码。这种方式由用户自己执行感染操作，能够有效绕过安全保护机制。攻击者利用了用户倾向于自行解决问题而不是通知IT团队的心理，通过伪装成Microsoft Word和Google Chrome等常用企业软件发起攻击。

技术分析显示，对话框可能来自被入侵的网站、文档、HTML附件或恶意URL。用户按照所谓的”修复”指令操作时，实际上会触发两种情况：要么自动将恶意脚本复制到PowerShell终端或Windows对话框中执行，要么手动打开PowerShell并粘贴提供的命令。通过这种方式，AsyncRAT、Danabot、DarkGate、Lumma Stealer和NetSupport等多种恶意软件都能成功部署。

值得注意的是，攻击者近期频繁使用伪造的CAPTCHA验证码主题技术，通过”验证您是人类”的检查进行欺骗。这种活动大多基于一个名为”reCAPTCHA Phish”的开源工具包，该工具包自2024年9月起在GitHub上以”教育目的”提供。在一次影响全球至少300个组织的攻击中，威胁者利用GitHub通知发送恶意软件，通过伪装成GitHub安全警告的方式诱导用户执行PowerShell命令。

原文链接：

https://www.infosecurity-magazine.com/news/clickfix-cyber-malware-rise/

黑客利用Facebook平台投放假冒Bitwarden广告传播恶意程序

近日，网络安全公司Bitdefender披露了一起针对Facebook商业账户的恶意广告攻击活动。攻击者通过Meta广告平台投放虚假广告，伪装成知名密码管理工具Bitwarden的安全更新，诱导用户安装恶意Chrome浏览器扩展程序。该攻击活动于2024年11月3日被发现，虽然目前已被关停，但安全专家警告类似威胁可能会再次出现。

据研究人员介绍，攻击者精心设计了伪装成Bitwarden官方的Facebook广告，警告用户密码可能已被泄露，并催促用户立即进行所谓的”安全更新”。这些广告巧妙使用了Bitwarden的品牌元素和专业用语，让用户对其真实性深信不疑。

技术分析显示，攻击的核心是background.js脚本，它在安装后立即激活并执行多项恶意操作：通过Google Script URL充当命令控制服务器进行数据窃取；搜索并收集Facebook Cookie，特别是包含用户Facebook ID的c_user cookie；获取用户IP地址和地理位置信息；利用Graph API提取Facebook个人和商业信息。

原文链接：

https://hackread.com/facebook-malvertising-malware-via-fake-bitwarden/

漏洞预警

ChatGPT沙箱环境存在多个严重安全隐患，仅有20%漏洞被修复

Mozilla 0Din安全研究团队近日披露了OpenAI ChatGPT沙箱环境中的多个安全漏洞，这些漏洞允许攻击者上传并执行Python脚本，甚至能够获取语言模型的内部配置信息。目前OpenAI仅修复了上述五个漏洞中的一个。

这一发现源于Mozilla 0Din的GenAI漏洞赏金项目经理Marco Figueroa在使用ChatGPT进行Python项目开发时遇到的一个异常错误。随后的深入调查显示，ChatGPT的沙箱环境基于Debian系统搭建，其访问权限远超预期。技术细节显示，攻击者可以通过提示注入（prompt injection）在ChatGPT环境中执行Python脚本，实现文件的列举、修改和迁移。更为严重的是，研究人员还发现可以提取模型的核心指令和知识库，这种访问级别极具危险性，不仅可能导致模型配置信息泄露，还可能被用于传播恶意脚本或未经授权的数据访问。

对于这些发现，OpenAI的回应令人意外。该公司声称沙箱环境的设计本意就是提供一个受控环境，允许用户执行代码而不影响整体系统，并将大多数交互视为预期功能而非安全问题。然而，研究人员认为，当前沙箱环境所提供的访问权限已经超出了合理范围。

原文链接：

https://hackread.com/mozilla-0din-chatgpt-sandbox-flaws-python-execution/

WordPress核心安全插件曝认证漏洞，或威胁超400万网站安全性

WordPress热门安全插件Really Simple Security（原Really Simple SSL）被发现存在严重的身份认证绕过漏洞，该漏洞可能使攻击者获得网站的完整管理权限。这一漏洞影响了全球超过400万个WordPress网站。

Wordfence安全研究员István Márton警告说：”这个漏洞可以被编写成脚本，意味着攻击者可以对WordPress网站发起大规模自动化攻击。”技术分析显示，此漏洞存在于9.0.0至9.1.1.1版本中，源于名为”check_login_and_get_user”函数中的用户检查错误处理不当。当启用双因素认证时，未经身份验证的攻击者可以通过简单的请求，以任意用户身份（包括管理员）登录系统。

漏洞于本月6日被负责任地披露给开发团队，并在一周后的9.1.2版本中得到修复。考虑到潜在的滥用风险，插件维护者与WordPress合作，在公开披露之前强制更新了所有运行该插件的网站。

原文链接：

https://thehackernews.com/2024/11/urgent-critical-wordpress-plugin.html

Microsoft 365管理门户或遭滥用，可帮助勒索诈骗邮件逃避安全检测

网络安全专家Lawrence Abrams日前披露，近期发现不法分子正在滥用Microsoft 365管理门户的消息中心功能发送勒索欺诈邮件。这些邮件由微软官方邮箱”[email protected]”发出，因此能够绕过垃圾邮件过滤器，直接进入收件箱。

专家表示，这类勒索欺诈邮件是一种诈骗手段，诈骗者声称已经入侵受害者的电脑或移动设备，窃取了其私密照片或视频，并威胁索要500至5000美元的赎金，否则将与受害者的亲友分享这些所谓的隐私照片。虽然这种诈骗手法看似拙劣，但自2018年首次出现以来，每周仍能为诈骗者带来超过5万美元的非法收入。

技术分析显示，攻击者通过Microsoft 365管理门户的”消息中心”功能实施诈骗。该功能原本用于分享微软服务通知和新功能介绍等信息。攻击者利用其中的”分享”功能，在”个人消息”栏中插入勒索内容。虽然该字段正常限制为1000字符，但攻击者通过修改浏览器开发者工具中的textarea标签最大长度限制，成功突破了字符限制。由于Microsoft未在服务器端进行字符长度检查，完整的勒索信息得以随通知一起发送。

微软公司发言人表示：”我们十分重视安全和隐私问题。目前正在调查这些报告，并将采取行动保护用户。”但截至目前，Microsoft尚未在服务器端增加字符限制检查。

原文链接：

https://www.bleepingcomputer.com/news/security/microsoft-365-admin-portal-abused-to-send-sextortion-emails/

产业动态

升级网络安全培训体系， CISA新一代学习管理平台启用

美国网络安全和基础设施安全局（CISA）于近日宣布推出新一代学习管理系统”CISA Learning”。该平台将取代原有的联邦虚拟培训环境（FedVTE），致力于为机构员工和关键利益相关者提供现代化的培训和教育服务。

CISA首席人事官Elizabeth Kolmstetter博士表示：”CISA Learning将提供一个易于导航的现代化学习管理系统，在现有工具和资源的基础上，继续为政府雇员、承包商和美国退伍军人提供免费的网络安全培训。这体现了CISA致力于培养和发展国家网络安全人才队伍的承诺，以更好地保护美国人民每天依赖的关键基础设施。”

作为CISA企业学习环境现代化的关键组成部分，CISA Learning将为联邦、州、地方、部落和领地各级政府的合作伙伴以及退伍军人提供免费培训资源。新平台提供课堂培训、虚拟讲师指导培训和自定进度在线模块等多种可扩展的培训方案，使用户能够灵活地在办公室、家中或野外参与课程学习。

原文链接：

https://www.cisa.gov/news-events/news/cisa-launches-new-learning-platform-enhance-training-and-education-us-veterans-and-other

强化Gmail隐私保护，Google推出Shielded Email新功能

Google近日宣布推出突破性新功能”Shielded Email”，旨在革新电子邮件隐私保护并对抗垃圾邮件。该创新工具允许Gmail用户创建临时邮箱别名，在注册在线服务或填写表单时有效隐藏主邮箱地址。

据报道，Shielded Email通过生成独特的一次性电子邮件地址来实现功能。这些地址会自动将收到的邮件转发到用户的主Gmail收件箱。用户可能在Autofill（自动填充）设置菜单中找到创建Shielded Email地址的选项，便于在各类应用和网站中使用。这意味着用户可以在不暴露真实邮箱地址的情况下与网站和服务进行交互，显著降低收到垃圾邮件和不必要营销信息的风险。

该功能的一大亮点是用户可以通过停用这些相关的隐私地址，轻松切断来自任何问题源的通信。这种程度的控制为用户提供了前所未有的收件箱管理能力。隐私倡导者认为，随着在线隐私问题日益突出，Shielded Email等工具变得越发重要。通过赋予用户更多个人信息控制权，不仅改善了电子邮件使用体验，还为科技行业的数字隐私保护设立了新标准。这可能标志着打击垃圾邮件和未经授权数据收集战的转折点。

原文链接：

https://cybersecuritynews.com/google-announces-shielded-email-feature/